Re: gvinum & subdisks

From: <bernhard(at)gtkx.de>
Date: Wed, 21 Aug 2013 08:58:34 +0200



Am 21.08.2013 01:39, schrieb Peter Ross:


> Hallo Bernhard,


>


> On Tue, 20 Aug 2013, bernhard(at)gtkx.de wrote:


>


>> N-Tier Netz benötigt viele Firewalls und viele Server


>>


>> 1 Firewall für die Verbindung vom Internet zur DMZ


>> 1 Firewall zwischen DMZ und MZ


>> 2 Firewalls von der DMZ, MZ zum Management-Netz


>> 1 smtp (DMZ)


>> 1 imap  (DMZ)


>> 1 smtp (MZ)


>> 1 http (DMZ)


>> 1 Datenbank  (MZ)


>> 1 mgmt (DNS, Syslog, nfs, dhcp, tftp usw.)


>


> Das habe ich mit Jails gelöst: ein Dienst, ein Jail.


>


> Jails teilen sich den Kernel, trotzdem sind Filesystem, Netzwerk, 


> Speicher, Prozesse etc. getrennt.


>


> Z.B. Brauchst Du nur einmal den Speicher fürs Filesystem, z.B. ZFS.


>


> Wenn Du Jails Version 2 nimmst, bekommt auch jedes Jail einen 


> Netzwerkstack (z.B. wichtig für die Firewalls).


>


> Hier ein Beispiel, Auszüge von meinem Setup, von 5 physikalischen Boxen:


>


> m1


> real memory  = 4294967296 (4096 MB)


> avail memory = 3972284416 (3788 MB)


>    JID  Hostname                      Path


>      1  adminmail.vv.fda              /jails/adminmail/20130606


>      2  bind.vv.fda                   /jails/bind/20130606


>      3  dhcp.vv.fda                   /jails/dhcp/20130606


>      4  portal.vv.fda                 /jails/portal/20130709


>      5  syslog.vv.fda                 /jails/syslog/20130606


> m2


> real memory  = 3221225472 (3072 MB)


> avail memory = 3077664768 (2935 MB)


>    JID  Hostname                      Path


>      1  bindslave.vv.fda              /jails/bindslave/20130801


>      2  dhcpslave.vv.fda              /jails/dhcpslave/20130801


>      4  nagios.vv.fda                 /jails/nagios/20130719


>      5  itwiki.vv.fda                 /jails/itwiki/20130718


> m5


> real memory  = 17179869184 (16384 MB)


> avail memory = 16511123456 (15746 MB)


>    JID  Hostname                      Path


>      1  mysql.vv.fda                  /jails/mysql/20130730


>      2  mysql2.vv.fda                 /jails/mysql2/20130729


>      3  svn.vv.fda                    /jails/svn/20130730


> m6


> real memory  = 17179869184 (16384 MB)


> avail memory = 16508518400 (15743 MB)


>    JID  Hostname                      Path


>      1  intranet.vv.fda               /jails/intranet/20130723


>      3  reports.vv.fda                /jails/reports/20130709


>      4  samba.vv.fda                  /jails/samba/20130801


>      5  squid.vv.fda                  /jails/squid/20130604


>      6  ssh.vv.fda                    /jails/ssh/20130801


>      9  ports.vv.fda                  /jails/ports/20130819


> m7


> real memory  = 8589934592 (8192 MB)


> avail memory = 7928741888 (7561 MB)


>    JID  Hostname                      Path


>      3  issues.vv.fda                 /jails/issues/20130415


>      4  print.vv.fda                  /jails/print/20130225


>      5  finance.vv.fda                /jails/finance/20130730


>      6  flexweb.vv.fda                /jails/flexweb/20130305


>


> m1, m2, mit relativ wenig Speicher (4GB bzw. 3GB) haben Jails Version 


> 2, die relativ wenig Resourcen brauchen.


>


> Auf m5 läuft außerdem noch eine VirtualBox (ein zimbra-Mailserver 


> unter Linux).


>


> Ich benutze ZFS,


>


> es gibt eine Routine make_template (FreeBSD-build: make installworld, 


> make distribution)


>


> und die Jails werden von den Templates geklont und dann konfiguriert.


>


> Im täglichen Betrieb sind die Jails wie eigene Maschinen - ich kann 


> mich einloggen und tue alles, was ich sonst mit virtuellen Maschinen 


> tuen könnte.


>


> Ich mache regelmäßig Snapshots und sende die Jail-Filesysteme von 


> einer Maschine auf die andere - wenn was schiefgeht, kann ich die 


> Kopie von einem anderen Rechner starten.


>


> Das Jail-Konzept ist schon einige Jahre da, der Code, der für die 


> Trennung sorgt, relativ klein (nach Robert Watson bedurfte es ca. 600 


> Zeilen, um das zu implementieren) und daher relativ überschaubar und 


> sicher.


>


> Auch VMs teilen sich die gleichen physischen Resourcen, und der Code 


> ist recht komplex und bei VMWare nicht einmal Open Source (vermutlich 


> mit NSA interface built-in;-) Es gibt Beispiele, wie man daraus 


> ausbrechen kann. Ich habe schon lange nichts mehr über eine entdeckte 


> Sicherheitslücke in der FreeBSD-Jail-Implementierung gehört.


>


> Bei Zertifizierung für eine Bank wurde das Jail-Konzept (als 


> Solaris-Zones) als gleichwertig mit VMs eingestuft.


>


> Kurz: Ich glaube nicht, daß Du Deine Sicherheit erheblich erhöhst, in 


> dem Du VMs anstatt Jails einsetzt.


>


> Stattdessen handelst Du Dir eine Menge anderer Probleme ein, die u.a. 


> daher rühren, daß Du die vorhandenen physischen Resourcen (Speicher, 


> Filesystem) nicht optimal nutzen kannst, was bei Deinen anscheinend 


> limitierten Resourcen wesentlich mehr ins Gewicht fällt.


>


> Es grüßt


> Peter



Hallo Peter, Hallo Lars,



ja, ich denke dass es auf eine Kombination von VM's mit Jails 


hinauslaufen wird.



Das Problem: hab keine Ahnung wie man mit Jails ein virtuelles Netzwerk 


aufbaut :'( .



Aber, ich werde mir mal die Beschreibung von ZFS, Jail ansehen, wie viel 


RAM braucht ZFS um mit freeBSD problemlos zu funktionieren? Je weniger 


RAM benötigt wird desto mehr VM's kann ich verwenden. 3 GByte stehen zur 


Verfügung.



Anmerkung zum System:



Atom 330 CPU mit 4 Kernen zu je 1600 MHz und 4G. (So groß wie eine 


Schuhkarton) :-)



Gruß Bernhard



To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org


with "unsubscribe de-bsd-questions" in the body of the message


Received on Wed 21 Aug 2013 - 08:59:01 CEST













search this site