[Sysadmins] openvz, vserver
Denis Smirnov
=?iso-8859-1?q?ds_=CE=C1_seiros=2Eru?=
Вт Дек 25 14:43:32 MSK 2007
25.12.07, Michael Shigorin<mike на osdn.org.ua> написал(а):
>> Если администрить вместо одной ОС десяток виртуальных ОС, тут
>> человеческих ошибок администрирования станет столько, что уже
>> без разницы, насколько исходно "прямое" средство виртуализации.
> Краткий диагноз по диагонали половины субтреда:
> Алексей, Вы боитесь того, что даже не попробовали пощупать.
> В данном случае совершенно напрасно.
Из личного опыта -- использование виртуалок повышает требования к
оперативке, зато _резко_ упрощает администрирование. И при этом при
сокращении усилий на администрирование повышает безопасность системы в
целом.
Все "сложности" ovz проявляются только тогда, когда речь встает о
решении проблем которые без ovz не решаются в принципе (как то тонкая
нарезка лимитов).
>> Веб-сервера, включая пресловутый апач (если им еще кто-то
>> пользуется) тоже виртуальный хостинг поддерживают.
> Это не тот "виртуальный". Примерно как сказать, что "X Windows
> -- среда для работы приложений Windows" [хотя есть rdesktop, vnc
> и wine ;].
"виртуальный хостинг на apache" и "security" несовместимы
принципиально. Особенно весело будет после выхода PHP 6, в которой
safe_mode не будет. Я такой чудесный виртуальный хостинг похакаю за
несколько минут. Если там, конечно, будет mod_php ;)
>> И т.д. Не исключаю, что может возникнуть необходимость
>> в виртуализации ОС, но не у всех и не всегда.
> Речь пошла не о виртуальном железе. А о виртуальных контекстах.
> Это гораздо легче и удобнее. Практично бывает тогда, когда
> по-хорошему задачу бы надо вынести на отдельный тазик, но его
> либо никто не даст, либо некуда поставить.
> Пример "на пальцах" -- думаю, я подниму apache1+mod_perl+mod_php4
> и, скажем, apache2+mod_php5 на одном тазу, вот только осмысленно
> будет разнести их в два, а то и в три разных VE. И всем будет
> только лучше, как правило.
У меня nginx frontend живет в отдельной VE. И это весьма удобно. Я
знаю что человеку чтобы поиметь мою систему нужно:
- поиметь nginx;
- а уж потом поиметь apache;
и при этом он все равно получит доступ только к системе где всего лишь
часть данных. И даже если он сможет получить рутовые права ему это не
поможет.
>> Вообще, виртуальный хостинг и паравиртуализация - настолько
>> разные вещи, что обсуждать их рядом совершенно бессмысленно.
> Именно!
К тому же паравиртуализация бывает тоже разной. ovz/vserver это можно
сказать "jail на стероидах" даже, а не виртуализация.
>> P.S. Чем вас не устраивает вариант запустить отдельные
>> экземпляры веб-сервера для каждого пользователя? Линукс система
>> многопользовательская "от рождения", виртуализация для работы
>> нескольких пользователей в общем случае не требуется.
> Виден богатый теоретический опыт :-(
"в общем случае" -- ключевое :) На реальной практике ой как требуется.
Кстати не зря, например, те же ACL считаются обязательными для
сертификации на высокие уровни безопасности. Причем ACL'и на все что
только можно, не только на файлы.
А нормального лимита по I/O в линуксе как не было, так и нет, и не
скоро будет. Так что без виртуализации на сколь-нибудь сложных
программных комплексах не обойтись (разве что разносить по отдельным
физическим машинкам).
> > > Тем, что управление ресурсами в линуксе - достаточно слабое.
> > > Т.е. ситуация, когда сайт сжирает весь проц и память крайне
> > > слабо контролируется без openvz или аналога.
> Именно.
_!_
> Если бы Вы были водителем с опытом езды в крупных городах,
> а заодно и сисадмином с опытом управления неединичным количеством
> систем -- наверняка моментально бы оценили очень точную аналогию
> про отбойник.
У нас МКАД до установки отбойников в народе называли "дорога смерти",
это так, к слову...
> Не знаю, какую премию Дарвина (работу+жильё через этот мост?)
> надо было вручить тем, кто придумал делать там реверсивку, но
> сейчас вроде как наконец дотумкали, что нужен именно отбойник.
Реверсивки это для идеальных людей. Точно также как и обойтись
юниксовыми правами доступа можно при условии что все программы пишут
идеальные программисты. Я, кстати, ни одного в природе не видел.
> Могу разве что предложить поиграться на досуге с тем же ovz,
> vserver, мож ещё чем вроде xen/qemu/virtualbox/vmware, чтоб
> по крайней мере не дезинформировать людей о том, что где полезно
> и работает, а что куда совать смысла нет.
Де-факто ovz, ovz, и еще раз ovz. А вот там где его действительно не
хватает (нужна еще большая степень виртуализации) смотреть на
xen/vmware. vserver де-факто сложнее в администрировании чем ovz (если
в ovz гайки не пытаться закручивать).
>> Качественно написанный код не требует засовывать его в подобные
>> контейнеры. Не маразм ли - например, яву, выполняющуюся в
>> виртуальной машине, т.е. контейнере, пихают еще в один
>> контейнер, на кой ляд такая виртуальная машина?
Hint: есть ведь JNI. И получается что не такая уж эта ява и виртуальная.
И таки резать её по ресурсом все равно невозможно -- слишком уж слаба
она по своим возможностями именно как _контейнера_.
Подробная информация о списке рассылки Sysadmins