Praca zdalna na serwerach VPS w NSIX

Serwery VPS stały się standardem pracy zdalnej i są nieodzownym narzędziem w dzisiejszym świecie. Dzięki temu że klient ma pełną kontrolę nad tym co się na nim znajduje, może być on bezpiecznym miejscem do pracy, a dodatkowe formy zabezpieczenia które zostały omówione w poprzednich artykułach (tutaj i tutaj) dodatkowo zwiększają funkcjonalność i bezpieczeństwo korzystania z takiej usługi.

Jako że serwery VPS pozwalają na uruchamianie różnego rodzaju aplikacji, dostajemy dzięki temu możliwość zainstalowania na nich niemal niezliczonej ilości oprogramowania. Możemy uruchomić np. pakiet Office, oprogramowanie CRM, różnego rodzaju systemy ERP (Comarch Optima, Sage Symfonia, SAP, itp.). Jeżeli jednak chcemy aby serwer służył jako prywatna chmura na dane, istnieje możliwość zainstalowania serwera Nextcloud wraz z pakietem OnlyOffice, co pozwoli na przechowywanie plików i ich edycję z dowolnego miejsca oraz urządzenia na świecie – i to bezpłatnie.

Biorąc pod uwagę rozmaitość i różnorodność zastosowań serwerów VPS, dają one także możliwość przeniesienia większej ilości pracy z komputerów użytkowników końcowych na serwer. W efekcie można zaoszczędzić pieniądze np. na licencjach czy sprzęcie.

Przykładowe wdrożenie z systemem Windows Server

W przypadku kiedy użytkownik zakupi serwer VPS z oferty NSIX Data Center G2 z systemem Windows Server 2022, dostaje możliwość zainstalowania na nim m.in. pakietu Office Microsoft 365 dla przedsiębiorstw, Comarch ERP Optima oraz oprogramowania CRM do zarządzania bazą klientów.

Aby bezpiecznie i komfortowo łączyć się do zasobów zdalnych potrzebna będzie brama OPNsense wraz z usługą serwera OpenVPN, co pozwala bardzo skutecznie zabezpieczyć zasoby serwera przed dostępem ze strony nieupoważnionych osób. Otrzymujemy również możliwość zestawienia bezpiecznych, szyfrowanych połączeń pomiędzy klientem oraz serwerem, dzięki czemu nieautoryzowany dostęp jest w praktyce niezwykle trudny do zrealizowania.

W związku z tym, że cała praca jest wykonywana na serwerze, komputer użytkownika pozostaje nisko obciążony co pozwala na optymalizację zasobów i zakup tańszych jednostek a także oszczędności w zużyciu energii w biurze. Dodatkowo, pakiet Office zainstalowany na serwerze wymaga tylko i wyłącznie jednej licencji dla wielu użytkowników, nie ma potrzeby jego instalacji oraz zakupu dla każdego stanowiska. Dodatkowym atutem jest mobilność takiego rozwiązania, które jest całkowicie niezależne od urządzenia. Do połączenia z serwerem jest używany plik w postaci certyfikatu VPN, który można zaimportować np. do tabletu, telefonu czy innego komputera z systemem operacyjnym Windows, Linux lub MacOS. Całe opisywane w niniejszym artykule rozwiązanie znacząco podnosi bezpieczeństwo danych ponieważ nie są one przechowywane na komputerze użytkownika tylko przetwarzane są na serwerze zdalnym, w tzw. „chmurze” co w razie awarii komputera użytkownika nie wpływa w żaden sposób na wyniki jego pracy, a w razie usunięcia danych z serwera, dostępne są kopie zapasowe pozwalające na ich odzyskanie.

Przykładowe wdrożenie z systemem z rodziny Linux

W przypadku kiedy szukamy rozwiązania do bezpiecznego przechowywania plików w chmurze, istnieje powszechnie znane rozwiązanie „dysku chmurowego”, może to być np. usługa Nextcloud. Pozwala ona na przechowywanie różnego rodzaju danych we własnej chmurze dostępnej z dowolnego miejsca na świecie. Dostęp do danych może odbywać się poprzez aplikację przeglądarkową lub aplikację na komputer osobisty czy urządzenie mobilne. W przypadku aplikacji na komputer, pliki synchronizowane są do jednego z folderów w bardzo podobny sposób jak na przykład rozwiązanie OneDrive czy Google Drive. Zsynchronizowane pliki można przeglądać, modyfikować, usuwać z poziomu eksploratora plików na komputerze a aplikacja sama zadba o to, aby wszystkie foldery pozostały aktualne na wszystkich podłączonych do usługi urządzeniach. Dodatkowym atutem takiego rozwiązania jest to, że nie wymaga ono korzystania z zewnętrznych serwisów, a nad wszystkimi danymi administrator serwera posiada pełną kontrolę.

Istnieje także możliwość korzystania z aplikacji w przeglądarce która pozwala na podstawowe operacje takie jak pobranie czy wysłanie pliku na serwer. Jeżeli jednak chcemy go zmodyfikować, należy go pobrać na swój komputer, edytować a następnie przesłać z powrotem, co może być dość uciążliwe dla użytkownika końcowego. Lepszym rozwiązaniem jest zastosowanie rozszerzenia OnlyOffice instalowanego na osobnym serwerze które pozwala edytować pliki tekstowe, Word, Excel itp. bezpośrednio z przeglądarki. Działa ono w bardzo podobny sposób jak aplikacje Microsoft Online czy Google Docs jednak pozwala na łatwą integrację z serwerem Nextcloud, jednocześnie podnosząc produktywność, a dzięki możliwości przeglądania oraz edycji plików z poziomu przeglądarki internetowej pracownicy mogą wykonywać swoje zadania z każdego miejsca.
OnlyOffice jest aplikacją Open Source, jednak w wersji darmowej pozwala jednocześnie na 20 połączeń co jest w zupełności wystarczające w małych i średnich firmach. W przypadku kiedy potrzeby jednoczesnych połączeń zwiększają się, istnieje możliwość dokupienia dodatkowych połączeń.

Podsumowanie

Powyżej przedstawiliśmy kilka przykładów w jaki sposób serwery VPS z oferty NSIX Data Center G2 mogą służyć z powodzeniem przy wprowadzaniu pracy zdalnej lub zmniejszeniu obciążenia komputerów w firmie. Powyższe scenariusze to jedynie mały wycinek tego, co można uruchomić na własnej infrastrukturze serwerów wirtualnych z naszej oferty. Tego typu przykładów jest znacznie więcej a ich liczba w przyszłości będzie tylko i wyłącznie rosła, dzięki czemu każdy użytkownik będzie w stanie znaleźć rozwiązanie dopasowane do swoich potrzeb.

Jak połączyć swoją sieć LAN w biurze z serwerem VPS w NSIX przez Internet

W ostatnim artykule na naszym blogu, opisaliśmy w jaki sposób należy zadbać o bezpieczeństwo swojej infrastruktury wirtualnej VPS, uruchomionej na przykład w naszym centrum danych. Skupiliśmy się w artykule na kwestii bezpieczeństwa oraz sposobu połączenia użytkowników końcowych do serwerów wirtualnych VPS z systemem Windows Server lub Linux, znajdujących się za zaporą sieciową, firewallem, – tzw. bramą.

W tym artykule opiszemy w jaki sposób można połączyć własną istniejącą sieć LAN, np. w biurze, poprzez bezpieczne szyfrowane połączenie przez Internet (sieć WAN) z serwerami wirtualnymi VPS zlokalizowanymi w naszym centrum danych.

Chcę połączyć swoją sieć wewnętrzną z infrastrukturą wirtualną serwerów VPS, co mam zrobić?

O ile w większości przypadków, rozwiązanie przedstawione w poprzednim artykule oparte na utworzeniu dostępów VPN SSL do serwera dla każdego użytkownika z osobna sprawdza się znakomicie w określonym scenariuszu, tak w niektórych wdrożeniach może być niewystarczające.

Jeżeli w biurze lub dowolnej innej lokalizacji znajduje się drukarka fiskalna, czytnik kodów albo inne urządzenie podłączane do sieci LAN, które musi mieć dostęp do serwera wirtualnego VPS, np. z zainstalowanym systemem ERP, a nie ma możliwości uruchomienia na takim urządzeniu połączenia VPN z wykorzystaniem certyfikatów VPN SSL, np. za pomocą serwera OpenVPN dointegrowanego do bramy OPNsense, lub inna usługa VPN została już wdrożona i nie zamierzamy dodawać kolejnej, komplikując konfigurację sieciową, istnieje możliwość utworzenia połączenia tunelowego pomiędzy swoją własną infrastrukturą (siecią LAN) a zdalną bramą OPNsense, poprzez protokół IPSec albo konfigurację serwera OpenVPN w trybie site-to-site. W zależności jaka technologia będzie preferowana lub co będzie obsługiwane przez nasze urządzenie w sieci LAN, wykorzystać można IPsec albo szyfrowany tunel site-to-site, pozostawiając niezmienioną adresację LAN.

IPSec

Protokół IPSec jest to rozwiązanie obsługiwane przez znaczącą większość urządzeń, przez co jest jednym z najpopularniejszych sposobów na zestawienie połączeń tunelowych pomiędzy dwiema lokalizacjami. Dodatkową zaletą tego rozwiązania jest możliwość szyfrowania transmisji, dzięki czemu ryzyko nieautoryzowanego dostępu jest znacząco minimalizowane lub w praktyce nieautoryzowany dostęp do sieci jest bardzo trudny do wykonania. Ponadto konfiguracja połączenia IPSec jest stosunkowo prosta, co pozwala na jego skonfigurowanie nawet niezaawansowanym użytkownikom.

Istnieje jednak możliwość, iż protokół ten mimo swojego szerokiego wdrożenia, na różnych urządzeniach może działać w inny sposób, przez co niewykluczone są problemy z jego wdrożeniem. Dodatkowo opcje szyfrowania dostępne w tym rozwiązaniu są dosyć ograniczone, przez co jest to dobre rozwiązanie dla niewrażliwych danych, bądź wdrożeń które nie wymagają mocnego szyfrowania transmisji.

Openvpn site-to-site

Rozwiązaniem, które umożliwia zestawienie połączenia Site-to-Site dostępnym w OPNsense jest serwer OpenVPN. Poza niewątpliwą zaletą, iż jest to rozwiązanie Open Source, oferuje on duży wybór algorytmów szyfrujących oraz możliwość generowania profili połączenia wykorzystujących certyfikaty SSL/TLS. Kolejną zaletą jest możliwość wybrania typu transmisji (TCP/UDP) oraz dogodnego dla nas portu na zaporze sieciowej do komunikacji a ponadto umożliwia praktycznie nieograniczoną możliwość konfiguracji. Dodatkowymi atutami są także duża baza wiedzy oraz mocne wsparcie społeczności, które pozwalają na względnie szybkie wdrożenie VPN w formie site-to-site (S2S). Dzięki takiemu zestawowi funkcjonalności, jest to rozwiązanie preferowane przez NSIX Data Center we wszystkich scenariuszach zakładających bramę SDN / Firewall na serwerze VPS oraz VPN w formie S2S.

Należy pamiętać, że z wysokim poziomem zabezpieczeń, wiąże się wysokie zużycie zasobów, głównie procesora na obliczenia związane z szyfrowaniem. Jednak takowy problem można rozwiązać dzięki możliwości skalowania serwerów wirtualnych VPS z naszej oferty G2, poprzez dodanie kolejnych rdzeni vCPU. Wystarczy skontaktować się z naszym działem wsparcia technicznego aby ustalić nowy plan oraz moment zwiększenia ilości rdzeni.

Konfiguracja

Jeżeli użytkownik jest w stanie wykonać konfigurację tunelu VPN S2S we własnym zakresie, może tego dokonać za pomocą przystępnego GUI bramy OPNsense które przeprowadzi go przez kreator konfiguracji. (Podlinkowane, tak samo jak wyżej mogę jeszcze zrobić drugi art. o samej konfiguracji VPN i dodać drugi link) Jeżeli jednak konfiguracja VPN ma zostać wykonana przez specjalistów, nasze wsparcie techniczne Premier Support obejmuje tego typu usługi Dzięki niej, nasi technicy zajmą się wdrożeniem danego rozwiązania, biorąc pod uwagę wymagania sprzętowe oraz zabezpieczenie całego środowiska serwerowego VPS.

Jak zapora sieciowa wpływa na bezpieczeństwo serwerów wirtualnych VPS?

Wstęp

Bezpieczeństwo serwerów, fizycznych lub wirtualnych VPS, jest bardzo ważnym aspektem podczas wybierania danego typu usługi na swoje potrzeby. Niezależnie od tego, czy na maszynie wirtualnej VPS będzie zainstalowany system ERP (Comarch Optima, Sage Symfonia), czy będzie to inna usługa np. Remote Desktop Services i aplikacje desktopowe albo dowolny inny scenariusz wdrożenia, szczególnie dla systemu Windows Server (ale nie tylko), warto zadbać o odpowiednie ich zabezpieczenie.

Potencjalne niebezpieczeństwa serwerów z publicznymi adresami IP

Domyślnie, dla każdej maszyny wirtualnej VPS w NSIX, przypisujemy publiczny adres IPv4. Jest to rozwiązanie oddające użytkownikowi pełną możliwość dostosowania i zarządzania siecią publiczną a więc udostępniania zasobów z serwera VPS dla świata zewnętrznego. Jednak komunikacja sieci publicznej zazwyczaj działa w dwie strony, dlatego istotna jest odpowiednia konfiguracja zapory sieciowej z podziałem na ruch wychodzący i przychodzący.

Bezpieczne ustawienie zapory sieciowej w systemie operacyjnym serwera VPS może być dla niektórych użytkowników nieintuicyjne i trudne. Ponadto, taka konfiguracja może nie gwarantować bezpieczeństwa a źle ustawione reguły mogą zezwolić atakującym na przejęcie serwera i danych które się na nim znajdują.

Jak rozwiązać powyższy problem?

Jednym ze sposobów na ułatwienie zarządzania regułami oraz dostępem do serwerów wirtualnych VPS, jest wdrożenie specjalnej zapory sieciowej, która pełni rolę pośrednika (bramy) dla ruchu pomiędzy siecią publiczną a serwerami VPS komunikującymi się z zaporą poprzez sieć prywatną. W tym przypadku omówimy zalety na przykładzie rozwiązania pfSense.

Dzięki zastosowaniu zapory pfSense, publiczne adresy IP zostają „zdjęte” z pojedynczych serwerów wirtualnych, co całkowicie przenosi kontrolę dostępu do nich na firewall.

Warto zaznaczyć, iż zapora w postaci serwera VPS może posiadać więcej niż jeden publiczny adres IP.

Dzięki dedykowanej funkcji serwera VPS z dystrybucją pfSense jako zapory / bramy oraz przyjaznemu dla użytkownika interfejsowi graficznemu, możliwa jest konfiguracja bezpieczeństwa dla mniej zaawansowanych użytkowników. Zapora sieciowa w formie VPS pozwala na skonfigurowanie przekierowania portów, dostępu do danych zasobów tylko i wyłącznie z konkretnych adresów publicznych lub uruchomienie własnego serwera VPN.

Rekomendowanym sposobem zabezpieczenia transmisji jest utworzenie własnego serwera VPN, który możemy skonfigurować w dowolny sposób. Jeżeli chcemy zabezpieczyć komunikację poprzez szyfrowanie (domyślna konfiguracja), możemy wykorzystać w tym celu np. certyfikaty VPN SSL generowane bezpośrednio na serwerze VPS bramy czyli w zaporze sieciowej. Dodatkowe oprogramowanie w postaci np. OpenVPN instalowane jest w serwerze zapory sieciowej.

W przypadku bardziej rozbudowanych środowisk, kiedy dostęp do różnych serwerów VPS ma zostać udzielony różnym użytkownikom, możemy utworzyć kilka serwerów VPN z  dostępami do poszczególnych podsieci – w domyśle prywatnych. Wszystkie serwery wirtualne G2 z oferty NSIX posiadają możliwość uruchomienia sieci prywatnej z przepustowością 10 Gb/s. Możliwości konfiguracji tego typu usługi są ogromne, dlatego opisywane rozwiązanie wykorzystywane jest bardzo często, w różnych wariantach przez organizacje planujące zabezpieczenie transmisji danych pomiędzy wieloma serwerami VPS i wieloma sieciami ich łączącymi.

Dodatkowo, pfSense jest rozwiązaniem całkowicie darmowym, z punktu widzenia dodatkowych opłat licencyjnych, co podwyższa jego atrakcyjność. Ponadto, poza kosztem samej zapory sieciowej w formie serwera VPS, nie musimy płacić za dodatkową warstwę bezpieczeństwa na potrzeby np. usługi VPN.

Jak zakupić zaporę sieciową kiedy mam już działające serwery VPS w NSIX?

Aby zabezpieczyć istniejące serwery VPS, należy zakupić jedną z zapór sieciowych oraz sieć prywatną PVLAN do której zostaną podłączone wybrane lub wszystkie maszyny wirtualne VPS oraz firewall z naszej oferty.

Nie jestem jeszcze klientem lub chcę zakupić nowe serwery wraz z zaporą sieciową

Jeżeli nie posiadasz jeszcze serwerów VPS z oferty NSIX, bądź chcesz dokupić nowe maszyny wirtualne, zapraszamy do zapoznania się z naszymi gotowymi pakietami ERP, które zawierają w sobie maszynę wirtualną dla potrzeb systemu ERP, zaporę sieciową, wsparcie techniczne w specjalnej cenie -33% oraz konfigurację usług – za 0 zł! Wszystko to z atrakcyjnymi rabatami oraz darmowym wdrożeniem, dzięki czemu koszt usługi staje się jeszcze bardziej przystępny a bezpieczeństwo usług stoi na najwyższym poziomie. Istnieje również możliwość zakupu pojedynczej bramy sieciowej oraz sieci prywatnej 10 Gb/s do każdego z serwerów VPS z oferty G2 NSIX oraz własnej ich konfiguracji.

Jak infrastruktura VPS w wersji G2 w NSIX Data Center przyspiesza działanie Comarch ERP Optima?

Wstęp

Oprogramowanie ERP Optima autorstwa Comarch jest jednym z najbardziej rozwiniętych i funkcjonalnych narzędzi w swojej kategorii wykorzystywanym w Polsce. Korzysta z niego wiele firm z różnych branż w celu polepszenia i ułatwienia zarządzania firmą. Oprogramowanie to pomogło już niezliczonej ilości przedsiębiorców w przejściu na elektroniczną formę obsługi dokumentów oraz ułatwiło zarządzanie pracownikami, towarami czy fakturami.
Jako, że system ERP służy do zarządzania całym przedsiębiorstwem, w jego bazie danych Microsoft SQL musi być przechowywana bardzo duża ilość danych. Przez to, serwery wirtualne VPS używane na potrzeby bazy danych i aplikacji muszą spełniać wymagania specyficzne dla tego typu obciążeń. W poniższym artykule postaramy odpowiedzieć się zasadnicze pytania dotyczące serwerów wirtualnych VPS i ich wydajności w kontekście potrzeb systemów ERP na przykładzie Comarch ERP Optima.

Moc Obliczeniowa

Pierwszym i najważniejszym komponentem którego temat poruszymy, jest jednostka centralna. W przypadku oprogramowania Comarch ERP Optima, CPU jest kluczowym czynnikiem od którego wydajności w dużej mierze zależy to jak szybko program będzie przetwarzał dane. Najbardziej uzależniony od wydajności CPU jest silnik bazy danych. Jeżeli baza danych nie jest w stanie w krótkim czasie zwrócić wartość zapytania lub przedstawić wyszukanych danych, automatycznie przekłada się to na responsywność aplikacji. Im krótszy czas dostępu do danych, tym aplikacje które go potrzebują działają w sposób bardziej płynny.
Dzięki naszym serwerom VPS w wersji G2, przystosowanym do zastosowań biznesowych, tego typu problemy są minimalizowane. Jest to m.in. zasługa wydajnych procesorów Intel Xeon Gold pracujących z częstotliwością 3 GHz, a w maksymalnej konfiguracji udostępniane jest16 rdzeni na maszynę wirtualną VPS.

Pamięć RAM

Kolejnym ważnym zasobem, który należy wziąć pod uwagę w przypadku wdrażania systemów ERP jest ilość zainstalowanej w systemie operacyjnym maszyny wirtualnej VPS pamięci fizycznej RAM. Baza danych, podczas odczytu z dysku pobiera dane do pamięci RAM, gdzie są przechowywane w celu późniejszego szybszego dostępu do nich. Dodatkowo użytkownicy którzy łączą się do serwera wirtualnego VPS z zainstalowaną rolą usług pulpitu zdalnego (Remote Desktop Services), na którym uruchamiana jest aplikacja Optima, także wykorzystują pamięć RAM. Im więcej serwer wirtualny VPS będzie posiadał jednoczesnych użytkowników usługi RDS, których musi obsłużyć, tym więcej potrzeba pamięci RAM.
Dzięki temu, że serwery wirtualne VPS w NSIX Data Center posiadają możliwość skalowania, rozszerzanie ich parametrów jest bardzo proste i może zostać wykonane w ciągu kilku minut na życzenie klienta. Maksymalna ilość pamięci RAM na każdą maszynę wirtualną VPS to 128 GB. Taka liczba dostępnych zasobów gwarantuje, że żaden z pojedynczych serwerów wirtualnych VPS nie napotka na problemy ze zbyt małą ilością pamięci fizycznej.

Storage

Podczas wyboru serwera VPS dla systemu ERP Comarch Optima warto pamiętać o szybkim oraz łatwym do rozszerzania magazynie danych, w szczególności w technologii flash (SSD). Im szybsze dyski, tym szybciej odbywa się zapis i odczyt danych z bazy, co jest kolejnym czynnikiem poza procesorem oraz pamięcią RAM, który wpływa na płynność działania całego systemu oraz komfort pracy z aplikacją, często określany w sposób subiektywny.
Architektura magazynu danych All-Flash w naszej ofercie serwerów VPS G2 pozwala na uzyskanie wysokich parametrów odczytu oraz zapisu, odpowiednie wartości IOPS poprawiają odczuwalną szybkość działania aplikacji i zmniejszają czas dostępu do danych. Ponadto, dzięki możliwości dodania „na gorąco” przestrzeni dyskowej do serwera VPS, nie trzeba nawet wyłączać serwera aby zwiększyć dostępny magazyn danych.

Systemy operacyjne

Comarch ERP Optima do działania wymaga serwera VPS z systemem operacyjnym z rodziny Windows Server. W naszej ofercie, poza systemami bazującymi na jądrze Linux oraz BSD, znajdują się również systemy operacyjne z rodziny Windows Server w wersjach 2019 oraz najnowszy 2022 dla maszyn wirtualnych VPS w wersji G2. Dzięki temu, że są one licencjonowane na podstawie ilości rdzeni procesora w maszynie wirtualnej VPS, klienci płacą za system tylko w takim zakresie w jakim faktycznie z niego korzystają, co pozwala na znaczne zmniejszenie całkowitego kosztu wdrożenia systemu ERP w usłudze chmury publicznej, w postaci maszyny wirtualnej VPS G2 z naszej oferty.

Podsumowanie

Comarch ERP Optima jest to system klasy ERP, który pozwala na uproszczenie zarządzania firmą i wszystkimi procesami związanymi z prowadzeniem działalności gospodarczej, od fakturowania przez magazyn po zarządzanie kadrami. Dzięki serwerom wirtualnym VPS G2 w NSIX Data Center nie musisz inwestować dużej ilości pieniędzy w zakup własnego serwera i jego konfigurację ani wydawać znacznych kwot na zakup nowych licencji i ulepszenie już posiadanego serwera fizycznego. Wystarczy zakupić maszynę wirtualną VPS, którą w razie dodatkowych potrzeb można skalować, czyli rozszerzać bądź zmniejszać dostępne dla niej zasoby CPU, RAM i storage, w zależności od zapotrzebowania. Dodatkowo dzięki usłudze Premier Support możemy pomóc Ci w administracji usługą, naprawie problemów, zarządzaniu serwerem czy nawet wdrożenia systemu ERP.
W naszym sklepie internetowym możesz wybrać jedną z gotowych konfiguracji serwera VPS, bądź skonfigurować własną maszynę, jeżeli Twoje potrzeby są większe. Dodatkowo zapraszamy do zapoznania się na naszymi gotowymi pakietami ERP, które zawierają w sobie wszystkie usługi przydatne podczas wdrożenia systemów klasy ERP, a także korzystny rabat na wsparcie techniczne, pozwalający zmniejszyć koszt całkowity użytkowania takiej usługi.