Re: Как безопасно запустить недовереное приложение?

To: debian-russian@lists.debian.org
Subject: Re: Как безопасно запустить недовереное приложение?
From: Victor Wagner <vitus@wagner.pp.ru>
Date: Tue, 22 Dec 2015 17:30:22 +0300
Message-id: <[🔎] 20151222173022.4491819d@fafnir.local.vm>
In-reply-to: <[🔎] 56794101.4000705@antfam.ru>
References: <[🔎] 874mfag4wd.fsf@gavenkoa.example.com> <[🔎] 20151222145447.7a25c75d@fafnir.local.vm> <[🔎] 56794101.4000705@antfam.ru>

On Tue, 22 Dec 2015 15:24:33 +0300
Mikhail A Antonov <mikhail@antfam.ru> wrote:

> 22.12.2015 14:54, Victor Wagner пишет:
> > KVM (qemu-system) на мой взгляд, проще virtualbox. А умеет примерно
> > то же самое. В общем, это самый последий вариант, с наиболее
> > глубокой изоляцией.  
> А как просто и _удобно_ управлять локальными ВМ?

Вопрос, конечно интересный. Потому что запомнить 100500 ключей
командной строки QEMU и столько же команд монитора невозможно.

Я в конце концов создал для этой цели свой инструмент, выбрав тот набор
use cases  который нужен мне.

Сейчас это 700 строк на питоне без каких-либо нестандартных библиотек.

https://www.wagner.pp.ru/fossil/vws (только сертификат моего CA нужно
скачать сначала с http://www.wagner.pp.ru)

> Неужто получается удобнее виртуалбокса?

По-моему да. потому что виртуалбокс требует нестандартных модулей в
ядро. И плохо рулится из скриптов. Теми же недостатками обладает и
vmware.

Потом в virtualbox-е как-то мало вариантов конфигурации сети
предлагается.

Не то чтобы мне нужно было много, но тривиальное решение - отдельная
виртуальная сетка  внутри хоста, с NAT-доступом в интернет, и чтобы при
этом с хоста можно было ходить на виртуальные машины по именам (которые
они шлют в dhcp hostname) у меня там сходу не получилось. Не вошло оно,
видимо в тот набор use cases, который предусмотрели инженеры Oracle.

А QEMU поддерживает любой необходимый уровень сложности виртуальной
сети 
1. usermode stack - если тебе нужно только с виртуальной машины в
интернет ходить, вообще ничего конфигурировать не надо
2. bridge - более менее все простые случаи 
3. для особых эстетов - интеграция c vde, где можно хоть
enterprise-level сетку эмулировать.

> Я знаю про virsh с его virt-manager, но когда я его пробовал для него
> требовалось каждый раз плясать с бубном.

virsh с его virt-manager это ужас-ужас. Я долго пытался научиться с ним
работать, но в конце концов плюнул. Там почему-то даже базовые вещи,
вроде снапшотов какие-то недоделанные. Заснапшотить виртуальную машину
можно, а восстановиться - хрен.

Голый qemu с минимальной скриптовой
оберткой - лучше.

> Есть ещё proxmox, но для десктопа это перебор.

Вот возможно proxmox это для тех, кому просто qemu/kvm мало, а
связываться с libvirt неохота. Хотя вот его я не пробовал.

Reply to:

References:
- Как безопасно запустить недовереное приложение?
  - From: Oleksandr Gavenko <gavenkoa@gmail.com>
- Re: Как безопасно запустить недовереное приложение?
  - From: Victor Wagner <vitus@wagner.pp.ru>
- Re: Как безопасно запустить недовереное приложение?
  - From: Mikhail A Antonov <mikhail@antfam.ru>

Prev by Date: Re: Как безопасно запустить недовереное приложение?
Next by Date: Re: Как безопасно запустить недовереное приложение?
Previous by thread: Re: Как безопасно запустить недовереное приложение?
Next by thread: Re: Как безопасно запустить недовереное приложение?
Index(es):
- Date
- Thread