Как структурировать “график аутентификации” группы frontend/backend серверов?
При поиске господствующей тенденции x86 микросхемы затем с точки зрения прямого ЦП/памяти и производительности IO затем в настоящий момент, Вы смотрите на 55xx-серийные микросхемы Xeon Intel (их новые 75xx-ряды просто еще не отсутствуют и могут быть излишеством для потребностей большинства людей так или иначе). Я провожу много времени, выбирая определенные центральные процессоры, и E5540 является действительно хорошей ценовым/питанием/теплом/производительностью комбинацией, но нет никакого отклонения X5570, и W5590 являются лучшими исполнителями, специально для приложений низкого количества потока, часто находимых в мире Windows из-за их более высоких множителей турбо режима.
Если Вы ищете больше баланса между низкой стоимостью и требованием к питанию/теплом и заботитесь меньше об окончательной производительности затем, Opteron 8435 AMD или Xeon L5530 Intel являются хорошим выбором также. Если цена не является единственным беспокойством, я избегал бы настольных центральных процессоров (т.е. 'Ядро' Intel, и 'я' располагаюсь), существует много сравнительных тестов, которые показывают им на равной четности с Xeon/Opteron, но их 'снижение' под большой нагрузкой является намного более явным.
С точки зрения которых серверов пойти для, я не мог рекомендовать модели HP DL360/365 and DL380/385 выше, если Вы ищете 2U смонтированные в стойке машины - хотя и IBM и Dell делают очень выполненные модели в том же духе также.
Что касается которой версии Windows, хорошо я думаю, что Вы скоро приехали для сожаления о веб-выпуске по причине на 2 ГБ, которую Вы заявляете - память является супер дешевой в эти дни и помогает чрезвычайно с в значительной степени каждым приложением там - почему предел сами. В другом конце масштаба это не кажется на необходимость в выпуске DC и Предприятии (хотя версия, которую я исключительно покупаю) действительно там для ее кластеризации и 1:4 VM лицензирование возможностей - если Вам нужно, это затем идет для Ent, если не затем Стандарт сделает Вас очень хорошо.
Между прочим, Вы кажетесь тупиком при движении на 2003? 2008 является легко моим любимым кодом MS когда-либо, это быстро, легко установить, действительно стабильный, функциональный и не имеет никакого EOL в поле зрения - я просил бы Вас для рассмотрения этого, особенно в 64-разрядном облике.
Всего наилучшего и не стесняйтесь возвращаться с любыми последующими вопросами.
Поле шлюза ("стартовая площадка", "хост оплота", и т.д.) является хорошей идеей, поскольку это ограничивает профиль нападения: вместо того, чтобы иметь демонов многих машин SSH выставил, у Вас только есть тот.
Тем не менее как womble указал, используете ли Вы те же учетные данные для входа "стартовой площадки" и всех серверов позади нее, Вы не получаете чистую прибыль в безопасности - Один ключ/пароль/и т.д. поставлен под угрозу и они могут добраться где угодно, они хотят.
Вы должны реализовать дискретные учетные данные аутентификации (отдельный ключ для поля "стартовой площадки" по сравнению с материалом позади него) как минимум и должны считать другие методы womble упомянутыми (конкретно исходное ограничение IP и/или стук порта) как дополнительные уровни безопасности.
Обратите внимание, если Вы проявляете подход VPN, обычное доверие VPN как поставщик систем обеспечения безопасности (занимающий место хоста "стартовой площадки").
Я не думаю, что хост оплота является чистой прибылью. При входе в систему к нему в тот же путь, как Вы входите в бэкенды, нет никакого преимущества (если взломщик выталкивает оплот, он находится полностью в), и если необходимо войти в оплот по-другому, это - крупное административное разочарование, и рано или поздно Вы будете работать вокруг этого, чтобы быть более продуктивными, и Ваша безопасность просто пошла из окна.
С другой стороны, наличие всего болтающегося в Интернете для любого для взятия введение по абсолютному адресу в является чем-то вроде ненужного риска. Решения, которые я развернул в прошлом, включают:
- Ограничение исходного дюйм/с: Аккуратный в теории, пока Ваш ISP не перенумеровывает Ваше домашнее соединение, или срочно необходимо войти в сервер, когда Вы находитесь на дороге.
- Стук порта: Милый в теории, но более полезно для того, чтобы содержать Ваши подлинные журналы в чистоте, чем обеспечение любой реальной безопасности. Также очень смущающий, когда Вы забываете последовательность удара порта.
- VPN: Хорошая безопасность, особенно если необходимо использовать незашифрованные протоколы для серверов бэкэнда время от времени (проклинают Вас, IPMI), и может предоставить хорошему, сильному автору при использовании PKI (yay openvpn!). Оборотная сторона - то, что Ваша клиентская конфигурация становится более сложной.
Нет никакого "лучшего" решения. Мне нравится VPNs, но YMMV.