Die richtige Ceph Netzwerkstruktur

, ,

Warum das richtige Netzwerk bei Ceph so wichtig ist

Vor der Integration eines Ceph storage-clusters steht jeder Linux-Administrator irgendwann vor der Frage, welches Netzwerk (Ethernet, Infiniband, Omnipath) er verwenden möchte. Das hängt zunächst selbstverständlich vom zu erwartenden Workload und der Anzahl der Clients ab. Allerdings gibt es noch einen wichtigen weiteren Faktor den es zu beachten gibt. Ceph nutzt viele unabhängige Festplatten. RAID Arrays bieten sich nicht an, da die Performance mit  jeder zusätzlichen Festplatte wunderbar linear skaliert. Die vielen einzelnen Festplatten sowie der Aufbau des Ceph Clusters bringen es mit sich, dass alle Datenblöcke auf mehrere Knoten verteilt werden müssen. Je nach implementiertem Regelwerk sogar über Racks oder Rechenzentren hinweg. Das schafft Ausfallsicherheit. Jedoch bedeutet das, dass bei jedem Lese- oder Schreibzugriff eine Kommunikation mit allen Ceph-Nodes über das Netzwerk stattfinden muss, um alle notwendigen Datenblöcke zu erreichen.

Festplattenzugriff = Netzwerkzugriff bei Ceph

Da also jeder Zugriff auf eine der vorhandenen Festplatten auch ein Netzwerkzugriff ist, sollte man unbedingt auf ein 10 GE Netzwerk zurückgreifen um alle Ceph Knoten untereinander zu verbinden. 10 GE stellt hierbei das absolute Minimum dar. Möchten Sie Ceph richtig im produktiven Betrieb mit mehreren clients einsetzen, kommt ein 1 GE Netzwerk wirklich extrem schnell an seine Grenzen. Hier ist nicht nur der Datenverkehr zu den Clients und zwischen den Ceph Knoten bei der konkreten Datenabfrage zu betrachten. Ceph muss schließlich auch alle Replikationen auf den vorhandenen Servern und Festplatten des Clusters verteilen. Im besonderen wenn eine der Festplatten oder ein ganzer Server ausfällt, repliziert Ceph automatisch die Daten bis wieder die gewünschte Anzahl an Repliken vorliegt.

Netzwerkoptimierung

Dieses Verhalten kann durch getrennte Netzwerke optimiert werden. Ein Netzwerk übernimmt dann die Kommunikation zu den clients. Das zweite Netzwerk ist ausschließlich für die OSD Replikationen zuständig.

Die Konfiguration

Um zwei separate Netzwerke zu nutzen, müssen die Netzwerke innerhalb der ceph.conf eingetragen werden. Hierzu genügt es bereits die Netz ID mit entsprechendem Prefix anzugeben.

[global]

public network = 172.10.10.0/24

cluster network = 172.10.11.0/24

Sobald die Ceph Konfiguration auf allen Knoten verteilt wurde und die Services neu gestartet sind, werden die Netzwerke entsprechend verwendet. Damit wurde ein möglicher Flaschenhals in der Architektur  des Clusters optimiert bzw. verhindert.

Was ist eigentlich… ein Managed Server?

, ,

Ein Managed Server ist das, was man ein Rundum-Sorglos Paket nennt. Neben dem eigentlichen Server als Speicherplatz und Host beinhalten Managed Server eine Vielfalt praktischer und sicherer Serviceleistungen. Backup Systeme und die Wartung des Internetauftrittes sind zwei der zahlreichen und häufig genutzten Beispiele.

Managed Server sind ausschließlich für den Kunden da während ein Shared Server nur gemietet wird und einen Teil des vorhandenen Speicherplatzes anhand der Mietkosten zur Verfügung stellt, bieten Managed Server ihren Kunden unendlich viel Speicherplatz. Ebenso wird das Maximum an Serviceleistungen per Fernwartung geboten, wodurch der Kunde auf der sicheren Seite und bestens betreut ist. Das Konzept Managed Server wird immer beliebter, was nicht zuletzt an der Kundenorientierung und den zahlreichen integrierten Zusatzleistungen liegt. Der Kunde steht im Mittelpunkt und erhält die besten Leistungen vom Anbieter.

Leistungsumfang beim Managed Server

Techniker wartet einen ServerDie Fernwartung, das Patch Management, ein Remote Data Backup und viele Aspekte zur Sicherheit sowie die Überwachung des Desktop sind integrierte Leistungen. Kunden sparen mit einem Managed Server eine Menge Zeit und Geld, da sie keinen eigenen IT Support beschäftigen oder sich selbst mit der IT Wartung beschäftigen müssen. Für private und klein gehaltene Websites ist ein Managed Server nur bedingt geeignet. Für Unternehmer, die keine eigene Energie und Zeit in das Hosting und die darum auflaufenden Aufgaben investieren möchten, bietet sich diese Option aber an.

Wie wird ein Managed Server bezahlt?

Der Kunde schließt einen All-Inklusive Vertrag ab und zahlt seine monatliche Rate. Bei allen gewünschten Änderungen und im Rahmen der vertraglich vereinbarten Dienstleistung genügt eine Anfrage des Kunden und die Aufgabe wird erledigt. Die sichere und seriöse Wartung der Seite ist ein deutlicher Vorteil, den sich Unternehmer durch das Outsourcing an einen Hoster sichern, der ihnen einen Managed Server anbietet. Ein einfacher Host ist günstiger, aber: Benötigt ein Unternehmen einen vollständigen IT Support, ist der Managed Server auf lange Sicht die günstigere und praktischere Variante. Vor allem Großkonzerne und mittelständische Unternehmen erhalten so einige Vorteile.

Sicherheitskonzept Managed Server

Die Haftung für die Sicherheit der Kundendaten und der gesamten Website obliegt dem Betreiber des Servers. Bei einem Managed Server können Unternehmer sicher sein, dass der Betreiber seine Haftung ernst nimmt und seine Server mit der entsprechenden Sicherheitssoftware und Betriebssoftware ausstattet. Die Daten werden gesichert und der Kunde profitiert von einem Support, der keinen Wunsch offen und keine Frage unbeantwortet lässt. Datenschutz und Datensicherheit sind zwei Grundpfeiler von Managed Servern und liegen den Betreibern am Herzen.

Managed Server vs, klassischer Host

Beim klassischen Hosting bucht man Speicherplatz, der streng begrenzt und in der Aufstockung teuer ist. Beim Managed Server bucht man ein Full-Service Paket, das so viel Speicherplatz wie gewünscht beinhaltet. Expandiert das Unternehmen, wächst die Website ohne Probleme mit. Denn auf dem Managed Server können prinzipiell unendlich viele Daten gespeichert werden, wodurch Unternehmen nicht in ihrer Performance begrenzt werden. Wer nur eine kleine Firma oder einen kleinen Onlineshop betreibt, ist mit einem klassischen Host besser beraten. Großunternehmer und mittelständische Firmen sparen sich die IT Abteilung, da der Managed Server diese Dienstleistung beinhaltet und per Fernwartung vornimmt.

Software Defined Storage mit CEPH

, , ,

Datenwachstum als Herausforderung der IT

Das stetige Wachstum der Datenmengen ist ein Problem, dem sich jede IT-Abteilung früher oder später stellen muss. Nutzen Sie ausschließlich klassische Speicherlösungen wie SAN oder NAS müssen die zur Verfügung stehenden Kapazitäten irgendwann mühsam erweitert werden. Eine solche Maßnahme hat des öfteren auch eine kurze downtime zur Folge, da nicht jede Erweiterung im laufenden Betrieb möglich ist.

Damit stellt sich bereits ein weiteres großes Problem ein. Kunden erwarten heutzutage, dass IT-Services zu 100 % an jedem Tag und zu jeder Stunde verfügbar sind. Downtimes werden immer weniger toleriert, besonders im Bereich von Rechenzentren sowie des Hostings. Eine mögliche Lösung um diese Zeiten zu minimieren oder gar völlig auszuschließen bietet beispielsweise Software Defined Storage oder kurz SDS.

Ceph geht neue Wege

Ceph Architektur

Abbildung 1
Ceph Architektur

Schwierigkeiten bei Software Defined Storage

CEPH ist aber keineswegs perfekt und bringt selbstverständlich auch Nachteile mit sich. Ein Merkmal mit dem man sich vor der Inbetriebnahme auseinandersetzen muss, sind die Latenzen die SDS im Vergleich zu Direct Attached Storage (DAS) mit sich bringt. Die erhöhte Komplexität des Software Stacks in Kombination mit den verwendeten Netzwerkverbindungen erhöhen die Latenz pro IO signifikant.

Es erweist sich als äußerst schwierig die Latenz unter den Wert von einigen Millisekunden für Schreibvorgänge zu senken. Woher diese Latenz kommt lässt sich verdeutlichen, wenn man sich die Arbeitsweise von CEPH bei Schreibvorgängen etwas genauer betrachtet (Abbildung 2).

Ein synchroner IO muss vom Client zur primären OSD gesendet werden. Die primäre OSD schickt anschließend die Anzahl konfigurierter Replikationen zu weiteren OSD’s und deren Journalen. Sobald die Repliken auf den Journalen aller OSD’s vorliegen, wird der Vorgang an die primäre OSD bestätigt. Hat die primäre OSD nun alle Bestätigungen erhalten, wird eine Bestätigung an den Client gesendet und dieser kann den nächsten IO senden. Das verdeutlicht schon weshalb es bereits zu Latenzen innerhalb des Software Stacks kommt.

SDS mit Ceph - Arhcitektur

Abbildung 2

Zusätzlich spielt auch das eingesetzte Netzwerk bei Ceph eine entscheidende Rolle. Es gilt hier zunächst unnötige Hops zu vermeiden, da jeder Hop etwa 200us Latenz mit sich bringt. Ein 10GE Netzwerk gilt hierbei als das absolute Minimum, welches Sie beim Einsatz von Ceph oder einem anderen verteilten Speichersystem verwenden sollten. Das verringert Latenzen und erhöht die Bandbreite. Eine zusätzliche Verbesserung bringt Ihnen selbstverständlich der Einsatz von RDMA, jedoch müssen hier die Kosten beachtet werden. All diese Faktoren spielen eine wichtige Rolle und müssen optimiert werden um Latenzen unter dem 2ms Level zu erhalten und dabei eine Balance zwischen Kosten und Nutzen zu finden, was natürlich nicht immer einfach ist.

 

Anforderungen an eine gute SDS Lösung

Damit Sie nach der Einführung einer SDS Lösung wie Ceph nicht enttäuscht sind, gibt es einige Punkte zu beachten. SSDs oder (Enterprise SSD oder NVME SSD) für die Journale, in denen die Schreibvorgänge gecached werden, sowie ein 10GE Netzwerk sind nach herrschender Meinung innerhalb der Ceph Community und unseren eigenen Erfahrungen ein Muss. Für die OSD’s sollten nach Möglichkeiten SAS3 HDD’s verwendet werden. Es ist auch denkbar bei Bedarf einen Teil der OSD’s rein aus SSDs zu erstellen und gesondert zur Verfügung zu stellen. Wichtig ist zudem keine RAID Arrays zu verwenden. Ceph profitiert stark von vielen unabhängigen Festplatten. Einem schwerwiegenden Datenverlust entgehen Sie zudem indem Sie mehrere Server mit möglichst vielen Festplatten (OSD’s) bereitstellen

Die CPU sollte möglichst viele Prozessor-Kerne haben, und der Arbeitsspeicher mit etwa 1-2 GB pro OSD berechnet werden um hier keinen Flaschenhals zu generieren. Der Einsatz von RDMA muss wohl überlegt sein und kommt auf den speziellen Workload an. Werden extrem niedrige Latenzen und hohe Bandbreite über 10 GE benötigt bietet es sich eventuell eher an auf ein spezielles Storage System wie GPFS, BeeGFS oder Lustre  in Kombination mit Infiniband/Omnipath zu setzen.

Fazit zu Ceph

Zusammenfassend lässt sich sagen, dass Software Defined Storage definitiv eine gute Möglichkeit darstellt, um stetig wachsende Datenbestände einfacher zu verwalten. Jedoch hat Software Defined Storage genau wie jede andere Lösung gewisse Einschränkungen denen man sich bewusst sein muss. Im modernen IT-Betrieb wird man aber nicht auf SDS verzichten können. Die mitgebrachten Vorteile wie Skalierbarkeit, einfache Erweiterung und eine sehr hohe Verfügbarkeit werden zunehmend wichtiger.

Weiterführende Links zum Thema:

Sicherung von Windows Servern mit Online Backup von ahsay

, ,
Die Fortschritts-Anzeige der Online-Backup-Software

In diesem Tutorial beschreibe ich wie Sie auf einem Windows-Server die Online-Backup Software ahsay installieren und konfigurieren. Damit sind Sie in wenigen Minuten in der Lage ihre wichtigen Daten sicher in die Cloud übertragen und jederzeit wieder herzustellen.

Wenn Sie alle Schritte der Reihe nach durchführen, haben Sie hinterher eine regelmäßige Datensicherung, die ihre wichtigen Daten sicher und verschlüsselt regelmäßig (in der Regel täglich) in eines unserer Rechenzentren sichert.

Was Sie brauchen:

  • 10- 15 Minuten Zeit
  • Die Zugangsdaten zur Online-Backup-Software
  • Einen Windows Server
  • Zugang zum Internet

Hinweis: Die Zugangsdaten für den Online-Backup erhalten Sie von einem Mitarbeiter der Biteno GmbH. Sofern Sie den Online Backup zunächst nur testen möchten, so können Sie sich auch hier eine Test-Version frei schalten lassen.

Herunterladen und Konfigurieren der Online-Backup Software

Schalten Sie sich auf Ihren Windows-Host auf. Laden Sie im Browser (Internet- Explorer) die Software von ahsay herunter:  OBM: https://ob01.veryhost.com/obs/download/obm-win.exe. Speichern Sie die Datei unter z.B. unter c:\install  ab. Nach dem Sie die Datei herunter geladen haben, öffnen Sie bitte den Ordner und starten die Installation mit einem Doppelklick. Es öffnet sich der Assistent zur Installation der Software von Ahsay.

Nach der Installation der Online-Backup Software startet der Assistent

Nach der Installation der Online-Backup Software startet der Assistent

Doppelklicken Sie auf die Datei um die Installation zu starten. Akzeptieren Sie den vorgeschlagenen Pfad sowie die Lizenzbedingungen und klicken Sie auf „Fertigstellen“. Am Ende der Installation startet die Online-Backup-Software.

Bitte prüfen Sie, ob der korrekte Backup-Server eingetragen ist. Voreingestellt ist (bei Biteno) ob01.veryhost.com. Geben Sie im Folgenden ihren  Account-Namen und ihr Passwort ein.

Bitte geben Sie ihren Anmeldenamen sowie Ihr Passwort ein

Bitte geben Sie ihren Anmeldenamen sowie Ihr Passwort ein

 

Überblick über die Programm-Oberfläche

Nach dem Start sieht der Start-Bildschirm von ahsay wie folgt aus:

Übersicht der Oberfläche des Online-Backup

Übersicht der Oberfläche des Online-Backup

Unter (1) finden Sie die Aktionen zum sofortigen Sichern und Wiederherstellen von Daten. Im Punkt Optionen (2) können Sie neue Backup-Sets erstellen und bestehende ändern. In der Übersicht von (3) sehen Sie wieviel Gigabyte Sie bereits verwendet haben. Unter (4) können Sie die Protokolle der letzten Sicherungen bzw. Rücksicherungen einsehen.

Einrichten von Datei-Sicherungen

Um nun das erste so genannte Backup-Set einzurichten, gehen Sie wie volgt vor:

Klicken Sie auf das Getriebe-Symbol unten links. Anschließend klicken Sie auf das grüne ‚+‘ Symbol. Es öffnet sich der Assistent zum Einrichten eines neuen Backups:

Einrichten der Online-Backup Software

Einrichten der Online-Backup Software

Geben Sie dem Backup einen sprechenden Namen:

Da unter Ihrem Account mehrere Server mit mehreren Backups eingerichtet werden können, geben Sie dem jeweiligen Backup-Set bitte immer einen eindeutigen Namen (1). Wir empfehlen Ihnen dazu die folgende Konvention:

  • : Server01-DateiBackup.

Darunter wählen Sie die Backup-Art (Datei-Backup, Exchange, etc.) aus. Für Ihre erste Sicherung wählen Sie „Datei Backup“ aus. Damit können Sie alle lokalen Laufwerke sowie verbundene Netzwerklaufwerke sichern.

Eingeben der Windows-Konto Informationen in der Online-Backup Software

Eingeben der Windows-Konto Informationen in der Online-Backup Software

Geben Sie im Kasten darunter (2) den Benutzernamen, die Domäne und das Kennwort des Windows-Accounts ein. Bitte beachten Sie, daß dieser Account bzw online casino download. dieses Windows-Konto die notwendigen Rechte benötigt, um die zu sichernden Dateien zu lesen.

Backup-Quelle auswählen

Danach wählen Sie links „Backup-Quelle“ (1) und klicken rechts (2) auf „Fortgeschritten“. In der folgenden Maske wählen Sie links alle lokalen Laufwerke aus, die gesichert werden sollen und klicken anschließend auf „Okay“.

Auswahl der zu sichernden Ordner beim Online-Backup

Auswahl der zu sichernden Ordner beim Online-Backup

Backup-Zeitplan einrichten

Klicken Sie im linken Menüteil auf „“Backup-Zeitplan“ (1) und anschließend auf „Backup-Schedule“ – anschließend auf Eigenschaften (3).

Einstellen des passenden Zeitplans für die Datensicherung

Einstellen des passenden Zeitplans für die Datensicherung

Geben Sie dem Backup-Zeitplan einen eindeutigen Namen

  • Bsp: server01-daily

Stellen Sie anschließend unter 4 den richtigen Zyklus ein. Tag für täglich, Wochen für wöchentlich usw. Stellen Sie außerdem den frühesten Startzeitpunkt ein. Klicken Sie anschließend auf „Okay“ (5). Legen Sie die Uhrzeit, zu der die tägliche Datensicherung unterhalb der Woche startet, nach Möglichkeit soweit in den Abend, daß keine Anwender mehr gestört oder behindert wird.

Backup-Optionen

Unter dem Punkt Optionen im linken Menü unten finden Sie außerdem das Verzeichnis der temporären Auslagerung von Dateien. In dieses Verzeichnis werden während des Backups Dateien geschrieben.

Vielfältige Optionen zur Einstellung der Backup-Software

Vielfältige Optionen zur Einstellung der Backup-Software

Bitte stellen Sie unbedingt sicher, daß auf diesem Laufwerk ausreichend Platz vorhanden ist.Schließen Sie die Maske mit „Okay“ rechts unten.

 

Erste Online-Sicherung starten

Zum Starten der ersten Sicherung können Sie entweder die erste Ausführung des Backup-Schedule abwarten oder die Sicherung sofort manuell starten. Klicken Sie dazu in der Haupt-Maske auf „Sicherung“ (links) und wählen anschließend den passenden Backup-Satz (Backup-Set) aus. Nach wenigen Sekunden startet der Backup. Dabei erhalten Sie eine Anzeige, in der Sie den aktuellen Backup-Fortschritt sowie die noch verbleibende Dauer angezeigt bekommen.

Die Fortschritts-Anzeige der Online-Backup-Software

Die Fortschritts-Anzeige der Online-Backup-Software

Internet-Bandbreite für die Erst-Sicherung

Bitte beachten Sie beim ersten Start Ihres Online-Backup folgendes: Eine Online-Sicherung belegt – vor allem nach dem ersten Start – ihre  Internet-Bandbreite. Sofern möglich sollten Sie die erste Sicherung eines Servers in die frühen Abendstunden legen. So können Sie während der Nachtstunden die volle Bandbreite nutzen.

Wichtig: Sehr große Erst-Sicherungen (> 100 GB) sollten Sie bevorzugt auf einen Freitag legen. So können Sie die Zeit des Wochenendes mit nutzen, in der in Ihrem Netzwerk meistens niemand arbeitet und damit die Bandbreite frei ist.

In Ihrem eigenen Interesse empfehlen wir Ihnen, die Sicherung am darauffolgenden Tag zu prüfen. Dies können Sie am einfachsten mit der Logging-Funktion der Online-Backup Software erreichen, in der alle gesicherten Dateien protokolliert werden.

Wichtige Hinweis zur Nutzung der Online-Backup Software

Sie erhalten bei der Einrichtung Ihres Accounts/Kontos in der Online-Backup Software einen Benutzernamen und ihr Kennwort.

Wichtig: Das erste vergebene Passwort wird von der Backup Software verwendet und gespeichert, um damit die nachfolgenden Datensicherungen zu verschlüsseln.

Sie können ihr Passwort jederzeit ändern – allerdings benötigen Sie zur Entschlüsselung Ihrer Dateien bei einem Restore bzw. einer Wiederherstellung ihr erstes Passwort.

Daher: Bitte bewahren Sie ihr erstes Passwort an einem sicheren Ort auf – sie werden es bei einer Wiederherstellung Ihrer Daten brauchen

 

Weiterführende Links

 

Haben Sie Fragen zu Online-Backups oder Managed Backup? Unsere freundlichen Vertriebs-Mitarbeiter erklären Ihnen gerne die Vorteile einer ausgelagerten Datensicherung.

Übrigens: Die Online-Backup Lösung der Biteno GmbH können Sie 30 Tage lang unverbindlich testen. Sprechen Sie uns gerne dazu an – wir freuen uns auf Ihren Kontakt.

Wie Sie firewalld unter Centos 7 nutzen

, ,
Passwort-Manager

firewalld ist eine komplette Firewall-Lösung, die standardmäßig auf CentOS 7 Servern verfügbar ist. Während unter Centos 6 noch iptables zum Einsatz kam, wird unter Centos 7 mit dem Dienst-Programm firewalld gearbeitet. In diesem Tutorial erklären wir, wie Sie als Linux-Administrator eine Firewall für Ihren Centos 7 Server mit firewalld einrichten und Ihnen die Grundlagen der Verwaltung der Firewall mit der firewall-cmd-Befehlszeile erklären.

Grundkonzepte in firewalld

Bevor wir anfangen, wie man das Firewall-cmd-Dienstprogramm zur Verwaltung Ihrer Firewall-Konfiguration verwendet, sollten wir uns mit einigen grundlegenden Konzepten von firewalld vertraut machen.

Zonen in firewalld

Der firewalld Dienst schützt ihren Centos 7 Server

Der firewalld Dienst schützt ihren Centos 7 Server

Der firewalld-Daemon verwaltet Gruppen von Regeln mit Elementen (bzw. Entitäten), die „Zonen“ genannt werden. Zonen sind im Wesentlichen Mengen von Regeln, die definieren, welchen Verkehr je nach dem Vertrauensniveau erlaubt werden soll, das Sie in den Netzwerken haben, mit denen Ihr Computer gerade verbunden ist. Netzwerkschnittstellen werden einer Zone zugeordnet, um das Verhalten zu bestimmen, das die Firewall zulassen soll.

Für Computer, die sich häufig zwischen Netzwerken (WLAN, Arbeit, Zuhause, …) bewegen können (wie Laptops), bietet diese Art von Flexibilität eine gute Methode, um Ihre Regeln abhängig von Ihrer aktuellen Netzwerk-Umgebung zu ändern. Sie können strenge Regeln an Orten verbieten die meisten Verkehr beim Betrieb auf einem öffentlichen WiFi-Netzwerk, während ermöglicht mehr entspannte Einschränkungen, wenn mit Ihrem Heimnetzwerk verbunden. Für einen Server sind diese Zonen nicht so wichtig, da sich die Netzwerkumgebung nur selten ändert.

Unabhängig davon, wie dynamisch Ihre Netzwerkumgebung sein mag, ist es immer noch sinnvoll, mit der allgemeinen Idee hinter jeder der vordefinierten Zonen für firewalld vertraut zu sein. Nachfolgend finden Sie die Zonen die standardmässig in firewalld vorhanden sind, In der Reihenfolge von den wenigsten vertrauenswürdigen zu den meisten vertrauenswürdigen:

  • drop: das niedrigste Vertrauensniveau. Alle eingehenden Verbindungen werden ohne Antwort abgelegt und nur ausgehende Verbindungen (vom Laptop oder Server) sind möglich.
  • block: Ähnlich wie „drop“, aber anstatt einfach nur Verbindungen zu verschieben, werden eingehende Anfragen mit einer icmp-host-deny oder icmp6-adm-deny Nachricht abgelehnt. Im Gegensatz zu oben erhält der Absender also wenigstens eine Antwort
  • public: Repräsentiert öffentliche, nicht vertrauenswürdige Netzwerke. Sie vertrauen anderen Computern nicht, sondern können ausgewählte eingehende Verbindungen von Fall zu Fall zulassen.
  • external: Externe Netzwerke für den Fall, dass Sie die Firewall als Gateway verwenden. Hier ist firewalld für NAT-Masquerading konfiguriert, so dass etwa Ihr internes Netzwerk privat aber erreichbar ist.
  • internal: Die andere Seite der externen Zone, die für den internen Teil eines Gateways verwendet wird. Die Computer sind ziemlich vertrauenswürdig und einige zusätzliche Dienste sind verfügbar.
  • dmz: Wird für Computer verwendet, die sich in einer DMZ befinden (DMZ = demilitarisierte Zone, in der Regel innerhalb eines Rechenzentrums und zwischen zwei Firewalls). Es sind nur bestimmte eingehende Verbindungen erlaubt.
  • work: Wird für PCs & Workstation verwendet. Vertraut den meisten Computer im Netzwerk. Ein paar weitere Dienste sind erlaubt.
  • home: Eine häusliche Umgebung. Es bedeutet im Allgemeinen, dass Sie die meisten anderen Computer vertrauen und dass weitere Dienste akzeptiert werden.
  • trusted: Vertraut allen Maschinen im Netzwerk. Diese offenste der verfügbaren Optionen von firewalld sollte sparsam verwendet werden.

Um die Firewall nutzen zu können, können wir Regeln erstellen und die Eigenschaften der verwendeten Zonen verändern und anschließend unsere Netzwerkschnittstellen den Zonen zuordnen.

Regelbeständigkeit von firewalld

In firewalld können Regeln als permanent oder „immediate“ (im Sinne von „sofort“) bezeichnet werden. Wenn eine Regel hinzugefügt oder geändert wird, wird standardmäßig das Verhalten der aktuell laufenden Firewall geändert und der –immediate Zusatz verwendet. Beim nächsten Stiefel werden die alten Regeln zurückgesetzt – d.h. Änderungen mit „—immediate“ sind nach einem Neustart des firewalld-Dienstes verloren

Bei den meisten Firewall-cmd-Operationen können Sie den –permanent-Zusatz nutzen, um anzugeben, dass nicht die aktuell kaufende Konfiguration gemeint ist, sondern die langfristig gespeicherte. Dies wirkt sich auf den Regelsatz aus, der beim Start von firewalld neu geladen wird. Diese Trennung bedeutet, dass Sie Regeln in Ihrer aktiven Firewall-Instanz testen und dann neu laden können, wenn es Probleme gibt. Sie können auch die –permanent-Flagge verwenden, um einen ganzen Satz von Regeln über die Zeit aufzubauen, die alle sofort angewendet werden, wenn der Reload-Befehl ausgegeben wird.

Starten von firewalld

Bevor Sie anfangen können, Firewall-Regeln mit firewalld zu erstellen, müssen wir den eigentlichen Dienst unter Centos 7 starten. Die Systemdatendatei dazu heißt firewalld.service. Wir können den Dämon für diese Sitzung starten, indem wir folgendes eingeben:

sudo systemctl start firewalld.service

 

Sie können überprüfen, ob der Service läuft und erreichbar ist:

firewall-cmd – State

Sie sehen nun, daß ihr Firewall unter Centos 7 mit der Standardkonfiguration läuft und läuft.

An diesem Punkt werden wir den Service (noch) nicht aktivieren. Die Aktivierung des Dienstes würde dazu führen, dass die Firewall beim Booten gestartet wird. Sie sollten warten, bis Sie ihre Firewall-Regeln fertig erstellt haben und außerdem Gelegenheit hatten, sie zu testen, bevor wir den Dienst beim Starten konfigurieren. So vermeiden Sie , vom Host geblockt zu werden, für den Fall dass etwas schief geht.

firewalld – Basics

Die meisten Kommandos für den firewall-Dienst werden auf der Kommando-Zeile eingegeben

Die meisten Kommandos für den firewall-Dienst werden auf der Kommando-Zeile eingegeben

Bevor wir anfangen, Änderungen vorzunehmen, sollten wir uns mit der Standardumgebung und den Regeln des Dämons vertraut machen.

Standard-Einstellungen von firewalld

Wir können sehen, welche Zone derzeit als Voreinstellung ausgewählt ist, indem Sie Folgendes eingeben:

firewall-cmd –get-default-zone

Ausgabe

public

Da wir Firewall bisher keine konkreten Befehle gegeben haben, die von der Standardzone abzuweichen, und keine unserer Schnittstellen konfiguriert ist, um Sie etwa an eine andere Zone zu binden, ist diese Zone auch die einzige „aktive“ Zone (die Zone, die den Verkehr für unsere kontrolliert Schnittstellen). Sie können das überprüfen, in den Sie folgendes eingeben:

firewall-cmd –get-active-zone

 

Ausgabe:

Public

Interfaces: eth0 eth1

Hier sehen wir, dass wir zwei Netzwerkschnittstellen (eth0 und eth1) haben, die von der Firewall  gesteuert werden. Sie werden beide derzeit nach den für die öffentliche Zone festgelegten Regeln verwaltet.

Wie können Sie nun heraus finden, welche Regeln mit der öffentlichen Zone verbunden sind? Wir können die Konfiguration der Standardzone anzeigen lassen, indem wir Folgendes eingeben:

firewall-cmd –list-all

Ausgabe

Public (Standard, aktiv)

Interfaces: eth0 eth1

sources:

services: dhcpv6-client ssh

ports:

Wir können aus der Ausgabe ableiten, dass diese Zone sowohl die Vorgabe als auch die aktive ist und dass die eth0- und eth1-Schnittstellen mit dieser Zone verbunden sind. Allerdings können wir auch sehen, dass diese Zone die normalen Operationen mit einem DHCP-Client (für IP-Adresszuweisung) und SSH (für Remote-Administration) ermöglicht.

Erforschung alternativer Zonen

Jetzt haben wir eine gute Vorstellung von der Konfiguration für die Standard- und Aktivzone. Wir können auch Informationen über andere Zonen herausfinden.

Um eine Liste der verfügbaren Zonen zu erhalten, geben Sie Folgendes ein:

firewall-cmd -get-zonen

Ausgabe

block dmz drop external home internal public trusted work

Sie können sich die spezifische Konfiguration, die mit einer Zone verbunden ist, anschauen, indem sie den Parameter –zone = in den –list-all-Befehl einfügen:

firewall-cmd – zone = home –list-all

 

Ausgabe

home

Schnittstellen:

sources:

services: dhcpv6-client ipp-client mdns samba-client ssh

ports:

Sie können alle Zonendefinitionen mit der Option –list-all-zones ausgeben. Zur besseren Lesbarkeit sollten Sie den Befehl dann mit „|less“ oder „|more“ kombinieren

firewall-cmd –list-all-zonen | less

 

Auswählen von Zonen für Ihre Netzwerk-Schnittstellen

Sofern Sie nicht Ihre Netzwerkschnittstellen anders konfiguriert haben, wird jedes Interface (also die  Schnittstelle) in die Standardzone gesetzt, wenn die Firewall gebootet wird.

Ändern der Zone einer Schnittstelle für die aktuelle Sitzung

Sie können eine Schnittstelle zwischen den Zonen während einer Sitzung übergeben, indem Sie den Parameter –zone = in Verbindung mit dem Parameter –change-interface = verwenden. Wie bei allen Befehlen, die die Firewall ändern, müssen Sie sudo verwenden.

Zum Beispiel können wir unsere eth0-Schnittstelle in die „home“ -Zone übergehen, indem wir folgendes eingeben:

sudo firewall-cmd – zone = home – change-interface = eth0

Immer wenn Sie eine Schnittstelle zu einer neuen Zone übergeben, sollten Sie sich darüber bewusst sein, dass Sie wahrscheinlich die Dienste ändern, die in Betrieb sein werden. Zum Beispiel bewegen wir uns hier in die „home“ Zone, die SSH zur Verfügung stellt. Das bedeutet, dass unsere Verbindung nicht unterbrochen werden sollten. Einige andere Zonen sind standardmäßig nicht SSH aktiviert und wenn Ihre Verbindung unter Verwendung einer dieser Zonen gekappt wird, können Sie sich nicht wieder anmelden.

Sie überprüfen, dass dies erfolgreich war, indem wir wieder nach den aktiven Zonen fragen:

firewall-cmd –get-active-zonen

 

Wenn die Firewall komplett neu gestartet wird, wechselt die Schnittstelle zur Standardzone:

sudo systemctl restart firewalld.service

firewall-cmd –get-active-zonen

Ausgabe

public

interfaces: eth0 eth1

Zone Ihrer Schnittstelle dauerhaft ändern

Mehr Sicherheit mit der richten Firewalld-Konfiguration unter Centos 7

Mehr Sicherheit mit der richten Firewalld-Konfiguration unter Centos 7

Schnittstellen werden immer auf die Standardzone zurückgesetzt, wenn sie keine alternative Zone haben, die in ihrer Centos  Konfiguration abgespeichert ist. Bei CentOS 7 sind diese Konfigurationen im Verzeichnis /etc/sysconfig/network-scripts mit Dateien des Formats ifcfg-<interface-name> definiert.

Um eine Zone für das Interface zu ändern, öffnen Sie die Datei, die mit der Schnittstelle verknüpft ist, die Sie ändern möchten. Bsp mit eth0 (erste Netzwerkkarte):

vi /etc/sysconfig/network-scripts/ifcfg-eth0

Am unteren Rand der Datei setzen Sie die ZONE = Variable auf die Zone, die Sie mit der Schnittstelle verknüpfen möchten. In unserem Fall wäre das die „home“ -Schnittstelle:

/ etc/sysconfig/network-scripts/ifcfg-eth0

ZONE = home

Speichern und schließen Sie die Datei. (:wq in vi)

Um Ihre Änderungen zu übernehmen, müssen Sie den Netzwerkdienst neu starten – anschließend das Gleiche mit dem firewalld -Dienst:

sudo systemctl restart network.service

sudo systemctl restart firewalld.service

Nachdem Ihre Firewall neu gestartet wurde, können Sie sehen, dass Ihre eth0-Schnittstelle automatisch in die „home“ gesetzt wird:

firewall-cmd –get-active-zones

Ausgabe

home

interfaces: eth0

public

interfaces: eth1

Falls dies nicht die tatsächliche Zone ist, die Sie für diese Schnittstelle verwenden möchten, so machen Sie diese Einstellung einfach wieder rückgängig und starten die beiden Dienste erneut

Einstellen der Standardzone

Wenn Sie alle Ihre Schnittstellen  in einer einzigen Zone verwalten können, ist es wahrscheinlich einfacher, die für Ihren Einsatzzweck passendste Standardzone auszuwählen und diese dann diese für Ihre Konfiguration zu verwenden.

Sie können die Standardzone mit dem Parameter –set-default-zone = jederzeit ändern. Dadurch wird sofort eine beliebige Schnittstelle geändert, die auf die Voreinstellung der neuen Zone zurückgefallen ist:

sudo firewall-cmd –set-default-zone = home

Ausgabe

home

interfaces: eth0 eth1

Festlegung von Regeln für Ihre Dienste & Anwendungen

Die grundsätzlich Art und Weise, Firewall-Ausnahmen für die Dienste zu definieren, die Sie zur Verfügung stellen möchten, ist einfach

Hinzufügen eines Dienstes zu Ihren Zonen

Die einfachste Methode ist es, die Dienste oder Ports, die Sie benötigen, den Zonen zuzuweisen, die Sie hauptsächlich verwenden. Auch hier können Sie mit der Option –get-services eine Liste der verfügbaren Dienste abrufen:

firewall-cmd -get-services

output

dhcp dhcpv6 dhcpv6-client dns ftp … (gekürzt) samba-client smtp ssh telnet tftp tftp-client vnc-server

Hinweis

Sie können weitere Einzelheiten zu jedem dieser Dienste erhalten, indem Sie ihre zugehörige XML-Datei im Verzeichnis/usr/lib/firewalld/services betrachten. Zum Beispiel ist der SSH-Service wie folgt definiert:

/usr/lib/firewalld/services/ssh.xml

<? Xml version = „1.0“ encoding = „utf-8“?>

<Service>

<Short> SSH </ short>

<Description> Secure Shell (SSH) ist ein Protokoll für die Anmeldung und Ausführung von Befehlen auf entfernten Rechnern. Es bietet sichere verschlüsselte Kommunikation. Wenn Sie planen, auf Ihre Maschine remote über SSH über eine Firewall-Schnittstelle zuzugreifen, aktivieren Sie diese Option. Sie benötigen das für diese Option installierte openssh-Serverpaket. </ Description>

<Port protocol = „tcp“ port = „22“ />

</ Service>

Sie können einen Dienst einer Zone mit dem Parameter –add-service = hinzufügen. Die Operation wirkt sich auf die Standardzone oder die Zone, die durch den Parameter –zone = angegeben wird aus. Standardmäßig wird nur die aktuelle Firewall-Sitzung angepasst. Sie können die permanente Firewall-Konfiguration anpassen, indem Sie das –permanent-Flag hinzu fügen..

Wenn wir zum Beispiel einen Webserver mit konventionellem HTTP-Verkehr betreiben, können wir diesen Datenverkehr für Schnittstellen in unserer „öffentlichen“ Zone für diese Sitzung zulassen, indem Sie Folgendes eingeben:

sudo firewall-cmd –zone = public –add-service = http

Sie können den Zusatz „–zone =“ weglassen, wenn Sie die Standardzone ändern möchten. Sie können überprüfen, ob die Operation erfolgreich war, indem Sie die –list-all- oder –list-services-Operationen verwenden:

firewall-cmd – zone = public –list-services

Ausgabe

dhcpv6-client http ssh

Sobald Sie getestet haben, dass alles so funktioniert, wie es sollte, werden Sie wahrscheinlich die permanenten Firewall-Regeln ändern, damit Ihr Service nach einem Neustart weiterhin verfügbar ist. Wir können Zonenänderung der „public“-Zone durch Eingabe durchführen:

sudo firewall-cmd –zone = public –permanent –add-service = http

Sie können überprüfen, ob dies erfolgreich war, indem Sie das –permanent-Flag zum –list-services-Vorgang hinzufügen. Sie müssen sudo für – permanent Abfragen verwenden:

sudo firewall-cmd –zone = public –permanent –list-services

Ihre „public“ Zone erlaubt nun den HTTP-Webverkehr auf Port 80. Wenn Ihr Webserver für die Verwendung von SSL/TLS konfiguriert ist, möchten Sie auch den https-Dienst hinzufügen. Wir können das in der aktuellen Session hinzufügen und die permanente Regel aktivieren bzw. speichern durch Eingabe von:

sudo firewall-cmd – zone = public –add-service = https

sudo firewall-cmd –zone = public –permanent –add-service = https

Wenn kein entsprechender Service vorhanden ist?

Die Firewall-Services, die in der firewalld-Installation enthalten sind, stellen viele der häufigsten Anforderungen für Anwendungen dar, auf die Sie Zugriff haben können. Allerdings kann es Anwendungsfälle geben, in denen diese Dienste nicht Ihren Anforderungen entsprechen.

In dieser Situation haben Sie zwei Möglichkeiten.

Öffnen eines Ports für ihre Zonen

Der einfachste Weg, um Unterstützung für Ihre spezifische Anwendung hinzuzufügen, ist, die Ports zu öffnen, die es in der entsprechenden Zone (n) verwendet. Dies ist so einfach wie die Angabe der Port- oder Port-Bereich und das zugehörige Protokoll für die Ports, die Sie öffnen müssen.

Zum Beispiel, wenn unsere Anwendung auf Port 5000 läuft und TCP verwendet, könnten wir dies in der „public“ Zone für diese Sitzung mit dem Parameter –add-port = hinzufügen. Protokolle können dabei entweder tcp oder udp sein:

sudo firewall-cmd – zone = public –add-port = 5000/tcp

Sie können überprüfen, dass dies mit der Anwendung –list-ports erfolgreich war:

firewall-cmd –list-Ports

Ausgabe

5000/tcp

Es ist auch möglich, einen sequentiellen Bereich von Ports zu spezifizieren, indem der Anfangs- und End-Port im Bereich mit einem Bindestrich getrennt wird. Zum Beispiel, wenn unsere Anwendung UDP-Ports 4990 bis 4999 verwendet, könnten wir diese auf „public“ durch die folgende Eingabe einstellen:

sudo firewall-cmd – zone = public –add-port = 4990-4999/udp

Nach dem Testen würden wir diese wahrscheinlich der permanenten Firewall hinzufügen wollen. Sie können das tun, indem Sie folgendes eingeben:

sudo firewall-cmd – zone = public –permanent –add-port = 5000/tcp

sudo firewall-cmd – zone = public –permanent –add-port = 4990-4999/udp

sudo firewall-cmd –zone = public –permanent –list-ports

Ausgabe:

4990-4999/udp 5000/tcp

 

Einen Dienst definieren

Blog kein Loch in die Centos Firewall "bohren" ...

Blog kein Loch in die Centos Firewall „bohren“ …

Bestimmte Ports für eine Zone zu öffnen ist einfach. Es kann auf Dauer aber schwierig sein, den Überblick zu behalten, welcher Port-Wert zu welchem Dienst gehört. Wenn Sie jemals einen „Service“ auf Ihrem Server ausschalten, können Sie sich vielleicht nur schwer daran erinnern, welche Ports, die geöffnet wurden, noch erforderlich sind. Um diese Situation zu entschärfen, ist es möglich, eigene Services zu definieren.

Services sind einfach Sammlungen von Ports mit einem zugehörigen Namen und einer Beschreibung. Die Verwendung von Diensten ist einfacher zu verwalten als Ports, erfordert aber etwas Vorarbeit in der Konfiguration von Centos 7. Der einfachste Weg ist das Kopieren eines vorhandenen Skripts (zu finden in/usr/lib/firewalld/services) in das Verzeichnis/etc/firewalld/services, in dem die Firewall nach Nicht-Standarddefinitionen für firewalld sucht.

Zum Beispiel könnten wir die SSH-Service-Definition kopieren, um für unsere „Beispiel“ Service-Definition wie diese zu verwenden. Der Dateiname abzüglich des .xml-Suffixes bestimmt den Namen des Dienstes in der Liste der Firewall-Dienste:

cp /usr/lib/firewalld/services/service.xml /etc/firewalld/services/beispiel.xml

Nun können Sie die Definition in der Datei, die Sie kopiert haben, anpassen:

Sudo nano /etc/firewalld/services/beispiel.xml

Zum Starten enthält die Datei die SSH-Definition, die Sie kopiert haben:

/etc/firewalld/services/beispiel.xml

<? Xml version = „1.0“ encoding = „utf-8“?>

<Service>

<Short> SSH </ short>

<Description> Secure Shell (SSH) ist ein Protokoll für die Anmeldung und Ausführung von Befehlen auf entfernten Rechnern. Es bietet sichere verschlüsselte Kommunikation. Wenn Sie planen, auf Ihre Maschine remote über SSH über eine Firewall-Schnittstelle zuzugreifen, aktivieren Sie diese Option. Sie benötigen das für diese Option installierte openssh-Serverpaket. </ Description>

<Port protocol = „tcp“ port = „22“ />

</ Service>

Der Großteil dieser Definition sind eigentlich Metadaten. Sie werden vermutlich am besten den Kurznamen für den Dienst innerhalb der <short> -Tags ändern. Dies ist ein besser lesbarer Name für Ihren Service. Sie sollten ebenfalls eine Beschreibung hinzufügen, so dass Sie mehr Informationen haben, wenn Sie den Service prüfen (und vorher nicht mehr wissen, wofür er gedacht ist).

Die einzige Ändreug, die Sie machen müssen, die tatsächlich die Funktionalität des Dienstes beeinflusst, wird wahrscheinlich die Port-Definition sein, wo Sie die Portnummer und das Protokoll identifizieren, die Sie öffnen möchten. Dies kann mehrfach angegeben werden.

Für unseren „Beispiel“ -Dienst stellen Sie sich vor, dass wir Port 7777 für TCP und 8888 für UDP öffnen müssen. Wir könnten die bestehende Definition etwas folgendermaßen  ändern:

/etc/firewalld/services/beispiel.xml

<? Xml version = „1.0“ encoding = „utf-8“?>

<Service>

<Short> Beispiel Service </ short>

<Description> Dies ist nur ein Beispiel Service. Es sollte wohl nicht auf einem realen System verwendet werden. </ Description>

<Port protocol = „tcp“ port = „7777“ />

<Portprotokoll = „udp“ Port = „8888“ />

</ Service>

Speichern und schließen Sie die Datei. Laden Sie Ihre Firewall neu, um Zugang zu Ihrem neuen Service zu erhalten:

sudo firewall-cmd – reload

Sie können sehen, dass es jetzt unter der Liste der verfügbaren Dienste ist:

firewall-cmd -get-services

Ausgabe

RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns Beispiel ftp hochverfügbarkeit http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy Pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client übertragung-client vnc-server wbem-https

Sie können diesen Service jetzt in all Ihren Zonen verwenden.

Eigene Zonen in firewalld erstellen

Während die vordefinierten Zonen für die meisten Benutzer wahrscheinlich mehr als ausreichend sind, kann es hilfreich sein, eigene Zonen zu definieren, die etwa eine andere Benennung oder Beschreibung haben.

Zum Beispiel möchten Sie vielleicht eine Zone für Ihren Webserver mit dem Namen „publicweb“ erstellen. Allerdings möchten Sie vielleicht eine andere Zone für den DNS-Dienst konfigurieren, den Sie in Ihrem privaten Netzwerk bereitstellen. Vielleicht möchten Sie eine Zone namens „privateDNS“ dafür.

Beim Hinzufügen einer Zone müssen Sie diese der permanenten Firewall-Konfiguration hinzufügen. Sie können die Definition dann erneut laden, um die Konfiguration in Ihrer laufenden Sitzung zu verwenden. Zum Beispiel könnten wir die beiden Zonen, die wir oben besprochen haben, wie folgt erzeugen:

sudo firewall-cmd –permanent –new-zone = publicweb

udo firewall-cmd –permanent –new-zone = privateDNS

Sie können überprüfen, ob diese in Ihrer permanenten Konfiguration vorhanden sind, indem Sie Folgendes eingeben:

sudo firewall-cmd –permanent –get-zonen

Ausgabe

block dmz drop external home internal privateDNS public publicweb trusted work

Wie bereits erwähnt, sind diese in der aktuellen Instanz der Firewall noch nicht verfügbar:

firewall-cmd -get-zonen

Ausgabe

block dmz drop external home internal public trusted work

Laden Sie die Firewall neu, um diese neuen Zonen zu aktivieren:

sudo firewall-cmd – reload

firewall-cmd -get-zonen

Ausgabe

block dmz drop external home internal privateDNS public publicweb trusted work

Jetzt können Sie anfangen, die entsprechenden Dienste und Ports zu Ihren Zonen zuzuordnen. Es ist normalerweise eine gute Idee, die aktive Instanz anzupassen und diese Änderungen nach dem Testen in die permanente Konfiguration zu übertragen. Zum Beispiel können Sie für die „publicweb“ -Zone die SSH-, HTTP- und HTTPS-Dienste hinzufügen:

sudo firewall-cmd – zone = publicweb –add-service = ssh

sudo firewall-cmd –zone = publicweb –add-service = http

sudo firewall-cmd –zone = publicweb –add-service = https

firewall-cmd –zone = publicweb –list-all

Ausgabe

Publicweb

(…)

Ebenso können wir den DNS-Service in unsere Zone „privateDNS“ hinzufügen:

sudo firewall-cmd – zone = privateDNS –add-service = dns

firewall-cmd –zone = privateDNS –list-all

Ausgabe

PrivateDNS

Wir könnten dann unsere Interfaces (z.B. eth0) zu diesen neuen Zonen ändern, um sie auszuprobieren:

sudo firewall-cmd – zone = publicweb – change-interface = eth0

sudo firewall-cmd – zone = privateDNS – change-interface = eth1

An dieser Stelle haben Sie die Möglichkeit, Ihre Konfiguration zu testen. Wenn diese Werte für Sie zufriedenstellen funktionieren, wollen Sie die gleichen Regeln der permanenten Konfiguration hinzufügen. Sie können das tun, indem Sie die Regeln mit dem –permanent-Flag erneut anwenden:

sudo firewall-cmd –zone = publicweb –permanent –add-service = ssh

sudo firewall-cmd –zone = publicweb –permanent –add-service = http

sudo firewall-cmd –zone = publicweb –permanent –add-service = https

sudo firewall-cmd –zone = privateDNS –permanent –add-service = dns

Sie können anschließend Ihre Netzwerkschnittstellen ändern, um automatisch die richtigen Zonen auszuwählen. Wir können etwa die eth0-Schnittstelle mit der „publicweb“ -Zone verbinden:

vi /etc/sysconfig/network-scripts/ifcfg-eth0

/etc/sysconfig/network-scripts/ifcfg-eth0

ZONE =publicWeb

Und Sie können die eth1-Schnittstelle mit „privateDNS“ verknüpfen:

vi/etc/sysconfig/network-scripts/ifcfg-eth1

/etc/sysconfig/network-scripts/ifcfg-eth1

ZONE = privateDNS

Anschließend können Sie Ihre Netzwerk- und Firewall-Services neu starten:

sudo systemctl restart Netzwerk

sudo systemctl restart firewalld

 

Überprüfen der korrekten Zuweisung  der Zone(n)

firewall-cmd –get-active-zonen

Ausgabe

PrivateDNS

interfaces: eth1

Publicweb

interfaces: eth0

So prüfen Sie, dass die entsprechenden Dienste für beide Zonen zur Verfügung stehen:

firewall-cmd –zone = publicweb –list-services

Ausgabe

Http htpps ssh

firewall-cmd –zone = privateDNS –list-services

Ausgabe

Dns

Sie haben Ihre eigenen Zonen erfolgreich eingerichtet. Wenn Sie eine dieser Zonen als Standard für andere Schnittstellen machen möchten, denken Sie daran, dieses Verhalten mit dem Parameter –set-default-zone = <ZONE> zu konfigurieren:

Sudo firewall-cmd –set-default-zone = publicweb

Aktivieren des firewalld Dienstes beim Booten

Am Anfang des Tutorials haben wir unseren Firewall-Service gestartet, aber ihn (noch) nicht aktiviert. Wenn Sie jetzt mit Ihrer aktuellen Konfiguration für den firewalld-Dienst zufrieden sind und ihn getestet haben, können Sie den Service aktivieren damit er beim nächsten Reboot des Centos 7 Servers startet.

Das erledigen Sie mit dem Kommando:

sudo systemctl enable firewalld

Wenn der Server neu gestartet wird, sollte ihre Firewall gestartet werden, deine Netzwerkschnittstellen sollten in den  von Ihnen konfigurierten Zonen gelegt werden (oder auf die konfigurierte Standardzone zurückgreifen), und die Regeln, die mit der Zone (n) verknüpft sind, werden auf die zugehörigen Schnittstellen angewendet.

Fazit zu firewalld unter Centos 7

Sie sollten nun ein gutes Verständnis dafür haben, wie Sie den firewalld-Service auf Ihrem CentOS-7-System für den täglichen Gebrauch verwalten können.

Mit dem firewalld-Dienst können Sie Wartungsregeln und Regelsätze konfigurieren, die Ihre konkrete Netzwerkumgebung berücksichtigen. Es ermöglicht Ihnen, nahtlos zwischen verschiedenen Firewall-Richtlinien durch die Verwendung von Zonen zu wechseln und gibt Ihnen bzw. Administratoren die Möglichkeit, das Port-Management in „freundlichere“ Service-Definitionen zu abstrahieren.

Sollten Sie konkrete Fragen zum Einsatz von Centos 7 oder firewalld in der Praxis haben, so stehen Ihnen die IT-Experten vom IT-Dienstleister Biteno GmbH gerne zur Verfügung.

 

Hinweis: Dieser Artikel ist eine sinngemäße Übersetzung von https://www.digitalocean.com/community/tutorials/how-to-set-up-a-firewall-using-firewalld-on-centos-7

 

So finden Sie das optimale WordPress-Hosting

, ,

Eine Website mit dem weltweit beliebtesten Content Management System WordPress (kurz WP) aufzubauen ist generell eine gute Idee. Das CMS ist benutzerfreundlich und durch Plugins sowie Themes leicht erweiterbar – und natürlich Opensource-Software. Damit eine WP-Site aber problemlos funktioniert, müssen zuvor bestimmte Hosting-Anforderungen erfüllt werden. In diesem Artikel erfahren Sie, worauf Sie beim WordPress-Hosting achten müssen.

Dies brauchen Sie, um eine WP-Website zu betreiben.

Das Logo von WordPress - das beliebteste CMS weltweit

Das Logo von WordPress – das beliebteste CMS weltweit

WordPress  arbeitet mit der Skriptsprache PHP und einer MySQL-Datenbank. Diese Features müssen in einem Hosting-Tarif enthalten sein, um das System zum Laufen zu bringen. Bevor Sie jetzt nach dem günstigsten Hosting-Tarif mit PHP und MySQL Ausschau halten, sollten Sie einige zukunftsorientierte Eigenschaften berücksichtigen, die die Besucherzahlen und das SEO-Potenzial Ihrer Website stark beeinflussen. Sie möchten doch, dass möglichst viele Besucher Ihre Website finden?

 Dieses Ziel können Sie viel leichter erreichen, wenn Ihre Website weit oben in den Suchergebnissen bei Google oder Bing auftaucht. Hohe Rankings sind wiederum nur dann möglich, wenn die Website schnell funktioniert und suchmaschinenoptimiert ist.

Geschwindigkeit ihrer WordPress Website

Nicht nur Menschen, auch Google hat keine Lust auf langsam ladende  Websites zu warten. Langsame Internetpräsenzen haben keine Chance auf hohe Positionen. Sowohl die Geschwindigkeit als auch das SEO-Potenzial (engl. SEO = Search Engine Optimization, dt. Suchmaschinen-Optimierung) hängen zum Teil von dem Hosting-Tarif ab. Je mehr Benutzer gleichzeitig eine WordPress -Site benutzen, desto stärker wird der Server beansprucht, auf dem die Website liegt. Wenn Sie sich für einen günstigen Shared-Hosting-Tarif entscheiden, erhalten Sie lediglich einen Teil der Leistungskapazität eines Servers.

Server-Hardware wie CPU oder Arbeitsspeicher wird unter verschiedenen Kunden geteilt. Wenn also einer dieser Kunden mehrere Websites in Rahmen eines Tarifs hostet und andere performance-lastige Operationen durchführt, können Sie dies unter Umständen zu spüren bekommen – genauer mit langsameren Ladezeiten ihrer WordPress Installation.

Um dies zu verhindern, legen viele Provider Limits fest. Hier sollten Sie auf das so genannte Memory-Limit (von PHP) achten. Je mehr Plugins Sie in WP aktivieren und je mehr Besucher die Site benutzen desto größer wird der Arbeitsspeicher-Bedarf für PHP. Der Hosting-Tarif sollte mindestens 128MB Memory-Limit bieten. Für große WP-Sites wie Onlinestores mit WooCommerce sollten mindestens 256MB vorhanden sein. Wichtig für die Suchmaschinenoptimierung sind die Permalinks von WP. Diese suchmaschinenoptimierten Linkstrukturen erfordern mod_rewrite – ein Modul des Apache-Servers. Achten Sie, dass ihr Provider dies unterstützt.

Mehr Speicherplatz für ihr WordPress Hosting

Nicht zu unterschätzen ist der Speicherplatz. Natürlich ist die Größe wichtig, denn je mehr Speicherplatz zu Verfügung steht, desto mehr Daten lassen sich auf dem Hosting ablegen. WordPress braucht keine gigantischen Speicher oder Festplatten-Kontingente. Ein WooCommerce-Onlineshop mit Tausenden Produkten kommt mit einigen Hundert Megabytes aus. Als Minimum sollten Sie aber wenigstens 1GB bekommen, denn Sie wollen doch auch E-Mails empfangen oder ab und zu eine Testinstallation mit WordPress anlegen.

Für den praktischen und tagtäglichen Erfolg Ihrer Website ist Geschwindigkeit maßgeblich. Im Idealfall erhalten Sie Platz auf einem Server mit schnellem SSD-Speicher. Im Vergleich zu herkömmlichen Festplatten bietet SSD viel schnellere Lese- und Schreibvorgänge.

Ein Hackerangriff oder Hardwareausfall könnte Ihre Internetpräsenz nachhaltig beschädigen. Daher sind regelmäßige Sicherungen Pflicht. Der Hosting-Plan muss eine automatisierte Backup-Lösung bieten, die Ihren ganzen Datenbestand regelmäßig sichert und auf Wunsch wiederherstellt.

Die technischen Anforderungen von WordPress

Zusammenfassend sollte ein guter Hosting-Tarif Folgendes bieten:

  1. PHP-Unterstützung – mindestens Version 5.6 oder sogar php 7.x
  2. Mehrere MySQL-Datendanken / alternativ MariaDB
  3. Apache Modul „mod_rewrite“
  4. Mindestens 128MB Memory-Limit – besser 256 MB
  5. Mindestens 1GB Speicherplatz auf SSD
  6. Integrierte Backup-Lösung

Bei WordPress kommen php, mysql und Javascript zum Einsatz

Ein gut ausgestattetes Webhosting auf einem schnellen Server bildet die Basis für eine erfolgreiche Internetpräsenz. Darüber hinaus ist auf die Provider-Qualität zu achten.

So erkennen Sie einen guten Hosting Provider.

Sicherheit beim WordPress-Hosting

Sicherheit beim WordPress-Hosting

Optimale Webhosting-Konfiguration und schnelle Hardware sind wichtig. Doch bei der Auswahl eines Tarifs für das WordPress-Hosting ist noch mehr zu berücksichtigen. In Sachen Performance und Sicherheit sind die Eigenschaften des Serverzentrums und Providers wichtig. Das Rechenzentrum des Anbieters  muss unbedingt über eine schnelle – idealerweise redundante – Internetanbindung verfügen.

Ebenso wichtig: Der Standort des eigentlichen Rechenzentrums ihres WordPress-Hosting Anbieters muss in Deutschland sein, damit das bundesdeutsche Datenschutzgesetz vollumfänglich zur Geltung kommt.

Achten Sie auf Sicherheitslösungen der Serverräume und Zertifizierungen wie ISO 9001 (Qualitätsmanagement) oder ISO 27001 (Informationssicherheitsmanagement). Diese Zertifikate bestätigen, dass Dienste nach hohen Standards geleistet werden. Ein wichtiger Faktor, der die Qualität eines Hosting-Providers definiert, ist der Kundenservice. Kurze Reaktionszeiten, freundliche und kompetente Support-Mitarbeiter sind positive Indikatoren.

Der Kundenservice (bzw. Support) ist nicht zu unterschätzen, denn früher oder später werden Sie ihn brauchen – denn bei Software-Projekten mit WordPress tauchen immer unvorhersehbare Hindernisse auf. Mit einem guten Support-Team, das sich idealerweise mit WP auskennt, sind Sie auf der sicheren Seite.

Die tatsächliche Servergeschwindigkeit und der Kundenservice lassen sich meist im Vorfeld gar nicht prüfen. Doch ein guter Provider hat nichts zu verbergen. Suchen Sie nach Anbietern, die eine unverbindliche Probezeit ermöglichen. So können Sie das Hosting vor der Bestellung ausprobieren.

Fazit:

Durch die Auswahl eines optimalen WordPress-Hosting bei einem vertrauenswürdigen Internet-Provider legen Sie den Grundstein für den Erfolg Ihrer Website. Nehmen Sie sich Zeit, um verschiedene Angebote zu vergleichen und auszuprobieren.

Sollten Sie Fragen haben, so stehen Ihnen die Mitarbeiter des IT-Dienstleisters Biteno GmbH gerne mit Rat und Tat zur Seite. Sprechen Sie uns an oder nutzen das Kontaktformular.

Übrigens: Das Hosting für Ihre WordPress oder WooCommerce Website können Sie bei Biteno sogar hier online bestellen.

Weiterführende Links: