News In eigener Sache: Das neue Server-Setup von ComputerBase (2018)

Volkimann

Commander
Dabei seit
Jan. 2014
Beiträge
2.201
Intel ist ausversehen ein Designfehler unterlaufen, Niemand hat diesen Fehler wissentlich zugelassen um mehr Leistung zu bekommen.
Diese Behauptung ist bisher schlicht genauso nicht belegbar, wie die Behauptung Intel hätte wissentlich aus Gründen der Leistung das Risiko bewusst in Kauf genommen.

Allerdings ist letztere Behauptung des "Inkaufnehmens" auch absolut nicht unrealistisch.
Bei dem Geschäftsgebahren dieses Konzerns ist es nicht unrealistisch.

Und dir ist schon klar das es bei Meltdown/Spectre um insgesamt 3 Lücken geht und NUR Meltdown Intel-exklusiv ist und AMD (und ARM etc.) genauso von Spetre betroffen ist? Also warum heulst du nicht und schimpfst über AMD?
Weil AMD und ARM recht offen die Problematik kommunizieren, während Intel wieder einmal als erstes verharmlost, um dann Dreck auf die Konkurrenz zu schmeißen.

Obwohl AMD Setups teils(!) erstmal bewusst / absichtlich falsch konfiguriert werden müssen, was nicht den Standard Einstellungen entspricht, versuchen sie dennoch Patches usw razszubringen.
 

fax668

Lt. Junior Grade
Dabei seit
Juli 2016
Beiträge
450
F5 ist doch das Unternehmen, das schon wiederholt durch kaputte TLS-Stacks und Sicherheitslücken etc aufgefallen ist, oder? Ich kann es gerade nicht mit Quellen belegen (ich glaube ich lese imme auf Twitter Schlechtes über F5), aber für mich steht der Name F5 für technische Schlampereien.
Ja, wir haben die inzwischen alle wieder rausgeschmissen, weil uns die Pflege zu aufwändig war und wir die Funktionalität sowieso nicht ausnutzen konnten. Sind auch nicht billig. nginx und keepalived tut's auch.
 
Zuletzt bearbeitet:

PHuV

Lt. Commander
Dabei seit
März 2005
Beiträge
1.677
Intel gibt Dir kein Geld zurück, obwohl es einen Leistungsverlust gibt, Du kannst nicht umtauschen, obwohl deine Geräte unsicher sind und der depperte Kunde wird auch wie bei VW wieder zu Intel rennen, obwohl sie wie Dreck behandelt wurden, wieder dort kaufen.
Öhm, Du hast wohl nicht mitbekommen, das dieser Designfehler viele (!) CPU-Hersteller betrifft, eben auch ARM, AMD, Sun (Sparc und Co), IBM (Powercore). Bei PA-RISC oder Alpha könnten diese Fehler auch vorhanden sein. Da sie jedoch veraltet und noch kaum im Einsatz sind, wird das vermutlich nicht genauer untersucht.
Diese Behauptung ist bisher schlicht genauso nicht belegbar, wie die Behauptung Intel hätte wissentlich aus Gründen der Leistung das Risiko bewusst in Kauf genommen.
Da dieser Fehler bei vielen CPU-Herstellern auftritt, kann man davon ausgehen, daß es ein Designfehler ist. q.e.d.
 

7hyrael

Commander
Dabei seit
Mai 2012
Beiträge
2.341
SSDs kosten je Gigabyte nach wie vor mehr als HDDs. Für Dateien, bei denen es auf ein paar Millisekunden Zugriffszeit nicht ankommt, wäre das in meinen Augen hinausgeworfenes Geld. Sinn ergibt eine SSD zum Beispiel als Speicherort für eine Datenbank und dafür nutzen wir sie.
zumal ich mir vorstellen könnte dass da eh noch ein Imagecache dazwischen klebt für die unterschiedlichen Bildgrößen, damit wird ein einzelnes Bild ja recht selten zugegriffen.
 

Piktogramm

Rear Admiral
Dabei seit
Okt. 2008
Beiträge
5.648
Danke an Steffen für die Antworten!
Das nicht Verraten der Bandbreite kann ich verstehen, obwohl man die Bandbreite wirklich leicht abklopfen kann* und der Mehrwert der Information da wirklich nicht sehr groß ist :)

* Zumindest wenn man sowieso in der Lage ist DDoS in nennenswertem Ausmaß zu fahren
Ergänzung ()

Und lass mich raten, du verrätst auch nicht (abstrahiert?!) wie ihr auf die Kisten zugreift? Denn direkt auf ssh antworten die Dinger ja nicht :)
 

zatarc

Lt. Junior Grade
Dabei seit
Aug. 2005
Beiträge
256
Komisch. Bei unseren 380er und 580er Gen8 bis Gen10 finde ich die Roms in der Suche nicht mehr. Die Direktlinks habe ich jetzt noch nicht probiert. Jedenfalls gab es bei uns die Anweisung sie auf keinen Fall einzuspielen und sie aus dem Deploymentprozess heraus zu nehmen.
 

Steffen

Technische Leitung
Ersteller dieses Themas
Teammitglied
Dabei seit
März 2001
Beiträge
13.899
Und lass mich raten, du verrätst auch nicht (abstrahiert?!) wie ihr auf die Kisten zugreift? Denn direkt auf ssh antworten die Dinger ja nicht :)
SSH läuft einfach nicht auf dem Standard-Port 22. Natürlich bringt das nicht mehr Sicherheit (die gibt es ohnehin schon dadurch, dass nur PubkeyAuthentication akzeptiert wird), aber es reduziert das Rauschen im Log fast auf 0.

Komisch. Bei unseren 380er und 580er Gen8 bis Gen10 finde ich die Roms in der Suche nicht mehr. Die Direktlinks habe ich jetzt noch nicht probiert. Jedenfalls gab es bei uns die Anweisung sie auf keinen Fall einzuspielen und sie aus dem Deploymentprozess heraus zu nehmen.
Auf https://support.hpe.com/hpesc/public/home/driverHome?sp4ts.oid=1010093150 findet man das BIOS mit einer Suche nach "system rom" oder mit dem Filter "BIOS (Entitlement Required)". Es funktioniert also nicht nur der Direktlink. Wieso HPE da Unterschiede macht verstehe ich auch nicht. Bislang laufen unsere Server stabil.
 

David8161

Lt. Junior Grade
Dabei seit
Dez. 2013
Beiträge
426
Zur Aussage Meldown war zur Zeit der Bestellung nicht bekannt.
Ich studiere Informatik und Kommolitonen besuchen die C3 Messe.
Diese haben mir mitgeteilt, dass dieses Jahr kaum über Meltdown berichtet wurde, da dies bereits ein Jahr davor ausführlich behandelt wurde. Damals wurden wohl die Medien nicht wirklich darauf aufmerksam.
 

Piktogramm

Rear Admiral
Dabei seit
Okt. 2008
Beiträge
5.648
@Steffen

Na toll, jetzt zweifle ich meinen nmap Grundkenntnissen -.-

Edit: Ok, ich muss den nmap Seepferdchen echt nochmal machen :(
 
Zuletzt bearbeitet:

Blutschlumpf

Fleet Admiral
Dabei seit
März 2001
Beiträge
17.688
Dass die wieder zurück sind fand ich jetzt nicht so toll. Als die noch die NiMH-Akkus als Cache Battery hatten sind die reihenweise kaputt gegangen.
Wenn so ne Batterie nach x Jahren mal den Geist aufgibt ist das imho noch verkraftbar.
Was mich stört ist eher, dass
a) man die nicht Hotplug tauschen kann, sondern der Server dafür ausmachen muss
b) die irgendwelche Special-Formate haben müssen. Wenn man die HP BBUs als Beispiel nimmt: Da könnte man auch 4x AAA Zellen reinbauen.

Man könnte ganz einfach an der Stelle an der die BBU befestigt wird nen kleinen Schacht/Träger mit 4x AAA Akkus anbringen, den man von der Rückseite im Betrieb wechseln könnte.
Aber nein, wenn man da normale Akkus reinpacken könnte, dann könnte HP ja nicht abzocken, die würde man sich ja für nen Zehner als 4er Pack Eneloop kaufen.

so gut wie jeder hosting anbieter (dedicaded) hat heutzutage ein "DDOS-Shiled" davor.
Korrekt wäre die Formulierung: so gut wie jeder Billiganbieter gibt heutzutage auf seiner Website an eine ddos-Lösung (natürlich im Preis inbegriffen, während man für das Equipment dazu bei Riorey/nsfocus/Arbor 100k bis ne halbe Million zahlt) zu haben.
Genauso wie jeder no so mikrige Anbieter laut seiner Seite 20 Rechenzentren mit tausenden GBit Kapazität betreibt.
Und am Ende des Jahres kommt der Weihnachtsmann und VW hält flottenübergreifend die erlaubten Stickoxid-Werte ein. :freak:

Was glaubst du denn was dein Anbieter macht wenn dein 50 Euro pro Monat dedicated Server mal ne Woche lang mit 10GBit angegriffen wird?
Vielleicht guckst du mal in die AGB deines Anbieters rein.
Da wird vermutlich nicht drinstehen, dass die ein Filterergebnis bei Angriffen garantieren.
Da werden eher so Passagen stehen, die besagen, dass man Dich fristlos ausschalten kann wenn du die Stabilität des Netzes gefährdest (worunter dann auch fällt wenn du Ziel eines Angriffs bist).

Wenn ein DDOS angriff auf einen deinen server laufen sollte, dann nimmt das bis zu einen gewissen wert schon der provider mit seinen schutz weg (je nach provider unterschiedlich, bzw was du dafür zahlst)
Sofern es sich nicht um total subtile Angriffe (dns/ntp/ssdp reflection und ähnliches) handelt und du genug Sources hast, kommst du schnell an den Punkt an dem dir dein ddos-Schild nichts mehr nützt.
Die ganzen ddos-Filter machen kein connection-tracking (weil die in der Regel nur den incoming Traffic oder gar nur irgendwelche flows bekommen, von der notwenidgen Rechenleistung mal ganz abgesehen) und können nur schätzen was gut und was böse ist.
Wenn da einfach mit Random source generiereter tcp-Traffic mit Zielport 443 und normalen ttl reintrudelt ist Schicht im Schacht.
Abgesehen davon dauert es eine gewisse Zeit bis Angriffe überhaupt erkannt werden.
Das beste was ich gesehen habe waren ca. 30 Sekunden zwischen (simuliertem) Angriff (einfachst möglicher udp Flood) und "Traffic wird gefiltert".
In der Zeit hast du locker rausgefunden ob etwas über 1 GBit reicht oder du 10 brauchst.

meine dedicaded kisten haben alle einen ddos schutz vom anbieter am laufen. Wobei ich diese, gott sei dank, noch niemals gebraucht habe.
Oder anders formuliert: du hast keine Ahnung was denn passiert wenn du mal angegriffen wirst. ;)
Vermutlich rechnen die nach Zeitpunkt xy einfach kurz nach, dass sich die 100 Euro Marge, die die mit dir machen den Ärger nicht wert sind und raus ist die Kündigung.

@Piktogramm: nmap testet per default afair nur die low ports.

Mann kann mit iptables aber dynamisch rules bauen.
Beispiel:
ssh liegt auf Port 5000
Rule 1 matched auf die Ports 4900 bis 4999 und legt ne reject-rule für port 5000 an sobald da ein Paket eintrudelt.
Dann siehst du Port 5000 auch nicht (außer du fängst von hinten an)
 
Zuletzt bearbeitet:

Steffen

Technische Leitung
Ersteller dieses Themas
Teammitglied
Dabei seit
März 2001
Beiträge
13.899
Wenn so ne Batterie nach x Jahren mal den Geist aufgibt ist das imho noch verkraftbar.
Was mich stört ist eher, dass
a) man die nicht Hotplug tauschen kann, sondern der Server dafür ausmachen muss [...]
Das finde ich auch sehr schade, zumal der Akku bei unseren alten Servern häufiger getauscht werden musste als die Festplatten. Die Festplatten kann man einfach im laufenden Betrieb austauschen, bei dem RAID-Controller-Akku hingegen geht das nicht, sondern dazu muss der Server heruntergefahren werden.
 

CloudConnected

Commander
Dabei seit
Mai 2005
Beiträge
2.768
Gute Wahl für HP Dinger.
Ich richte auch nur noch HP Server ein und mein Arbeitgeber vertreibet auch nur HP Hardware.
Bin bis jetzt überwiegend zufrieden mit den Teilen.
 

zepho

Cadet 3rd Year
Dabei seit
Okt. 2015
Beiträge
63
[Trolling ahead]

Hättet ihr Computer Base mal mit serverless computing gehostet! Hättet ihr jetzt keinen Stress :evillol:
 

Blutschlumpf

Fleet Admiral
Dabei seit
März 2001
Beiträge
17.688
Deshalb ja auch mein Vorschlag da nen Tray draus zu machen, der 4x AAA Akkus beinhaltet und von außen zugänglich ist.
Die Elektronik der BBU geht ja nicht kaputt sondern nur die Zellen.
 

Masamune2

Rear Admiral
Dabei seit
Okt. 2009
Beiträge
6.052
Dell macht es bei der neuen Generation ihrer Server aber auch nicht anders, hier sitzt auch ein LiIon Akku auf dem Controller. Scheint also wohl gute Gründe zu geben warum man vom Supercap Konzept wieder weg ist.
 

Aragornius

Cadet 2nd Year
Dabei seit
Juli 2012
Beiträge
27
Alles läuft so herrlich schnell und geschmeidig!
Sehr positiv: Inhalte werden beim erneuten Aufruf automatisch aktualisiert.
Dankesehr!
 

ChinaOel

Ensign
Dabei seit
Juni 2005
Beiträge
148
Für mehr Inspiration hätte ich auch Fragen:

a) Wie ist die Verteilung des Dateisystems? NFS Mount für beide Server?
also zB die XenForo Files?

b) Welches Load Balancing Verfahren wird genutzt für die Webserver?
c) Früher hattet ihr die DB im RAM - mit den neuen Servern auch?
d) Nutzt ihr ElasticSearch?


Danke für ein wenig mehr Inspiration für mich
 
Top