Re: Как безопасно запустить недовереное приложение?
On Tue, 22 Dec 2015 15:24:33 +0300
Mikhail A Antonov <mikhail@antfam.ru> wrote:
> 22.12.2015 14:54, Victor Wagner пишет:
> > KVM (qemu-system) на мой взгляд, проще virtualbox. А умеет примерно
> > то же самое. В общем, это самый последий вариант, с наиболее
> > глубокой изоляцией.
> А как просто и _удобно_ управлять локальными ВМ?
Вопрос, конечно интересный. Потому что запомнить 100500 ключей
командной строки QEMU и столько же команд монитора невозможно.
Я в конце концов создал для этой цели свой инструмент, выбрав тот набор
use cases который нужен мне.
Сейчас это 700 строк на питоне без каких-либо нестандартных библиотек.
https://www.wagner.pp.ru/fossil/vws (только сертификат моего CA нужно
скачать сначала с http://www.wagner.pp.ru)
> Неужто получается удобнее виртуалбокса?
По-моему да. потому что виртуалбокс требует нестандартных модулей в
ядро. И плохо рулится из скриптов. Теми же недостатками обладает и
vmware.
Потом в virtualbox-е как-то мало вариантов конфигурации сети
предлагается.
Не то чтобы мне нужно было много, но тривиальное решение - отдельная
виртуальная сетка внутри хоста, с NAT-доступом в интернет, и чтобы при
этом с хоста можно было ходить на виртуальные машины по именам (которые
они шлют в dhcp hostname) у меня там сходу не получилось. Не вошло оно,
видимо в тот набор use cases, который предусмотрели инженеры Oracle.
А QEMU поддерживает любой необходимый уровень сложности виртуальной
сети
1. usermode stack - если тебе нужно только с виртуальной машины в
интернет ходить, вообще ничего конфигурировать не надо
2. bridge - более менее все простые случаи
3. для особых эстетов - интеграция c vde, где можно хоть
enterprise-level сетку эмулировать.
> Я знаю про virsh с его virt-manager, но когда я его пробовал для него
> требовалось каждый раз плясать с бубном.
virsh с его virt-manager это ужас-ужас. Я долго пытался научиться с ним
работать, но в конце концов плюнул. Там почему-то даже базовые вещи,
вроде снапшотов какие-то недоделанные. Заснапшотить виртуальную машину
можно, а восстановиться - хрен.
Голый qemu с минимальной скриптовой
оберткой - лучше.
> Есть ещё proxmox, но для десктопа это перебор.
Вот возможно proxmox это для тех, кому просто qemu/kvm мало, а
связываться с libvirt неохота. Хотя вот его я не пробовал.
Reply to: