Sergey777
Contributor
Contributor

хватит ли мощи для AD, 1c terminal, нескольких серверов приложений WinXP ?

Здравствуйте. будет ли комфортно работать юзерам 1с и виртуалкам с таким раскладом?:

dell 2950III - два xeon x5450(3.0ghz) итого 8 ядер 32GB RAM

raid 10 на контроллере PERC6/i встроенный на чипе LSI 256ram - 6 дисков SAS 3.5 15000rmp сигейт .5 или .6 не помню.

1с 7.7 ТИС файловая база 1,8 гб 15 юзеров одновременно работают вяло. 2-3 из них иногда строят отчеты. + несколько баз 0,3-2гб 1-2 юзера иногда работают.

сейчас на этом сервере только 1с в терминальном режиме вин2003

хочу поставить vmware ESXI 4.0 перенести

- в вирт терминальный сервер 1с

добавить

- контроллер домена вин2003 простой

- сервер приложения Гарант, консультант на 1 чела windows XP

- сервер приложения бухов( такском, клиент банк) windows XP

1) будет ли заметно падение производительности бухам в 1с ?

2) сколько еще можно навесить серверов приложений на 1чела windows xp 512 озу?

3) Увеличиться ли заметно производительность дисковой подсистемы если сменить RAID контроллер на ADAPTEC?

4) Есть какие либо средства шифрования файлов образа жесткого диска esxi или информации на стораджах вообще какие то решения, что бы инфа была доступна только тем, кто знает пароль и\или ключ.

заранее благодарен

0 Kudos
14 Replies
psyxoz
Enthusiast
Enthusiast

1) нет, падения производительности не будет. И хост вытенет все ВМ которые Вы написали и ещё много чего(по процам точно не просядет, можете в будущем упереться в память). процы экстрим да ещё с хапер-средингом. И если будут одинаковые ВМ, точнее гостевые ОС то ESX хорошо отработает де-дупликацию памяти.

2) В Вашем случае ограничение только по памяти хоста.

3) я думаю что нет.

4) ни кому не говорите пароль root(или пользователей с правами root) от ESX.Само собой он должен быть сложным.И ограничить физ. доступ к серверу, т.к. пароль пользователя root можно сбросить после перезагрузки. Если я правильно понял чего Вы хотите. А так ESX не умеет шифровать диски ВМ.

Sergey777
Contributor
Contributor

Спасибо за хороший и быстрый ответ.

4) серверы в шкафу закрыты, ключ только у меня. пароль не говорю Smiley Happy

нужно шифрование на тот случай, когда люди добрались в мое отсутствие к серверу физически и получили доступ к vmdk файлам. можно шифровать средствами гостевой ОС внутри vmdk.Но тут два минуса: гостевые вин2003 и хп в них слабое шиврование встроенными функциями, а ставить дополнительное ПО в гостевую ос неохота.

Хотелось бы более интересных решений, софтварных. ESX 4 умеет шифровать диски? может стронние разработчики что то придумали?

еще вопрос

5) как можно подключать к вм образы виртуальных флопов, iso и вмдк дисков на флешке желательно в подключенную к тому же серверу?

у меня мысль только одна сделать Storage по ISCSI где таргет виндовс машина с старвинд например и там на влешке уже размещать в контейнере старвинда эти iso, flp ?

0 Kudos
AntonVZhbankov
Immortal
Immortal

>Хотелось бы более интересных решений, софтварных. ESX 4 умеет шифровать диски? может стронние разработчики что то придумали?

Нет. Возможно только шифрование на уровне гостевых ОС и на уровне SAN.

как можно подключать к вм образы виртуальных флопов, iso и вмдк дисков на флешке желательно в подключенную к тому же серверу?

На флэшке никак. Либо размещаете все эти образы там же, на VMFS, либо подключаете по NFS, либо на Windows Share и монтируете из vSphere клиента.


---

MCSA, MCTS, VCP, VMware vExpert '2009

http://blog.vadmin.ru

EMCCAe, MCITP: SA+VA, VCP 3/4/5, VMware vExpert http://blog.vadmin.ru
0 Kudos
adm738
Enthusiast
Enthusiast

4) чем не нравится

шифрует загрузочную партицию

шифрует просто прартицию

и еще много чего ..... )))))))

0 Kudos
DenisZhdanov
Contributor
Contributor

А скажите пожалуйста, если не секрет, а как Вы будете решать проблему с пробросом USB ключа в 1C под ESX?

Спасибо.

0 Kudos
AntonVZhbankov
Immortal
Immortal

Решение проблемы с USB: http://blog.vadmin.ru/2010/04/usb.html


---

MCSA, MCTS, VCP, VMware vExpert '2009

http://blog.vadmin.ru

EMCCAe, MCITP: SA+VA, VCP 3/4/5, VMware vExpert http://blog.vadmin.ru
0 Kudos
Umlyaut
Expert
Expert

Решение проблемы с USB:

</div>Есть ещё один юридически безупречный вариант (для тех, кто не хочет или не может последовать означенным рекомендациям): держать ключ на отдельном вин-хосте в той же (под)сети - для этого хватит минимальнейшего железа (лишь бы встала винда). Smiley Happy

(Про юридически не_безупречный_ вариант с Саблей мы распространяться не будем... :smileygrin: )

0 Kudos
Umlyaut
Expert
Expert

4) серверы в шкафу закрыты, ключ только у меня. пароль не говорю Smiley Happy

нужно шифрование на тот случай, когда люди добрались в мое отсутствие к серверу физически и получили доступ к vmdk файлам. можно шифровать средствами гостевой ОС внутри vmdk.Но тут два минуса: гостевые вин2003 и хп в них слабое шиврование встроенными функциями, а ставить дополнительное ПО в гостевую ос неохота.

Хотелось бы более интересных решений, софтварных. ESX 4 умеет шифровать диски? может стронние разработчики что то придумали?



Как уже справедливо заметил Антон, шифрование в Вашем случае может быть двояким - "на клиенте" (т.е. силами ОС в VMке) и "на сервере" (шифруется том стораджа).
Первое реализовать проще (и Ваша "неохота" ставить доп.ПО в данном случае не выглядит разумной) - уже поминавшийся тут ТруКрипт прекрасно работает в VMке (в т.ч. и в режиме шифрования системного раздела), сам проверял. Бонусом такого решения является то, что Вам не нужно ломать голову над шифрованием быкапов VM - они уже зашифрованы. Правда, я пока плохо понимаю, как будет работать с зашифрованной VMкой механизм снапшотов (гуру, подскажите!).

Второе реализовать сложнее.
Во-первых, ОС стораджа должна либо сама уметь шифровать тома стораджа, либо позволять устанавливать соответствующее ПО. Например, я пробовал поставить ТруКрипт на OpenFiler, но пока безуспешно - там многого не хватало (библиотеки, зависимости), а доставить не вышло (может, просто никс-скиллов не хватило). Буду пробовать с Убунту-сервер и MS Win2003/2008, чтобы оценить - на чём строить сторадж. Соответственно, если использовать "тяжёлую" СХД типа NetApp, IBM, EMC, HP, etc, то мне кажется весьма маловероятной возможность вкрячить криптование в их ОС - тут уж без вариантов шифровать в VMке...
Во-вторых, закриптованный том стораджа Вы уже не отдадите ESXi-серверу по iSCSI - только как NFS-"шару".
В-третьих, Вам понадобится избыточная мощность процессоров на таргете - блочное шифрование разделов (как, впрочем. и любое другое) возьмёт свою плату. Впрочем, это может оказаться выгоднее, нежели отнимать мегагерцы у ESXi-хоста при шифровании силами какой-либо VMки.


Если Вас всё это не смущает/беспокоит - то вэлкам!



еще вопрос

5) как можно подключать к вм образы виртуальных флопов, iso и вмдк дисков на флешке желательно в подключенную к тому же серверу?

у меня мысль только одна сделать Storage по ISCSI где таргет виндовс машина с старвинд например и там на влешке уже размещать в контейнере старвинда эти iso, flp ?

</div>Ага, понятно - кейфайлы всяких клиент-банков и пр. Smiley Happy

Только что это за "контейнер старвинда"? Старвинд - это ПО для хоста-стораджа, обеспечивающее отдачу им "сырых" разделов для доступа по сети по протоколу iSCSI. Клиентская машинка, "увидев" (с помощью ПО iSCSI-инициатора) этот iSCSI-том на таргете как пустой хард, может отформатировать его в нужной ФС и использовать как свой локальный диск. Причём именно как ЖЁСТКИЙ диск. Куда и как Вы собираетесь при этом класть свои кейфайлы с флешек - я х.з. Smiley Happy

Лучше сделайте так - делаете некий комп (можно в качестве VMки), создаёте на нём зашифрованный раздел, кладёте на него кейфайлы, цепляете раздел как ещё один datastore по NFS к ESXi-серверу, на котором лежат VMки, использующие эти кейфайлы. После чего в свойствах VMок указываете - использовать в качестве флопов/сидюков вот эти flp-/iso-файлы вот с этого datastore.

Соответственно, даже захватив ваш ESXi-сервер, нападающие не найдут кейфайлы на зашифрованном разделе одной из VMок.

Вот как-то так...

0 Kudos
AntonVZhbankov
Immortal
Immortal

>Правда, я пока плохо понимаю, как будет работать с зашифрованной VMкой механизм снапшотов (гуру, подскажите!).

Да так же и будет, он независим от гостевой ОС, а шифрованными останутся лишь диски внутри. C точки зрения ESX'а совершенно наплевать какие там лежат данные.


---

MCSA, MCTS, VCP, VMware vExpert '2009

http://blog.vadmin.ru

EMCCAe, MCITP: SA+VA, VCP 3/4/5, VMware vExpert http://blog.vadmin.ru
0 Kudos
Umlyaut
Expert
Expert

>Правда, я пока плохо понимаю, как будет работать с зашифрованной VMкой механизм снапшотов (гуру, подскажите!).

Да так же и будет, он независим от гостевой ОС, а шифрованными останутся лишь диски внутри. C точки зрения ESX'а совершенно наплевать какие там лежат данные.

Т.е., правильно ли я понимаю, что в очередной снимок попадают изменившиеся блоки vmdk-файла?

0 Kudos
AntonVZhbankov
Immortal
Immortal

Bingo!


---

MCSA, MCTS, VCP, VMware vExpert '2009

http://blog.vadmin.ru

EMCCAe, MCITP: SA+VA, VCP 3/4/5, VMware vExpert http://blog.vadmin.ru
0 Kudos
Umlyaut
Expert
Expert

Bingo!

Ну будьте снисходительнее к новичку в "тяжёлых" решениях от Вари! Smiley Happy Я понимаю, что в великом и ужасном TFMе это должно быть, но это если его R - а я ещё не дошёл до стадии снапшотов:пока чту только базовые моменты, одновременно обкатывая их на железе. :smileygrin:

0 Kudos
AntonVZhbankov
Immortal
Immortal

Про снапшоты на русском: http://blog.vadmin.ru/2008/12/vmware-vi.html


---

MCSA, MCTS, VCP, VMware vExpert '2009

http://blog.vadmin.ru

EMCCAe, MCITP: SA+VA, VCP 3/4/5, VMware vExpert http://blog.vadmin.ru
0 Kudos
Umlyaut
Expert
Expert

Про снапшоты на русском: http://blog.vadmin.ru/2008/12/vmware-vi.html

благодарю сердечно! Smiley Happy

правда, я техническую документацию и на вражеском чту, но всё равно спасибо - пригодится для коллег, менее искушённых в ангельском... Smiley Happy

0 Kudos