[linux-l] Virtueller Server - Mal wieder

[Volker Grabsch]

On Mon, Mar 12, 2007 at 11:51:27AM +0100, Thomas Schmidt wrote:
> Zu Deinem Liebling VServer stehst Du also immer noch.

Nunja, ich hätte es natürlich auch mit ner neutralen Gegenüberstellung
der verschiedenen Systeme versuchen können, aber dazu bin ich nicht
qualifiziert, zumal ich wahrscheinlich auch nichts besseres zu bieten
hätte als jene pseodo-wissenschaftlichen Texte, über die du dich gleich
zu Anfang beschwert hattest.

Also schreibe ich lieber über meine persönlichen Erfahrungen mit
VServern. Dann ist klar, dass es subjektiv ist.

> Kann man bei einem VServer-System den hochbrisanten Mailserver in dem  
> einen Gast laufen lassen, im zweiten die CIA-gesuchten Baupläne von  
> Massenvernichtungswaffen speichern und beim dritten das Root-Passwort  
> in den nächstbesten Blog schreiben?

Du meinst, ob die Systeme stark genug voneinander isoliert sind?

Grundsätzlich ja, bis auf die loopback-Sache halt. Man kann seine
VServer natürlich auch so dämlich konfigurieren, dass sie sich am
Ende doch wieder irgendwie gegenseitig in die Karten schauen können.
Aber das ist nicht der Default und erfordert schon eine gehörige
Portion Ignoranz.

Ansonsten würde ich im Zweifelsfall eher BSD/Jails nehmen, weil's
weiter entwickelt ist, und weil der BSD-Kernel nunmal sauberer
programmiert ist (sorry, Leute, aber ein Kernelhacker beschrieb
bildhaft, dass dies ein Unterschied wie Tag und Nacht sei).

> Der wichtige Mailserver könnte durch Netzwerküberlastung  
> beeinträchtigt werden.

Das hat nichts mit Linux-VServer zu tun, sondern ist ne Grundsatzfrage:
Mehrere Rechner an einer Netzwerkkarte führen nunmal zu gegenseitiger
Beeinflussung. Hättest du mit XEN, Qemu & Co. genauso.

In dem Fall kommst du um QOS nicht herum. Oder gleich mehrere
Netzwerkkarten einbauen.

> Gibt es noch weitere Risiken? CPU-Zeit-Mangel,

Nö, in der Standard-Konfiguration kann kein VServer dem anderen das
Wasser abgraben. Außerdem hast du sowas wie "ulimit" für ganze
VServer. Du kannst also festlegen, wieviele Prozesse etc. pro VServer
maximal drin sind.

> Platte voll,

Nimm extra Partitionen. VServer-weite Quota gibt's wohl, ist aber
ebenfalls ein Problemkind, und finde das grundsätzlich nicht sinnvoll.

> sonstige Übergriffe?

Sicherheitslücken in chroot und ähnlichem können natürlich immer
auftauchen. Aber potentielle Schwächen im Linux-Kernel sind nicht
wirklich ein Argument gegen VServer, wenn die Gastsystem auch wieder
Linuxe sind. ;-)

> Kann man verschiedene Distributionen als Gäste laufen lassen?

Klaro. Hauptsache Linux-Kernel.

Ist übrigens auch die ideale Umgebung, wenn man mal mit
Linux-from-Scratch experimentieren will. Obwohl "für zu Hause"
natürlich auch ne einfache chroot-Umgebung ausreicht. :-)

> Ich denke an Debian Stable, Unstable und Ubuntu.

Das sind ja alles Debiane. Das nennst du "verschieden"? Ist ja nichtmal
ne RPM-basierte Distribution dabei. Oder Gentoo.

Richte dir im Kern ein Debian/Stable mit Backports oder ein
Debian/Etch ein, geht alles mit Standardpaketen oder was selbst
bauen zu müssen (siehe meine Howtos). Danach hast du fertige
Werkzeuge, um neue VServer anzulegen. Die benutzen intern
Debootstrap oder RPM oder sowas, jenachdem. (In dem Punkt sind
meine Howtos inzwischen veraltet, auf Nachfrage würd ich sie
aber aktualisieren und mit meinen internen Aufzeichnungen auf
einen Stand bringen.)


Viele Grüße,

    Volker

-- 
Volker Grabsch
---<<(())>>---
Administrator
NotJustHosting GbR