On śro, 30/05, 13:26:51, Tomasz Czachorowski wrote: > -Linux-VServer Korzystam z tego w ramach kilku serwerów głownie do separacji różnych aplikacji pod kątem bezpieczeństwa (nie zawsze wierzy się "dostawcy softu"). Najczęsciej konfiguracja wygląda tak: Głowny serwer: baza danych VServer1: serwer WWW (np. z PHP4) dla aplikacji 1, VServer2: serwer WWW (np. z PHP5) dla aplikacji 2, etc. Ze względu na fakt, że do jednego VServera mam do 5 dodatkowych IP, więc maksymalna konfiguracja na jakiej to testowałem to 5 Vserwerów. Całość chodzi przywoicie, nie zauważyłem żadnych "wąskich gardeł" w porównaniu z poprzednią konfiguracją (kilka aplikacji/1 serwer). Mam też serwer na którym mam uruchomione (w ramach osobnych VSerwerów): binda, mysql + postgresql, www, 2 x serwer powerdns, kilka specjalizowanych vserwerów z www (munin, statystyki, etc) i wszystko chodzi jak trzeba. Uwagi: - vapt-get, czyli nie trzeba ładować się na każdy vserwer aby zrobić upgrade, - vtop, vps - czyli łatwo możesz wylistować wszystkie procesy i ew. znaleźć winowajce obciązenia, - kwestia partycji, trudno ocenić co będzie potrzebne dla vserwerów, więc stosuje schemat duża partycja na głowny serwer i vservery (są standardowo w katalogu /var/lib/vservers) i ew. osobne partycje wg. uznania dla każdego vserwera (tworzone w LVM), partycje preferuje mountować w ramach głownego vserwera, choć jest możliwe jest także mountowanie partycji w ramach vserwera, - brak interfejsu lo, czyli w przypadku usług które mają słychać a nie mają być wystawione na świat (SMTP np.) trzeba albo ustawić odpowiedniego firewalla (firewalla konfigurujesz tylko na głownym serwerze, na vserwerze jest to nie możliwe) albo słuchać na sockecie albo wogóle nie słuchać jak nie potrzeba (np. exim4 w trybie queueonly), - do obejscia, cały pomiędzy vserverami idzie po lo (mimo że vserwery mają tylko interfejs eth0), więc trzeba to wziąć pod uwage przy konfiguracji firewalla, - na serwerze zdarzało mi się, że czas systemowy skakał (nawet do 1 godziny/dzień) co było bardzo denerwujące zwłasza, że miałem tam bazę danych. Serwer NTP nic nie pomagał. Wyną obarczałem duży load i dużo operacji I/O. Jak przeniosłem bazy na osobny dysk, a statystyki na inny serwer wszystko zaczęło chodzić jak trzeba. Możliwe że powodoem była konfiguracja sprzętowa (2xOpteron), lecz tutaj nie doszedłem do jakichkolwiek sensownych wniosków - zmiana parametrów zegara systemowego (parametr kernela) przyniosła twardy zwis z panikiem (tak sądze, serwer mam zdalnie w innym kraju, więc trudno mi to ocenić). - nie mogę odpalić procesu z ionice w ramach vserwera, nie grzebałem jak to poprawić (obejść), - trochę problemów z LVM (tj. partycje są utworzone na głównym serwerze, na VServerze nie da się nimi manipulować, tj. np. tworzyć snapsnota, etc. - da się obejść, lvcreate na głownym serwerze a pozniej vserver exec aby uruchomić coś w ramach określonego vserwera - nie testowałem quoty oraz limitowania vserwerów (czas procesora), wg. dokumentacji jest to możliwe Wszystko to co opisałem mam na Debianie Etch, 64-bitowy, kernel dystrybucyjny (z postfixem -vserver). -- Piotr 'QuakeR' Gasidło, BOFH @ pandora.barbara.eu.org ############## sending lusers to /dev/null since 1998 ##### Waiting for tomorrow, for a little ray of light ### Waiting for tomorrow just to see your smile again
Attachment:
signature.asc
Description: Digital signature