[Sysadmins] ovz and services

Michael Shigorin =?iso-8859-1?q?mike_=CE=C1_osdn=2Eorg=2Eua?=
Вс Мар 23 18:51:47 MSK 2008 

On Sun, Mar 23, 2008 at 05:41:03PM +0200, Andrii Dobrovol`s`kii wrote:
> > bind, squid -- без проблем.
> Это хорошо. Их там нужно "разводить" в любом случае.

Если bind только внутренний (бишь может ходить наружу,
но не слушать) -- можно его в LAN-контейнер.

> > dhcpd -- проблемы есть (принципиальные с venet, вроде
> > решаемые -- но я обломался -- с veth), решается просовыванием
> > в VE отдельной карточки. (vzctl ... --netdev_add ...)
> На машине есть три сетевых. Это можно как-то использовать? Или,
> с учетом отсутствия опыта, лучше сейчас "отсадить в другой
> горшок"?

Проше использовать, чем кувыркаться в бриджах.

> > С самбой примерно то же самое (чуть попроще), в общем могу
> > рекомендовать всунуть ещё одну сотку и гигабит выделить на VE
> > для LAN, а на сотку зарулить WAN.
> Там есть три сетевых. Локалку и внешнюю сеть так и собирался
> рассадить.  Хочется как-то получить выгоду от третьей
> сетевой... Это реально?

Воткни куда-нибудь ещё, если у тебя один WAN и один LAN.
И не создавай себе проблем, пытаясь приткнуть что-нибудь
ненужное ;)

> > С ftp тебе может понадобиться сделать FTP-aware NAT -- если
> > речь про LAN, куда проще всунуть к samba/dhcpd на ту же
> > сетевую.
> Да. Фтп для раздачи ПО в локалку и обновления серверного
> хозяйства.  ысаживать эту троицу в одну лунку... Надо думать...

Нормально.

> Хотя хорошо уже то, что можно отсадить отдельно бинд и сквид.
> Спасибо за наводки.

Это всё как раз можно и в один контейнер всунуть, если у тебя
не одни кульхацкеры в локалке.  Основные проблемы всё равно будут 
скорее на уровне "он мой MAC стырил!", а не "кто взломал
контейнер".

Просто если делить по уровню функциональности -- то выходит,
что не требует бродкастов и является базовым только bind, а вот
ещё более базовый dhcpcd -- требует.  Соответственно из
дополнительных -- squid не требует, samba требует, а с ftp
так проще.

Вот и получается, что базовые в одну корзинку, а дополнительные 
в другую -- не особо выходит (если затеешь со втыканием двух eth
в один сегмент, то почитай на всякий ещё про "arp flux").

Потому и остановился на практике "один lan -- один eth --
один контейнер".

-- 
 ---- WBR, Michael Shigorin <mike на altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Подробная информация о списке рассылки Sysadmins