-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
On 06/17/2015 03:53 PM, Tomáš Volf wrote:
Ahoj, da se ve VPS provozovat nejaka virtualizace? Napriklad dalsi openvz container? Ted mi nejde ani tak o potencionalni virtualizaci pro jine architektury/kernely, ale spise o izolaci jednotlivych "programu" do samostatnych containeru.. Tedy napriklad, aby wordpress bezel sam, izolovany i se svoji databazi ve svem kontejneru a v pripade bugu se utocnik nikam nedostal. Nasli by se i dalsi aplikace..
Snazil jsem se neco googlit, ale nekde tvrdi, ze to v openvz nejde, nekde, ze jo, takze mi to moc nepomohlo.
Takze abych to shrnul: Lze momentalne ve VPS provozovat nejakou virtualizaci (openvz, lxc, docker, ...)?
V prvni rade je na miste si ujasnit pojmy. Tvoje VPS je kontejner na OpenVZ technologii, v rozumne soucasne verzi. Pod ni bezi cgroups i vetsina namespaces, coz umoznuje vyrabet kontejnery na dalsi urovni (ktera vlastne identicka se soucasnymi kontejnery na RHEL6, cca). Dalsi veci je, ze do naseho RHEL6 kernelu je backportovano nemalo z novejsich jader (hlavne RHEL7), aby chodily novejsi userspace distribuci, jako napr. Fedora 20+, Debian 8+.
Porad al nejde o virtualizaci, jenom tomu jednomu jadru, ktere ma spustene dalsich cca 90 kontejneru vedle tebe, jenom vyrabis podstromy procesu v cgroupach v ruznych namespacech, cili vykon je porad nativni vykon toho hardware. Much better nez jakakoliv virtualizace.
Je jedno, jestli se rozhodnes cgroups+namespaces ovladat pres LXC, LXC+LXD, Docker nebo treba systemd, pokazdy si hrajes s jednou a tou samou in-kernel sadou technologii, jenom kazda ma jiny moznosti v userspace a je pro trochu jinej use-case.
Kdybys chtel realnou virtualizaci, tzn. pustit si virtualni x64-64 machine s VT akceleraci, dalo by se to uz ted s OpenVZ CT zaridit, da se dovnitr zpristupnit /dev/kvm a v CT rozbehat libvirt+qemu/kvm.
Co se tyce bezpecnosti, porad je to to same, je to jedno a to same jadro, akorat QEMU vyuziva mnohem mensi povrch toho jadra, kontejnery se naprimo bavi s jadrem jako kazda jina user-space aplikace, tzn. samotne jsou uz na urovni mit user-level access (se ziskavanim pristupu do cizich CT je to slozitejsi, user namespace a OpenVZ mechanismy jsou celkem mocna kombinace dohromady).
/snajpa
Diky, Tomas Volf _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list