Domowy server - po co dzielić PC na odzielne VM ?

[emil3223 38]

Zamierzam stworzyć domowy serwer z mojego aktualnego PC 9900K na z390, 32 GB RAM, około 80 TB w kilku dyskach.

Funkcjonalność jaką potrzebuję:

1. Plex serwer,
2. dysk sieciowy (będzie ich kilka bo będą różne RAIDy)
3. program do obsługi kamer IP (monitoring podwórka)

Z tego co widzę to ludzie instalują hypervisor i stawiają wirtualne maszyny. Np. dla mojej konfiguracji były by to trzy oddzielne VM - plex, nas i monitoring.

Tylko po co???

Przecież mogę na Windowsie 10 zainstalować Plex'a i program do monitoringu, a RAIDy zrobić w menadżerze dysków w Windowsie.
I nie chodzi mi tu o uporczywe obstawanie przy Windowsie bo równie dobrze może być to jakieś distro zamiast windy.
Nie rozumiem sensu dzielenia PC na oddzielne instancje WM.

[narmiak 388]

Bezpieczeństwo.
Możesz odizolować od siebie różne komponenty i jeżeli się okaże, że na przykład jest luka na Plexie a Plex ma dostęp tylko do wybranych udziałów na dysku (w dodatku wyłącznie w trybie Read Only) to zrobi to mniejsze spustoszenie niż w wypadku odpalenia go jako usługi na koncie systemowym na komputerze, który przechowuje wszystkie twoje dane  Podobny efekt można uzyskać korzystając z Dockera.

Jeżeli upgrade jednego komponentu/systemu się wywali, to nie tracisz dostępu do pozostałych rzeczy, a dodatkowo jak robiłeś backupy, to przywrócenie obrazu maszyny jest dziecinnie proste.

Backupy - wiele rozwiązań umożliwia tworzenie backupów całych maszyn i później odtworzenie tego to kwestia kilku minut zazwyczaj i nie męczysz się ze stawianiem systemu od zera i instalowaniem wszystkiego od zera. Dodatkowo przed jakąkolwiek aktualizacją możesz zrobić snapshot (to nie backup!) i jeżeli coś pójdzie nie tak z aktualizacją systemu/programu, wracasz do stanu początkowego w kilka sekund.

Możliwość łatwej migracji - za rok masz dostęp do lepszego sprzętu? Przenosisz tylko maszyny wirtualne i gotowe. Nie musisz stawiać wszystkiego od nowa. Zaczyna brakować zasobów i kupujesz nowy "serwer"? To samo. Migrujesz w kilka chwil wybrane VMki i masz z głowy.

Chcesz poeksperymentować z nowym softem? Tworzysz dla niego VMkę, bawisz się, jak się zdecydujesz to zostawiasz a jak nie, to nie martwisz się o pozostawienie śmieci w systemie, albo że jeden program nie będzie kompatybilny z drugim bo oba muszą pracować na porcie 8080...

[iwanme 228]

Jak wyżej. 

Aczkolwiek do domowego zastosowania moim zdaniem spokojnie może być sam NAS + aplikacje w kontenerach w dockerze. Większość oprogramowania do NASów wspiera też klasyczne wirtualne maszyny jeśli potrzeba. 

Jeśli jednak chciałbyś się bawić w hypervisor to zdecydowanie Ci polecę Proxmoxa względem ESXi. Ma trochę większy narzut, ale na nie dedykowanym sprzęcie jest bardziej user friendly i mniej z nim problemów. 

 

[Karister 1533]

W dniu 20.05.2022 o 09:15, narmiak napisał:

Bezpieczeństwo.
Możesz odizolować od siebie różne komponenty i jeżeli się okaże, że na przykład jest luka na Plexie a Plex ma dostęp tylko do wybranych udziałów na dysku (w dodatku wyłącznie w trybie Read Only) to zrobi to mniejsze spustoszenie niż w wypadku odpalenia go jako usługi na koncie systemowym na komputerze, który przechowuje wszystkie twoje dane 

O ile w ogóle będzie ten NAS wystawiał poza sieć domową. Ja mam wystawiony swój NAS na sieć Internet (dostęp kluczem) od lat i nigdy nic się nie stało. Przy użytkowaniu tylko w LAN temat w ogóle odpada, a Plex raczej to niczego więcej się nie nadaje. Próby streamowania video w 4K zdalnie kończą się katastrofą. Obsługa HDR również leży.

W dniu 20.05.2022 o 09:15, narmiak napisał:

Podobny efekt można uzyskać korzystając z Dockera.

Z punktu widzenia użytkownika. Od strony administracyjnej Docker to tylko kontener, gdzie będą problemy z cgroups, np w aplikacjach napisanych w starszych wersjach Javy. Pełna wirtualizacja pozwoli na skuteczne przydzielanie zasobów dla VMek. IMO Docker jest ok do domowego zastosowania, aby nie zaśmiecać tymczasowymi instalkami hosta, a pełna wirtualizacja ma sens, gdy chcemy sprzedawać zasoby naszego serwera. W przypadku domowego NAS, na którym ma chodzić ciągle kilka tych samych usług, odpuściłbym sobie oba te rozwiązania. To tylko dodatkowy, niepotrzebny w tym przypadku, poziom abstrakcji. U mnie na stałe chodzą Roon, Plex, SSH i OpenVPN. Po co się jeszcze męczyć z odpalaniem Dockera i konfigurowaniem wolumenów, portów i innych? Widzę dodatkową robotę, a nie widzę zysku w tym konkretnym przypadku.

W dniu 20.05.2022 o 09:15, narmiak napisał:

Możliwość łatwej migracji - za rok masz dostęp do lepszego sprzętu? Przenosisz tylko maszyny wirtualne i gotowe. Nie musisz stawiać wszystkiego od nowa. Zaczyna brakować zasobów i kupujesz nowy "serwer"? To samo. Migrujesz w kilka chwil wybrane VMki i masz z głowy.

Pytanie, czy zasobów zabraknie. Dysk na dane zawsze można dołożyć. Dysk z systemem i usługami można przełożyć do mocniejszej maszyny. Ja w ten sposób zmigrowałem swój NAS z NUC i3 do NUC i5. IMO do domowego użytku, o którym tu jest mowa, 9900K to kompletny overkill. Ja mam Roon, Plex i VPN na Intel NUC i5 10. gen ustawionym w low power mode. Cały NAS ciągnie poniżej 10W, a CPU nigdy nie dobił do 5% podczas streamowania video 4K.

W dniu 20.05.2022 o 00:53, emil3223 napisał:

Nie rozumiem sensu dzielenia PC na oddzielne instancje WM.

j/w - sens ogólnie jest, ale niekoniecznie w przypadku prostego domowego użytku. Ja na Twoim miejscu zainstalowałbym potrzebne usługi i tyle. Kamery IP pewnie dają jakiś soft, co pozwala na zdalny podgląd bez ręcznego wystawiania maszyny na świat. Plex oferuje to sam z siebie i automatycznie u mnie przekierował porty na routerze. Docker czy KVM traktowałbym tutaj tylko jako chęć nauki konfiguracji takich rzeczy.

[narmiak 388]

40 minut temu, Karister napisał:

O ile w ogóle będzie ten NAS wystawiał poza sieć domową.

Czasami możesz nawet nie wiedzieć, że to robisz
Plex kilka miesięcy temu załatał dziurę, dzięki której serwer mógł być wykorzystywany do przeprowadzania ataków DDoS. Wystarczyło, że ktoś miał przekierowany port UDP albo włączone UPnP na routerze. Pytanie, czy nie ma tam jeszcze innej, groźniejszej luki której nikt nie zauważył?

Ogólnie jak jesteś w stanie dobrze zabezpieczyć swoją sieć, wiesz co robisz, nie przekierowujesz portów gdzie popadnie i na przykład łączysz się wyłącznie przez VPN z siecią domową, to może i nie trzeba wszystkiego wirtualizować. Ale jak ma się taką wiedzę, to aż szkoda tego nie robić

[Karister 1533]

Jak ktoś chce mieć zdalny dostęp do swojego NAS, to raczej wie, co robi. Do tego Plex ustawienia remote dostęp ma w osobnej zakładce i na czerwono smaruje z wykrzyknikiem, że udostępni serwer z sieci Internet. Choć pewnie znajdą się osoby, które nie rozumieją w pełni konsekwencji.

W przypadku dziury w Plex o której piszesz, faktycznie KVM z ograniczonymi zasobami sieciowymi miałby tutaj sens, ale u mnie jednak lenistwo bierze górę.  Prawdziwym upierdem by była dziura w którejś z usług, co pozwala na RCE. Wtedy klops i faktycznie jakiś VPN by tu był mile widziany. Póki co mam go tylko dlatego, że Roon umie streamować jedynie w tej samej sieci. Zablokować dostęp zdalny po SSH z innych sieci w tej sytuacji to już żadne robota, ale... nadal może się zdarzyć, że dziura trafi się w oprogramowaniu VPN.  Czyli w sumie trzymamy kciuki za brak luki bezpieczeństwa w jednej usłudze zamiast w kilku. Do zera ryzyka nie zniwelujesz. Ponadto jest dla mnie wygodne, że mogę się do swojego NAS połączyć z dowolnego urządzenia, co ma dostęp do Internetu. VPN wymusi instalowanie klienta. Myślę, że zostawię to tak, jak jest, decydując się na jakiś kompromis bezpieczeństwo-wygoda. 

[iwanme 228]

3 godziny temu, Karister napisał:

Jak ktoś chce mieć zdalny dostęp do swojego NAS, to raczej wie, co robi

Dość swobodne założenie. 

Zdalny dostęp to po prostu funkcjonalność, to że ktoś chce nijak nie implikuje wiedzy z zakresu bezpieczeństwa sieci, nawet minimalnej.

Ba, w większości oprogramowania do NAS otwarcie portów w routerze etc. można wyklikać bo zwykle jest domyślnie dostęp po UPnP. Nawet nie trzeba wiedzieć co to znaczy port czy adres ip. 

 

Virtualizacja nie jest jakaś szczególnie niewygodna. Jak wspomniał Narmiak - jeśli chodzi o backup to wręcz wiele rzeczy ułatwia. Minus taki, że zjada zasoby, żeby wszystko puszczać osobnymi VM to zwykle overkill w takim domowym urządzonku, ale konteneryzacja już jest całkiem spoko i odseparowuje Ci aplikację działającą w kontenerze od reszty. 

Choć przy 9990k i 32GB ram to w sumie i VMek można nadźgać po dach. Ja używam głównie Alpine w Proxmoxie do różnych rzeczy. Jedną VMkę mam zresztą z dockerem i tam kilka lżejszych aplikacji.