Alternative zu Hosting auf Root-Server

[Dsimon24]

Moin zusammen,

folgendes Szenario:
Aktuell laufen mehrere Web-Applikationen (Programmiert in PHP) auf einem Root-Server von Strato.
Entsprechend ist es dafür auch notwendig, den Server stets sicher und aktuell zu halten.

Was könnt ihr empfehlen, um dieses sicher und aktuell halten nicht mehr machen zu müssen -
mal ganz grob ausgedrückt. Die Hosting-Pakete von Strato und Co überzeugen mich nicht
so recht, da schon ein bisschen mehr Performance da sein sollte. Derzeit hat der Root-
Server 32GB RAM, 4x 3,5GHz und 1TB Speicher.

Habt ihr Empfehlungen für mich, was ich mir für mein Vorhaben mal ansehen kann?
Ziel soll es sein, dass wir uns zukünftig nur um die Programmierung der Web-Apps
kümmern und die sicherheitsrelevanten Bereiche möglichst durch den Hoster
übernommen werden.

Leider kann ich nicht genau sagen, wie viel Performance ich benötige -
aber vielleicht habt ihr allgemeine Tipps, was für uns passen könnte!?

VG, David

 

[onesworld]

Ein managed Server käme in Frage. Allerdings kosten die dementsprechend. Ich bin selbst allinkl-Server-Kunde. Der Spaß kostet mich ca. 1.200 Euro im Jahr. Nur mal so als Hausnummer.

 

[Sykehouse]

Es gibt auch Managed Root Server, da kümmert sich der Hoster um die Sicherheit. Kostet halt entsprechend.

 

[Bhaal3010]

Ich würde einen Managed Server von netcup.de oder all-inkl.com nehmen.

 

[ChristianSL]

Die Preis- und Leistungsspanne ist da recht weit. Wenn nicht nur das Betriebssystem sondern auch die Dienste darauf sinnvoll gemanaged werden sollen, dann landest du bei den Specs oben schnell im mittleren bis oberen dreistelligen Eurobereich pro Monat. Wenn man möchte, dass es ernsthaft betrieben wird und es auch Servcie-Level geben soll.
Für ein paar PHP-Anwendungen klingt das aber nach overkill. Ich würde an deiner Stelle mit einem Anbieter direkt reden und ein Angebot einholen.
In der Regel sind aber die ganzen "Standard"-Hoster wie Netcup, Hetzner und co nicht auf managed Anwendungsbetrieb ausgelegt...

 

[Dsimon24]

Das werde ich mir alles mal ansehen - danke euch.

Was würdet ihr denn zu Anbietern wie bspw. AWS sagen -
da kann man sowas wohl auch schon ab 3,50€ im Monat je
Application machen - habe ich gerade erfahren - wäre das
auch was empfehlendwertes?

 

[madmax2010]

Uff.
Die vorschläge mit Managed Servern sind schonmal ein guter Ansatz, aber wenn du Applikationen betreiben willst musst du halt auch deine dependencies im griff haben.
Und bei aws.. Was um fasst das denn? Also was bekommst du für deine 3.5 euro?

 

[Solipsists]

Eventuell reicht euch soetwas aus:
https://www.netcup.de/professional/managed-server/managed-privateserver.php

 

[Marco01_809]

Also wenn du die 1TB Speicher wirklich brauchst kommst du mit 3,50€ bei AWS sicherlich nicht hin

 

[Uridium]

Was heißt denn "sicher betreiben", bzw. "managed server" bei einem reinen PHP Projekt? Wenn ich projektbezogen ein weiteres Modul oder eine weitere Komponente benötige, muss ich doch sowieso selbst Hand anlegen. Oder will man da auf den Admin warten? Zyklische Aufgaben bestehen doch weitestgehend nur aus 'apt update' oder ähnlichem. Welche Dienstleistung erwartet ihr denn?

 

[Piktogramm]

Was muss/soll denn alles gemacht werden?

Updates und Backups sind typische Fälle von Automatisierung, die allenfalls ein gescheites Monitoring benötigen. Für alle nicht all zu exotischen Anwendungsfälle kann man so den Wartungsaufwand schon stark minimieren.

 

[snaxilian]

AWS sagen - da kann man sowas wohl auch schon ab 3,50€ im Monat je Application

Immer diese halbgaren nichtsnutzigen, absolut gar nichts aussagenden hab-ich-mal-gehört Texte. Verlinke doch bitte konkret was du meinst gefunden zu haben oder sage konkret um welches Produkt es sich handelt.
Für 3,50 aber US-Dollar nicht Euro, bekommst eine einzelne allerkleinste Lightsail Instanz. Mit 512 MB Ram, Single Core bzw. Thread, 20 GB SSD und 1 TB Egress Traffic.
Falls du nicht Lightsail meinst: Welches Produkt bzw. Dienstleistung von AWS genau meinst du von den aktuell knapp über 200 verschiedenen gelisteten?

Warum kannst du nicht sagen, wie viel Performance ihr benötigt? RAM Auslastung kann man sich anzeigen lassen, ebenso die CPU Last der letzten Minute, letzten 5 und 15 Minuten. Für längere Auswertung wäre ein Monitoring natürlich sinnvoll. Sind eure Anwendungen reines PHP und wie geht ihr mit Daten um? Datenbank dahinter oder simple Dateien? Wird viel davon geändert/geschrieben oder größtenteils Daten gelesen? Seid ihr bereit für ein Refactoring eures Codes? Falls ja: Dateien in ein S3 Bucket, Datenbank zu RDS werfen, Webseite "hosten" per weiterem S3 + HTTP Endpoint und den ganzen PHP Code in passende (Teil-)Funktionen zerlegen sofern nicht schon geschehen und mit Lambda betreiben. Vermutlich höhere Kosten als eurer jetziger einzelner Rootserver aber hey: Ihr müsst nix mehr updaten. Würde das aber erst einmal im kleinen probieren und mir genau die entstehenden Kosten im Auge behalten.

Updates installieren ist btw nur das Minimum beim Thema Absicherung eines Servers. Dazu kommt die sichere Konfiguration der Dienste & Anpassung sofern notwendig bei neuen Versionen oder geänderten Security Anforderungen, nicht täglich aber doch sollte regelmäßig alte/unsichere/nicht genutzte Ciphers entfernt werden. Wenn es um Sicherung eurer Anwendung geht dann bist da schnell bei den OWASP Top 10 und ggf. einer WAF.

Aber egal ob um um solche 'Basics' wie Updates & Backups dreht oder den 'Security' Part: Beides kostet entweder eure Zeit wenn ihr es macht oder euer Geld wenn ihr das auslagert. Sollte eure Anwendung keine und damit absolut keinerlei personenbezogene Daten halten dann muss man letzteres zum Glück nicht so intensiv betreiben und kann mehr automatisieren. Aber auch ein automatisiertes aktualisieren oder sichern kann mal schief gehen, daher ist ein funktionierendes Monitoring und Alerting dessen essentiell sonst stellt ihr erst im Schadensfall fest, dass seit x Wochen euer Backup nicht lief.

Ein weiterer Ansatz wäre die Umstellung auf ein test driven development. Code kommt in ein Git, bei jedem Commit, oder zumindest bei jedem Merge Request läuft ein Buildserver (Gitlab Runner, Jenkins, Github Actions, etc) los und euer Code muss Functions, Unit und Integration Tests durchlaufen zur QA, hinzu können fuzzing und ähnliches kommen. Diese Tests müsst ihr natürlich selbst schreiben. Sehr aufwendig aber liefert qualitativ ziemlich guten Code. Nach den Testreihen können noch Security Scans folgen gegen bekannte Sicherheitslücken in eingesetzten Libraries, Modulen etc.
Wenn man den "modernsten" und heißesten Schei* mitmachen will lasst ihr durch die Build Pipeline gleich Container raus purzeln, die ihr irgendwo laufen lassen könnt aber dann habt ihr den Container Rattenschwanz an Overhead dabei. Nichts umögliches und gut als Dev automatisierbar aber muss man sich eben mit beschäftigen.