Re: gvinum & subdisks

From: Peter Ross <Peter.Ross(at)alumni.tu-berlin.de>
Date: Wed, 21 Aug 2013 09:39:05 +1000 (EST)

Hallo Bernhard,

On Tue, 20 Aug 2013, bernhard(at)gtkx.de wrote:

> N-Tier Netz benötigt viele Firewalls und viele Server
>
> 1 Firewall für die Verbindung vom Internet zur DMZ
> 1 Firewall zwischen DMZ und MZ
> 2 Firewalls von der DMZ, MZ zum Management-Netz
> 1 smtp (DMZ)
> 1 imap (DMZ)
> 1 smtp (MZ)
> 1 http (DMZ)
> 1 Datenbank (MZ)
> 1 mgmt (DNS, Syslog, nfs, dhcp, tftp usw.)

Das habe ich mit Jails gelöst: ein Dienst, ein Jail.

Jails teilen sich den Kernel, trotzdem sind Filesystem, Netzwerk,
Speicher, Prozesse etc. getrennt.

Z.B. Brauchst Du nur einmal den Speicher fürs Filesystem, z.B. ZFS.

Wenn Du Jails Version 2 nimmst, bekommt auch jedes Jail einen
Netzwerkstack (z.B. wichtig für die Firewalls).

Hier ein Beispiel, Auszüge von meinem Setup, von 5 physikalischen Boxen:

m1
real memory = 4294967296 (4096 MB)
avail memory = 3972284416 (3788 MB)
    JID Hostname Path
      1 adminmail.vv.fda /jails/adminmail/20130606
      2 bind.vv.fda /jails/bind/20130606
      3 dhcp.vv.fda /jails/dhcp/20130606
      4 portal.vv.fda /jails/portal/20130709
      5 syslog.vv.fda /jails/syslog/20130606
m2
real memory = 3221225472 (3072 MB)
avail memory = 3077664768 (2935 MB)
    JID Hostname Path
      1 bindslave.vv.fda /jails/bindslave/20130801
      2 dhcpslave.vv.fda /jails/dhcpslave/20130801
      4 nagios.vv.fda /jails/nagios/20130719
      5 itwiki.vv.fda /jails/itwiki/20130718
m5
real memory = 17179869184 (16384 MB)
avail memory = 16511123456 (15746 MB)
    JID Hostname Path
      1 mysql.vv.fda /jails/mysql/20130730
      2 mysql2.vv.fda /jails/mysql2/20130729
      3 svn.vv.fda /jails/svn/20130730
m6
real memory = 17179869184 (16384 MB)
avail memory = 16508518400 (15743 MB)
    JID Hostname Path
      1 intranet.vv.fda /jails/intranet/20130723
      3 reports.vv.fda /jails/reports/20130709
      4 samba.vv.fda /jails/samba/20130801
      5 squid.vv.fda /jails/squid/20130604
      6 ssh.vv.fda /jails/ssh/20130801
      9 ports.vv.fda /jails/ports/20130819
m7
real memory = 8589934592 (8192 MB)
avail memory = 7928741888 (7561 MB)
    JID Hostname Path
      3 issues.vv.fda /jails/issues/20130415
      4 print.vv.fda /jails/print/20130225
      5 finance.vv.fda /jails/finance/20130730
      6 flexweb.vv.fda /jails/flexweb/20130305

m1, m2, mit relativ wenig Speicher (4GB bzw. 3GB) haben Jails Version 2,
die relativ wenig Resourcen brauchen.

Auf m5 läuft außerdem noch eine VirtualBox (ein zimbra-Mailserver unter
Linux).

Ich benutze ZFS,

es gibt eine Routine make_template (FreeBSD-build: make installworld, make
distribution)

und die Jails werden von den Templates geklont und dann konfiguriert.

Im täglichen Betrieb sind die Jails wie eigene Maschinen - ich kann mich
einloggen und tue alles, was ich sonst mit virtuellen Maschinen tuen
könnte.

Ich mache regelmäßig Snapshots und sende die Jail-Filesysteme von einer
Maschine auf die andere - wenn was schiefgeht, kann ich die Kopie von
einem anderen Rechner starten.

Das Jail-Konzept ist schon einige Jahre da, der Code, der für die Trennung
sorgt, relativ klein (nach Robert Watson bedurfte es ca. 600 Zeilen, um
das zu implementieren) und daher relativ überschaubar und sicher.

Auch VMs teilen sich die gleichen physischen Resourcen, und der Code ist
recht komplex und bei VMWare nicht einmal Open Source (vermutlich mit NSA
interface built-in;-) Es gibt Beispiele, wie man daraus ausbrechen kann.
Ich habe schon lange nichts mehr über eine entdeckte Sicherheitslücke in
der FreeBSD-Jail-Implementierung gehört.

Bei Zertifizierung für eine Bank wurde das Jail-Konzept (als
Solaris-Zones) als gleichwertig mit VMs eingestuft.

Kurz: Ich glaube nicht, daß Du Deine Sicherheit erheblich erhöhst, in dem
Du VMs anstatt Jails einsetzt.

Stattdessen handelst Du Dir eine Menge anderer Probleme ein, die u.a.
daher rühren, daß Du die vorhandenen physischen Resourcen (Speicher,
Filesystem) nicht optimal nutzen kannst, was bei Deinen anscheinend
limitierten Resourcen wesentlich mehr ins Gewicht fällt.

Es grüßt
Peter

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 21 Aug 2013 - 01:39:33 CEST

search this site