Re: gvinum & subdisks

From: Polytropon <freebsd(at)edvax.de>
Date: Wed, 21 Aug 2013 10:24:22 +0200

On Wed, 21 Aug 2013 09:14:22 +0200 (CEST), Oliver Fromme wrote:
> Peter Ross wrote:
> > Das habe ich mit Jails gelöst: ein Dienst, ein Jail.
>
> Das Prinzip setze ich auch erfolgreich auf einer Reihe von
> Systemen ein (privat und beruflich).

Dieser Empfehlung kann ich mich nur anschließen. Mit Jails
läßt sich unter FreeBSD das erreichen, was man unter Solaris
mit Zones (Container) schon seit Jahren erfolgreich durch-
exerziert.

> > Wenn Du Jails Version 2 nimmst, bekommt auch jedes Jail einen
> > Netzwerkstack (z.B. wichtig für die Firewalls).
>
> Genau. Wobei es bei Firewalls nicht unsinnig wäre, sie auf
> physikalisch getrennter Hardware laufen zu lassen, ganz
> besonders wenn man richtige Firewalls aufsetzen möchte
> (nach BSI-Definition) und nicht nur einen Paketfilter.
> Wenn man es nicht ganz so dogmatisch sieht, kann man sich
> auch VLANs (im Sinne von IEEE 802.1q) zunutze machen.

Zum Testen ist sicher eine "Firewall-VM" ein günstiger
Schritt. Vielleicht kann man damit ja ein "mOnOwall-Gerät"
oder "pfSense-Gerät" emulieren und später, für den produktiven
Einsatz, dies durch ein "echtes" Gerät (dedizierte Hardware)
ablösen.

> > Im täglichen Betrieb sind die Jails wie eigene Maschinen - ich kann mich
> > einloggen und tue alles, was ich sonst mit virtuellen Maschinen tuen
> > könnte.
>
> Jails sind ja im Grunde auch eine Virtualisierung, nur auf
> einer anderen Ebene als das herkömmliche VM-Konzept, nämlich
> auf Kernel-Ebene statt CPU-/Hardware-Ebene. Andererseits
> lassen sich Kernel und Hardware ohnehin nicht trennen: Wer
> den Kernel kontrolliert, kontrolliert auch die Hardware,
> und umgekehrt.

Wenn wir uns in der Beurteilung auf x86 beschränken, kann
man das so sagen, ja. ;-)

Auf jeden Fall bieten Jails im Allgemeinen eine gute Effizienz
durch das dargestellte Konzept. Der Overhead für die einzelnen
Elemente der Virtualisierung bleibt überschaubar.

> Dem Jails-Code (dessen Quelltexte ich auch
> bereits genauer unter die Lupe genommen habe) würde ich
> tausendmal mehr über dem Weg trauen als einem VMWare und
> Windows XP (beides kein Open-Source, und beides von US-
> amerikanischen Herstellern ...).

Sollte es mal zu einem Code-Auditing (im Rahmen einer
Sicherheitsanalyse) kommen, ist man mit Jails (also mit
FreeBSD) ohnehin auf der sicheren Seite. Nicht nur, daß
der Code _da_ ist, er ist auch qualitativ hochwertig
(im Gegensatz zu manch anderen Open-Source-Projekten).
Wie man "Windows" und andere proprietäre Produkte ohne
Qualltextzugang überhaupt auditieren will, ist mir
ohnehin schleierhaft. :-)

> Ganz davon abgesehen, dass XP nicht ergonomisch ist und
> man es nicht vernünftig administrieren kann.

Und, wie schon erwähnt worden ist, endet der Produktsupport
in ein paar Monaten. Okay, als Testumgebung ohne Internet-
zugang mag das partiell noch gehen, aber als _Basis_ für
eine produktive Serverlandschaft sollte man es nicht ein-
setzen. Das gilt auch für die Nachfolgeprodukte aus dem
Hause des Herstellers MICROS~1, der die Darmzotten
gewisser Regierungsapparate seit Jahren aus nächster
Nähe zu betrachten gewohnt ist. ;-)

> Ich hatte
> neulich das Vergnügen, ein Windows 8 kurz anzutesten:
> Selbst dort sind etliche eklatante Probleme immer noch
> vorhanden, angefangen damit, dass man die Tastatur nicht
> nach eigenem Gusto konfigurieren kann, über modale
> Dialoge (das ist letztes Jahrtausend!) und ein unflexibles
> Fokusmodell bis hin zu einem mittelalterlichen Scheduler,
> der noch an Windows 3.1 erinnert und der es nicht auf die
> Reihe bekommt, die CPU-Zeit vernünft auf die Vorder- und
> Hintergrundprozesse aufzuteilen. Ich könnte stundenlang
> so weitermachen ...

Nein, bitte nicht, das überlebst Du nicht! :-)

http://www.zeit.de/digital/datenschutz/2013-08/trusted-computing-microsoft-windows-8-nsa

Und denk' auch immer an die Kinder, äh, an die Kosten! :-)

> Anstatt Zeit und Mühe in so einen verkorksten Setup zu
> stecken (ob "Experiment" oder nicht -- auch Experimente
> sollten einen Sinn ergeben), wäre es doch besser, gleich
> etwas aufzubauen, das Hand und Fuß hat.

Zumal die Experimentalumgebung dann auch näher an der
Zielumgebung wäre. Performanter liefe es sicherlich auch.
Will man die bestehende "Windows XP"-Installation nicht
verlieren, kann man ja bequem auf eine zweite Festplatte
zurückgreifen und diese zum Aufbau der Testumgebung nutzen.
Wenn man sich nicht all zu glatt anstellt, kann man diese
dann sogar stückchenweise auf "reale Hardware" verteilen,
wenn alles läuft wie gewünscht. :-)

-- 
Polytropon
Magdeburg, Germany
Happy FreeBSD user since 4.0
Andra moi ennepe, Mousa, ...
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 21 Aug 2013 - 10:24:38 CEST

search this site