AbcLinuxu:/ Poradna / Linuxová poradna / Jakou (para)-virtualizaci pro domácí server (Debian)?

Štítky: Asterisk, Debian, distribuce, hardware, httpd, IMAP, Intel, Internet, jádro, LDAP, OpenVZ, podpora, server, síť, sítě, telefony, VLAN

Dotaz: Jakou (para)-virtualizaci pro domácí server (Debian)?

26.10.2012 18:48 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Jakou (para)-virtualizaci pro domácí server (Debian)?

Přečteno: 837×

Odpovědět | Admin

Zdravím!

Stavím si domácí server (s Intel DN2800MT, 8GiB RAM) a chtěl bych na něm provozovat několik různých „služeb“ (OpenVPN, IMAP [Dovecot], httpd - jednou pro vnitřní sít, jednou pro venkovní, Asterisk, LDAP, Radius, printserver [CUPS] a asi i další) a rád bych ty služby nějak rozumně oddělil, aby se snížilo riziko napadení. Představuju si to tak, že bych použil VLAN (IEEE 802.1q) a udělal několik oddělených sítí (které bych pak routoval na routeru - oddělené krabičce s OpenWrt): přinejmenším tam chci mít jednu vnitřní síť, jednu (nebo možná více) DMZ a jednu VLAN pro hosty (několik WiFi AP s odděleným SSID).

To celé bych rád provozoval na Debianu - a jelikož mi to ještě chvíli bude trvat, než to nějak uspokojivě rozchodím - chci aby to bylo už na Wheezy. Kvůli šetření zdrojů asi nemá cenu nic jiného, než para-virtualizace (nebo už je to dnes jedno?)

Takže mi to vychází, že mám na výběr mezi OpenVZ, vServer a LXC. Rychlým googlením mi vychází, že nejjednodušší (co se týče podpory v Debianu) by mohl být LXC. Tuším správně, nebo je v tom nějaký zádrhel? Co o tom soudíte? Je LXC použitelné? Nebo by bylo lepší nějaké jiné řešení?

Bonusová otázka: V dávných dobách se patchovalo jádro na vserver+grsecurity. Jak vypadá podpora grsecurity v nových jádrech (tj. to, co je v Debian Wheezy) - ještě se to dělá, nebo už to nějak chcíplo/není potřeba/je něco jiného?

Díky

multicult.fm | monokultura je zlo | welcome refugees!

Řešení dotazu:

Nástroje: Začni sledovat (0) ?

Odpovědi

26.10.2012 19:52 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: Jakou (para)-virtualizaci pro domácí server (Debian)?

neřeší to spíše SELinux odděleným spouštěním služeb?

26.10.2012 20:10 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Jakou (para)-virtualizaci pro domácí server (Debian)?

To ať si klidně řeší, ale já považuju za víc user-friendly řešení s vícero oddělenými „stromy“ ve filesystému...

Prostě ta paravirtualizace je zadání, pokud mi někdo nepředloží skutečně pádné argumenty, proč by to měl být špatný nápad :-)

multicult.fm | monokultura je zlo | welcome refugees!

26.10.2012 19:56 kyytaM | skóre: 35 | blog: kyytaM | Bratislava
Rozbalit Rozbalit vše Re: Jakou (para)-virtualizaci pro domácí server (Debian)?

Xen :)

26.10.2012 20:02 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Jakou (para)-virtualizaci pro domácí server (Debian)?

Proč?

multicult.fm | monokultura je zlo | welcome refugees!

26.10.2012 20:32 kyytaM | skóre: 35 | blog: kyytaM | Bratislava
Rozbalit Rozbalit vše Re: Jakou (para)-virtualizaci pro domácí server (Debian)?

LXC, OpenVZ ani vServer nie su virtualizacia, ale nejaka forma kontajnerov, cize nieco ako Jails na BSD (velmi hrubo vzate) - co nie je samozrejme zle, kedze to ma svoje vyhody (najnizsia rezia) ale aj nevyhody (jeden kernel pre vsetky kontajnery, problemy so sietovym stackom, nizsia bezpecnost).

OpenVZ potrebuje patchovany kernel, ktory vo Wheezy nebude, kedze OpenVZ oficialne podporovana platforma je RHEL (CentOS). LXC, podla veci co som zachytil, stale nie je pripraveny na tvrde nasadenie (izolacia kontajnerov este nie je dostatocna).

Xen dom0 aj domU funkcionalita je uz dlhsiu dobu v upstream jadrach (od 3.0 ak si dobre spominam), pilne na tom pracuje viacero ludi z viacerych spolocnosti a paravirt DomU su velmi lahke na zdroje - na Atome bez HW podpory virtualizacie je to vlastne jediny typ domU, ktory sa da pouzivat. Nie je problem mat rozne distra s roznymi kernelmi ako domU, vies priamo pridelovat PCI zariadenia jednotlivym domU (napr. vies dat PCI sietovku 1 konkretnej virtualke, ktora bude robit FW a router pre ostatne - ked som to skusal pred rokmi na desktopovom srote, tak to davalo na 1 gbit sietovke takmer identicky vykon ako bez virtualizacie). A ked sa ti zruti kernel na neajkej chybe vo virtualke, nijako to neovplyvno ostatne stroje - co nie je pripad kontajnerov beziacich na 1 jadre (nieco ako supert chroot).

26.10.2012 21:14 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Jakou (para)-virtualizaci pro domácí server (Debian)?

LXC, OpenVZ ani vServer nie su virtualizacia, ale nejaka forma kontajnerov, cize nieco ako Jails na BSD (velmi hrubo vzate) - co nie je samozrejme zle, kedze to ma svoje vyhody (najnizsia rezia) ale aj nevyhody (jeden kernel pre vsetky kontajnery, problemy so sietovym stackom, nizsia bezpecnost).

Jenže já nechtěl nějakou debilní „plnou virtualizaci“ ale právě . Dokud neukážeš, že má některé z para-virtualizačních řešení reálně zneužitelnou slabinu pak jsou tvoje řeči o „nižší bezpečnosti“ pustými kecy...)

LXC, podla veci co som zachytil, stale nie je pripraveny na tvrde nasadenie (izolacia kontajnerov este nie je dostatocna).

Citation needed. Týká se to i aktuálních jader?

Xen dom0 aj domU funkcionalita je uz dlhsiu dobu v upstream jadrach (od 3.0 ak si dobre spominam), pilne na tom pracuje viacero ludi z viacerych spolocnosti

bla bla bla marketingove kecy

a paravirt DomU su velmi lahke na zdroje - na Atome bez HW podpory virtualizacie je to vlastne jediny typ domU, ktory sa da pouzivat.

Ale já to nepotřebuju, mně stačí para-virtualizace...

Nie je problem mat rozne distra s roznymi kernelmi ako domU, vies priamo pridelovat PCI zariadenia jednotlivym domU (napr. vies dat PCI sietovku 1 konkretnej virtualke, ktora bude robit FW a router pre ostatne - ked som to skusal pred rokmi na desktopovom srote, tak to davalo na 1 gbit sietovke takmer identicky vykon ako bez virtualizacie).

Ani jedno z toho nepotřebuju. Zbytečný balast.

A ked sa ti zruti kernel na neajkej chybe vo virtualke, nijako to neovplyvno ostatne stroje - co nie je pripad kontajnerov beziacich na 1 jadre (nieco ako supert chroot).

No a? Je to domácí servřík. Naopak nemám zájem o víc současně běžících jader, to je pro mně naprostá zbytečnost...

multicult.fm | monokultura je zlo | welcome refugees!

26.10.2012 21:34 kyytaM | skóre: 35 | blog: kyytaM | Bratislava
Rozbalit Rozbalit vše Re: Jakou (para)-virtualizaci pro domácí server (Debian)?

Tu sa to napriklad riesilo http://www.root.cz/clanky/openvz-vytvorte-si-vlastni-virtualni-server/nazory/

26.10.2012 21:47 kyytaM | skóre: 35 | blog: kyytaM | Bratislava
Rozbalit Rozbalit vše Re: Jakou (para)-virtualizaci pro domácí server (Debian)?

Pripade rovno z dokumentu SLES dokumentacie:

Benefits of LXC
Isolating applications and operating systems through containers.
Providing nearly native performance as LXC manages allocation of resources in real-time.
Controlling network interfaces and applying resources inside containers through cgroups.

Limitations of LXC
All LXC containers are running inside the host system's Kernel and not with a different Kernel.
Only allows Linux “guest” operating systems.
LXC is not a full virtualization stack like Xen, KVM, or libvirt.
Security depends on the host system. LXC is not secure. If you need a secure system, use KVM.

Pripadne tu, este aj zaciatkom toho roka vedel guest vypnut hosta (https://bugs.launchpad.net/ubuntu/+source/lxc/+bug/645625) a ani Gentoo LXC zatial neodporuca (http://en.gentoo-wiki.com/wiki/LXC#MAJOR_Temporary_Problems_with_LXC_-_READ_THIS)

LXC vyzera dobre, ale nejaky aspon pol rok by som tomu este nechal na dozretie (ale skor asi aj viac, nech to prebuble do distier).

26.10.2012 21:07 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Jakou (para)-virtualizaci pro domácí server (Debian)?

Kurňa, proč označuješ jako řešení takovou cípovinu! Výslovně jsem se ptal na para-virtualizaci a ne nějakou dementní „plnou“ virtualizaci typu XENu.

Tohle rozhodně není řešení mého problému a jediný, čeho dosáhneš, je, že už si všichni budou myslet, že je problém vyřešený a neodpoví mi na moji otázku. Fakt díky, ale honit své ego by sis měl někdo jinde... :-(

(P.S. škoda, že abclinuxu neumožňuje tazateli označit nějaké pseudořešení za blbost...)

multicult.fm | monokultura je zlo | welcome refugees!

26.10.2012 21:10 ewew | skóre: 40 | blog: ewewov_blog
Rozbalit Rozbalit vše Re: Jakou (para)-virtualizaci pro domácí server (Debian)?

Riaď sa týmto návodom

Root v linuxe : "Root povedal, linux vykona."

26.10.2012 21:16 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Jakou (para)-virtualizaci pro domácí server (Debian)?

JAK to odpovídá na moji otázku?

multicult.fm | monokultura je zlo | welcome refugees!

26.10.2012 23:01 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: Jakou (para)-virtualizaci pro domácí server (Debian)?

XEN je i para i full a řekl bych že častěji se využívá para.

To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†

26.10.2012 21:28 kyytaM | skóre: 35 | blog: kyytaM | Bratislava
Rozbalit Rozbalit vše Re: Jakou (para)-virtualizaci pro domácí server (Debian)?

Paravirtualizacia je prave Xen. LXC a OpenVZ nie je paravirtualizacia - to su kontajnery. Plna virtualizacia na Atome bez HW podpory jedine tak VirtualBox, alebo VMware Player/Server/Workstation. Tak sa potom necuduj odpovediam pri takej otazke. ;)

27.10.2012 08:39 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Jakou (para)-virtualizaci pro domácí server (Debian)?

No tak se nehádejme o slovíčka, vždycky jsem viděl pojem „paravirtualizace“ použitý pro to, co ty nazýváš „kontejnery“. Z toho, že jsem zmiňoval vServer, OpenVZ a LXC ti muselo být jasné o co jde, takže jsi maximálně měl napsat, že to nazýváš jinak a ne dělat frajeřinky...

multicult.fm | monokultura je zlo | welcome refugees!

27.10.2012 11:21 kyytaM | skóre: 35 | blog: kyytaM | Bratislava
Rozbalit Rozbalit vše Re: Jakou (para)-virtualizaci pro domácí server (Debian)?

OK. Za roky, co sa pocitacom venujem a v kvantach materialov a dokumentov, co som prectial, som nikdy nevidel, ze by niekto kontajnery oznacil za paravirtualizaciu. Teraz som na skusku dal do Google "openvz paravirtualization" a okrem ineho to naslo nejake OpenVZ fora, kde ludia niekomu vysvetlovali, ze OpenVZ nie je paravirtualizacia ale kontajnery. Z toho, co si napisal, som mal dojem, ze nevies ze Xen podporuje paravirtualizaciu, tak som ti to napisal ako tip na zvazenie s cielom pomoct. Nic viac za tym nebolo.

26.10.2012 20:11 GeorgeWH | skóre: 42
Rozbalit Rozbalit vše Re: Jakou (para)-virtualizaci pro domácí server (Debian)?

... s Intel DN2800MT, 8GiB RAM...

Support for up to 4 GB of system memory

... OpenVPN, IMAP [Dovecot], httpd - jednou pro vnitřní sít, jednou pro venkovní, Asterisk, LDAP, Radius, printserver [CUPS] a asi i další)...

na atome?

26.10.2012 20:48 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Jakou (para)-virtualizaci pro domácí server (Debian)?

... s Intel DN2800MT, 8GiB RAM...
Support for up to 4 GB of system memory

Teoreticky :-) . Prakticky to běží na 8GiB (alespoň zatím mi to teda naběhlo do BIOSu a ten 8GiB našel).

... OpenVPN, IMAP [Dovecot], httpd - jednou pro vnitřní sít, jednou pro venkovní, Asterisk, LDAP, Radius, printserver [CUPS] a asi i další)...
na atome?

Proč ne? Pro malou domácnost ani jedna služba nebude vytížená...

multicult.fm | monokultura je zlo | welcome refugees!

26.10.2012 23:08 camel1cz | skóre: 25
Rozbalit Rozbalit vše Re: Jakou (para)-virtualizaci pro domácí server (Debian)?

Na tuhle aplikaci mi příjde dělaná kontejnerová virtualizace - aktuálně používám OpenVZ na squeeze s (několika)řádově vyšším zatížením a naprosto bez problémů.

Ale zjevně mě při příchodu wheezyho bude čekat změna nebo přechod na kernel z openvz.org

27.10.2012 08:44 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Jakou (para)-virtualizaci pro domácí server (Debian)?

No a právě na to se ptám, jestli už má cenu používat LXC (byť třeba s omezeními, např. že zakážu některé capablities a nepřimountuju /sys), nebo zda-li je potřeba se sr*t s ruční kompilací atd. a nebo jestli vážně je v tomto okamžiku, jak říkáš, kontejnerová virtualizace na takový úrovni, že to nemá cenu.

Každopádně v tuhle chvíli nemám náladu začínat se Squeeze, protože než to dodělám, bude Wheezy venku... (momentálně stejně řeším jiné věci, jako je např. stěhování :-/ )

multicult.fm | monokultura je zlo | welcome refugees!

27.10.2012 11:42 camel1cz | skóre: 25
Rozbalit Rozbalit vše Re: Jakou (para)-virtualizaci pro domácí server (Debian)?

Tak tak, netvrdil jsem, že mám řešení - jen jsem chtěl vyvážit ten názor, že je jen XEM a kontejnerová virtualizace je problémová.

Osobně, protože nepotřebuju jiné OS a ani jiné kernely, tak považuju kontejner za nejlepší volbu a určitě budu testovat LXC... pokud bude alespoň takové jako OpenVZ, tak do něho půjdu. Docela mě ten drop OpenVZ mrzí - ten projekt se vyvíjí a v posledních verzích přidali vývojáři např. podporu FS v souboru. Snaží se o funkčnost na nepatchovaném kernelu, ale netuším jak jsou na tom - tvrdí, že to funguje, ale něco má omezenou funkčnost a něco nejde vůbec.

Pokud selže kontejner, půjdu do KVM.

Založit nové vlákno • Nahoru

Tiskni Sdílej: