Sistem kurulumu önerileri

Selamlar ;

Bayağı  kapsamlı bir  post  açmışssınız ancak ilk etapta  gözüme  çarpan durum Nas  cihazı ile  Failover bir mimari düşünmeniz ki ( Failover bir  yapı olmadan sadece sanal sunucuları Nas  üzerinde  tutmayı planlıyor olsanız bile ) yorumum  değişmeyecektirBöylesi  kritik  bir  yapı için NAS  cihazları  yeterli olmayacaktır ortamınızda SAN Storage bulunması  gerekir ki ( EMC/HP/Netapp/Huawei) Marka  farketmeksizin Storage'lerin  genel özelliği Dual Controller'a  sahip olmaları ve  Controller'lardan  1'i  arızalansa  bile  sistemin  çalışmaya  devam  etmesidir ( FC ile 16Gbps hız / Cache kapasiteleri / SSD diskler için gecikme  performansları ve  diğer + özelliklere  değinmiyorum bile )  Marka  belirtmemişssiniz  ancak marka  bağımsız  olarak şunu  söyleyebilirim bir NAS cihazının down duruma geçme  ihtimali bahsettiğiniz seviye sunuculardan  ( HP/DELL/IBM/HUWEI ) çok daha YÜKSEK iken bütün yapıyı  NAS  cihazına göre  kurmak  çok büyük bir  hata  olacaktır ki anladığım kadarıyla  bir  Hastane veya  sağlık sektöründesiniz. Özellikle Hastane  iseniz  kullanacağınız Storage  ünitesini  bile yedekleme  üzerinde  yoğunlaşmanız  gerektiğini  düşünüyorum. NAS  cihazları genel olarak lokal yedeklerin  tutulduğu disk  alanı  olarak kullanma  taraftarıyım 10Gb network interfaceleri de  bulunduğu için hızlı bir  şekilde  yedekleme yapabilirsiniz.

Sunucular  üzerindeki 10gb  ethernet ile  sanal  sunucuların networke  erişmelerini  sağlayan External Network olarak  kullanabilirsiniz ortamınızda  kullanacağınız  Backbone  10gb destekli portları  üzerinde  bu Fiziksel Hostları  sonlandırarak  Network  erişim performansını  artırabilirsiniz. Kullanacağınız Storage Hybrit yapıyı  destekleyen bir  storage olabilir PAC  datalarını büyük  boyutlu SAS/SATA  diskler  üzerinde  tutabilir Sanal  Sunucuları SSD ler  üzerinde  tutabilirsiniz. PACS sunucularındaki  dataları 5  yıl gibi saklama  zorunluluğu  vardı  diye  hatırlıyorum veya PACS sistemi  destekliyor  ise  belli  bir  tarihtan önceki dosyaları NAS üzerine de  yedekleyebilirsiniz.

Firewall olarak Fortigate kullanabilirsiniz, bütçe  tarafında  sıkıntılar  var  ise  ve  çok katı web  filtreleme  yapmayacaksanız Failover Cluster  Mimarisinde  sanal olarak Pfsense'de  oldukça  iyi bir  alternatif  olacaktır.

Av  tarafı için Comodo ITSM ( özellikle  teknik destek  tarafı çok iyi ve ransomware saldırıları konusunda oldukça  iddialılar ) veya Kaspersky diyebilirim. ( Bütçe  durumuna  bağlı olarak Symantec veya Mcafee'de  düşünülebilir )

Fiziksel Hostları network'e 10gbps ile  bağlamanız  durumunda  pacs için problem  olmayacağını  düşünüyorum  ancak burada  net  birşey  söyleyebilmek için ortamınızda  bulunan  network  altyapısını ve  pacs  tarafındaki  trafik  durumunu da  net  olarak  bilmek  gerekmekte. Backbone  Switch   ve  network altyapınız  uygun ise  Sunucu  üzerine  ilave 10gb network  kartları eklenebilir ve bu  kartlar  pacs  sunucusu için dedicate  edilebilir.

Yedekleme  için Veeam veya Arcserve  kullanabilirsiniz  yedeklerinizi  kritiklik  durumunuza  göre NAS cihazına  alabilirsiniz Disaster  senaryosu  için'de yurtdışı iyi bir  datacenter'da  dedicated  sunucu ile yapılabilir.  ( Dedicated  sunucu  üzerinde  internet erişimi  kapatılıp sadece  vpn üzerinden  erişim  açılarak veri güvenliğini de  genel olarak  sağlamak da  mümkün )

Web Server'ı DMZ networkunda  konumlandırabilirsiniz DMZ networkunden de  local  networkleri  izola  edersiniz böylelikle  web serverınız  içeride  olur  aynı zamanda da  lokal networklere  erişim  olmadığı için  dışarıda  olmuş olur. ( Web server  tarafında  mutlaka IDS/IPS güvenlik  politikalarının uygulanması  gerekir. )

Uygulama ve  port izinlerinden  tam olarak ne  kastetmek  istediğinizi  anlamadım ancak içeride  bir  hizmet  verecekseniz  bu hizmetin portlarını  açmak zorundasınız  zaten ( hizmeti  kullanacak olan  kullanıcıları  sslvpn gibi  bir  yapı ile  doğrulama  şansınız  yok ise  yani  public  bir  hizmet  verecekseniz ) ancak burada  açılan portların  arkasında  hizmet  verecek olan  servisler  için gelecebilecek  saldırılara  karşı doğru bir  yapılandırma burada  önemli olan.

RDP public  olarak  açmak  kesinlikle İNTİHAR  özellikle  son  dönemlerde. Uzak   bağlantı için Fortigate kullancaksanız Fortigate  ile  SSL  vpn altyapısı ile networke  bağlanıp sonrasında  Rdp bağlantısı yapabilirsiniz . Pfsense ise  openvpn veya   başka  bir  Firewall markası olur ise  onun vpn i ile  bağlanırsınız  ama mutlaka VPN ile  bağlanmalısınız bir sabah  geldiğinizde  tüm  dosyalarınız  şifrelenmiş ve bilmem kaçbin  dolar  karşılığı  bitcoin i  şu  cüzdana  gönderin tarzı  bir  mesaj ile  karşılaşırsınız.

SCCM 150 kullannıcılı bir  ortamda  işinizi  oldukça  kolaylaştıracaktır  kullanma  imkanınız  var ise  kesinlikle  KULLANIN.

Hyper-V ile  devam  edecekseniz  Ana  işletim sistemi Core sürümü  olsun mutlaka  veya Hyper-V Server  2016  kurun. Yani Gui ile  Server  2016  kurup  üzerine  Hyper-V  rolü yüklenerek  yapılan Hyper-V  Failover  senaryolarında  genel olarak  şu  durum  yaşanıyor 3-5 ay sonra  Fiziksel Gost  üzerindeki Server  2016 işletim  sisteminde  farklı  farklı  uygulamalar  vb    yüklenmiş bir sürü  ayarlarında  değişiklikler  yapılmış oluyor ( Ancak Vmware  ile  benzeri  bir  proje  yaptgınız  zaman ESXI  üzerine  neredeyse  hiçbirşey  yükleyemiyorsunuz )o yüzden  Fiziksel hostların  olabildiğince  stabil ve  uzun  ömürlü  çalışmalarını  sağlamak için Hyper-V Server 2016 kurulumunu  yapın  veya Server  2016 Dc  CORE  kurulumunu  yapıp  üzerine Hyper-V  yükleyin.

Failover  bir mimari  olacağı için ADC yi fiziksel  hostlar'da tutabilirsiniz.

Merhaba,

NAS'li cluster ortamı ortak disk alanı olarak kullanma konusunda Cumhur bey'in önerilerine aynen katılıyorum. Tecrübe ile sabittir NAS üzerinde bir arıza yaşadığınızda ilgili firmanın teknik servisi ile görüştüğünüzde, kargo ile gönderin biz burada bakalım (başımdan aşağı kaynar sular dökülmüştü) veya yakın zamanda yaşadığım, çok rahat bir şekilde biz raid yapısını değiştirdik yeni versiyonda yeni disk oluşturmak için önce tüm datanızı silip raid yapısını yeniden oluşturacaksınız cümlelerini duyduğunuzda ne demek istediğimi daha iyi anlayacaksınız, ne kadar güzel bir yüksek erişilebilirlik hizmeti verdiklerini göreceksiniz.  

NAS'a karşımıyım? Kesinlikle Hayır, çokta severek kullanıyorum.  

Her cihazın bir kullanım yeri var, sizin ortamınızda bu cihazları bel kemiği noktasına koymanız yanlış olur. 

NAS cihazlarınında HyperV, VMware ortamları için desteği var ama bu ortamlarda kullanıma almak için önerim üst seviye NAS modellerini alıp (onlarda çift kontroller yedekliliği var, zeon cpu lu coktroller kullanılıyor, üzerinde çalışan os bile farklı bu modellerde) kullanmanız, ama bu modelleri alabileceğiniz paralara yukarıda adı geçen storage markalarının FC'li modellerinden alıp kullanabilirsiniz çok rahatlıkla. 

Saygılarımla. 

Selamlar ;

 

Bayağı  kapsamlı bir  post  açmışssınız ancak ilk etapta  gözüme  çarpan durum Nas  cihazı ile  Failover bir mimari düşünmeniz ki ( Failover bir  yapı olmadan sadece sanal sunucuları Nas  üzerinde  tutmayı planlıyor olsanız bile ) yorumum  değişmeyecektirBöylesi  kritik  bir  yapı için NAS  cihazları  yeterli olmayacaktır ortamınızda SAN Storage bulunması  gerekir ki ( EMC/HP/Netapp/Huawei) Marka  farketmeksizin Storage'lerin  genel özelliği Dual Controller'a  sahip olmaları ve  Controller'lardan  1'i  arızalansa  bile  sistemin  çalışmaya  devam  etmesidir ( FC ile 16Gbps hız / Cache kapasiteleri / SSD diskler için gecikme  performansları ve  diğer + özelliklere  değinmiyorum bile )  Marka  belirtmemişssiniz  ancak marka  bağımsız  olarak şunu  söyleyebilirim bir NAS cihazının down duruma geçme  ihtimali bahsettiğiniz seviye sunuculardan  ( HP/DELL/IBM/HUWEI ) çok daha YÜKSEK iken bütün yapıyı  NAS  cihazına göre  kurmak  çok büyük bir  hata  olacaktır ki anladığım kadarıyla  bir  Hastane veya  sağlık sektöründesiniz. Özellikle Hastane  iseniz  kullanacağınız Storage  ünitesini  bile yedekleme  üzerinde  yoğunlaşmanız  gerektiğini  düşünüyorum. NAS  cihazları genel olarak lokal yedeklerin  tutulduğu disk  alanı  olarak kullanma  taraftarıyım 10Gb network interfaceleri de  bulunduğu için hızlı bir  şekilde  yedekleme yapabilirsiniz.

Sunucular  üzerindeki 10gb  ethernet ile  sanal  sunucuların networke  erişmelerini  sağlayan External Network olarak  kullanabilirsiniz ortamınızda  kullanacağınız  Backbone  10gb destekli portları  üzerinde  bu Fiziksel Hostları  sonlandırarak  Network  erişim performansını  artırabilirsiniz. Kullanacağınız Storage Hybrit yapıyı  destekleyen bir  storage olabilir PAC  datalarını büyük  boyutlu SAS/SATA  diskler  üzerinde  tutabilir Sanal  Sunucuları SSD ler  üzerinde  tutabilirsiniz. PACS sunucularındaki  dataları 5  yıl gibi saklama  zorunluluğu  vardı  diye  hatırlıyorum veya PACS sistemi  destekliyor  ise  belli  bir  tarihtan önceki dosyaları NAS üzerine de  yedekleyebilirsiniz.

Firewall olarak Fortigate kullanabilirsiniz, bütçe  tarafında  sıkıntılar  var  ise  ve  çok katı web  filtreleme  yapmayacaksanız Failover Cluster  Mimarisinde  sanal olarak Pfsense'de  oldukça  iyi bir  alternatif  olacaktır.

Av  tarafı için Comodo ITSM ( özellikle  teknik destek  tarafı çok iyi ve ransomware saldırıları konusunda oldukça  iddialılar ) veya Kaspersky diyebilirim. ( Bütçe  durumuna  bağlı olarak Symantec veya Mcafee'de  düşünülebilir )

Fiziksel Hostları network'e 10gbps ile  bağlamanız  durumunda  pacs için problem  olmayacağını  düşünüyorum  ancak burada  net  birşey  söyleyebilmek için ortamınızda  bulunan  network  altyapısını ve  pacs  tarafındaki  trafik  durumunu da  net  olarak  bilmek  gerekmekte. Backbone  Switch   ve  network altyapınız  uygun ise  Sunucu  üzerine  ilave 10gb network  kartları eklenebilir ve bu  kartlar  pacs  sunucusu için dedicate  edilebilir.

Yedekleme  için Veeam veya Arcserve  kullanabilirsiniz  yedeklerinizi  kritiklik  durumunuza  göre NAS cihazına  alabilirsiniz Disaster  senaryosu  için'de yurtdışı iyi bir  datacenter'da  dedicated  sunucu ile yapılabilir.  ( Dedicated  sunucu  üzerinde  internet erişimi  kapatılıp sadece  vpn üzerinden  erişim  açılarak veri güvenliğini de  genel olarak  sağlamak da  mümkün )

 

Web Server'ı DMZ networkunda  konumlandırabilirsiniz DMZ networkunden de  local  networkleri  izola  edersiniz böylelikle  web serverınız  içeride  olur  aynı zamanda da  lokal networklere  erişim  olmadığı için  dışarıda  olmuş olur. ( Web server  tarafında  mutlaka IDS/IPS güvenlik  politikalarının uygulanması  gerekir. )

Uygulama ve  port izinlerinden  tam olarak ne  kastetmek  istediğinizi  anlamadım ancak içeride  bir  hizmet  verecekseniz  bu hizmetin portlarını  açmak zorundasınız  zaten ( hizmeti  kullanacak olan  kullanıcıları  sslvpn gibi  bir  yapı ile  doğrulama  şansınız  yok ise  yani  public  bir  hizmet  verecekseniz ) ancak burada  açılan portların  arkasında  hizmet  verecek olan  servisler  için gelecebilecek  saldırılara  karşı doğru bir  yapılandırma burada  önemli olan.

RDP public  olarak  açmak  kesinlikle İNTİHAR  özellikle  son  dönemlerde. Uzak   bağlantı için Fortigate kullancaksanız Fortigate  ile  SSL  vpn altyapısı ile networke  bağlanıp sonrasında  Rdp bağlantısı yapabilirsiniz . Pfsense ise  openvpn veya   başka  bir  Firewall markası olur ise  onun vpn i ile  bağlanırsınız  ama mutlaka VPN ile  bağlanmalısınız bir sabah  geldiğinizde  tüm  dosyalarınız  şifrelenmiş ve bilmem kaçbin  dolar  karşılığı  bitcoin i  şu  cüzdana  gönderin tarzı  bir  mesaj ile  karşılaşırsınız.

SCCM 150 kullannıcılı bir  ortamda  işinizi  oldukça  kolaylaştıracaktır  kullanma  imkanınız  var ise  kesinlikle  KULLANIN.

Hyper-V ile  devam  edecekseniz  Ana  işletim sistemi Core sürümü  olsun mutlaka  veya Hyper-V Server  2016  kurun. Yani Gui ile  Server  2016  kurup  üzerine  Hyper-V  rolü yüklenerek  yapılan Hyper-V  Failover  senaryolarında  genel olarak  şu  durum  yaşanıyor 3-5 ay sonra  Fiziksel Gost  üzerindeki Server  2016 işletim  sisteminde  farklı  farklı  uygulamalar  vb    yüklenmiş bir sürü  ayarlarında  değişiklikler  yapılmış oluyor ( Ancak Vmware  ile  benzeri  bir  proje  yaptgınız  zaman ESXI  üzerine  neredeyse  hiçbirşey  yükleyemiyorsunuz )o yüzden  Fiziksel hostların  olabildiğince  stabil ve  uzun  ömürlü  çalışmalarını  sağlamak için Hyper-V Server 2016 kurulumunu  yapın  veya Server  2016 Dc  CORE  kurulumunu  yapıp  üzerine Hyper-V  yükleyin.

Failover  bir mimari  olacağı için ADC yi fiziksel  hostlar'da tutabilirsiniz.

 

 

soruyu soran ve yanıt için Cumhur Hocama ve arkadaşa teşekkür ederim

konuyla kısmen alakalı  ,

dell  poweredge R serisinin orta segment sunucusunu tedarik etme aşamasındayım ,

üzerine bütçe ve  proje durumuna göre ESX yada Hyber V kuracağım

biostan yapılması gereken  ( max power v.b ) ayarlar var ,  

sanallaştırma ayarları  virtualization ( VTX , VT-d , data execution Prevention ) ne yapılmalıdır ? 

teşekkürler.