Vzdaleny db server

1. 11. 2012 09:51:22

Zdravím,

je bezpečné mít aplikační a databázový server odděleně v různých serverovnách? Jak byste doporučili zabezpečení? Dá se to odposlouchávat? Nebude to moc pomalé (v rámci čr)?

Jak je to v těchto třech situacích?

a) na obou stranách dedikované servery

b) na obou stranách webhosting

c) app na dedikovaném a db na webhostingu?

Děkuji za jakoukoli radu - klidně stačí i odkazy na anglické zdroje online.

1. 11. 2012 09:51:22

https://webtrh.cz/diskuse/vzdaleny-db-server#reply826474

Václav Dušek

(77 hodnocení)

1. 11. 2012 10:39:42

Trochu široce postavený problém, bez bližších cílů a určení.

Obecně komunikace:

nešifrovat
zabezpečit na úrovni IP adres
SSL šifrování
VPN tunel
vyhrazená linka
kombinace předchozích

S rychlostí by neměl být zásadní problém, ale čím "blíže", tím lépe

Vymyslet lze cokoli, ale bude záležet na konkrétním zadání.

Co třeba DB cluster (Active/Active) a weby v obou lokalitách na LAMP serveru - správa bude ale relativně komplikovaná?

Raději bych volil např. fyzický host server s MySQL a Apache virtuály v každé lokalitě.

Nebo bude pro projet vhodný nějaký LoadBalancer?

1. 11. 2012 10:39:42

https://webtrh.cz/diskuse/vzdaleny-db-server#reply826473

soudruh

(57 hodnocení)

1. 11. 2012 10:46:59

Napsal vdusek;864629
Trochu široce postavený problém, bez bližších cílů a určení.
S rychlostí by neměl být zásadní problém, ale čím "blíže", tím lépe

souhlas

jinak mi trochu unika pointa pozadavku

pokud by se jednalo napr. o rozklad "media serveru" do vice lokalit, je to pochopitelne

ale oddelovat DB od APP ? (geograficky) mno zrejme maji soudruzi vyssi zamer...

1. 11. 2012 10:46:59

https://webtrh.cz/diskuse/vzdaleny-db-server#reply826472

qye

(16 hodnocení)

1. 11. 2012 12:54:02

Super, děkuji.

Cíl je jasný - mít aplikační server na jednom místě a databázový server na nějakém dalším místě. Nechci úplně řešit jestli to budou dva stroje v rámci jedné serverovny, dvou serveroven, nebo v rámci celé republiky a okolních států. Cílem je toho dosáhnout bez ohledu v rámci čeho to bude a aby to bylo bezpečné a relativně rychlé. Rád bych dosáhl srovnatelné bezpečnosti jako by to bylo obojí na jednom serveru.

A řešení tohoto problému mě konkrétně zajímá ve třech situacích.

a) na obou stranách dedikované servery

b) na obou stranách webhosting

c) app na dedikovaném a db na webhostingu

Abych definoval výrazy - webhosting myslím v rámci možností co mi nabízí český trh a dedikovaný server myslím jako normální dedikovaný server.

1. 11. 2012 12:54:02

https://webtrh.cz/diskuse/vzdaleny-db-server#reply826471

Václav Dušek

(77 hodnocení)

1. 11. 2012 13:17:20

V rámci jedné serverovny propojit stroje napřímo přes druhé Ethernet porty a přes ně "honit" MySQL.

Jinak je nutné MySQL komunikaci zabezpečit nějakým z výše uvedených způsobů.

DB bude mít rychlé "malé" disky, APP bude s "velkými" standardními disky.

RAM bude přiměřená počtu klientů a očekávanému provozu.

V první fázi bych to oboje "hodil" na jeden fyzický stroj a virtualizoval DB a APP, abych získal představu o zátěži a provozu.

Ale těžko radit, když nejsou známé parametry a očekávání projektu

1. 11. 2012 13:17:20

https://webtrh.cz/diskuse/vzdaleny-db-server#reply826470

qye

(16 hodnocení)

1. 11. 2012 13:29:04

Napsal vdusek;864723
Ale těžko radit, když nejsou známé parametry a očekávání projektu

Děkuji moc, více info na veřejném fóru nemohu vystavit, případně probereme na skype (určitě se Vám v pár dnech ozvu, minimálně abychom dořešili předchozí záležitost:) ), ale i na skype nebudu moci být moc konkrétní.

Řekněme max 500 lidí za den, každý tam bude x hodin za den - tedy hodně bude současně. Obsah webu nebude žádný extrém - standardně (spíše texty než média, ale ty tam budou také).

ještě mě napadlo, jen ze zvědavosti, kdyby takový DB server byl na neveřejné adrese. Bylo by možné se k němu dostat? Např že by na něm běžela aplikace, která by udržovala nějaké vpn spojení? Aplikační server by se k němu tak dostal, když budou spojené přes vpn, mám pravdu?

1. 11. 2012 13:29:04

https://webtrh.cz/diskuse/vzdaleny-db-server#reply826469

Václav Dušek

(77 hodnocení)

1. 11. 2012 13:38:55

Pokud bude na neveřejné IP, tak musí být schovaný za strojem/zařízením s veřejnou IP a přes něj bude dostupný.

VPNka je ale další režie/zpomalení v komunikaci - někdy to může být hodně omezující

1. 11. 2012 13:38:55

https://webtrh.cz/diskuse/vzdaleny-db-server#reply826468

brano

(6 hodnocení)

1. 11. 2012 13:48:50

VPN ? Na mysql v rôznych lokalitách ? To by asi nebola dobrá voľba :-D

1. 11. 2012 13:48:50

https://webtrh.cz/diskuse/vzdaleny-db-server#reply826467

qye

(16 hodnocení)

1. 11. 2012 14:12:16

Jo ten stroj na neveřejné IP byl extrém, jen kdyby se z něj připojila vpn na server s veřejnou IP. Tak by spolu komunikovat mohli. Spíš mě zajímá to předchozí téma, ale to je víceméně také již vyřešené.

Jen pro jistotu, pokud budu postupovat dne výše zmíněného, mohu dosáhnout přibližně srovnatelného zabezpečení jako kdyby to běželo na jednom serveru? Nebo tam jsou velká rizika?

1. 11. 2012 14:12:16

https://webtrh.cz/diskuse/vzdaleny-db-server#reply826466

Martin Tiršel

(1 hodnocení)

1. 11. 2012 19:45:33

Môžem vedieť, prečo musí byť DB od aplikácie oddelená geograficky? Nevidím žiadnu výhodu, zato nevýhod hromadu a to vo forme vyšších latencií (u DB môže hrať rolu aj každá milisekunda), náročnosť konfigurácie a viacej miest, kde sa môže niečo posr... Čo by v takomto prípade malo byť bezpečnejšie? Ak by niekto kompromitoval aplikačný stroj, tak má rovno prístup aj k databáze nezávisle na tom kde je a môže si s ňou robiť čokoľvek. Ak sa jedná čisto len o bezpečnosť, z tohto pohľadu stačí umiestniť všetko na jeden server, DB nechať na fyzickom serveri (databázy sa nevirtualizujú z výkonových dôvodov), aplikáciu do virtuálneho servera, všetko patrične zabezpečiť a aktualizovať. Ak už niekto takýto stroj kompromituje, nemal by sa dostať na fyzický server, resp je to ďalší bezpečnostný prvok, ktorý treba prekonať. A v neposlednom rade riadne zálohovať do inej lokality. Samozrejme pre dáta sa pristupuje z backup servera na produkčný a nie uložiť prístupy na produkčný server a pripájať sa k zálohovaciemu, inak by to bolo to isté ako s tou DB a možnosťou zrušiť aj zálohy z kompromitovaného servera.

Ak sú nároky iné a rieši sa škálovateľnosť alebo vysoká dostupnosť, potom sa riešia viaceré servery podľa potreby, ale to treba lepšie špecifikovať, pretože tam je kombinácií veľa a závisia na potrebách.

1. 11. 2012 19:45:33

https://webtrh.cz/diskuse/vzdaleny-db-server#reply826465

Václav Dušek

(77 hodnocení)

1. 11. 2012 20:36:40

Malá technická

Virtualizuje se všechno, včetně databází i desktopů.

Při dnešním výkonu HW je ztráta způsobená virtualizací (10% ?) velmi často vyvážena jinými aspekty (spotřeba, chlazení, DRS, HA, škálování, zálohování, správa, ...). Záleží pouze na konkrétní situaci.

1. 11. 2012 20:36:40

https://webtrh.cz/diskuse/vzdaleny-db-server#reply826464

Martin Tiršel

(1 hodnocení)

2. 11. 2012 10:10:14

Napsal vdusek;864997
Malá technická
Virtualizuje se všechno, včetně databází i desktopů.

Při dnešním výkonu HW je ztráta způsobená virtualizací (10% ?) velmi často vyvážena jinými aspekty (spotřeba, chlazení, DRS, HA, škálování, zálohování, správa, ...). Záleží pouze na konkrétní situaci.

Že to technicky ide, ešte neznamená, že to je vždy vhodné. Na blog Jožka Mrkvičku je to jedno, ale ak sa jedná o serióznu aplikáciu náročnú na databázu, tak virtualizácia databázy je skôr na škodu (a v prípade lokálnych diskov už vôbec, tam je IO katatrofálne). Databázy sa tak ľahko neškálujú (z hľadiska zápisu, čítanie problém nie je), takže tých 10-20% výkonu naviac sa zíde.

2. 11. 2012 10:10:14

https://webtrh.cz/diskuse/vzdaleny-db-server#reply826463

Václav Dušek

(77 hodnocení)

2. 11. 2012 10:40:53

Virtualizované jsou i velké databáze (Oracle Ent.) a výhody plynoucí z virtualizace dalece převážily mírnou ztrátu výkonu.

Ovšem to už je jiná kategorie hardwaru a virtualizační engine než XEN, KVM (vmWare Ent. cluster, SAN na bázi FC, externí disková pole v clusteru, ...)

2. 11. 2012 10:40:53

https://webtrh.cz/diskuse/vzdaleny-db-server#reply826462

soudruh

(57 hodnocení)

4. 11. 2012 17:46:58

Napsal bruce;865182
Že to technicky ide, ešte neznamená, že to je vždy vhodné. Na blog Jožka Mrkvičku je to jedno, ale ak sa jedná o serióznu aplikáciu náročnú na databázu, tak virtualizácia databázy je skôr na škodu (a v prípade lokálnych diskov už vôbec, tam je IO katatrofálne). Databázy sa tak ľahko neškálujú (z hľadiska zápisu, čítanie problém nie je), takže tých 10-20% výkonu naviac sa zíde.

nereste zde prosim virtualizaci za stovku mesicne ...

... ostatne to ani nebyl Duskuv zamer

bohuzel pro nekoho je to tezsi pochopit

4. 11. 2012 17:46:58

https://webtrh.cz/diskuse/vzdaleny-db-server#reply826461

qwertr

(7 hodnocení)

4. 11. 2012 19:08:14

Preco nie virtualizaciu. Chceme stavat server a planujeme tam Oracle vo virtualno servery a k tomu aj aplikacny server takisto vo virtualnej masine.

4. 11. 2012 19:08:14

https://webtrh.cz/diskuse/vzdaleny-db-server#reply826460