Cloud-Server als Virtual Private Server oder Bare-Metal-System
Auf Abruf
Server on demand beim Hoster sind im Cloud-Zeitalter für viele schon selbstverständlich. Die billigen und oft überbuchten virtuellen Server (VPS) bekommen nun harte Konkurrenz – von Bare-Metal-Servern.
Durch die immer umfassendere Digitalisierung, das Internet der Dinge (IoT), multimediale Inhalte, soziale Netzwerke und die damit anfallenden Mengen an Daten steigt der Bedarf an IT-Rechenleistung nicht nur enorm an, sondern er fluktuiert auch extrem. Neue Konzepte wie DevOps, agile Softwareentwicklung oder Continuous Delivery zwingen professionelle IT-Infrastrukturen zudem zu immer schnelleren Anpassungen. In der glücklichen Lage, den IT-Bedarf für die nächsten Jahre in Ruhe planen und umzusetzen zu können, ist heute eigentlich niemand mehr.
Jedem IT-Verantwortlichen ist klar: Entstehen plötzlich sehr hohe Anforderungen an die Ressourcen der IT-Infrastruktur, die das eigene Rechenzentrum nicht erfüllen kann, ist es zu spät, zusätzliche Serverhardware oder mehr Bandbreite in Richtung Internet zu bestellen. Die erwartete Reaktionszeit dürfte hier nicht im Bereich von Monaten oder bestenfalls Wochen, sondern von Minuten liegen. Die einzigen Auswege im eigenen Rechenzentrum wären, entsprechende Hardware im „cold Stand-by“ vorzuhalten oder die komplette IT gleich so zu dimensionieren, dass sie jede denkbare Lastspitze abfängt. Beides ist aus ökonomischer Sicht mehr als unattraktiv.
VPS, Dedicated und Bare Metal
Auf elegante Weise schaffen mietbare Server bei einem Hoster hier Abhilfe. Die wiederum gibt es in verschiedenen Leistungsstufen:
Virtual Private Server, kurz VPS, sind virtuelle Maschinen oder sogar nur Container-Instanzen, die in Sekunden gebucht werden können. Auf dem VPS läuft in der Regel eine wählbare Linux-Distribution, auf die der Systemverwalter Zugriff als root hat. Diese vollen Zugriffsrechte bedeuten nahezu freie Konfigurierbarkeit der Software, aber auf der anderen Seite auch volle Verantwortung für die Sicherheit der Serverinstanz. Auf einem VPS-Host können wie auf jedem Hypervisor- oder Container-Host sehr viele virtuelle Serverinstanzen und damit Kunden laufen. Mehr als hundert Kunden auf einem physischen Server sind nichts Ungewöhnliches.
Bei Bare-Metal-Servern hingegen wird dem Kunden „pures Metall“ zur Verfügung gestellt – also ein kompletter Server ohne Software (abgesehen von der Remote-Verwaltungssoftware). Auf diesen physischen Server hat der Kunde das alleinige Zugriffsrecht, er kann die Ressourcen des Servers komplett für sich beanspruchen und muss CPU-, Speicher- und I/O-Leistung mit niemandem teilen.
Eine Mischform stellen die Dedicated Server oder Root Server dar, die eigentlich Dedicated Resources heißen müssten. Dort reservieren die Hoster dem Kunden eine bestimmte Teilmenge der physischen Hardware, er kann beispielsweise auf einer Acht-Kern-CPU vier Kerne für sich mieten – und hat diese jederzeit exklusiv zur Verfügung. Trotzdem werden das gesamte I/O-System und auch die Speicherbandbreite von mehreren Kunden parallel genutzt. Das sind zwar wesentlich weniger als bei einem VPS-Host, trotzdem könnte ein anderer Kunde so viel Bandbreite im Speicher, auf dem I/O-System oder im Netz „verpulvern“, dass die eigene Serverinstanz darunter leidet.
Im Galopp zur Cloud
Zwar nutzt das gleichzeitige Betreiben vieler virtueller Server auf nur einer physischen Hardware diese sehr effizient, ist aber auch deren größtes Manko: Andere Anwender können – bösartig oder nicht – die Ressourcen der physischen Hardware über Gebühr ausnutzen. Sei es, dass die Prozessoren mit dem Schürfen von Kryptowährungen belastet sind oder exzessive Downloads die Netzwerkanbindung an ihre Grenze bringen, um nur zwei Beispiele zu nennen.
Hypervisoren und automatisches Cloud-Management können bedingt helfen und die Lasten durch Live-Migration neu verteilen. Dennoch bedeutet das für einen virtuellen Server oder einen VPS, dass es keine Garantie dafür gibt, eine gebuchte Leistung auch jederzeit voll abrufen zu können. In vielen AGB steht sogar, dass Nutzer angehalten sind, die Ressourcen des Systems „fair“ und nur in Maßen zu verwenden. Während unvorhersehbare Leistungsengpässe einfachen Webdiensten meist keine Problem bereiten, sind diese bei intensiv genutzten Shopsystemen aber inakzeptabel.
Viele Sicherheitsfragen
Ein weiteres Problem ist die Sicherheit. Stellvertretend sei hier auf die Panne bei DigitalOcean vor einigen Jahren hingewiesen, bei der man die Images gelöschter VPS nicht mit Nullen überschrieben hatte – der Platz wurde lediglich wie beim alten FAT-Dateisystem im Speichersubsystem freigegeben. Bei einem neu angelegten VPS konnte man per dd ein komplettes Image der eigentlich leeren virtuellen Festplatte erstellen – und fand dort Daten anderer, gelöschter VPS. Der Fehler ist natürlich behoben. Neben Konfigurationsfehlern gibt es aber auch prinzipbedingte Sicherheitsprobleme auf einem Hypervisor. Per DoS-Angriff (Denial of Service) lässt sich das Hostsystem lahmlegen und über Sicherheitslücken des Hypervisors können Gastsysteme – also beispielsweise ein VPS oder ein Dedicated Server – den Host kompromittieren. Ist das der Fall, erhält der Angreifer von dort aus Zugriff auf alle Gastsysteme und eventuell sogar weitere Teile der Cloud-Infrastruktur.
Verschärft wird die Problematik durch Sicherheitslücken wie Meltdown oder Spectre in den Prozessoren insbesondere von Intel, aber teilweise auch AMD oder sogar ARM, PowerPC und SPARC. Bei Meltdown/Spectre kann ein normaler Anwender Unzulänglichkeiten der spekulativen Ausführung von Maschinencode in allen modernen CPUs nutzen, um über Tricks auf Informationen des Kernelspeichers und somit auf die Prozesse des Hosts oder anderer Benutzer zuzugreifen.
Das impliziert natürlich, dass der Angreifer Code auf dem System ausführen kann – was auf Servern im eigenen RZ nur von außen über Exploits machbar ist, auf einem VPS oder Dedicated Server aber gerade das Betriebsprinzip darstellt. Für alle relevanten Betriebssysteme gibt es Patches, die diese Fehler verhindern sollen. Um auch gegen noch unveröffentlichte weitere Meltdown-/Spectre-Varianten gewappnet zu sein, hilft nur eines: Die Hardware ohne Dritte zu betreiben, also einen Bare-Metal-Server zu verwenden. Nur der bietet den vollen und definitiven Zugriff auf alle Hardwareressourcen und somit die maximale Sicherheit.
Das Beste beider Welten
Einen Bare-Metal-Server zu mieten, war bis vor Kurzem noch ein langwieriges, umständliches und vor allem teures Unterfangen. In den letzten Jahren sind die Bare-Metal-Server mit Monatsmieten ab etwa 40 Euro nicht nur bezahlbar geworden. Inzwischen ist die Bereitstellung durch aus der Cloud bekannte Techniken vereinfacht und beschleunigt worden. Vorgefertigte Systeme lassen sich automatisch – vergleichbar einer virtuellen Maschine – aus der Ferne per Remote-Management konfigurieren und administrieren. Die physischen Server, die die Hoster in ihren Rechenzentren bereitstellen, haben vom schnellen Deployment der Cloud-Server gelernt. Bare-Metal-Server sind heute in wenigen Minuten einsatzbereit und die Abrechnung erfolgt teilweise sogar nach Betriebsstunden.
Für den Systemverwalter verschwimmt die Grenze zwischen VPS, Dedicated Server und Bare-Metal-Server fast komplett, denn auch letztere lassen sich über API-Aufrufe oder OpenStack orchestrieren. Aber auch ohne diese Automatismen ist der Weg zum Bare-Metal-Server mit dem zu einem VPS fast identisch: Buchung und Verwaltung der Systeme erfolgen über das Web-Frontend des Hosters, oft cPanel oder Plesk. Während der die VPS in der Regel mit einem Betriebssystem-Image versieht, kann das bei Bare-Metal-Servern auch ein Rescue-System oder ein Fernwartungszugang sein, über den die Kunden das gewünschte Betriebssystem aus der Ferne installieren. Im Endeffekt hat der Administrator in wenigen Minuten einen funktionierenden SSH-Zugang zum System und kann mit dem Installieren von Software beginnen.
Mit der Maus einrichten
Wie man einen VPS einrichtet, dürfte bekannt sein: Im Webshop des Providers wählt der Kunde seine VPS-Konfiguration oder legt sie mittlerweile oft mit Schiebereglern für die variablen Komponenten fest. Nach Angabe der Kundendaten und eventueller Bezahlung erhält der Systemverwalter eine E-Mail mit der IPv4-Adresse und dem Root-Passwort – von da an wird der VPS wie eine virtuelle Maschine per SSH administriert (und als Erstes natürlich das Root-Passwort geändert). Manche Anbieter erlauben es, einen SSH-Schlüssel anzugeben, was die unsichere E-Mail mit dem Passwort vermeidet.
Bei einem Bare-Metal-Server sieht es im Grunde genauso aus. Bei 1&1 beispielsweise unterscheiden sich die ersten Schritte bis zur SSH-Sitzung zum VPS nicht von denen zu einem Bare-Metal-Server. Hetzner hingegen hat leicht unterschiedliche Frontends für VPS (Cloud) und Bare-Metal-Server (Robot), zwischen denen man aber wechseln kann.
Exemplarisch hier eine Übersicht: Das Management der VPS erfolgt in in der grafischen „Cloud Console“ in Form von „Projekten“, zu denen mehrere VPS-Instanzen gehören können. Hier werden neben Backups und Snapshots auch „Floating IPs“ verwaltet. Das sind feste IP-Adressen, die man wahlweise einem der VPS zuordnen kann – bei Wartungsarbeiten wird also kurzzeitig einfach auf einen anderen VPS umgeschaltet. SSH-Schlüssel, API-Tokens für die automatische Steuerung und weitere Zugänge zum Delegieren von Aufgaben finden sich hier ebenfalls. Für jeden VPS gibt es eine Reihe weiterer Funktionen, beispielsweise lässt sich ein ISO-Image des aktuellen OpenBSD 6.3 einbinden und über das vorkonfigurierte System installieren – ein sicheres Zeichen übrigens, dass Hetzner hier virtuelle Maschinen und keine auf Linux beschränkten Container einsetzt.
Das „Robot“-WebGUI für Bare-Metal-Server wirkt nüchterner und erlaubt den Zugriff auf mehr und speziellere Funktionen. So lassen sich fertig installierte Bare-Metal-Server auf andere Kunden übertragen, virtuelle Switches und Firewalls regeln die Verbindungen (VLAN) zwischen Servern im Rechenzentrum und selbst WoL (Wake on LAN) lässt sich einrichten. Betriebssysteminstallation und Wartungsarbeiten auf einem Bare-Metal-Server erfolgen bei Hetzner über das WebGUI oder ein Rescue-System (Debian oder FreeBSD). Per installimage wählt man im Menü das neue System aus und legt eventuelle Parameter fest. Beim anschließenden Reboot generiert das neue System frische SSH-Schlüssel, man muss diese für eine erneute SSH-Sitzung ersetzen. Von Anbieter zu Anbieter unterscheiden sich die Verwaltungsoberflächen und -möglichkeiten stark, stellen erfahrenere Systemverwalter jedoch vor keine großen Probleme. Oft lässt sich ein Bare-Metal-Server kostenlos testen – bei Hetzner beispielsweise 14 Tage.
Neues bei den VPS?
Bis DigitalOcean ab 2011 den Markt mit seinen 5-US-Dollar-VPS aufrollte, waren virtuelle Server im Netz kaum für unter 20 Euro zu haben. Der New Yorker Hoster zwang auch andere Anbieter dazu, Kampfpreise anzubieten. Die neue Marktlage war mit ein Grund für die VPS-Übersicht der iX vor zweieinhalb Jahren [1]. Ein aktueller Blick auf den Markt zeigt, dass sich nach 30 Monaten enttäuschend wenig getan hat.
Ein weiterer dramatischer Preisverfall ist nicht zu sehen, auch wenn Vultr inzwischen die Untergrenze für einen funktionsfähigen VPS auf 2,50 US-Dollar pro Monat gesenkt hat. Das ging mit einer Reduzierung des RAMs einher, doch für viele Einsatzgebiete reichen eine vCPU, 512 MByte RAM und 20 GByte SSD-Speicher aus. Eine als root administrierbare Serverinstanz in einem professionellen Rechenzentrum für umgerechnet rund 26 Euro pro Jahr ist demnach die unterste Einstiegsgrenze. Bei Vultr heißen die VPS nun Vultr Cloud Compute (VC2). Neu ist der angesprochene Minimal-VPS für 0,4 US-Cent pro Stunde oder maximal 2,50 US-Dollar im Monat – kleiner Haken: Dies ist der einzige VPS in der Übersichtstabelle, für den es in der Minimalkonfiguration nur IPv6, aber kein IPv4 gibt. Sehr praktisch ist die Möglichkeit, beim Anlegen eines VPS bereits ein Startup-Script zum Installieren und Konfigurieren von Software zu übergeben.