Come variare la configurazione di un VPS CronusCloud

L’infrastruttura CronusCloud permette di variare la configurazione di un VPS con maggior facilità di quanto non sia possibile su un server fisico.

Quali risorse è possibile variare in un VPS CronusCloud?

E’ possibile variare, secondo necessità, le seguenti risorse:

  • numero di vCPU
  • vRAM allocata
  • storage high-end
  • storage mid-line
  • banda minima garantita

 

Per upgrade della configurazione:

L’utente, dopo aver fatto il log-in sul pannello di controllo panel.newmedialabs.it, dalla sezione specifica di gestione del VPS può accedere alla funzione “upgrade”, dove è possibile inserire l’ordine per le maggiori risorse desiderate.
Una volta completato l’ordine ed effettuato il relativo pagamento, riceverà comunicazione del momento in cui verrà effettivamente svolta l’espansione del VPS.
Tali operazioni (pianificate di norma su base quotidiana) comportano un fermo del server coinvolto ed il successivo riavvio, con un fermo di servizio la cui durata normalmente è di pochi minuti, ma che può protrarsi per configurazioni particolari o stati particolari del server.
Ciò si applica per gli upgrade di risorse quali vCPU, vRAM e storage; non si applica agli upgrade di banda minima garantita che – fino a 40 Mbps complessivi – vengono applicati automaticamente nell’arco di pochi minuti

Nota sull’upgrade di storage

A seguito dell’espansione, verranno ingrandite le dimensioni del disco virtuale (VDISK) a disposizione del server.
Dopodiché l’utente, utilizzando gli strumenti e le procedure proprie del sistema operativo utilizzando, dovrà procedere al suo partizionamento (aggiungendolo a partizioni già esistenti, ove possibile, oppure creandone di nuove).
In alcuni casi è possibile intervenire direttamente sull’unità logica esistente, ripartizionandola in maniera adeguata.
In altri casi invece, può essere opportuno procedere all’espansione di un’unità duplicandola in una di maggior dimensione, ovvero, per esempio, volendo aumentare una certa unità logica da 50 a 90 GB:
a – richiedere un’allocazione di spazio pari a quella totale della nuova unità (quindi, 90 GB);
b – ripartizionarla creando la nuova unità logica da 90 GB;
c – duplicare i dati dalla vecchia alla nuova unità logica
d – rinominare la nuova unità logica, in modo che sostituisca la vecchia
e – cancellare la vecchia unità logica e richiederne poi la dismissione
Le due possibilità (ripartizionamento dell’unità logica esistente oppure duplicazione della stessa) dipendono dalle caratteristiche del sistema operativo utilizzato, nonché da considerazioni sui tempi necessari all’operazione e sulla sua eventuale complessità, la cui valutazione deve esser fatta – caso per caso – dall’Amministratore del server.

Downgrade di vCPU, vRAM, banda

Il downgrade di risorse deve essere richiesto a mezzo ticket, specificando chiaramente:

  • il VPS del quale si richiede il downgrade (indicare il nome del servizio, non l’IP!)
  • le risorse che si intende dismettere

Il ticket deve essere aperto almeno tre giorni lavorativi prima della scadenza mensile del servizio; altrimenti, non sarà possibile garantire il downgrade del servizio in tempo, e l’utente sarà costretto a rinnovare le risorse per un ulteriore mese.

Nota sul downgrade di storage

La riduzione delle dimensioni di un disco può esser soggetta a diversi problemi, che dipendono soprattutto dal sistema operativo utilizzato.
E’ un’operazione quindi in genere sconsigliata, soprattutto per i dischi di sistema.
La flessibilità dell’infrastruttura Cloud in cui viene realizzato il sistema non deve infatti trarre in inganno: un VPS sarà sempre e comunque soggetto ai vincoli ed alle procedure proprie del sistema operativo scelto, anche nella gestione delle sue unità di storage.

Per maggiori informazioni, relative allo specifico caso: aprire un ticket di assistenza

Come attivare un certificato SSL sul proprio server

[box type=”warning”] Questa guida si applica a certificati SSL GeoTrust e RapidSSL; per altri certificati la procedura potrebbe differire in alcuni passaggi.[/box]

 

Cosa è necessario per attivare un certificato SSL sul proprio server?

Per attivare un certificato SSL è necessario:

  • un server abilitato alla gestione di servizi SSL
  • poter accedere e gestire le funzioni di configurazione dei servizi SSL del proprio server
  • un CSR (Certificate Signing Request)
  • acquistare un certificato SSL rilasciato da un’autorità riconosciuta (es. Geotrust o RapidSSL)

Perché durante l’attivazione risulta che il mio CSR non è valido?

I motivi per cui un CSR non risulta valido possono essere diversi.
Durante la creazione di un CSR, vengono richiesti diversi parametri e dati, e non averli specificati con correttezza e precisione può essere fonte di diversi errori.
In caso di errore, si consiglia di:

  1. verificare il campo “common name”
    E’ possibile che invece di un “common name” sia stato specificato un indirizzo IP (es. “92.60.66.120“) oppure un server name (es. “mywebserver“) invece di un “Fully Qualified Domain Name” (quale ad esempio www.miodominio.com o miodominio.com)
    Per registrare un certificato SSL, è necessario specificare come “common name” un “Fully Qualified Domain Name”
    [box type=”warning”] Verificare di non aver inserito nel “common name” caratteri non ammessi![/box]
    I caratteri non ammessi sono i seguenti:
    [! @ # $ % ^ ( ) ~ ? > < & / \ , . ” ‘]
  2. verificare il campo “country”
  3.  verificare di aver inserito correttamente il CSR nel modulo di registrazione; in particolare, verificare di aver inserito l’header ed il footer del CSR.
    L’header ed il footer del CSR sono del seguente tipo:

     ----BEGIN CERTIFICATE REQUEST-----
    encoded data
    -----END CERTIFICATE REQUEST------

    Verificare che ci siano cinque trattini (“-“) all’inizio ed alla fine delle due righe “BEGIN” ed “END”
    Verificare che non ci siano spazi all’inizio.

 

E’ possibile cambiare il CSR durante la registrazione di un certificato SSL?

Si, è possibile cambiare o correggere il CSR durante la registrazione di un certificato SSL.
Alla fine del processo di registrazione verrà richiesto di confermare tutti i dati forniti durante il processo. Solo dopo che sarà stata data questa conferma, non sarà più possibile correggere i dettagli del CSR.
Una volta che il certificato SSL è stato rilasciato, non sarà più possibile cambiare il “common name” dello stesso.

[box type=”warning”]Una volta che il certificato SSL è stato rilasciato, non sarà più possibile cambiare il “common name” dello stesso.[/box]

Cosa è il processo di verifica?

Successivamente alla registrazione di un certificato, prima dell’attivazione l’Authority (RapidSSL o GeoTrust) procederà ad una verifica dell’intestatario del certificato.
Questa verifica prevede al minimo l’invio di una email al Registrante del dominio, che dovrà rispondere alla stessa per confermare i dati e la genuinità della richiesta di certificato.
In alternativa all’indirizzo email del registrante (o quando questo non sia accessibile da un whois pubblico), è possibile indicare in fase di registrazione uno qualsiasi dei seguenti indirizzi email:

admin@miodominio.com
administrator@miodominio.com
webmaster@miodominio.com
hostmaster@miodominio.com
root@miodominio.com
ssladmin@miodominio.com

Per alcuni tipi di certificato (es. GeoTrust EV) è prevista anche una verifica telefonica.

In tutti i casi, è possibile che venga richiesto l’invio di documenti ufficiali che attestino p.es. lo stato di un’azienda o la effettiva titolarità di un dominio

Come si genera un CSR su APACHE SSL

 

[box type=”warning”] Questa guida si applica a certificati GeoTrust e RapidSSL; per altri certificati la procedura potrebbe differire in alcuni passaggi.[/box]

 

Per generare un CSR (CERTIFICATE SIGNING REQUEST) , è necessario creare una coppia di chiavi per il server, ovvero due chiavi digitali di certificato (una chiave “pubblica” e l’altra “privata”) che non possono essere separate.

Se si smarrisce il file di una delle due chiavi (pubblica oppure privata) o la relativa password e se ne generano di nuove, non corrisponderanno più al certificato SSL che dovrà quindi esser sostituito.

Passo 1: Generazione di una coppia di chiavi

Per generare la chiave e il CSR si usa la utility OpenSSL.
Questa utility viene fornita con il pacchetto OpenSSL e di solito è installata in /usr/local/ssl /bin.
Se è stato installato in altra directory, è necessario modificare in modo appropriato le successive istruzioni.

Digitare il seguente comando al prompt per una chiave non crittografata:

openssl genrsa -out www.yourdomain-example.com.key 2048

Per un uso con chiave crittografata utilizzare invece il seguente comando:

openssl genrsa -des3 -out www.yourdomain-example.com.key 2048

  SSL1

Questo comando genera un chiave privata RSA a 2048 bit e la memorizza nel file www.yourdomain-example.com.key.
Quando viene richiesta la pass phrase: immettere una password sicura e memorizzarla in modo efficace ed affidabile, in quanto questa password costituisce la protezione della chiave privata.
Sia la chiave privata che il certificato sono necessari per abilitare SSL.

[box type=”warning”] la versione Windows di OpenSSL non è compatibile con chiavi crittografate e quindi in questo caso non può esser utilizzata[/box]

[box type=”info”] Per bypassare il requisito di passphrase, omettere l’opzione -des3 durante la generazione della chiave privata.[/box]

[box type=”warning”]Se si lascia la chiave privata non protetta, si raccomanda che l’accesso al server sia protetto e limitato (anche fisicamente), in modo che solo gli amministratori autorizzati possano accedere o leggere il file della chiave privata.[/box]

Passo 2: Generazione del CSR

Al prompt, digitare il seguente comando:

openssl req -new -key www.yourdomain-example.com.key -out www.yourdomain-example.com.csr

SSL2
Questo comando richiederà per il certificato i seguenti attributi X.509:
SSL3

  • Country Name
    Utilizzare il codice di due lettere senza punteggiatura per la nazione, per esempio: IT o DE
  • State or Province
    Scrivere lo stato o la provincia per esteso, senza abbreviazioni
  • Locality or City
    Scrivere il nome della località per esteso, senza abbreviazioni
  • Company
    Se la vostra azienda o il reparto ha nel proprio nome un &, @, o un qualsiasi altro carattere speciale, è necessario sostituire o omettere il simbolo.
    Esempio: XY & Z Corporation va indicata come XYZ Corporation oppure XY e Z Corporation.
  • Organizational Unit
    Campo facoltativo, che può essere utilizzato per identificare i certificati registrati a un’organizzazione. Il campo Unità organizzativa (OU) è il nome del reparto o unità organizzativa che effettua la richiesta.
  • Common Name
    E’ l’host + nome di dominio. Dovrebbe essere qualcosa del tipo “www.company.com” o “company.com“.
    Nel caso di certificati wildcard, la sintassi è del tipo *.company.com

E’ necessario che il server impieghi il medesimo common name specificato durante la registrazione del certificato. Ad esempio, un certificato per il dominio “domain.com“, segnalerà un errore se si tenta l’accesso a un sito denominato “secure.domain.com“, perché “secure.domain.com” è diverso da “domain.com“.

[box type=”warning”]Durante la generazione del CSR si consiglia di non inserire i seguenti “attributi extra”:

  • il proprio indirizzo e-mail
  • challenge password
  • nome di società[/box]

A questo punto è stata creata la coppia di chiavi privata/pubblica.

La chiave privata (www.yourdomain-example.com.key) viene memorizzata in locale sulla macchina server e viene utilizzata per la decrittazione.

La chiave pubblica, nella forma di un Certificate Signing Request (certrequest.csr), servirà per l’attivazione del certificato.

[box type=”warning”] Per effettuare il copia/incolla del CSR nel modulo di attivazione, aprire il file con un semplice editor di testo come Notepad, oppure salvarlo come file txt.
Non utilizzare Microsoft Word, che potrebbe inserire caratteri nascosti che altererebbero il contenuto del CSR.[/box]

Una volta che il CSR è stato creato, procedere all’attivazione del certificato SSL, utilizzando il CSR appena generato.

Passo 3: Eseguire il backup della chiave privata

Si consiglia di eseguire il backup del file .key e la memorizzazione della corrispondente password.
Una buona scelta è quella di creare una copia di questo file su un dischetto o altro supporto rimovibile.

[box type=”info”]Effettuare il backup della chiave privata non è strettamente indispensabile, ma potrebbe essere utile nel caso di guasto del server.[/box]

 

Qual’è la differenza tra storage CronusCloud “high-end” e Mid-range” ?

Ogni VPS su CronusCloud dispone di uno o più hard disk virtuali, realizzati su unità storage esterne.

Le unità storage esterne (condivise tra tutti i nodi Cronus) hanno delle caratteristiche comuni:

  • collegamenti ridondati fiber channel
    per le massime prestazioni ed affidabilità
  • controller ridondato
    Ogni storage è dotato di due controller dischi separati ed indipendenti, che lavorano in tandem; l’eventuale guasto di un controller non compromette la funzionalità del sistema, perchè l’altro è comunque sufficiente a supportare il traffico nel tempo necessario ad eseguire la riparazione
  • dischi configurati in RAID
    per ottimizzare le prestazioni ed aumentare la sicurezza: in caso di guasto ad un disco, è possibile sostituirlo senza alcuna perdita dei dati presenti sullo stesso

La differenza tra gli storage Hi-end e Mid-range è sul tipo di dischi utilizzati:

  • lo storage hi-end utilizza dischi SAS da 15000 giri
  • lo storage mid-range utilizza invece dischi SAS da 7200 giri

La differenza tra le due è essenzialmente nella velocità di accesso e di througput, essendo invece l’affidabilità dei due diversi sistemi sostanzialmente uguale.

Nella stessa VPS è possibile utilizzare contemporaneamente dischi virtuali realizzati sia su storage hi-end, che su storage mid-range

Quando utilizzare lo stoage hi-end e quando il mid-range?

Dischi di sistema per VPS ad alte prestazioni: hi-end
Dischi di sistema per VPS a carico medio/basso: mid-range
Database server: mid-range
Database server ad alte prestazioni: hi-end
Data repository: mid-range
Backup: mid-range

Esempio: sarà possibile configurare una VPS con un disco di sistema ad alte prestazioni da 10GB (hi-end), un disco per repository da 150GB (mid-range) ed un altro disco di backup da 300GB (mid-range)

E’ possibile effettuare più di due connessioni RDP su un server con Windows Server?

Su Windows Server 2003 e Windows Server 2008, il numero massimo di connessioni RDP amministrative contemporanee è limitato a due (oltre, ovviamente, a quella da consolle)

E’ possibile aumentare il numero di connessioni attivando Terminal Server in application mode, ed acquistando il numero di licenze TS-CAL.

Gli accessi ulteriori però non saranno di tipo amministrativo: gli accessi amministrativi sono infatti sempre limitati a due.

autenticazione sui server SMTP dedicati

I server SMTP dedicati possono esser utilizzati, a scelta dell’utente:

  • abilitando uno o più IP mittenti
    Solo gli invii provenienti dagli IP specificati verranno accettati e processati dal server SMTP, indifferentemente da quale risulti essere l’indirizzo mittente;
  • oppure con un normale login user/password
    Solo gli invii effettuati da account che si siano correttamente autenticati con user e password verranno processati; anche in questo caso, è indifferente quale risulti essere l’indirizzo mittente.

Non vi è alcuna limitazione agli indirizzi mittenti utilizzabili, che possono appartenere anche a domini differenti, purchè l’autenticazione (secondo una delle due modalità sopra esposte) avvenga correttamente.

RECORD SPF
Per la massima efficacia nell’invio degli email atravers i server SMTP dedicati, è opportuno che venga correttamente configurato un record SPF (Sender Framework Policy) per ogni dominio mittente.
Una corretta configurazione del record SPF può essere essenziale per il superamento di alcuni controlli antispam.
Un rrecord SPF mal configurato o assente può portare ala conseguenza che i propri messaggi vengano etichettati come spam e, come tali, cancellti.

Ciascun dominio di posta eletronica può infatti pubblicare i criteri che contraddistinguono i mittenti che lo utilizzano. SPF definisce una varietà di metodi per indicare, direttamente o per riferimento, quali indirizzi IP possono essere usati dal mittente per spedire un’e-mail. Per esempio, è possibile indicare che i messaggi provenienti da xxx@example.com possano essere inviati soltanto da indirizzi IP europei.

I dati SPF per definire la policy sono pubblicati sul DNS di ciascun dominio utilizzando il record SPF. È importante notare che il blocco avviene prima della ricezione del testo messaggio, durante la fase iniziale del protocollo SMTP. Dopo aver ricevuto un messaggio, un server di posta è tenuto a consegnarlo al destinatario oppure a notificare al mittente che il messaggio non viene consegnato. Dato che i mittenti di messaggi abusivi sono, appunto, abusivi, la praticità di metodi basati su dati che si trovano all’interno del messaggio di posta è piuttosto limitata, dal punto di vista del gestore di un server di posta.

Un tool per generare una stringa valida per il record SPF è il seguente: http://www.spfwizard.com/

Cosa comprende l’opzione “assistenza basic” per i server dedicati?

Con l’opzione “assistenza basic”, il cliente gestisce il proprio server nella più ampia libertà ed autonomia, e sotto la propria responsabilità.
Il nostro personale in farm garantisce, in caso di necessità, il riavvio del server in orario d’ufficio (dal lunedì al venerdì, dalle 9:00 alle 17:30) entro 1h dalla richiesta del cliente.
Il cliente può altresì richiedere l’attivazione gratuita di un servizio di monitoraggio su un IP assegnato, che lo avvertirà automaticamente a mezzo email ogniqualvolta il servizio dovesse risultare non disponibile.

Il Cliente ha comunque facoltà di richiedere servizi extracontrattuali (diversi da quelli contrattualmente previsti, oppure in fascia oraria diversa da quella prevista). Tali servizi, che vanno richiesti attraverso lo strumento di ticketing,  verranno poi addebitati a consuntivo, secondo il tariffario corrente.
Per interventi extracontrattuali particolari, il Cliente può richiedere gratuitamente un preventivo preliminare.

L'”assistenza basic” si applica a:

  • server a noleggio
  • server in colocation
  • VPS

descrizione infrastruttura CronusCloud

CronusCloud è la nostra esclusiva infrastruttura cloud, progettata sia dal punto di vista hardware che software per ottenere la maggior affidabilità e flessibilità possibili.

Avviata ad agosto 2012, su CronusCloud sono stati trasferiti tutti i VPS gestiti da ServerLabs.

Le caratteristiche di potenza e flessibilità rendono CronusCloud una valida alternativa anche ai tradizionali server dedicati, rispetto ai quali CronusCloud garantisce un’affidabilità ben superiore, non essendo praticamente soggetta alle conseguenze di possibili guasti hardware.

PIATTAFORMA HARDWARE

CRONUS è realizzato su una piattaforma hardware costituita esclusivamente da sistemi Hewlett Packard: server, storage, infrastruttura di rete.

 

Il cuore principale è un cluster di server HP DL380 G7, tutti di identica configurazione::

  • due processori Xeon E5645 (6 core, 2.4 Ghz)
  • 96 GB di RAM
  • doppia interfaccia Fiber Channel (FC) da 8 GB/s

 

 

Ogni server fisico costituisce un nodo del cluster in modalità “fail over”: in caso di eventuale guasto di un server, lo stesso immediatamente viene automaticamente rimpiazzato da un altro, senza nessuna interruzione dei servizi.

In qualsiasi momento, è altresì possibile aggiungere uno o più server, incrementando quindi il numero di nodi del cluster.

 

I singoli nodi non sono dotati di memoria di massa locale; la funzione di storaging viene svolta da unità SAN HP P2000, con doppio controller doppia interfaccia Fiber Channel da 8 GB/s.

Quest’unità permette di montare fino a 149 hard disk SAS, per una capacità totale di 288 TB

Tutta la struttura hardware è ridondata a tutti i livelli, per garantire la massima affidabilità: l’eventuale guasto di un qualsiasi singolo componente non solo non compromette la funzionalità del sistema, ma neppure le sue prestazioni.

Anche per la parte di networking la piattaforma risulta completamente ridondata in ogni sua parte:

  • il canale in fibra che collega i nodi alla SAN è ridondato, come pure ridondati sono i relativi switch FC
  • la rete IP è completamente ridondata, appoggiandosi a coppie di switch Gigabit HP Procurve
  • l’uplink verso internet è ridondato grazie a due distinti accessi in fibra ottica
  • ogni singolo nodo ha a disposizione 6 connessioni gigabit per ridondare sia il canale pubblico sia l’interconnessione verso gli altri nodi tramite apposito canale dedicato.

 

HYPERVISOR

 

L’Hypervisor di CRONUS è VmWare VSphere 5.
I principali vantaggi di questa soluzione sono:

    • High Availability:
      Il sistema in maniera autonoma monitorizza lo stato delle macchine e decide con che modalità agire per risolvere eventuali fermi del sistema.
    • Gestione Risorse (DRS):
      L’uso delle risorse dei nodi fisici viene costantemente monitorato e in base ad eventuali picchi nelle richieste di risorse da parte delle macchine virtuali queste vengono distribuite all’interno del cluster in maniera automatica e invisibile all’utente.
      Queste operazioni non richiedono nessun fermo delle macchine virtuali.
    • Gestione via Web:
      Per gli utenti è disponibile una comoda interfaccia web che permette di effettuare le normali operazioni di manutenzione sulla macchina da qualsiasi dispositivo che supporti Flash.
    • Ripristino e backup:
      Tramite soluzioni studiate ad hoc per un ambiente virtualizzato è possibile effettuare snapshot e backup di tutti i nodi virtuali senza la necessità di procedere con un fermo dell’ambiente.
      E’ possibile procedere ad un ripristino dell’intera macchina virtuale con funzionalità di disaster recovery o recuperare dal sistema di backup solo le parti di filesystem interessate.
    • Upgrade
      Grazie alla flessibilità della virtualizzazione è possibile effettuare upgrade delle risorse a disposizione del vostro nodo virtuale in pochi minuti e spesso senza la necessità di un riavvio della macchina.
    • VLAN personalizzate
      Tramite virtualSwitch è possibile configurare per ogni utente una vlan privata in modo da interconnettere direttamente i suoi nodi all’interno di un anello riservato.

 

CRONUS – garanzia di prestazioni

La tecnologia DRS (Distributed Resource Scheduler) di VMware vSphere effettua un continuo controllo del carico di lavoro di ogni singolo nodo del cluster.
Allorché l’utilizzo di risorse di un singolo nodo dovesse superare una certa soglia critica, VMware DRS interverrà spostandone parte del carico su altri nodi, ottimizzando quindi l’utilizzo delle risorse disponibili.

CRONUS – garanzia di continuità

VMware vSphere sovrintende alla gestione di tutte le risorse hardware di tutti i nodi che costituiscono il cluster, astraendole dai singoli server e costituendole in un cosiddetto “resource pool”.
Nell’eventualità (improbabile, ma pur sempre possibile) di un guasto ad un server, vSphere provvederà immediatamente a cancellare le relative risorse dal pool, ed a distribuire il carico di lavoro sugli altri server – senza soluzione di continuità.