Auf was genau kommt es dir an und wie viel Strom ist für dich zu viel? Ich würde hier eher zu einer Xeon-D raten, das Board kostet zwar ~500 EUR dafür hast du eine gute CPU mit ECC Support und ggf. IPMI (wenn z.B. X10SDV von Supermicro), dazu gibt es je nach Ausstattung einen HBA mit 4 Ports und auch 10GbE SFP+. Das Board bietet also für seinen Preis auch eine gewisse Zukunftssicherheit.
Ich persönlich würde von der J5040 Abstand nehmen, für mich ist das Minimum an einen Heimserver / NAS, dass es ECC unterstützt. Meine Daten sind mir in einer Art und Weise dann doch so wichtig, dass ich das Feature nicht missen möchte.
iSCSI als auch NFS und SMB (aber auch andere Protokolle) brauchen perse keine extreme Leistung. Selbst meine alte QNAP TS-212 konnte ein iSCSI Volume bereitstellen mit 256MB RAM und einer Marvell CPU mit einem Kern und 1,2GHz Leistung. Das was hier in Kombination mit FreeNAS den RAM braucht ist definitiv daher auch nicht iSCSI sondern ZFS selbst, aber auch nur, wenn man hier entsprechende Feature wie Dedup verwenden will, anderenfalls braucht auch FreeNAS mit ZFS nicht exorbitant viel RAM.
CEPH kann man mit einem einzigen Server betreiben, gar kein Problem. Man passt nur die Crush Rule an, dass die Verteilung der Replica nicht auf Host sondern OSD ebene stattfindet und schon geht alles in einer Node. Ist nicht mal ein großartiges Hexenwerk, geht recht einfach. Ähnliches geht hier btw. auch mit Erasure Coding. Auch ein Reboot oder ähnliches macht das CEPH nicht kaputt, was bei einem CEPH eh nur dann möglich ist, wenn man den Server abfackelt oder sprengt, ansonsten ist ein CEPH unglaublich robust. Selbst der Verlust der Mons bedeutet keinesfalls den kompletten Datenverlust.(außer man hat genug Geld für Ceph)
Es geht auch übrigens ohne weiteres mit 1GbE LAN, also keine Notwendigkeit für 10GbE oder sonst irgendwas. Was man haben sollte ist ca. 0,5 - 1 Kerne je OSD (oder Festplatte) und bisschen RAM, aktuell mit Bluestore ist das target bei 4GB RAM pro OSD (Achtung, ist ein Ziel, kann auch übertroffen werden und ist keinesfalls ein Limit!) und einen HBA würde ich empfehlen. Der Rest ist ziemlich egal, die Performance ist absolut okay und liegt im Rahmen. Generell ist ein CEPH eh kein Performancewundern sondern sorgt für Integrität der Daten und legt mehr Wert auf die Datensicherheit als auf Performance.
Ich arbeite nun schon rund 6 Jahre mit CEPH und habe da schon viel Mist mit erlebt, aber noch keinen einzigen Datenverlust, nicht mal im Ansatz. Ganz im Gegenteil zu einem normalen RAID, da habe ich schon den kompletten Datenverlust erlebt, weil der Controller das RAID 5 einfach komplett mit Datenmüll kaputt geschrieben hat - das hatte eine Firma anschließend auch in die Insolvenz gebracht.
Generell gilt aber dennoch immer, dass man sich dessen Bewusstsein muss, was man tut - dann kann man auch alles betreiben, auch fernab der Empfehlungen der Hersteller / Entwickler.
Lediglich der Kernel wird von PVE gestellt, die Container selbst musst du auch mit apt update etc. aktuell halten.
Das hängt immer davo ab, was du nutzt. Häufiger ist es ja eher so, dass du ein persistent Datavolume hast und einfach die neue Version ziehst und wieder startest. Also quasi weg schmeißen und neu laden ist hier das Konzept. Die Updates / Bugfixes etc. kommen dann oftmals vom Entwickler direkt mit.
Grundsätzlich ist jedes Betriebssystem, egal ob Windows oder Linux, gleich sicher bzw. unsicher. Eine Absicherung der verschiedenen Systeme sollte man immer auf seine Bedürfnisse vornehmen. Die Bordmittel sind in der Regel bei Linux immer die gleichen, eben SSH Config oder IPTables etc.
Man kann unattended Updates konfigurieren, ist halt immer die Frage ob man das möchte oder nicht. Aber ein Upgrade von z.B. Debian 10 auf Debian 11 müsste man weiterhin manuell vornehmen.
Meiner Meinung nach wäre ein Checkmk dem Zabbix vorzuziehen, ich habe den Eindruck, dass Checkmk verbreiteter ist. Generell ist aber Zabbix als auch Checkmk ein Monitoring und Performance Monitoring, ob du es also benötigst oder nicht, das musst du selbst wissen - tatsächlich betreibe ich eine Checkmk Instanz in meinem Netzwerk um hier einfach die verschiedenen Geräte und VMs zu überwachen bzw. die Metriken zu haben, wenn ich etwas nachsehen möchte.
Auch ein Graphite mit InfluxDB und Collectd habe ich am laufen um z.B. meine Fritz Smarthome Devices auszuwerten und die Fritz!Box natürlich selbst auch. Ein Graylog ist für zentrales Logging gedacht, macht durchaus Sinn und erleichtert einem die Arbeit - aber man sollte auch die Logs auf den VMs etc. dann selbst deaktivieren und alles nur nach Graylog pushen lassen, anderenfalls erzeugt man einfach nur unnötige und zusätzliche I/O Last - Nachteil ist, wenn deine Graylog VM nicht mehr funktioniert und du lokal keine Logs mehr hast, wird das debuggen schwierig.
