Изпечатай

[DarkLordTed]

Здравейте на всички!
Реших да си инсталирам виртуална машина. Въпроса е каква? Аз съм с Ubuntu Server 10.04 LTS Никога не съм подкарвал никаква виртуалка и се надявах на съвет коя би ми свършила най-добра работа. Чувал съм за XEN, KVM и VMPlayer, но аз лично не правя голяма разлика между тях. Трябва ми виртуална машина която да отговаря на следните изисквания:

1. Да е колкото се може по-трудно евентуален нарушител да се измъкне от виртуалната среда.

2. Да може динамично да прехвърля ресурси от едната операционна към другата процесорно време (мощност) и RAM

3. Да окупира колкото се може по-малко RAM памет.

4. Да се инсталира приемливо лесно. Машината на която ще я инсталирам не е вързана към интернет и не е приемливо инсталацията да иска връзка към него.

5. По възможност виртуалната машина да пази всичко в 1 или няколко файла - така, че всичко да е лесно възстановимо.

Ще съм ви благодарен ако споделите вашият опит!

[AMD]

CentOS+kvm+xen+virt-manager

[eniac111]

Бих ти препоръчал KVM. Какви ще бъдат виртуализираните системи?

Документацията на Ubuntu е доста подробна

https://help.ubuntu.com/community/KVM

[gat3way]

РОКО_, kvm и xen са две съвсем различни неща, ама съвсем различни, най-малкото философски различен подход към виртуализацията

DarkLordTed, до голяма степен зависи какво ще виртуализираш и за какво ще го ползваш и върху какво ще го виртуализираш и как ще ползваш хост системата.

Xen и KVM не са ужасно добра идея ако ползваш хоста като десктоп и искаш просто лесно и бързо да палиш guest-ове, особено не-линукски такива. Не е толкова мързелива работа (libvirtd и съответно GUI неща като virt-manager улесняват нещата, но пак е неудобно). Ако идеята ти е да имаш някаква тестова среда, която не ти трябва през повечето време и не искаш да хабиш много време за глупости си кютай с virtualbox или vmware и не се занимавай с глупости.

От друга страна, ако искаш да виртуализираш линукс върху линукс и да предоставяш услуги, държиш на висок uptime, евентуално производителност, xen или kvm са добра идея. Подходът е малко различен обаче. KVM е доста по-щадящ ако случайно ползваш хост системата и като десктоп, няма я тази глупост с boot-ване на hypervisor и евентуално задължително да работиш от някой виртуализиран домейн, примерно привилегирования dom0, да нямаш адекватна видеоподръжка и да имаш бавно USB и всякакви такива прекрасни екстри. Примерно да гледаш филми, да пишеш дискове и флашки, дори youtube да гледаш с xen...абе не че не става, ама може и по-лесно. От друга страна, хубавото нещо на xen е че не е казано че трябва да имаш хардуерна подръжка, има паравиртуализация и е бързо по принцип.

KVM аз лично ползвам от години, вкъщи имам десктоп машина, която е и домашен сървър, с няколко виртуални машини, съответно доизкусуряване с reverse proxy, iptables правила за DNAT, бекъп скриптове и тем подобни глупости. Ако имаш нова машинка и повече RAM, KVM върши идеална работа за нещо такова. Върши работа и за по-сериозни неща разбира се, но специално за такъв случай върши идеална работа.

Що се отнася до сигурността, моделът на KVM е леко flawed, бъгове има все още доста и затова винаги ще има повече проблеми в това отношение, в сравнение с xen. От друга страна, на практика, ескалирането на привилегиите от guest до хост е ужасно сложна тарапана и само човек, който наистина знае какво прави, би могъл да създаде проблеми. И няма много хора, които знаят наистина какво правят и да има, надали са умрели да ти вгорчават живота.

[AMD]

РОКО_, kvm и xen са две съвсем различни неща, ама съвсем различни, най-малкото философски различен подход към виртуализацията

DarkLordTed, до голяма степен зависи какво ще виртуализираш и за какво ще го ползваш и върху какво ще го виртуализираш и как ще ползваш хост системата.

Xen и KVM не са ужасно добра идея ако ползваш хоста като десктоп и искаш просто лесно и бързо да палиш guest-ове, особено не-линукски такива. Не е толкова мързелива работа (libvirtd и съответно GUI неща като virt-manager улесняват нещата, но пак е неудобно). Ако идеята ти е да имаш някаква тестова среда, която не ти трябва през повечето време и не искаш да хабиш много време за глупости си кютай с virtualbox или vmware и не се занимавай с глупости.

От друга страна, ако искаш да виртуализираш линукс върху линукс и да предоставяш услуги, държиш на висок uptime, евентуално производителност, xen или kvm са добра идея. Подходът е малко различен обаче. KVM е доста по-щадящ ако случайно ползваш хост системата и като десктоп, няма я тази глупост с boot-ване на hypervisor и евентуално задължително да работиш от някой виртуализиран домейн, примерно привилегирования dom0, да нямаш адекватна видеоподръжка и да имаш бавно USB и всякакви такива прекрасни екстри. Примерно да гледаш филми, да пишеш дискове и флашки, дори youtube да гледаш с xen...абе не че не става, ама може и по-лесно. От друга страна, хубавото нещо на xen е че не е казано че трябва да имаш хардуерна подръжка, има паравиртуализация и е бързо по принцип.

KVM аз лично ползвам от години, вкъщи имам десктоп машина, която е и домашен сървър, с няколко виртуални машини, съответно доизкусуряване с reverse proxy, iptables правила за DNAT, бекъп скриптове и тем подобни глупости. Ако имаш нова машинка и повече RAM, KVM върши идеална работа за нещо такова. Върши работа и за по-сериозни неща разбира се, но специално за такъв случай върши идеална работа.

Що се отнася до сигурността, моделът на KVM е леко flawed, бъгове има все още доста и затова винаги ще има повече проблеми в това отношение, в сравнение с xen. От друга страна, на практика, ескалирането на привилегиите от guest до хост е ужасно сложна тарапана и само човек, който наистина знае какво прави, би могъл да създаде проблеми. И няма много хора, които знаят наистина какво правят и да има, надали са умрели да ти вгорчават живота.

Знам че са различни, общото е че работят с virt-manager, просто му ги написах като вариант кой виртуализиращ софтуер.

[DarkLordTed]

В една тема която беше пусната с друга цел но все повече започва да прилича на тази тук ми предложиха OpenVZ като алтернативен вариант. Някой ползвал ли го е. Какво ви е мнението за него? Целта ми е основно да си защитя на системата. Така, че OpenVZ също е въриант ми се струва.

[dejuren]

Пробвах го, там си ограничен във версиите на ядрото което поддържа (тогава когато го пробвах). Ако не те притеснява това работи с него. Дали има предимства и недостатъци пред другите не мога да кажа.

[borovaka]

@DarkLordTed Дадох ти линк към сайта на OpenVZ запознай се с принципите му. Както ти казах прилича на jail-a който искаше да правиш, но имаш предимства. Разгледай тук: http://wiki.openvz.org/Introduction_to_virtualization частта "Virtualization on the OS level, a.k.a. containers virtualization".

@dejuren Да зависи от ядрото, принципа е различен просто. Ако искаш разгледай тази документация да видиш защо е така.

[DarkLordTed]

@borovaka Грешно си ме разбрал - това, че искам още мнения не значи, че не съм започнал да чета по въпроса. Доколкото схванах е нещо като виртуална машина която използва chrooting за разделянето на отделни (виртуални) контейнери. Работи само под Линукс прилично бърз е и има пълно преливане на ресурсите включително мястото на HDD-то което е в плюс. До тук ok, но лично мен ме притеснява това за chrooting-а. Затова и питам други хора за него - надявам се някой да ми каже, че нещо не съм разбрал правилно. В смисъл аз се надявах да имам 2 независими метода виртуална машина и chroot jail в нея. Сега имам опасения, че няма да се получи с OpenVZ.

[borovaka]

@DarkLordTed Защо да не се получи? Инсталираш си OS под openvz, после пускаш chroot от нея ...

[DarkLordTed]

От една страна бях останал с впечатление, че в една система мога да имам само един chroot jali. От друга концептуално нещо ми куца. Аз се опитвам да комбинирам различни методи за изолиране на дадена част от сървъра. Ако ползвам chroot контейнер и в него chroot jail не се ли получава 2 пъти едно и също и какъв е смисъла ако е така. Не съм достатъчно наясно с тази материя и ще трябва още да попрочета явно.

[dejuren]

@DarkLordTed ти някак твърде сериозно си се вторачил в "изолиране, изолиране и пак изолиране" до степен да ти се превръща в идея фикс. Имай все пак предвид, че да ти пробият виртуална машина не е много по-различно от да ти пробият "реална". В смисъл главоболията след това са от един и същи порядък. Факта, че виртуалния сървър е пробит съвсем не премахва задачите по преинсталация и въстановяване на услугата, която е работела там. Същото важи и за jail. В няколко думи - първо си направи оценка на риска, след това си подбери технология, която го прави допустим. Подчертавам - допустим, не свръх-супер минимален, или нулев. Такова животно като нулев риск няма.

[borovaka]

@dejuren Абе не е баш така с виртуалните машини. В смисъл ако се прави някакъв backup при проблем единствено трябва едно копие и пускане на ново (то и при реална е подобно де, ама главоболията са по-големи).

[dejuren]

@dejuren Абе не е баш така с виртуалните машини. В смисъл ако се прави някакъв backup при проблем единствено трябва едно копие и пускане на ново (то и при реална е подобно де, ама главоболията са по-големи).

Да, не е баш така, ама почти. При положение, че не знаеш кой бекъп е читав, и кой вече е с вкаран рут-кит се връщаме пак в началната точка. Ако хакерът ти каже кога го е работил вярно става по-лесно

[DarkLordTed]

Да попитам пак дали правилно съм разбрал. Четох за XEN и за KVM и пишеше, че KVM работил ужасяващо бавно ако хардуера няма VT-x, а за XEN даже май казват, че не може да работи без VT-x. Други казват, че можел но "допускал грешки". Вярно ли е това защото аз съм със старички машинки и нямам VT-x. От друга страна @gat3way е писал: "От друга страна, хубавото нещо на xen е че не е казано че трябва да имаш хардуерна подръжка, има паравиртуализация и е бързо по принцип" А аз него много го уважавам защото когато се е изказал винаги е било компетентно. Та да попитам пак XEN маже ли или не без VT-x? Ааа и понеже сега видях, че не съм отговорил на запитването за какво точно ми трябва. Ами да, трябва ми с цел предоставяне на услуга, но в началото ще се ползва като развойна среда само. Така или иначе си се екипира както си трябва. Няма да има графична среда на сървъра, няма да се ползва USB и нищо друго освен CPU, HDD, RAM и LAN.

А по въпроса за това дали е същото като да ти пробият реален сървър - ми не бих казал. @dejuren - Ако имам повече от един физически сървъри да - би било подобно, но сега съвсем не е така. Ако падне (бъде пробит) виртуален сървър единственото което би останало след новото замазване са данните от БД. В тях rootkit няма как да има. А и промяна която да е груба и манипулативна ще се изчисти за нула време. останалото би могло да се замаже за под 30 мин. и то автоматично. Ако е реален (само един) това няма как да стане. Ще трябва сам да си го чегъртам. Поне аз така виждам нещата. Не е проблема в това да се пробие - разбира, се че може. Тук въпроса е до ресурси. Ако за да пробие на хакера му трябват дори само 5 дена. А за да се замажат нещата на мен ми трябват 5 мин. чудесно нека пробива. Той няма да спечели нито стотинка от това, че е пробил - само ще си е загубил времето. Щом го влече - нека.