News In eigener Sache: Das neue Server-Setup von ComputerBase (2018)

majusss schrieb:
Intel ist ausversehen ein Designfehler unterlaufen, Niemand hat diesen Fehler wissentlich zugelassen um mehr Leistung zu bekommen.
Diese Behauptung ist bisher schlicht genauso nicht belegbar, wie die Behauptung Intel hätte wissentlich aus Gründen der Leistung das Risiko bewusst in Kauf genommen.

Allerdings ist letztere Behauptung des "Inkaufnehmens" auch absolut nicht unrealistisch.
Bei dem Geschäftsgebahren dieses Konzerns ist es nicht unrealistisch.

Und dir ist schon klar das es bei Meltdown/Spectre um insgesamt 3 Lücken geht und NUR Meltdown Intel-exklusiv ist und AMD (und ARM etc.) genauso von Spetre betroffen ist? Also warum heulst du nicht und schimpfst über AMD?
Weil AMD und ARM recht offen die Problematik kommunizieren, während Intel wieder einmal als erstes verharmlost, um dann Dreck auf die Konkurrenz zu schmeißen.

Obwohl AMD Setups teils(!) erstmal bewusst / absichtlich falsch konfiguriert werden müssen, was nicht den Standard Einstellungen entspricht, versuchen sie dennoch Patches usw razszubringen.
 
Steffen schrieb:
F5 ist doch das Unternehmen, das schon wiederholt durch kaputte TLS-Stacks und Sicherheitslücken etc aufgefallen ist, oder? Ich kann es gerade nicht mit Quellen belegen (ich glaube ich lese imme auf Twitter Schlechtes über F5), aber für mich steht der Name F5 für technische Schlampereien.
Ja, wir haben die inzwischen alle wieder rausgeschmissen, weil uns die Pflege zu aufwändig war und wir die Funktionalität sowieso nicht ausnutzen konnten. Sind auch nicht billig. nginx und keepalived tut's auch.
 
Zuletzt bearbeitet:
styletunte schrieb:
Intel gibt Dir kein Geld zurück, obwohl es einen Leistungsverlust gibt, Du kannst nicht umtauschen, obwohl deine Geräte unsicher sind und der depperte Kunde wird auch wie bei VW wieder zu Intel rennen, obwohl sie wie Dreck behandelt wurden, wieder dort kaufen.
Öhm, Du hast wohl nicht mitbekommen, das dieser Designfehler viele (!) CPU-Hersteller betrifft, eben auch ARM, AMD, Sun (Sparc und Co), IBM (Powercore). Bei PA-RISC oder Alpha könnten diese Fehler auch vorhanden sein. Da sie jedoch veraltet und noch kaum im Einsatz sind, wird das vermutlich nicht genauer untersucht.
Volkimann schrieb:
Diese Behauptung ist bisher schlicht genauso nicht belegbar, wie die Behauptung Intel hätte wissentlich aus Gründen der Leistung das Risiko bewusst in Kauf genommen.
Da dieser Fehler bei vielen CPU-Herstellern auftritt, kann man davon ausgehen, daß es ein Designfehler ist. q.e.d.
 
Steffen schrieb:
SSDs kosten je Gigabyte nach wie vor mehr als HDDs. Für Dateien, bei denen es auf ein paar Millisekunden Zugriffszeit nicht ankommt, wäre das in meinen Augen hinausgeworfenes Geld. Sinn ergibt eine SSD zum Beispiel als Speicherort für eine Datenbank und dafür nutzen wir sie.
zumal ich mir vorstellen könnte dass da eh noch ein Imagecache dazwischen klebt für die unterschiedlichen Bildgrößen, damit wird ein einzelnes Bild ja recht selten zugegriffen.
 
Danke an Steffen für die Antworten!
Das nicht Verraten der Bandbreite kann ich verstehen, obwohl man die Bandbreite wirklich leicht abklopfen kann* und der Mehrwert der Information da wirklich nicht sehr groß ist :)

* Zumindest wenn man sowieso in der Lage ist DDoS in nennenswertem Ausmaß zu fahren
Ergänzung ()

Und lass mich raten, du verrätst auch nicht (abstrahiert?!) wie ihr auf die Kisten zugreift? Denn direkt auf ssh antworten die Dinger ja nicht :)
 
Piktogramm schrieb:
Und lass mich raten, du verrätst auch nicht (abstrahiert?!) wie ihr auf die Kisten zugreift? Denn direkt auf ssh antworten die Dinger ja nicht :)
SSH läuft einfach nicht auf dem Standard-Port 22. Natürlich bringt das nicht mehr Sicherheit (die gibt es ohnehin schon dadurch, dass nur PubkeyAuthentication akzeptiert wird), aber es reduziert das Rauschen im Log fast auf 0.

zatarc schrieb:
Komisch. Bei unseren 380er und 580er Gen8 bis Gen10 finde ich die Roms in der Suche nicht mehr. Die Direktlinks habe ich jetzt noch nicht probiert. Jedenfalls gab es bei uns die Anweisung sie auf keinen Fall einzuspielen und sie aus dem Deploymentprozess heraus zu nehmen.
Auf https://support.hpe.com/hpesc/public/home/driverHome?sp4ts.oid=1010093150 findet man das BIOS mit einer Suche nach "system rom" oder mit dem Filter "BIOS (Entitlement Required)". Es funktioniert also nicht nur der Direktlink. Wieso HPE da Unterschiede macht verstehe ich auch nicht. Bislang laufen unsere Server stabil.
 
Zur Aussage Meldown war zur Zeit der Bestellung nicht bekannt.
Ich studiere Informatik und Kommolitonen besuchen die C3 Messe.
Diese haben mir mitgeteilt, dass dieses Jahr kaum über Meltdown berichtet wurde, da dies bereits ein Jahr davor ausführlich behandelt wurde. Damals wurden wohl die Medien nicht wirklich darauf aufmerksam.
 
@Steffen

Na toll, jetzt zweifle ich meinen nmap Grundkenntnissen -.-

Edit: Ok, ich muss den nmap Seepferdchen echt nochmal machen :(
 
Zuletzt bearbeitet:
Nebula123 schrieb:
Dass die wieder zurück sind fand ich jetzt nicht so toll. Als die noch die NiMH-Akkus als Cache Battery hatten sind die reihenweise kaputt gegangen.
Wenn so ne Batterie nach x Jahren mal den Geist aufgibt ist das imho noch verkraftbar.
Was mich stört ist eher, dass
a) man die nicht Hotplug tauschen kann, sondern der Server dafür ausmachen muss
b) die irgendwelche Special-Formate haben müssen. Wenn man die HP BBUs als Beispiel nimmt: Da könnte man auch 4x AAA Zellen reinbauen.

Man könnte ganz einfach an der Stelle an der die BBU befestigt wird nen kleinen Schacht/Träger mit 4x AAA Akkus anbringen, den man von der Rückseite im Betrieb wechseln könnte.
Aber nein, wenn man da normale Akkus reinpacken könnte, dann könnte HP ja nicht abzocken, die würde man sich ja für nen Zehner als 4er Pack Eneloop kaufen.

izzy_01 schrieb:
so gut wie jeder hosting anbieter (dedicaded) hat heutzutage ein "DDOS-Shiled" davor.
Korrekt wäre die Formulierung: so gut wie jeder Billiganbieter gibt heutzutage auf seiner Website an eine ddos-Lösung (natürlich im Preis inbegriffen, während man für das Equipment dazu bei Riorey/nsfocus/Arbor 100k bis ne halbe Million zahlt) zu haben.
Genauso wie jeder no so mikrige Anbieter laut seiner Seite 20 Rechenzentren mit tausenden GBit Kapazität betreibt.
Und am Ende des Jahres kommt der Weihnachtsmann und VW hält flottenübergreifend die erlaubten Stickoxid-Werte ein. :freak:

Was glaubst du denn was dein Anbieter macht wenn dein 50 Euro pro Monat dedicated Server mal ne Woche lang mit 10GBit angegriffen wird?
Vielleicht guckst du mal in die AGB deines Anbieters rein.
Da wird vermutlich nicht drinstehen, dass die ein Filterergebnis bei Angriffen garantieren.
Da werden eher so Passagen stehen, die besagen, dass man Dich fristlos ausschalten kann wenn du die Stabilität des Netzes gefährdest (worunter dann auch fällt wenn du Ziel eines Angriffs bist).

Wenn ein DDOS angriff auf einen deinen server laufen sollte, dann nimmt das bis zu einen gewissen wert schon der provider mit seinen schutz weg (je nach provider unterschiedlich, bzw was du dafür zahlst)
Sofern es sich nicht um total subtile Angriffe (dns/ntp/ssdp reflection und ähnliches) handelt und du genug Sources hast, kommst du schnell an den Punkt an dem dir dein ddos-Schild nichts mehr nützt.
Die ganzen ddos-Filter machen kein connection-tracking (weil die in der Regel nur den incoming Traffic oder gar nur irgendwelche flows bekommen, von der notwenidgen Rechenleistung mal ganz abgesehen) und können nur schätzen was gut und was böse ist.
Wenn da einfach mit Random source generiereter tcp-Traffic mit Zielport 443 und normalen ttl reintrudelt ist Schicht im Schacht.
Abgesehen davon dauert es eine gewisse Zeit bis Angriffe überhaupt erkannt werden.
Das beste was ich gesehen habe waren ca. 30 Sekunden zwischen (simuliertem) Angriff (einfachst möglicher udp Flood) und "Traffic wird gefiltert".
In der Zeit hast du locker rausgefunden ob etwas über 1 GBit reicht oder du 10 brauchst.

meine dedicaded kisten haben alle einen ddos schutz vom anbieter am laufen. Wobei ich diese, gott sei dank, noch niemals gebraucht habe.
Oder anders formuliert: du hast keine Ahnung was denn passiert wenn du mal angegriffen wirst. ;)
Vermutlich rechnen die nach Zeitpunkt xy einfach kurz nach, dass sich die 100 Euro Marge, die die mit dir machen den Ärger nicht wert sind und raus ist die Kündigung.

@Piktogramm: nmap testet per default afair nur die low ports.

Mann kann mit iptables aber dynamisch rules bauen.
Beispiel:
ssh liegt auf Port 5000
Rule 1 matched auf die Ports 4900 bis 4999 und legt ne reject-rule für port 5000 an sobald da ein Paket eintrudelt.
Dann siehst du Port 5000 auch nicht (außer du fängst von hinten an)
 
Zuletzt bearbeitet:
Blutschlumpf schrieb:
Wenn so ne Batterie nach x Jahren mal den Geist aufgibt ist das imho noch verkraftbar.
Was mich stört ist eher, dass
a) man die nicht Hotplug tauschen kann, sondern der Server dafür ausmachen muss [...]
Das finde ich auch sehr schade, zumal der Akku bei unseren alten Servern häufiger getauscht werden musste als die Festplatten. Die Festplatten kann man einfach im laufenden Betrieb austauschen, bei dem RAID-Controller-Akku hingegen geht das nicht, sondern dazu muss der Server heruntergefahren werden.
 
Gute Wahl für HP Dinger.
Ich richte auch nur noch HP Server ein und mein Arbeitgeber vertreibet auch nur HP Hardware.
Bin bis jetzt überwiegend zufrieden mit den Teilen.
 
[Trolling ahead]

Hättet ihr Computer Base mal mit serverless computing gehostet! Hättet ihr jetzt keinen Stress :evillol:
 
Blutschlumpf schrieb:
a) man die nicht Hotplug tauschen kann, sondern der Server dafür ausmachen muss

U.a. weil das blöde Kabel von dem Pack quer durch den Server läuft und du ohne Lüfter und Lüfterhalterung ausbauen gar nicht ran kommst. Wenn die SAS-Kabel noch drüber liegen dürfen die auch noch raus.
 
Deshalb ja auch mein Vorschlag da nen Tray draus zu machen, der 4x AAA Akkus beinhaltet und von außen zugänglich ist.
Die Elektronik der BBU geht ja nicht kaputt sondern nur die Zellen.
 
Dell macht es bei der neuen Generation ihrer Server aber auch nicht anders, hier sitzt auch ein LiIon Akku auf dem Controller. Scheint also wohl gute Gründe zu geben warum man vom Supercap Konzept wieder weg ist.
 
Alles läuft so herrlich schnell und geschmeidig!
Sehr positiv: Inhalte werden beim erneuten Aufruf automatisch aktualisiert.
Dankesehr!
 
Für mehr Inspiration hätte ich auch Fragen:

a) Wie ist die Verteilung des Dateisystems? NFS Mount für beide Server?
also zB die XenForo Files?

b) Welches Load Balancing Verfahren wird genutzt für die Webserver?
c) Früher hattet ihr die DB im RAM - mit den neuen Servern auch?
d) Nutzt ihr ElasticSearch?


Danke für ein wenig mehr Inspiration für mich
 
Zurück
Oben