[linux-l] Virtualisierung

Volker Grabsch vog at notjusthosting.com
Sa Aug 26 16:44:00 CEST 2006 

On Sat, Aug 26, 2006 at 01:20:07PM +0200, Thomas Schmidt wrote:
[Linux-VServer Howto]
> Es wird also vollautomatisch ein Sarge als Gast installiert?

Ja, aber daran ist nichts Besonderes. Die Hauptarbeit macht Debootstrap,
das ein minimales aktuelles Debian-System herunterlädt und einrichtet.
Danach werden einige System-Einstellungen umgebogen, die Hardware-Zeugs
regeln (und deshalb im VServer nicht gebraucht werden).

> Kann man Spinner/Kunden auf das Gastsystem lassen?

Ich würde niemals Spinner auf mein System lassen. Wer sich nicht
benehmen kann, fliegt. Zumal Hosting-Preise so niedrig sind, dass
schwarze Schafe mehr Aufwand als Nutzen bringen (die paar Euros im
Jahr). Es scheint aber auch viele Provider zu geben, die das anders
sehen. Egal, zurück zu deiner Frage.

Wenn man davon ausgeht, dass im Kernel und Kernel-Patch keine
Sicherheitslücken sind, dann kann man im Gast-System auch Root-
Rechte vergeben. Nichts anderes sind die "VServer"-Angebote von
1&1, server4you und Co.

Durch entsprechende "ulimit"-Einträge wird außerdem sichergestellt,
dass ein VServer z.B. durch Forkbomben und ähnliches nicht das
Hauptsystem oder andere VServer lahmlegen kann.

Aber man sollte nicht vergessen, dass auch Festplatten-Zugriffe,
RAM-Verbrauch und Netzwerk-Verkehr die anderen VServer beeinflussen.
Will man wirklich "jeden" drauf lassen, muss man auch diese Sachen
alle regeln, und da helfen einem die VServer-Werkzeuge nicht mehr
weiter, sondern Bandbreiten-Drosselung (oder wenigstens Fair-Queueing),
Festplatten-Quota, etc.

Kurz: Ein riesen Aufwand. In unserer Firma haben wir zwar auch VServer-
Kunden, aber in erster Linie nutzen wir die VServer für eigene Zwecke,
zur übersichtlicheren System-Aufteilung, für Test-Systeme, etc.
Und für diesen Zweck sind sie wirklich gut.

> Welche Einschränkungen gibt es, bei denen Du schreibst, man solle sie 
> besser erst einmal alle belassen?

Ich verstehe nicht, was du meinst. Redest du von der Sache mit den
"Capabilities"? Was das angeht, sollte ein VServer grundsätzlich
*gar keine* bekommen. Wenn deswegen irgendwas nicht funktioniert,
kriegst du rechtzeitig mit.

> Kann man mit dem Gast auf eine andere Maschine (AMD->Intel) umziehen? IP 
> anpassen ist klar, aber was fehlt dann noch?

Wenn die andere Maschine einen anderen Prozessor hat, solltest du keine
speziell compilierten Sachen benutzen (z.B. keinen mplayer-k7 oder so).
Man kann sein System so konfigurieren, dass nur an einer Stelle die
eigene IP auftaucht (/etc/hosts). Hat man aber unfähige/dumme Werkzeuge
drauf, könnte es trotzdem noch weitere Abhängigkeiten geben.

(Confixx z.B. schreibt in die Apache-Virtual-Hosts überall brav seine
IP rein. Confixx auf ne andere IP zu bringen ist ein Kapitel für sich.
Gottseidank verlangt aber kein Auftraggeber mehr von mir, ein System
mit (besser: gegen) Confixx zu administrieren.)

Zur Sicherheit einfach mal

    find /etc | xargs grep "eigene IP"

machen, und vielleicht noch die MySQL-"priviliges" Tabellen durchgehen.

> Hat der Backport-Kernel SCSI und IDE?

Die Backport-Kernels *sind* ein Debian-Kernels. Die sind genauso gut
oder schlecht wie die Kernel-Pakete von Debian/Etch.

Und falls nicht, compiliere dir selbst einen. Kannst ja die alte
(bisherige) .config-Datei benutzen, und dann einfach meiner Howto
folgen. Nicht umsonst verlinkt die VServer-Howto auf die Kernel-Howto.


Viele Grüße,

    Volker

-- 
Volker Grabsch
---<<(())>>---
Administrator
NotJustHosting GbR

Mehr Informationen über die Mailingliste linux-l