130 likes | 267 Views
Performance und technische Aspekte in LSF. Michael Mihahn Universität Potsdam Christof Veltmann Universität Dortmund POS/LSF-Nutzertagung 16. - 18. Mai 2006 . C. Veltmann. POS/LSF-Nutzertagung 16.- 18. Mai 2006. Performance und technische Aspekte in LSF. Performance-Aspekt Netzwerktopologie
E N D
Performance und technische Aspekte in LSF Michael Mihahn Universität PotsdamChristof Veltmann Universität DortmundPOS/LSF-Nutzertagung 16. - 18. Mai 2006
C. Veltmann POS/LSF-Nutzertagung 16.- 18. Mai 2006 Performance und technische Aspekte in LSF • Performance-Aspekt Netzwerktopologie • Firewall • Anzahl Server • Lastverteilung • Performance-Aspekt Betriebsicherheit • Schutz gegen Sabotage, Angriffe, Fremdnutzung • Sichere Konfiguration von Apache, Tomcat und aller Schnittstellen
C. Veltmann POS/LSF-Nutzertagung 16.- 18. Mai 2006 Performance-Aspekt Netzwerktopologie • Idealfall : 3 Server pro QIS Anwendung, mehrere getrennte Firewalls
C. Veltmann POS/LSF-Nutzertagung 16.- 18. Mai 2006 Performance-Aspekt Netzwerktopologie • Realität: 2 Server, 1 Firewall-Rechner
C. Veltmann POS/LSF-Nutzertagung 16.- 18. Mai 2006 Performance-Aspekt Netzwerktopologie • Lösung:
C. Veltmann POS/LSF-Nutzertagung 16.- 18. Mai 2006 Performance-Aspekt Netzwerktopologie • Lösung: • ein Webserver reicht i.d.R. aus für alle QIS-Anwendungen • Apache mit mehreren IP-based virtual hosts • getrennte QIS-Anwendungen können sinnvoll sein bei • getrennten Funktionalitäten, • unterschiedlichen Sicherheitsniveaus, • unterschiedlichen Versionsständen, • unterschiedlichen Performance-Anforderungen • eine Portallösung ist dennoch möglich: • „single sign on“mit mehreren QIS-Servern • gemeinsames Layout und gemeinsame Konfigurationsdateien • vorgeschaltetes Startportal und Verlinkung der QIS-Anwendungen
C. Veltmann POS/LSF-Nutzertagung 16.- 18. Mai 2006 Performance-Aspekt Betriebsicherheit • Angriffe kosten Performance • Denial of Service Attacken:Aussperren des Angreifers (IP-Adresse) • Apache Access Control List (ACL) • Rechenzentrum ACL • Ausnutzen bekannter Schwachstellen • Installation der neuesten Versionen • Sichere Konfiguration von Apache und Tomcat • Suchmaschinen kosten Performance • Abhilfe: robots.txt
C. Veltmann POS/LSF-Nutzertagung 16.- 18. Mai 2006 Performance-Aspekt Betriebsicherheit • Apache: Installation neuer Versionen • Linux: kein Problem über Software-Update • Windows: • Problem: mod_ssl wird nicht als Binary ausgeliefert • Vertrauensfrage: http://hunter.campbus.com ? • Lösung: Selbst Übersetzen!http://www.devside.net/web/server/windows/apache • Apache: Konfiguration • Abschalten nicht benötigter Module(Empfehlungen z.B. im Zendas-Gutachten • Abschalten von Versionsinformationen(z.B. in Fehlermeldungen!) • Load-Balancing ist möglich
C. Veltmann POS/LSF-Nutzertagung 16.- 18. Mai 2006 Performance-Aspekt Betriebsicherheit • Apache Konfiguration: Zertifikate • nötig für die Verschlüsselung bei https • wichtig für das Vertrauen in die Inhalte • Selbst Erstellen ist aufwendig und kompliziert(www.openssl.org) • echte Zertifikate sind teuer • Lösungen für Universitäten: • www.dfn-cert.de • www.cacert.org • aber: separates Installieren des Stammzertifikates im Browser nötig!
C. Veltmann POS/LSF-Nutzertagung 16.- 18. Mai 2006 Performance-Aspekt Betriebsicherheit • Tomcat: Konfiguration • mod_jk oder mod_jk2? • die Entwicklung des jk2 Connectors ist eingestellt • JK 1.2.15 ist die aktuelle Version • wieviel Speicher? • ist abhängig von den benötigten DB-Handlern • Windows: 2 GB bzw. 1,5 GB Grenze bei 32-bit-SystemenJava-Option: -Xmx1536m • Load-Balancing? • evtl. möglich, HIS fragen • Erfahrungen in Potsdam
C. Veltmann POS/LSF-Nutzertagung 16.- 18. Mai 2006 Performance und technische Aspekte in LSF • Vielen Dank für Ihre Aufmerksamkeit!
C. Veltmann POS/LSF-Nutzertagung 16.- 18. Mai 2006 Links • www.cacert.org • www.dfn-cert.de • Openssl.org • http://hunter.campbus.com • http://www.devside.net/web/server/windows/apache
C. Veltmann POS/LSF-Nutzertagung 16.- 18. Mai 2006 Überschrift • Die großen und kleinen Stolperfallen: • Überlegungen zur Netzwerktopologie / Sicherheit:Performanceeinfluss Firewall • Eigenarten Windows / Linux • Performancebremse Angriffe apache tomcat wartung • Installation Apache • Virtuelle https server / IP-based virtual host Mehrere IPs! • Mehrere Tomcats • Konfiguration virtuelle Apaches • Konnectoren mod_jk mod_jk2? • Module abschalten (Zendas Anleitung) • Windows: mod_ssl • Download / übersetzen • Zertifikate