Сейчас многие хостинг-провайдеры -- рунетовские и забугорные -- предлагают услугу Virtual Dedicated Server (VDS, Виртуальный Выделенный Сервер).
Суть технологии в том, что каждому юзеру предоставляется вирутальная *никс-машина на виртуальной же файловой системе и он на ней рулит под рутом без ущерба для соседей.
Пример: http://ispserver.com/ru/technology/vds/index.html
Насколько я понимаю, используются главным образом "доработанные" BSD-системы -- самопальные (как в случае приведенного мной примера), так и готовые, но ужасно дорогие системы плана Virtuozzo. Информации по теме в инете страшно мало -- все сидят как на мешках с золотом на своих ноу-хау.
Вопросы:
1. существуют ли открытые, проверенные и устойчивые, бесплатные решения для реализации VDS?
2. есть ли решения под Linux?
3. как вы считаете, уместно ли использовать для этого VMware?
>Сейчас многие хостинг-провайдеры -- рунетовские и забугорные -- предлагают услугу Virtual Dedicated
>Server (VDS, Виртуальный Выделенный Сервер).
>Суть технологии в том, что каждому юзеру предоставляется вирутальная *никс-машина на виртуальной
>же файловой системе и он на ней рулит под рутом без
>ущерба для соседей.
>Пример: http://ispserver.com/ru/technology/vds/index.html
>Насколько я понимаю, используются главным образом "доработанные" BSD-системы -- самопальные (как в
>случае приведенного мной примера), так и готовые, но ужасно дорогие системы
>плана Virtuozzo. Информации по теме в инете страшно мало -- все
>сидят как на мешках с золотом на своих ноу-хау.
>Вопросы:
>1. существуют ли открытые, проверенные и устойчивые, бесплатные решения для реализации VDS?
>
>2. есть ли решения под Linux?
>3. как вы считаете, уместно ли использовать для этого VMware?Может я чего не совсем понял... :)
Если у тебя FreeBSD, то тады там вроде есть jail.
man jail.
>3. как вы считаете, уместно ли использовать для этого VMware?
Абсолютно нет.
jail есть и под linux.
вроде вполне работает
>jail есть и под linux.
>вроде вполне работает
хмм
что то я не видел
если вы о chroot(), то это немного не то, так как системные вызовы не ограничиваются, из него можно выйти если поиметь uid 0
если в ы о user-mode-linux , то это ближе, но все равно не то - нужно создавать отдельный диск, работает фактически еще одно ядро linux внутри юзер процессатак что если вы предложите реальную альтернативу jail() в linux, буду рад услышать
>>jail есть и под linux.
>>вроде вполне работает
>
>
>хмм
>что то я не видел
>если вы о chroot(), то это немного не то, так как системные
>вызовы не ограничиваются, из него можно выйти если поиметь uid 0
>
>если в ы о user-mode-linux , то это ближе, но все равно
>не то - нужно создавать отдельный диск, работает фактически еще одно
>ядро linux внутри юзер процесса
>
>так что если вы предложите реальную альтернативу jail() в linux, буду рад
>услышать
зачем аьлтернатива, ставь фрю
>
>зачем аьлтернатива, ставь фрюМ-да... А о freevsd ( www.freevsd.org ) никто прям и не слышал... :))
freeVSD is an advanced web-hosting platform for ISPs, educational institutions and other large organisations. It allows multiple Virtual Servers to be created on a single hosting server, each with a truly separate and secure web-hosting environment. This reduces an ISP's hardware outlay and also lowers the cost of support due to delegated administration.Distributed under the GPL, freeVSD comes complete with a documented administration protocol and an open-source web-based administration system.
>>
>>зачем аьлтернатива, ставь фрю
>
>М-да... А о freevsd ( www.freevsd.org ) никто прям и не слышал...
>:))
>freeVSD is an advanced web-hosting platform for ISPs, educational institutions and other
>large organisations. It allows multiple Virtual Servers to be created on
>a single hosting server, each with a truly separate and secure
>web-hosting environment. This reduces an ISP's hardware outlay and also lowers
>the cost of support due to delegated administration.
>
>Distributed under the GPL, freeVSD comes complete with a documented administration protocol
>and an open-source web-based administration system.To ensure the tightest security all virtual servers are isolated and protected using 'chroot', which renders the file systems of adjacent virtual servers invisible to each others' users
chroot() это все же не jail()
а модифицированные (и наверное суидные?) cp,mv итд бинарники это все же не полный root access как к jail-ed машине
>freeVSD is an advanced web-hosting platform for ISPs, educational \freeVSD - это просто набор скриптов облегчающих установку и управление обычным chroot'ом. Плюс запатченный inetd для привязки сервисов в chroot'е к нужному IP.
>>>jail есть и под linux.
>>>вроде вполне работает
>>
>>
>>хмм
>>что то я не видел
>>если вы о chroot(), то это немного не то, так как системные
>>вызовы не ограничиваются, из него можно выйти если поиметь uid 0
>>
>>если в ы о user-mode-linux , то это ближе, но все равно
>>не то - нужно создавать отдельный диск, работает фактически еще одно
>>ядро linux внутри юзер процесса
>>
>>так что если вы предложите реальную альтернативу jail() в linux, буду рад
>>услышать
>
>
>зачем аьлтернатива, ставь фрюфря давно стоит, и не одна ;)
просто разнообразие оно всегда полезно :)
Ну тады бери фришный jail и портируй его на линукс, вот думаю тогда тебе разнообразия хватит месяцев на 6-7. ;))) Самое главное что это видимо будет проверенный и стабильный способ. ;)Ты же сказал что тебе нужна стабильность и проверенный способ... Вот тебе jail на FreeBSD. Чем не проверенный временем. Да и стабилен вроде. :)
>Ну тады бери фришный jail и портируй его на линукс, вот думаю
>тогда тебе разнообразия хватит месяцев на 6-7. ;))) Самое главное что
>это видимо будет проверенный и стабильный способ. ;)
>
>Ты же сказал что тебе нужна стабильность и проверенный способ... Вот тебе
>jail на FreeBSD. Чем не проверенный временем. Да и стабилен вроде.
>:)
хехе
да беру я, беру jail под фрёй ;)))
и под линухом от его отсутствия не страдаю потому как на нем серваков не держу, домашняя тачка тока.
просто человек сказал "под линукс есть jail()"
вот я и подумал, а мож я чего проглядел, мож он действительно есть... решил спросить.
а насчет "буду рад услышать" - так это из вежливости :)
>да беру я, беру jail под фрёй ;)))
>и под линухом от его отсутствия не страдаю потому как на нем
>серваков не держу, домашняя тачка тока.
>просто человек сказал "под линукс есть jail()"
>вот я и подумал, а мож я чего проглядел, мож он действительно
>есть... решил спросить.
>а насчет "буду рад услышать" - так это из вежливости :)
>
>>да беру я, беру jail под фрёй ;)))
>>и под линухом от его отсутствия не страдаю потому как на нем
>>серваков не держу, домашняя тачка тока.
>>просто человек сказал "под линукс есть jail()"
>>вот я и подумал, а мож я чего проглядел, мож он действительно
>>есть... решил спросить.
>>а насчет "буду рад услышать" - так это из вежливости :)
>
>
>http://www.rusonyx.ru/support/misc/jail.htmlспасибо, хорошая ссылка
но virtuozzo - платная штука, и я не нашел на их сайте упоминания об исходниках... наверное не дают
для не слишком параноидального хостинг провайдера это конечно альтернатива.
но мне, желающему запереть в jail, скажем drwebd, не подойдет...
>для не слишком параноидального хостинг провайдера это конечно альтернатива.Мне проблема видится даже не в chroot или jail.
Проблема в том как органичить процессорные ресурсы юзера, чтобы кривой процесс отъедающий 100% CPU не отразился на другие VDS.
(Нет квоты на использование CPU).Можно органичить максиальное число процессов на один VDS, можно ограничить мсаксимальный объем памяти которую может сьесть процесс, но как ограничить максимальный объем ОЗУ на ВСЕ процессы в рамках одного VDS.
(Квоты на ограничение памяти распространяются только на 1 процесс, под Linux вообще только размер virtual memory можно олько ограничить)То же самое с контролем дисковой активности, если под VDS будут производиться IO операции в критическом режиме, т.о. что будет с другими VDS.
С сетевым трафиком легче, один порно-VDS может забить все остальные VDS на сервере (решение от части органичением пропускной способности на VDS и ограничения максимального числа соединений).
В итоге, пишем скрипт, который форкает свои копий, каждая вторая копия занимается только тем, что открывает хаотично файлы на диске, другая же копия занимается мат. вычислениями в циклическом режиме - имеем полную потерю сервиса для других VDS.
>>для не слишком параноидального хостинг провайдера это конечно альтернатива.
>
>Мне проблема видится даже не в chroot или jail.
>Проблема в том как органичить процессорные ресурсы юзера, чтобы кривой процесс отъедающий
>100% CPU не отразился на другие VDS.
>(Нет квоты на использование CPU).
>
>Можно органичить максиальное число процессов на один VDS, можно ограничить мсаксимальный объем
>памяти которую может сьесть процесс, но как ограничить максимальный объем ОЗУ
>на ВСЕ процессы в рамках одного VDS.
>(Квоты на ограничение памяти распространяются только на 1 процесс, под Linux вообще
>только размер virtual memory можно олько ограничить)
>
>То же самое с контролем дисковой активности, если под VDS будут производиться
>IO операции в критическом режиме, т.о. что будет с другими VDS.
>
>
>С сетевым трафиком легче, один порно-VDS может забить все остальные VDS на
>сервере (решение от части органичением пропускной способности на VDS и ограничения
>максимального числа соединений).
>
>В итоге, пишем скрипт, который форкает свои копий, каждая вторая копия занимается
>только тем, что открывает хаотично файлы на диске, другая же копия
>занимается мат. вычислениями в циклическом режиме - имеем полную потерю
>сервиса для других VDS.на конференции рассказывали про коммерческую систему под Linux, я те же
вопросы задавал, оказалось что даже не пытались тестить, но система уже
довольно давно работает и продается, максимальная нагрузка которая была
- 200 вирт-хостов и из них больше трети работали с базами, что будет при
приличном дисковом IO - никто не представляет. :(
>>для не слишком параноидального хостинг провайдера это конечно альтернатива.
>
>Мне проблема видится даже не в chroot или jail.
>Проблема в том как органичить процессорные ресурсы юзера, чтобы кривой процесс отъедающий
>100% CPU не отразился на другие VDS.
>(Нет квоты на использование CPU).
>
>Можно органичить максиальное число процессов на один VDS, можно ограничить мсаксимальный объем
>памяти которую может сьесть процесс, но как ограничить максимальный объем ОЗУ
>на ВСЕ процессы в рамках одного VDS.
>(Квоты на ограничение памяти распространяются только на 1 процесс, под Linux вообще
>только размер virtual memory можно олько ограничить)
>
>То же самое с контролем дисковой активности, если под VDS будут производиться
>IO операции в критическом режиме, т.о. что будет с другими VDS.
>
>
>С сетевым трафиком легче, один порно-VDS может забить все остальные VDS на
>сервере (решение от части органичением пропускной способности на VDS и ограничения
>максимального числа соединений).
>
>В итоге, пишем скрипт, который форкает свои копий, каждая вторая копия занимается
>только тем, что открывает хаотично файлы на диске, другая же копия
>занимается мат. вычислениями в циклическом режиме - имеем полную потерю
>сервиса для других VDS.угу, вы правы. virtuozzo от этого вроде предохраняет... наверное хорошая система, вот еще была бы возможность аудита кода, который они предоставляют...
>>Ну тады бери фришный jail и портируй его на линукс, вот думаю
>>тогда тебе разнообразия хватит месяцев на 6-7. ;))) Самое главное что
>>это видимо будет проверенный и стабильный способ. ;)
>>
>>Ты же сказал что тебе нужна стабильность и проверенный способ... Вот тебе
>>jail на FreeBSD. Чем не проверенный временем. Да и стабилен вроде.
>>:)
>
>
>хехе
>да беру я, беру jail под фрёй ;)))
>и под линухом от его отсутствия не страдаю потому как на нем
>серваков не держу, домашняя тачка тока.
>просто человек сказал "под линукс есть jail()"
>вот я и подумал, а мож я чего проглядел, мож он действительно
>есть... решил спросить.
>а насчет "буду рад услышать" - так это из вежливости :)http://www.gsyc.inf.uc3m.es/~assman/jail/ - Linux, FreeBSD, Solaris
кое-что можно найти через http://freshmeat.net/ но верхний - основной
Еще есть ASPlinux где вроде эта фича от рождения а не притянута за уши.Технология, которая насквозь пронизывает решение ASPcomplete, — виртуальное окружение (VE — Virtual Environment). Каждый арендатор сервера получает в свое распоряжение не просто место на диске и вычислительные ресурсы, а права суперпользователя внутри своего VE, от других же VE он полностью изолирован и ощущает себя полным хозяином компьютера.
>>>Ну тады бери фришный jail и портируй его на линукс, вот думаю
>>>тогда тебе разнообразия хватит месяцев на 6-7. ;))) Самое главное что
>>>это видимо будет проверенный и стабильный способ. ;)
>>>
>>>Ты же сказал что тебе нужна стабильность и проверенный способ... Вот тебе
>>>jail на FreeBSD. Чем не проверенный временем. Да и стабилен вроде.
>>>:)
>>
>>
>>хехе
>>да беру я, беру jail под фрёй ;)))
>>и под линухом от его отсутствия не страдаю потому как на нем
>>серваков не держу, домашняя тачка тока.
>>просто человек сказал "под линукс есть jail()"
>>вот я и подумал, а мож я чего проглядел, мож он действительно
>>есть... решил спросить.
>>а насчет "буду рад услышать" - так это из вежливости :)
>
>http://www.gsyc.inf.uc3m.es/~assman/jail/ - Linux, FreeBSD, Solarisно опять же через chroot() syscall
хотелось бы что то с ограничениями на уровне системных вызовов... чтоб получив uid 0 внутри chroot из него нельзя было б вылезти>
>кое-что можно найти через http://freshmeat.net/ но верхний - основнойкак возникнет необходимость - пойду искать :)