Aufbau eines OS X-Netzwerkes

[Rubashov]

Aufbau eines OS X-Netzwerkes

Im Rahmen einer öffentlichen Projektausschreibung haben wir (Verein) den Zuschlag erhalten. Der Zuschlag beinhaltet auch die Erstausstattung mit Arbeitsgeräten für mehrere Arbeitsplätze. Wie das nun leider in Deutschland einmal so ist – es gibt Geld für Materialien aber nicht für Personalkosten.
Deshalb müssen wir ein Netzwerk selber einrichten oder als Alternative nur mit unvernetzten Einzelplatzrechnern arbeiten und wild mit USB-Sticks und DVDs jonglieren. Aber wer will das schon.
Aufgrund der Ausschreibungsbedingungen liegt das Geld jetzt vor und muß auch jetzt ausgegeben werden. Leider ist derzeit aber noch unklar, wie sehr die aufzubauende Netzwerkinfrastruktur belastet wird durch:

• Anzahl der Projektmitarbeiter zur gleichen Zeit

• Umfang der generierten Daten

Diese Informationen entstehen erst im Laufe des Projektes. Gut wäre es daher, wenn man bedarfsabhängig skalieren und nachkaufen könnte, geht aber nicht, da das Geld en bloc als Einzelbeschaffungsmaßnahme ausgegeben werden muß. Ein Nachkauf durch Ersatz- und Ergänzungsbeschaffungen fällt durch Vorgaben des Geldgebers leider aus. Es ist zum Heulen.

D.h. es muß jetzt ein Netz konzipiert, beschafft und eingerichtet werden, bei welchem nur sehr schwer abgeschätzt werden kann wie es in den nächsten drei Jahren genutzt werden wird. Eine spätere Rekonfiguration ist nicht möglich bzw. nur im Rahmen der Hardware, welche jetzt beschafft wird.

Folgende Anforderungen sind bisher bekannt:



Zentrale Benutzerverwaltung mit „ single sign-on “,

d.h. die Benutzer sollen sich an allen Arbeitsplatzrechner mit ihrer Benutzerkennung anmelden können und ihnen sollen dort im Anschluß die üblichen Anwendungen zur Verfügung stehen

Zentrale Datenbevorratung,

d.h. alle Nutzer sollen von jedem Arbeitsplatz aus auf die für sie relevanten und freigegebenen Daten zugreifen können.

Aus diesen beiden Anforderungen ergibt sich zwangsläufig der Betrieb eines Fileservers sowie eines Verzeichnis-Servers. Ein NAS scheidet als Fileserver-Lösung aus.



Zentrales Backup

Die Nutzdaten sollen unter anderem deshalb zentral erfaßt und gehalten werden, um sie auch zusammengefaßt sichern zu können. Es sollen nicht die Client-Maschinen gesichert werden, sondern nur die Nutzdaten, unabhängig davon, wo und von wem sie erstellt wurden.
Dieses zentrale Backup schließt die Daten der mobilen Arbeitsplätze ein, woraus sich die Forderung nach Synchronisation der Nutzerverzeichnisse der mobilen Arbeitsplätze ergibt:

Mobile User Accounts,

mit automatischem Backup aller Nutzerdaten, sobald das Gerät lokal mit dem Netzwerk verbunden wird.

VPN-Services

da nicht alle Projektmitarbeiter im Projektbüro arbeiten werden, sondern einige der Arbeiten auch von zu Hause bzw. unterwegs erledigen wollen/können/müssen, soll diesen Mitarbeitern der Zugriff auf die Daten via VPN ermöglicht werden.

Ob via VPN oder direkt an das lokale Netzwerk angeschlossen, sollen alle Nutzer zusammen Zugriff auf einen gemeinsam genutzten



Gruppenkalender

haben, mit Hilfe dessen sie ihre Arbeit koordinieren können. Eine ideale Ergänzung zu einem Kalender wäre auch ein

gemeinsames Adreßbuch,

sofern es hier eine Lösung gibt, welche nicht auf einer Datenbank wie z.B. Filemaker basiert, sondern wenn möglich auf normalen Bordmitteln aufbaut.

Aufgrund einer bestehenden Affinität der Projektmitarbeiter zu Apple-Produkten sollen sowohl die Endgeräte als auch das Netzwerk auf Mac OS X (10.5) basieren.
Für die oben genannten Anforderungen soll ein OS X Server beschafft werden. Die Frage ist nur, auf welcher Hardware diese eine Lizenz laufen soll. Hierfür gibt es bislang zwei Szenarien und folgende Konfigurationen stehen zur Auswahl:

Variante I
Nx iMacs
1x Mac Mini + Display
1x Mac Pro als Server

Variante II
Nx iMacs
1x Mac Pro + Display
1x Mac Mini als Server


Zu diesem Setup bestehen noch einige offene Fragen:

1. Verkraftet der Mini die Server-Funktion bei 4-8 Nutzern, davon 1-2 via VPN?

1. Da auch das System auf einem RAID1 betrieben werden soll, scheidet die interne Platte des Mini als System-Partition aus. Statt dessen soll via Firewire ein TAURUS RAID an den Mini angeschlossen, der Server von der externen Platte gestartet und diese als Fileserver-Platte betrieben werden (2 Platten a 1TB im RAID1 mit 2 Partitionen, 1x System + 1x Daten). Ist das ein prinzipiell funktionsfähiger Ansatz?

Auf dieser Konfiguration liegt derzeit die Präferenz, da dann der Mac Pro als Grafik-Station zur Verfügung stünde. Bei einer Verwendung als Server bliebe die teuer mitbezahlte Grafikkarte ungenutzt.

Zweiter Block offener Fragen:
Dreh’ und Angelpunkt der Investitionsentscheidung (für Mac OS X) ist das Backup via Time Machine: Kein Betrieb eines Bandlaufwerks mit spezieller Datensicherungssoftware, sondern direkter Zugriff auf die gesicherten und archivierten Daten aus einem File-Manager wie dem Finder heraus.
Hier ist die Investitionsentscheidung für das Archivmedium aber noch nicht gefallen.

Frage:
Lieber ein Drobo mit „RAID5“ oder TAURUS RAID mit RAID1?

(Drobo: http://www.drobo.com/drobolator/)
(TAURUS RAID: http://www.macpower.com.tw/products/...aurus/pdd_raid)


Vorteil Drobo:
leicht skalierbar

Nachteil Drobo:
Wenn der Controller stirbt sind die Daten auf den Platten nicht mehr zu lesen, man muß erst einen neuen Drobo beschaffen, um die Daten auslesen zu können.

Vorteil TAURUS RAID:
Nach Versterben einer Platte oder des Controllers im Gehäuse sind die Platten / eine Platte weiterhin (durch direkten Anschluß) lesbar.

Nachteil TAURUS RAID:
Die Backup-Kapazität läßt sich nur sprungweise durch jeweils doppelten Festplattenkauf erweitern.


Vielen Dank für die Hilfe durch die Beantwortung der Fragen.


Nikolas

[Rastafari]

Verkraftet der Mini die Server-Funktion

Taugt dein iPod als OpenAir-Konzertbeschallung?
Oder dein Küchenherd für die VW Betriebskantine?

[Rubashov]

Taugt dein iPod als OpenAir-Konzertbeschallung?

Ja. Als Quelle.

Oder dein Küchenherd für die VW Betriebskantine?

Ja. Wenn auch nicht für alle Hungrigen. Aber kochen läßt sich mit dem Gerät auch dort.


[/Klugscheißer-Modus]


Der Server soll für Text-Daten als File-Server dienen. Kein Video-Schnitt, keine großen Graphikdaten. Deshalb bezweifele nicht nur ich, daß damit ein 2,0 GHz Intel Core 2 Duo mit 2GB RAM unterdimensioniert ist. Hier läuft noch ein PIII 500 als Server mit 4 Nutzern. Und der trödelt nur vor sich hin. Warum also soll ein sehr viel schnellerer Rechner nur weil er in einer Keksdose steckt diese Aufgabe nicht bewältigen können?

Wer Lamps-Out-Management braucht, der soll sich einen Xserve kaufen. Brauchen wir in unserem Szenario nicht. Was also spricht gegen den Mini außer Marketing und fehlendes Lamps-Out-Management? Fehlende Leistung sicherlich nicht.



Nikolas

[Rastafari]

Warum also soll ein sehr viel schnellerer Rechner nur weil er in einer Keksdose steckt diese Aufgabe nicht bewältigen können?

Weil die Keksdose mit einer sehr viel schwülstigeren Software zugeschissen wird und offenbar doch noch ein paar Aktionen mehr abwickeln soll als nur ein "bisschen Fileserving".
Oder hätte ich mir das lesen des Textes oben besser geschenkt?
Wenn du ein mal miterlebt hast, wie dröge schon ein Tiger Server auf einem Mini vor sich hin tut, würdest du das gar nicht erst fragen.
Ausserdem ist ein Server ohne zwei Netzwerkschnittstellen ohnehin nur ein Witz. Wie soll man so ein sicheres Gateway aufsetzen können?

[WDZaphod]

Der DROBO hat nur USB, das würde ich für einen Server NIE verwenden.
Nimm den MacPro (warum keinen xServe?), die Datenplatten via ZFS gepooled und fertig.
Das Taurus-Raid meldet sich leider nicht, wenn eine Platte abbrennt - daher müßte man das täglich manuell kontrollieren => suckt!

[Rubashov]

Der DROBO hat nur USB, das würde ich für einen Server NIE verwenden.
Nimm den MacPro (warum keinen xServe?), die Datenplatten via ZFS gepooled und fertig.
Das Taurus-Raid meldet sich leider nicht, wenn eine Platte abbrennt - daher müßte man das täglich manuell kontrollieren => suckt!

Wir haben keinen Platz fuer einen 19"-Schrank => deshalb kein Xserve. Der Server muss unter / neben einen Tisch passen. Ausserdem unterscheidet sich der Xserve vom Mac Pro nur durch das Lamps-Out-Management, die Graphikkarte und die kleineren und deshalb lauteren Luefter. Ok, man kann noch ein zweites Netzteil in den Xserve einbauen, aber diese Art von Ausfallsicherheit brauchen wir nicht.

Dass der Drobo nur einen USB-Anschluss hat ist bekannt. In den letzten Monaten haben wir aber ausreichend Erfahrung mit Time Machine sammeln koennen, um festzustellen, dass diese Schnittstelle nicht der Flaschenhals bei einer Datensicherung via Time Machine ist. Der Drobo soll ausschliesslich fuer die Datensicherung und Archivierung eingesetzt werden. Dabei ist bei den erwarteteten Datenmenge die USB-Schnittstelle ausreichend.

Kann OS X 10.5 mittlerweile ZFS schreiben? Ich bin bisher davon ausgegangen, dass zur Zeit nur Lese-Zugriffe moeglich sind.

Sollte das TAURUS-Gehaeuse wirklich keine Alarmfunktion bei Verlust einer Platte besitzen, so scheidet das Geraet fuer die geplante Datensicherung natuerlich aus. Gibt es vergleichbare Geraete, welche empfohlen werden koennen?


Nikolas

[drlecter]

Eine Frage ist hier wie teuer darf da sein. Eine Alternative währe vielleicht auch das:
http://www.raidsonic.de/de/pages/pro..._objectID=4955

Wie viele Arbeitsplätze sollen versorgt werden und wie willst du das Netzwerk aufbauen?
Wie ist die Anbindung nach Außen? Du willst eine VPN Einwahl haben. Bekommen die User Notebooks? Hast du nur einen normalen DSL Zugang?

[Sawtooth]

Sollte das TAURUS-Gehaeuse wirklich keine Alarmfunktion bei Verlust einer Platte besitzen, so scheidet das Geraet fuer die geplante Datensicherung natuerlich aus. Gibt es vergleichbare Geraete, welche empfohlen werden koennen?

Vielleicht schaust Du Dir mal diese Seite von RaidSonic an.

Die angebotenen Systeme verfügen über die beim TAURUS-Gehäuse fehlende Alarmfunktion, lassen sich unabhängig vom BS über die Taster an der Front konfigurieren und zeigen (je nach Gerät) ihren Betriebszustand über ein LC-Display an.



MfG, Peter

[WDZaphod]

Wir haben keinen Platz fuer einen 19"-Schrank => deshalb kein Xserve. Der Server muss unter / neben einen Tisch passen.

Man kann 19"-Server durchaus auch senkrecht stellen, da sind 3 Xserve schmaler als ein PC-Tower. Man braucht nur ein kleines 3HE-Gehäuse...

Ausserdem unterscheidet sich der Xserve vom Mac Pro nur durch das Lamps-Out-Management, die Graphikkarte und die kleineren und deshalb lauteren Luefter. Ok, man kann noch ein zweites Netzteil in den Xserve einbauen, aber diese Art von Ausfallsicherheit brauchen wir nicht.

LightsOut ist halt mal genial, zumindest aus Adminsicht

Der Drobo soll ausschliesslich fuer die Datensicherung und Archivierung eingesetzt werden. Dabei ist bei den erwarteteten Datenmenge die USB-Schnittstelle ausreichend.

Gut, wenns rein für DaSi ist, dann gehts ja. Was spricht gegen ein Firewire-JBOD? Wenn Kapazität fehlt, einfach ein Gehäuse drangesteckt

Kann OS X 10.5 mittlerweile ZFS schreiben? Ich bin bisher davon ausgegangen, dass zur Zeit nur Lese-Zugriffe moeglich sind.

Es gibt auf der Apple-Seite eine Datei zum freischalten. Hat zwar offiziell Betastatus, sieht aber bisher GUUUT aus

[Rubashov]

Eine Frage ist hier wie teuer darf da sein. Eine Alternative währe vielleicht auch das:
http://www.raidsonic.de/de/pages/pro..._objectID=4955

Das Geraet faellt preislich aus dem Rahmen. Der Dreh- und Angelpunkt bei Backup-Loesungen ist ja immer der Gegensatz zwischen groesstmoeglicher Sicherheit und Kosten. Fuer das Backup der Daten der Arbeitsgruppe reicht im Prinzip eine einfache Loesung, ohne Hochverfuegbarkeit des Backups. Es reicht, dass ein Backup existiert, und wenn dieses 1-2 Tage alt ist, dann ist das ausreichend. Die anfallenden Daten sind nicht so teuer in der Erstellung.

Wie viele Arbeitsplätze sollen versorgt werden und wie willst du das Netzwerk aufbauen?

Es sind bei dem derzeitigen Stand der Planungen zwei Vollzeitarbeitsplaetze mit je einer stationaeren Maschine und 2 Halbtagsarbeitsplaetze, welche sich eine weitere stationaere Maschine teilen.
Hinzu kommt ein Vollzeitarbeitsplatz mit einem mobilen Geraet und nur zeitweiliger Praesenz im lokalen Netzwerk.
Spaeter kommen vielleicht noch 2 oder 3 stationaere und 2 oder 3 mobile Geraete hinzu. Dies entscheidet sich aber fruehestens in einem Jahr.

Wie ist die Anbindung nach Außen?

Die Anbindung erfolgt ueber einen 34MBit-Anschluss des DFN nach aussen und wird nach innen ueber 155MBit-Backbones eines DFN-Mitgliedes realisiert. Der Verein ist Einlieger bei einer Forschungseinrichtung. Die Hoehe des potentiellen Datendurchsatzes stellt fuer das Arbeitsszenario keine praktische Beschraenkung dar.

Du willst eine VPN Einwahl haben. Bekommen die User Notebooks? Hast du nur einen normalen DSL Zugang?

Ein Arbeitsplatz wird von Anfang an mit einem Notebook ausgestattet. Dieser Anwender hat auch die hoechste Prioritaet bei der Realisierung eines VPN-Zugangs auf die Arbeitsdaten innerhalb des Arbeitsgruppennetzes. Die anderen Nutzer sollen bei Bedarf auch via VPN auf die Daten zugreifen koennen.
Perspektivisch kommen 2-3 mobile Arbeitsplaetze hinzu, welche dann auch bei Bedarf via VPN Zugriff auf die Daten bekommen sollen. Die Anzahl der gleichzeitigen VPN-Verbindungen duerfte nach derzeitigen Schaetzungen jedoch die Zahl 5 nicht ueberschreiten. Der Regelfall wird eine kurzfristige VPN-Verbindung pro Tag sein. D.h. der VPN-Zugang ist eine Ausnahme, kein Regelfall. Es wird keine Terminal-Sitzungen via VPN geben.


Deshalb ist meiner Meinung nach auch die Anforderung an die Server-Hardware nicht allzu hoch anzusetzen.

Die neu generierten Nutzdaten pro Tag sollten bei einem Blick auf die bislang vorliegenden Daten keine 10Mbyte pro Tag umfassen. Das Datenvolumen ist sehr ueberschaubar, weshalb auch die Leistungsfaehigkeit des Netzes und des File-Servers nicht so hoch sein muss.

Das Gleiche trifft auf den Datendurchsatz der Backup-Loesung zu.

Bei dem Aufbau des Netzes geht es in erster Linie um die Struktur, nicht dessen absolute Leistungsfaehigkeit. D.h. zentrale Datenbevorratung und -sicherung sollen moeglich, die dafuer eingesetzte Technik muss aber nicht besonders leistungsfaehig sein.

Das ist derzeit unsere Anforderung, welche uns bei der technischen Antwort noch einige Kopfzerbrechen bereitet.


Nikolas