Testumgebung bauen (Grundlegend)
Hallo zusammen,
ich würde ganz gerne eine Testumgebung bauen, damit ich mich mit einigen Dingen auseinandersetzen kann.
So grundlegendes im Internet habe ich dazu leider nicht gefunden.
Folgendes würde ich ganz gern mal dort haben:
- Firewall (OpnSense)
- Monitoring (CheckMk)
- Irgendwelche Dienste die ich dann überwachen kann (Webserver z.B)
- DHCP Server
- (Clients)
- Backup Server (Veeam)
und einige Dinge...
ich will mich einfach mal grundlegend damit auseinander setzen. Das Problem ist, ich hab da noch nicht so viel Ahnung.
Wir haben noch eine Sophos SG 210 als Firewall und dort würd ich dann wahrscheinlich die OpnSense Firewall anschließen, um das Produktivnetzwerk mit dem Testnetzwerk zu trennen. Dann bräuchte ich eventuell noch ein "Managment Netzwerk" für CheckMk. Ich weiß aber einfach nicht so wirklich wie ich das so theoretisch aufbauen könnte und was ich dabei zu beachten habe zumindest das Testnetzwerk aufzustellen.
Also es wäre erstmal interessant wie man so ein Testnetzwerk sinnvoll aufbauen könnte. Vielleicht kann mir jemand da auf die Sprünge helfen
ich würde ganz gerne eine Testumgebung bauen, damit ich mich mit einigen Dingen auseinandersetzen kann.
So grundlegendes im Internet habe ich dazu leider nicht gefunden.
Folgendes würde ich ganz gern mal dort haben:
- Firewall (OpnSense)
- Monitoring (CheckMk)
- Irgendwelche Dienste die ich dann überwachen kann (Webserver z.B)
- DHCP Server
- (Clients)
- Backup Server (Veeam)
und einige Dinge...
ich will mich einfach mal grundlegend damit auseinander setzen. Das Problem ist, ich hab da noch nicht so viel Ahnung.
Wir haben noch eine Sophos SG 210 als Firewall und dort würd ich dann wahrscheinlich die OpnSense Firewall anschließen, um das Produktivnetzwerk mit dem Testnetzwerk zu trennen. Dann bräuchte ich eventuell noch ein "Managment Netzwerk" für CheckMk. Ich weiß aber einfach nicht so wirklich wie ich das so theoretisch aufbauen könnte und was ich dabei zu beachten habe zumindest das Testnetzwerk aufzustellen.
Also es wäre erstmal interessant wie man so ein Testnetzwerk sinnvoll aufbauen könnte. Vielleicht kann mir jemand da auf die Sprünge helfen
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669614
Url: https://administrator.de/forum/testumgebung-bauen-grundlegend-669614.html
Ausgedruckt am: 21.12.2024 um 17:12 Uhr
21 Kommentare
Neuester Kommentar
Zitat von @prplemk2:
Also es wäre erstmal interessant wie man so ein Testnetzwerk sinnvoll aufbauen könnte. Vielleicht kann mir jemand da auf die Sprünge helfen
Also es wäre erstmal interessant wie man so ein Testnetzwerk sinnvoll aufbauen könnte. Vielleicht kann mir jemand da auf die Sprünge helfen
Moin,
kommt darauf an, wie lange du testen willst. M$ hat da was kostenloses.
Da kannst du spielen, ohne was kaputt zu machen.
Gruß
Ich weiß aber einfach nicht so wirklich wie ich das so theoretisch aufbauen könnte
Einfach mal die Suchfunktion benutzen:VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Da ist alles haarklein und leichtverständlich erklärt, zu mindestens was die einfache Netzwerk Infrastruktur anbetrifft. Mit einem alten PC und 2 NICs aus der Bastelkiste für die OPNsense und einem 20€ VLAN Switch ist das in max. 1 Stunde am Fliegen.
Der WAN Port der OPNsense rennt out of the Box schon als DHCP Client so das der in jedes beliebige bestehende Netz gesteckt werden kann und die Kiste ist sofort online.
Alles wahrlich kein Hexenwerk und riesige Designdiskussionen sind nicht erforderlich! Einfach mal anfangen und machen, der Rest ergibt sich dann ganz von selbst.
Ich finde dein Vorhaben super, gehört direkt in die Berufsschule.
- OPNsense macht u.a. DHCP
- Zabbix und Observium/LibreNMS sind interessant als Monitoring
- Virtualisierung mit Proxmox, Sicherung mit Proxmox Backup (um Veeam Lizenzkosten zu sparen)
- manageengine bis 25 Client könnte dir auch gefallen https://www.manageengine.de/produkte-loesungen/desktop-mobile-devices/en ...
Meine Empfehlung: Step by Step dazu lernen ...
Ich gehe jetzt mal von Windows als Wunschbasis aus
Basis: Windows 10/11/20x mit reichlich RAM und schnellen SSDs, bestenfalls PCIe/NVMe - gibts auch günstige Adapter karten ...
... mehrere physische Netzwerk-Ports sind von Vorteil, aber bei Nutzung interner/privater VM-Switche nicht nötig ...
Auswahl des Hosts: Ich bevorzuge HyperV, aber auch VMWare und VirtualBox sind möglich.
1. OpnSense als VM mit
1a. NIC an VM-Switch: nur-extern zur Sophos
1b. NIC an privatem VM-Switch der Domain
1c. NIC für DMZ
2a. VM mit Domain-Controller,
2b. VM mit FileServer in der Domain.
2c. VM[s] Win10/11 Clients an die Domain einbinden.
2d. ggf. weitere WinServer mit Diensten ...
3. Wenn das rund läuft, Netzwerke, VMs und Dienste wie CheckMk einrichten und in der Firewall konfigurieren ...
... aber bis die ersten Schritte rund laufen, vergehen schon ein paar Tage, wenn man von Grund auf lernt.
Wichtig: alle HVs unterstützen "Snapshots", also eine Momentaufnahme der VMs ...
... will man was testen, bzw. ist sich unsicher: Snapshot machen und bei Bedarf dorthin zurückkehren ...
Eine schnell überlegte Empfehlung, die sicher Verbesserungspotential hat ...
Viel Erfolg.
Ich gehe jetzt mal von Windows als Wunschbasis aus
Basis: Windows 10/11/20x mit reichlich RAM und schnellen SSDs, bestenfalls PCIe/NVMe - gibts auch günstige Adapter karten ...
... mehrere physische Netzwerk-Ports sind von Vorteil, aber bei Nutzung interner/privater VM-Switche nicht nötig ...
Auswahl des Hosts: Ich bevorzuge HyperV, aber auch VMWare und VirtualBox sind möglich.
1. OpnSense als VM mit
1a. NIC an VM-Switch: nur-extern zur Sophos
1b. NIC an privatem VM-Switch der Domain
1c. NIC für DMZ
2a. VM mit Domain-Controller,
2b. VM mit FileServer in der Domain.
2c. VM[s] Win10/11 Clients an die Domain einbinden.
2d. ggf. weitere WinServer mit Diensten ...
3. Wenn das rund läuft, Netzwerke, VMs und Dienste wie CheckMk einrichten und in der Firewall konfigurieren ...
... aber bis die ersten Schritte rund laufen, vergehen schon ein paar Tage, wenn man von Grund auf lernt.
Wichtig: alle HVs unterstützen "Snapshots", also eine Momentaufnahme der VMs ...
... will man was testen, bzw. ist sich unsicher: Snapshot machen und bei Bedarf dorthin zurückkehren ...
Eine schnell überlegte Empfehlung, die sicher Verbesserungspotential hat ...
Viel Erfolg.
Moin,
ICH würde als Testumgebung ein nahezu 1:1 Abbild der Produktivumgebung etablieren.
Wie?
Als erstes an der SG ein weiteres Interface anlegen mit einer IP (als Beispiel) 172.31.255.253/ 30
Daran schließt du deine pfSense an, welche am WAN-Port die 172.31.255.254/ 30 bekommt. Die pfSense macht NAT (ja, DoppelNAT, aber es ist eine Testumgebung). Auf der SG noch eine Firewall-Regel, dass die 172.31.255.254 nur ins WWW darf, nirgends woanders hin.
Angenommen, ihr habt bereits jetzt div. VLANs etabliert, alle z. B. < 100:
1 = Default-VLAN (bleibt als Quarantäne/ einsame Insel)
10 = Infrastruktur
11 = Backup
20 = Clients
21 = WLAN-Clients
30 = sensible Server (DCs, Mail, ...)
31 = "normale" Server
xx = ..
Dann könntest du die VLANs
1010 = Infrastruktur
1011 = Backup
1020 = Clients
1021 = WLAN-Clients
1030 = sensible Server (DCs, Mail, ...)
1031 = "normale" Server
10xx = ...
anlegen und weisst "ahh, VLAN 10xx = Testumgebung"
Danach holst du alle relevanten Server aus dem Backup in die Testumgebung zurück und kannst, dank der anderen VLANs, die IP-Netze beibehalten. Du musst nur vor dem Einschalten der Systeme die VLAN IDs anpassen. Dadurch, dass du in anderen VLANs unterwegs bist, "knallt" es nämlich nicht - sofern die pfSense überall als DefaultGateway hinterlegt ist.
Vorteil: abgekapselte Testumgebung + "Spielwiese" für die Restores, welche du dann zyklisch testen kannst
ICH würde als Testumgebung ein nahezu 1:1 Abbild der Produktivumgebung etablieren.
Wie?
Als erstes an der SG ein weiteres Interface anlegen mit einer IP (als Beispiel) 172.31.255.253/ 30
Daran schließt du deine pfSense an, welche am WAN-Port die 172.31.255.254/ 30 bekommt. Die pfSense macht NAT (ja, DoppelNAT, aber es ist eine Testumgebung). Auf der SG noch eine Firewall-Regel, dass die 172.31.255.254 nur ins WWW darf, nirgends woanders hin.
Angenommen, ihr habt bereits jetzt div. VLANs etabliert, alle z. B. < 100:
1 = Default-VLAN (bleibt als Quarantäne/ einsame Insel)
10 = Infrastruktur
11 = Backup
20 = Clients
21 = WLAN-Clients
30 = sensible Server (DCs, Mail, ...)
31 = "normale" Server
xx = ..
Dann könntest du die VLANs
1010 = Infrastruktur
1011 = Backup
1020 = Clients
1021 = WLAN-Clients
1030 = sensible Server (DCs, Mail, ...)
1031 = "normale" Server
10xx = ...
anlegen und weisst "ahh, VLAN 10xx = Testumgebung"
Danach holst du alle relevanten Server aus dem Backup in die Testumgebung zurück und kannst, dank der anderen VLANs, die IP-Netze beibehalten. Du musst nur vor dem Einschalten der Systeme die VLAN IDs anpassen. Dadurch, dass du in anderen VLANs unterwegs bist, "knallt" es nämlich nicht - sofern die pfSense überall als DefaultGateway hinterlegt ist.
Vorteil: abgekapselte Testumgebung + "Spielwiese" für die Restores, welche du dann zyklisch testen kannst
das sieht echt gut aus.
Alternativ kann man natürlich auch einen kleinen 25€ Mikrotik Router nehmen falls kein alter Bastel PC für die Firewall im Laborfundus übrig ist:Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Das Konzept für so ein einfaches Testlab, wie es auch Kollege @em-pie oben beschreibt, ist ja immer das gleiche. Es gibt halt viele Wege nach Rom die ein gestandener Admin in der Infrastrukturplanung eigentlich auch kennen sollte.
Hi - Schönes Thema und sehr löblich das du es Lokal betreiben willst um den Lerneffekt zu haben.
Denke Egal ob Proxmox, HyperV oder ESXI - der Grundgedanke ist immer ähnlich.
falls du für dein Vorhaben noch ein wenig "Blech" benötigst kann ich dir (kostenlos bei Abholung) einen der folgenden Server anbieten:
- HP DL380 Gen8, 1Prozessor Intel 2680v2 mit 192GB Ram
oder
- Terra Towser Server mit 1Prozessor Intel 2667v4 und 64GB Ram
kann dir noch 300GB oder 600GB SAS Disk dazugeben - Enterprise SSDs ist leider etwas Mangel gerade - aber so 4 - 6 240GB Consumer wären noch mit drin
Abholung wäre in 89312 (falls du die nächsten Tage mal in die Richtung kommst)
Denke Egal ob Proxmox, HyperV oder ESXI - der Grundgedanke ist immer ähnlich.
falls du für dein Vorhaben noch ein wenig "Blech" benötigst kann ich dir (kostenlos bei Abholung) einen der folgenden Server anbieten:
- HP DL380 Gen8, 1Prozessor Intel 2680v2 mit 192GB Ram
oder
- Terra Towser Server mit 1Prozessor Intel 2667v4 und 64GB Ram
kann dir noch 300GB oder 600GB SAS Disk dazugeben - Enterprise SSDs ist leider etwas Mangel gerade - aber so 4 - 6 240GB Consumer wären noch mit drin
Abholung wäre in 89312 (falls du die nächsten Tage mal in die Richtung kommst)
Hi - Schönes Thema und sehr löblich das du es Lokal betreiben willst um den Lerneffekt zu haben.
Im Prinzip gebe ich dir bei den o.g. Themen vollkommen recht.
Wobei Testumgebungen bei Azure , AWS oder GCP zu betreiben hat auch einen Lerneffekt. Kommt sehr drauf an wo man hin will.
Oder etwas Hybrides aufbauen.
p.s. Betreibe für ein paar Applikationen ein Kubernetes-Cluster auf VMWARE, aus dem Spieltrieb heraus entstanden.
War interessant um den ganzen Stack kennen zu lernen, aber die darauf aufgesetzten Dienste und das Drumherum wie CD/CI usw bleiben da durch den Overhead des Unterbaus auf der Strecke.
Wenn ich es heute nochmal machen würde dann direkt auf Kubernetes als SaaS.
Hauptsache man beschäftigt sich mit neuen Themen, man kann nicht das falsche lernen
Ich glaube ich würde für die Testumgebung einfach ein Backup der Produktivumgebung nehmen und tunlichst beides voneinender physikalisch getrennt halten.
Mag etwas umständlich sein, aber mehr als Internet braucht die Testumgebung nicht und mehr als einen Konsolenzugriff braucht man nicht auf die Testumgebung.
Kommt auf die Priorisierung an...wenn erstmal darum geht das man in CheckMK fit wird und das dann später produktiv einsetzen will hätte man mit einer Kopie genug zum testen und wenn man die Tests dokumentiert auch genug Anhaltspunkte wie man schnell einen Produktivserver hochfährt.
Wenn eher um die Firewall geht würde ich wohl eher was frisches machen, damit keine Kopien von was produktiven kompromitiert werden können.
Viel Spass beim "kaputt" machen :D
Mag etwas umständlich sein, aber mehr als Internet braucht die Testumgebung nicht und mehr als einen Konsolenzugriff braucht man nicht auf die Testumgebung.
Kommt auf die Priorisierung an...wenn erstmal darum geht das man in CheckMK fit wird und das dann später produktiv einsetzen will hätte man mit einer Kopie genug zum testen und wenn man die Tests dokumentiert auch genug Anhaltspunkte wie man schnell einen Produktivserver hochfährt.
Wenn eher um die Firewall geht würde ich wohl eher was frisches machen, damit keine Kopien von was produktiven kompromitiert werden können.
Viel Spass beim "kaputt" machen :D
Zitat von @em-pie:
ICH würde als Testumgebung ein nahezu 1:1 Abbild der Produktivumgebung etablieren.
Wie?
ICH würde als Testumgebung ein nahezu 1:1 Abbild der Produktivumgebung etablieren.
Wie?
Salut,
das wäre ein Traum, wie verfahrt ihr mit Lizenzsoftware?
Bei Microsoft - Servern kein Thema wenn man Datacenter nutzt, aber wie sieht es denn bei ERP-System etc. aus?
Also unsere Software macht das lizenztechnisch nicht mit.
Grüße
ToWa