T H E M A Ü B E R S I C H T |
Franky |
Gesendet - 11/07/2024 : 11:40:30 Hallo,
wahrscheinlich ist der Kundigste auf diesem Gebiet @mechanicus, aber vielleicht haben Mehrere ähnliche Lösungen bereits integriert. Ich habe folgende Idee das Netzwerk upzugraden.
Server: Power Edge T150, 300W Xeon 8Kern E2378 H345 RAID-Controller 2 x 2TB SAS-SSDs im RAID1
Software: Proxmox aufm Server als Grundsystem Win11 für MySQL (mariaDB geht vermutlich nicht also ist Debian LXC nicht möglich?) Win11 für adad-Host LinuxMint für adad-Clients (ca. 15) LinuxMint für die Rezeption (eMail-Empfang)
Und jetzt kommt die Überlegung: Linux adad-Clients brauchen natürlich Windows. Per RDP geht nur eine Connection (Bei WinServer nur zwei). Dann kann man natürlich noch CALs bzw. eine RDS-Farm dazu kaufen. Das will ich wegen Lizensierung des WinServers vermeiden. Also:
15 x Win11 für adad-Clients, die sich per RDP verbinden? Da geht der Server auch bei RAM-Erweiterung mit 8Cores in die Knie.
Gibts eine ellegantere Lösung dafür?
P.S. endlich eine Firewall (Protectli VP4670) zu integrieren und das Netzwerk entsprechend zu segmentieren wäre der nächste Schritt. Auch ne USV-Anlage (welche noch nicht klar) kommt demnächst ins Haus (bisher wird einfach 1x am Tag die Datenbank per SSD mit nach Hause genommen, auch als Zusatzsicherung). Ein automatisches Backup nach Extern kommt ebenfalls. Der obige Grundaufbau muss aber erstmal geklärt werden.
Grüße Franky |
16 L E T Z T E A N T W O R T E N (Die neueste zuerst) |
mechanicus |
Gesendet - 20/07/2024 : 00:14:52 OK, dann mach mal.
Wenn Du 10 Clients brauchst, hast Du schon eine größere Praxis, wo ein EDV-Ausfall richtig Geld kostet, wenn Du laienhaft rangehst.
Als Unternehmer begegnen Dir viele Bereiche, wo Du dich entweder reinfuchsen musst oder jemanden mit der Aufgabe betrauen musst, der Ahnung hat. Laienhaftes Vorgehen war da nie zielführend ... |
Franky |
Gesendet - 19/07/2024 : 17:30:51 Zitat: Originally posted by mechanicus Wieviele Clients brauchst Du denn? Normalerweise hängt das von der Organisationsstruktur der Praxis ab und nicht davon, ob etwas in der EDV "komplex" wird.
10 Clients Mit zu komplex meine ich, 1. dass manche Lösungen einfach unnötig die Komplexizität steigern und 2. die IT-Struktur sollte so sein, dass sie mehr oder weniger von einem Laien gemanaged werden kann. Deswegen bin ich da am abwägen, inwiefern ich überhaupt virtualisiere oder doch wie bisher die Struktur ganz banal einfach halte. |
mechanicus |
Gesendet - 19/07/2024 : 11:17:56 Zitat: Franky: Aber die 10-VM-Lösung (hatte ich ganz am Anfang die Überlegung) hatte ich an sich schon verworfen. Es wird dadurch unnötig zu komplex.
Wieviele Clients brauchst Du denn? Normalerweise hängt das von der Organisationsstruktur der Praxis ab und nicht davon, ob etwas in der EDV "komplex" wird. |
Franky |
Gesendet - 17/07/2024 : 10:55:17 Zitat: Ersterfassung durch mechanicus Nein, die Clients starten und verbinden sich dann scriptgesteuert via RDP oder libvirt mit einer Windowskiste. Bei 10 Clients brauchst Du also 10 Windows-VMs mit adad auf Proxmox (wenn Du es nutzen möchtest). Dazu brauchst Du aber nur eine zu installieren, die anderen kannst Du klonen.
ok, muss ich mehr über das LTSP lesen. Aber die 10-VM-Lösung (hatte ich ganz am Anfang die Überlegung) hatte ich an sich schon verworfen. Es wird dadurch unnötig zu komplex. |
mechanicus |
Gesendet - 16/07/2024 : 23:54:18 Zitat: Franky: Die Clients starten über LTSP (sogar ohne Festplatte) ein Linux und darin kann man Win11 virtualisieren??
Nein, die Clients starten und verbinden sich dann scriptgesteuert via RDP oder libvirt mit einer Windowskiste. Bei 10 Clients brauchst Du also 10 Windows-VMs mit adad auf Proxmox (wenn Du es nutzen möchtest). Dazu brauchst Du aber nur eine zu installieren, die anderen kannst Du klonen. |
Franky |
Gesendet - 16/07/2024 : 19:39:31 Zitat: Ersterfassung durch mechanicus
Bei mehreren Clients würde ich das als Linux Terminalserver in einer VM realisieren, booten über DHCP und das Dateisystem als nfs-share auf dem Server. Statt 10 dann nur noch ein System zu administrieren.
Das hört sich ja spannend an, habe ich noch nie gehört!
Verstehe ich es richtig, dass es folgendermaßen möglich wäre: Proxmox aufn Server, dort WinServer-VM für adad, Datenbank und Co, dazu LTSP-VM.
Die Clients starten über LTSP (sogar ohne Festplatte) ein Linux und darin kann man Win11 virtualisieren?? |
mechanicus |
Gesendet - 16/07/2024 : 16:46:23 Bei mehreren Clients würde ich das als Linux Terminalserver in einer VM realisieren, booten über DHCP und das Dateisystem als nfs-share auf dem Server. Statt 10 dann nur noch ein System zu administrieren.
Edit: Link eingefügt. |
Franky |
Gesendet - 16/07/2024 : 12:09:44 Zitat: Ersterfassung durch mechanicus
Wofür brauchst Du extra Maschinen für Fileserver und Mail?
Bin davon mittlerweile abgerückt. Mailempfang würde nativ auf einem der Debian-Clients laufen. 'Fileserver' einfach per Ordner-Freigabe aufm WinServer lassen.
Zitat: Unser Server hat 4x 1 TB Nvme, 1x Intel Core i5 14500 (20 Threads), 64 GB RAM, LowEnergy Netzteil, hat insgesamt ca. 1.200 € gekostet und verbraucht 30 W, was bei einem 24/7 Betrieb nicht unwichtig ist.
Hmm... also setzt du auf Consumer-Hardware? Klar, könnte man natürlich ordentlich Geld sparen, an sich dürfet sie ebenfalls 24/7-tauglich sein.
Zitat: Wie gedenkst Du denn die W11 Clients zu realisieren? So richtig habe ich das nicht verstanden. 15 kleine physische PCs mit Debian, worauf jeweils W11 als Vm eingerichtet wird? Wäre administrativ ungünstig.
Debian auf den Clients und per RDC auf dem Server arbeiten. Da ist die Frage was man als Leistung braucht, um Adad mit der SQLexpress-DB vernünftig von zumindest gleichzeitig aktiven 5 RDCs zu betreiben. |
mechanicus |
Gesendet - 15/07/2024 : 14:23:28 Kanonen auf Spatzen sind das sicherlich nicht. Einmal eingerichtet und es läuft, abgesehen von gelegentlichen Wartungsarbeiten, automatisch.
Ich bin mir auch ziemlich sicher, dass sich kaum ein Praxisinhaber mit dem Datenschutz ernsthaft auseinandersetzt. Da steht der PC meist ungeschützt am Empfang, jeder könnte einen USB-Stick einstecken und irgendwelche Sicherheitsvorkehrungen finden nicht statt.
Die Datensicherung erfolgt hier nachts übrigens automatisch via SQLBackupAndFTP und wird unter Linux per Cronjob aus der W10-Kiste geholt, lokal gespeichert und verschlüsselt via lftp auf einen USB-Stick an der Fritzbox im entfernten Büro übertragen. Das läuft alles automatisch, im Fehlerfall werde ich per E-Mail benachrichtigt.
Die geeignete Cloud wäre dann eine von Microsoft, deren Zugangsdaten dann frei im Internet kursieren? ;-) (Heise Online: Details zum Microsoft-Leak: Über eine Million interne Dateien waren öffentlich)
|
herrmanj |
Gesendet - 15/07/2024 : 08:07:09 Für mich sind das Kanonen auf Spatzen. Automatische Sicherung der DB in eine geeignete Cloud tuts auch.
Was ist im Brandfall? Wo steht der Server? Wo sind die Daten, wenn der Server verbrennt? |
mechanicus |
Gesendet - 14/07/2024 : 14:30:21 Zitat: herrmanj: Wozu braucht man überhaupt bei adad95 einen Server? Die Frage ist ernst gemeint.
Wegen der Daten- und Ausfallsicherheit, der einfachen Administration und der Schnelligkeit der Wiederherstellung, damit weitergearbeitet werden kann. Schlicht gesagt auch wegen der Kosten. Kommt natürlich auf den "Server" an. Ich beziehe mich im folgenden auf einen Virtualisierungsserver. Mail-, File- und andere Server betrachte auch ich als überflüssig.
Ausfallsicherheit:
Schnelles RAID 10 mit 4 NVME-Platten. Redundantes Netzteil. Ggf. USV Automatische und redundante Backups mit ggf. schneller scriptgesteuerter Wiederherstellung.
Sicherheit:
Wir arbeiten mit besonders sensiblen Gesundheitsdaten und tragen deshalb besondere Verantwortung.
Deshalb:
- Verschlüsselte Laufwerke auf dem Server (Sicherheit gegen Diebstahl).
- Keine Daten auf Rechnern, die außerhalb abgeschlossener Räume stehen.
- Geschütztes Netzwerk auf DNS-Ebene (z.B. Pihole) und Firewallebene (z.B. OpnSense).
- Interner Netzwerkverkehr ssh-verschlüsselt.
- Keine freien USB-Ports an exponierten externen Rechnern, zentrale Verwaltung der Ports.
- Automatische Überwachung der Sicherheitprotokolle und automatische Sperrung bei Verdacht.
- Alle Windows-VMs ohne Internetzugang wg. MS-Servicevertrag und Recall (Ausnahme die Wartungs-VM für Abrechnung, Updates).
Das alles lässt sich auf einem Mini-PC nicht stemmen. |
herrmanj |
Gesendet - 13/07/2024 : 19:07:27 Wozu braucht man überhaupt bei adad95 einen Server? Die Frage ist ernst gemeint. |
mechanicus |
Gesendet - 12/07/2024 : 14:43:52 Zitat: FrankyZitat: 1.000 € für eine Protectli VP4670 kann man machen, einfacher ist ein kleiner sparsamer Mini-PC mit OPNsense, ist besser und billiger (ca. 80 €).
Das ist klar, ich habs aber gerne so weit es geht open source bzw. open firmware + deaktivierte IME
OPNSense ist OpenSource, basiert auf Free-BSD und kann deshalb packetfilter. |
mechanicus |
Gesendet - 12/07/2024 : 14:29:18 Zitat: Franky Zitat: Dein geplanter Server ist nicht mehr zeitgemäß
Weil? Klar, er hat nur eine CPU, damit werde ich nicht 10 Clients per RDP aufm Server arbeiten lassen können. Aber eine abgespecktere Lösung würde wunderbar gehen: Win11-VM --> Adad + MySQL Debian-VM --> Mailempfang Debian-VM --> Fileserver
Auf den Clients Debian mit OEMU virtualisieren Win11, welcher sich dann mit Adad bzw. dem Rest verbindet.
Klar, das Grundsystem der Clients wird dann nicht virtualisiert, aber da sehe ich keine große Notwendigkeit.
Dann wäre der T150 schön leise im Vergleich zu einer potenten Lösung, die man auch potent kühlen muss. Der Server steht in einem halbwegs schalisolierten Schrank in einem der Therapiezimmer (andere Möglichkeit gibts nicht).
Im Empfang ist hier nur ein lüfterloser Mini-PC, der nur die Anzeige der Fedora-Desktop-VM (läuft auf dem Server) bewerkstelligt, auf der dann E-Mail und Internet läuft und die Praxis-VM mit adad angezeigt wird. Therapeuten mit Verwaltungsaufgaben zu belasten ist eigentlich in Anbetracht der Physiogehälter betriebswirtschaftlicher Unsinn.
Wofür brauchst Du extra Maschinen für Fileserver und Mail?
Unser Server hat 4x 1 TB Nvme, 1x Intel Core i5 14500 (20 Threads), 64 GB RAM, LowEnergy Netzteil, hat insgesamt ca. 1.200 € gekostet und verbraucht 30 W, was bei einem 24/7 Betrieb nicht unwichtig ist.
Wie gedenkst Du denn die W11 Clients zu realisieren? So richtig habe ich das nicht verstanden. 15 kleine physische PCs mit Debian, worauf jeweils W11 als Vm eingerichtet wird? Wäre administrativ ungünstig. |
Franky |
Gesendet - 12/07/2024 : 11:20:37 Zitat: Da die Patientenverwaltung zentral im Empfang stattfindet, erschließt sich mir der Bedarf von 15 Clients nicht spontan.
Adad ist in jedem Therapeutenzimmer zur Doku und Terminierung vorhanden. An sich sind es glaub 10 Devices.
Zitat: 1.000 € für eine Protectli VP4670 kann man machen, einfacher ist ein kleiner sparsamer Mini-PC mit OPNsense, ist besser und billiger (ca. 80 €).
Das ist klar, ich habs aber gerne so weit es geht open source bzw. open firmware + deaktivierte IME
Zitat: Einfach die von SQLBackupAndFTP automatisch angelegte Datensicherung skriptgesteuert per lftp (auf ssh achten!) nachts auf den an Deiner FritzBox zu Hause angeschlossenen USB-Stick senden.
klar, so etwas kommt dann, wenn der Rest des Upgrades steht.
Zitat: Linux-Software-RAID (ist besser zu managen und auch schneller als eine Hardwarelösung)
puh, das wäre wieder, wo ich mich reinarbeiten muss. Hatte mit Software-RAID nichts zu tun.
Zitat: Dein geplanter Server ist nicht mehr zeitgemäß
Weil? Klar, er hat nur eine CPU, damit werde ich nicht 10 Clients per RDP aufm Server arbeiten lassen können. Aber eine abgespecktere Lösung würde wunderbar gehen: Win11-VM --> Adad + MySQL Debian-VM --> Mailempfang Debian-VM --> Fileserver
Auf den Clients Debian mit OEMU virtualisieren Win11, welcher sich dann mit Adad bzw. dem Rest verbindet.
Klar, das Grundsystem der Clients wird dann nicht virtualisiert, aber da sehe ich keine große Notwendigkeit.
Dann wäre der T150 schön leise im Vergleich zu einer potenten Lösung, die man auch potent kühlen muss. Der Server steht in einem halbwegs schalisolierten Schrank in einem der Therapiezimmer (andere Möglichkeit gibts nicht).
Zitat: bau Dir einfach selber einen zusammen mit einer CPU mit vielen Threads, viel RAM und mehreren NVMEs im RAID 10
Von daher, weiß nicht, obs sich lohnt selber zu basteln, wenn das Ding leise sein soll. |
mechanicus |
Gesendet - 12/07/2024 : 10:04:40 Hatte ich früher mal am Laufen, aber nur mit 3 W10-VMs (adad) und einer Fedora-VM (Desktop, E-Mail, Internet usw.). Hatte verschiedene Nachteile (für mich).
Seit einigen Jahren Fedora Virtualisierungsserver mit 4 VMs. Da die Patientenverwaltung zentral im Empfang stattfindet, erschließt sich mir der Bedarf von 15 Clients nicht spontan.
Auf die Windowskisten wird mit virt-viewer über ssh zugegriffen, Kartenleser ist mit USB-Server auf LAN umgesetzt, alle Laufwerke sind LUKS-verschlüsselt.
Dein geplanter Server ist nicht mehr zeitgemäß, bau Dir einfach selber einen zusammen mit einer CPU mit vielen Threads, viel RAM und mehreren NVMEs im RAID 10 im Linux-Software-RAID (ist besser zu managen und auch schneller als eine Hardwarelösung).
1.000 € für eine Protectli VP4670 kann man machen, einfacher ist ein kleiner sparsamer Mini-PC mit OPNsense, ist besser und billiger (ca. 80 €). Alternativ ginge auch eine zusätzliche Netzwerkkarte im Server, die an eine VM mit OpnSense durchgereicht wird.
Edit: Wenn Du zu Hause Internet hast, warum dann eine Datensicherung auf SSD, die Du materiell nach Hause schleppst? Einfach die von SQLBackupAndFTP automatisch angelegte Datensicherung skriptgesteuert per lftp (auf ssh achten!) nachts auf den an Deiner FritzBox zu Hause angeschlossenen USB-Stick senden. |
|
|