The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Представлен Qjail, инструмент для упрощения управления FreeBSD Jail

21.07.2010 17:15

Представлена новая утилита для упрощения управления Jail-окружений - Qjail. Утилита подходит как для работы с единичными Jail-окружениями, так и для поддержания работы систем, число изолированных окружений в которых исчисляется сотнями. Администратором задается типовой шаблон окружения, содержащий основные исполняемые файлы, библиотеки и другие неизменные данные, который в дальнейшем может быть клонирован через использование nullfs-монтирования в режиме только для чтения.

Для лимитирования суммарного доступного для Jail дискового пространства, без выделения дополнительных дисковых разделов, используется "mdconfig". В Qjail также имеются средства для назначения IP-адресов, параметров сети, создание групп типовых Jail, выполнение команд в которых может производиться через одно имя.

  1. Главная ссылка к новости (http://www.daemonforums.org//s...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/27381-jail
Ключевые слова: jail, chroot, limit, freebsd
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (22) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Ярослав (??), 18:51, 21/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    У нас для управления jail-ами используется ezjail, кто-нибудь знает, чем эта утилита лучше (или может чем отличается)?
     
     
  • 2.2, ABC (??), 23:37, 21/07/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Из описания преимуществ не видно, честно говоря.
     

  • 1.3, 0xff (?), 08:31, 22/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    для упраления jailами сколько отдельных команд используется? Ниужели блин 500 команд разных для управления окружениями? Зочем эти ezjail и qjail? Это всё линуксоидные и виндузятные влияния! Надо использовать нативные инструменты, если вы любите свою ОС. А вы её любите (утвердительно), иначе вам нечего делать на freebsd, ставьте линукс и конфигурьте всё через гуй и псевдогуи всякие.
     
     
  • 2.4, Аноним (-), 09:29, 22/07/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Представьте себе какой-нить RU-Центр, к-й делегирует управление всеми доменами в зоне .RU Вам интересно будет на миллионы сайтов каждый раз создавать заново зону вручную? Вы видимо не работали с хостинговыми машинами, к-е обслуживают десятки тысяч джейлов, OpenVZ и т.д. Не, ваше право конечно, если вам нравится обезьянья работа. А нормальные люди просто все автоматизируют. И про какой GUI вы в Линуксе говорите? Там все так же - ASCII-файлы + vi
     
     
  • 3.7, re (?), 10:55, 22/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Да вы смеётесь что ли? У меня около 3400 жайлов. Все они смонтированы по nullfs из шаблонной клетки. Обновляеш только одну клетку - обновляются все. Вы видимо не очень разбираетесь в том, о чем говорите. Ниужели вы считаете что для каждой клетки должно быть своё собственное окружение? Нет, ей достаточно смотрированного по nullfs или nfs мира и так же смонтированной фс, где установлен апач и все другие дела. Понимаете? 1 клетку делаем и её fs монтируем хоть в миллион окружений других клеток. Всё, обновлять тоже только одну надо.
     
     
  • 4.24, northbear (??), 00:18, 23/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    А можно поинтересоваться на каком железе живет такое количество jail'ов?
     
     
  • 5.32, Админ (?), 08:15, 23/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >А можно поинтересоваться на каком железе живет такое количество jail'ов?

    Не ошибся ноликами, а просто 8хXEON 16G RAM 10Tвинтов ~700к рублей. Я не тот самый админ, но у меня тоже тыщи клеток.
    А в принципе можно сделать на кластере из обычных i7 или c2d, просто на основе nfs или nullfs монтировать всё  с центрального NAS. Да, и это ещё получатся жирные клетки надо сказать, просторные.

     
  • 3.10, iZEN (ok), 12:45, 22/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вы там что от сервера к серверу бегаете? Нельзя разве всё автоматизировать набором скриптов?
     
     
  • 4.17, Ярослав (??), 16:32, 22/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно можно, ezjail это и есть набор скриптов. Qjail, по всей видимости, тоже.
     
  • 2.5, Аноним (-), 09:46, 22/07/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Скажи тогда как ты будешь обновлять все свои jailы после выхода security patch-а?
     
     
  • 3.8, кумар (?), 10:57, 22/07/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Скажи тогда как ты будешь обновлять все свои jailы после выхода security
    >patch-а?

    Только одну родительскую клетку обновляем и всё. Она смонтирована по nullfs во все другие клетки. Даже можно  мир монтировать вообще с хостовой машины - обновляеш хостовую машину - обновляешь все 5000 jails сразу

     
  • 2.11, dd (??), 12:58, 22/07/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >ставьте линукс и конфигурьте всё через гуй и псевдогуи всякие.

    А имелось в виду вот что наверное: в линуксе всё _заточено_ под правку конфигов не руками, а при помощи всяких sysconfig и setup, потому как там конфиги расположены абсолютно не эргономично и не для людей. Зочем на каждое соединение отдельный файл в директории /etc/networks?? Зачем такая немыслимая система из нагромождения симлинков в /etc? Что за мутанты всё это придумали? На фряхе всё удивительно просто и логично - вот дефолтные файлы, вот их перекрывающие рабочие файлы. Вернее всего один - rc.conf, там всё, а не размазано нечеловеческим образом по всему /etc по куче файлов самым бесчеловечным образом. Вывод-на фряхе hier действительно для людей с vi в руках, на линуксе - для всяких скриптов-конфигураторов-псевдо-ascii-гуев-настраивалок.

     
     
  • 3.35, XoRe (ok), 22:45, 23/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >правку конфигов не руками, а при помощи всяких sysconfig и setup,
    >потому как там конфиги расположены абсолютно не эргономично и не для
    >людей. Зочем на каждое соединение отдельный файл в директории /etc/networks?? Зачем
    >такая немыслимая система из нагромождения симлинков в /etc? Что за мутанты
    >всё это придумали? На фряхе всё удивительно просто и логично -
    >вот дефолтные файлы, вот их перекрывающие рабочие файлы. Вернее всего один
    >- rc.conf, там всё, а не размазано нечеловеческим образом по всему
    >/etc по куче файлов самым бесчеловечным образом. Вывод-на фряхе hier действительно
    >для людей с vi в руках, на линуксе - для всяких
    >скриптов-конфигураторов-псевдо-ascii-гуев-настраивалок.

    Справедливости ради - перед чтением /etc/rc.conf идет /etc/defaults/rc.conf (откуда и берутся все дефолтные значения).
    А после - идет /etc/rc.conf.local
    Ну и /etc/rc.local тоже не стоит забывать.
    А так же, есть файлы /etc/start_if.<interface> =)

    Хотя я тоже считаю, что во фряхе файлы конфигов расположены довольно эргономично.
    Но тут речь идет о фряхе, как о дистрибутиве.
    linux - не дистрибутив.
    У linux много дистрибутивов, и конфиги в них лежат по-разному.
    Если пользоваться только одним дистрибутивом, то тоже можно решить, что конфиги лежат "правильно".
    У FreeBSD один основной дистрибутив - запоминать "особенности кучи дистрибутивов" не нужно)
    Потому и воспринимать набор конфигов проще)

     
     
  • 4.37, iZEN (ok), 00:49, 24/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >А так же, есть файлы /etc/start_if.<interface> =)

    На Фре? Нету таких.

     

  • 1.33, iZEN (ok), 13:06, 23/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    kshetragia Вы просто не умеете его готовить c Альф Боюсь спросить, а как вы... большой текст свёрнут, показать
     
     
  • 2.36, XoRe (ok), 22:47, 23/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Я не живу на гнулинукс-машинах. У меня из гнулинукс только linux.ko и
    >вот это:

    ...

    Чет дохрена пакетов)
    Видится мне, что какой-то порт зависимостей притянул.
    Какой порт, если не секрет?)

     
     
  • 3.38, iZEN (ok), 00:54, 24/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Остались после удаления linux-firefox-devel-3.5.10.
     
     
  • 4.42, Крамер (?), 10:46, 27/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Остались после удаления linux-firefox-devel-3.5.10.

    use pkg_rmleaves, Luke

     
  • 2.39, kshetragia (ok), 06:22, 26/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >И, да, я ненавижу Linux.

    Тут я с вами солидарен. Но по роду деятельности приходится общаться с зоопарком линукс дистрибутивов.

    >> Или, скажем, в терминале с кривой локализацией(когда все менюшки кракозябрами).
    >Ни разу не всречался с крякозябрами в текстовой консоли FreeBSD. Редактор ee,
    >в зависимости от текущей локали, либо отображает английские названия пунктов меню,
    >либо русские. Без кривизны.

      Тогда вам просто повезло. ee - неудобоваримое зло!. Сам когда-то его пользовал, пока не просветили. Потратьте неделю времени и освойте vi.


     
     
  • 3.40, iZEN (ok), 13:35, 26/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Тогда вам просто повезло. ee - неудобоваримое зло!. Сам когда-то его пользовал, пока не просветили.

    ee создавался для людей, имеющих нормальную клавиатуру с курсорными клавишами. Набор команд простой (EMACS keys mode):
    ^[ (escape) menu ^y search prompt ^k delete line   ^p prev li     ^g prev page
    ^o ascii code    ^x search        ^l undelete line ^n next li     ^v next page
    ^u end of file   ^a begin of line ^w delete word   ^b back 1 char ^z next word
    ^t top of text   ^e end of line   ^r restore word  ^f forward char
    ^c command       ^d delete char   ^j undelete char              ESC-Enter: exit
    — даже запоминать не надо, все комбинации отображаются в краткой справке вверху экрана редактирования.

    vi создавался во времена, когда не было нормальных/стандартных клавиатур, поэтому приходилось использовать режимы ввода, чтобы "эмулировать" недостающие клавиши.

    >Потратьте неделю времени и освойте vi.

    Какая неделя? ":q!" и всё редактируем в ee. Ничего запоминать не надо.

     
     
  • 4.41, kshetragia (ok), 20:45, 26/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > vi создавался во времена, когда не было нормальных/стандартных клавиатур.

    Что характерно, его биндинги и сейчас удобны, Особенно в tiled менеджере. Позволяет не меняя позиции рук(искать стрелочки.. о боже) рулить и редактором и рабочим столом. Плюс vimperator или биндинги в опере. Плюс ася(centericq) и в принице ничего больше для работы не нужно.

     
  • 4.43, Крамер (?), 10:48, 27/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    use vim, Luke
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру