[vpsFree.cz: community-list] Virtualizace ve VPS

Pavel Snajdr snajpa at snajpa.net
Thu Jun 18 16:52:56 CEST 2015 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

On 06/17/2015 03:53 PM, Tomáš Volf wrote:
> Ahoj, da se ve VPS provozovat nejaka virtualizace? Napriklad dalsi
> openvz container? Ted mi nejde ani tak o potencionalni virtualizaci
> pro jine architektury/kernely, ale spise o izolaci jednotlivych
> "programu" do samostatnych containeru.. Tedy napriklad, aby
> wordpress bezel sam, izolovany i se svoji databazi ve svem
> kontejneru a v pripade bugu se utocnik nikam nedostal. Nasli by se
> i dalsi aplikace..
> 
> Snazil jsem se neco googlit, ale nekde tvrdi, ze to v openvz
> nejde, nekde, ze jo, takze mi to moc nepomohlo.
> 
> Takze abych to shrnul: Lze momentalne ve VPS provozovat nejakou 
> virtualizaci (openvz, lxc, docker, ...)?

V prvni rade je na miste si ujasnit pojmy. Tvoje VPS je kontejner na
OpenVZ technologii, v rozumne soucasne verzi. Pod ni bezi cgroups i
vetsina namespaces, coz umoznuje vyrabet kontejnery na dalsi urovni
(ktera vlastne identicka se soucasnymi kontejnery na RHEL6, cca).
Dalsi veci je, ze do naseho RHEL6 kernelu je backportovano nemalo z
novejsich jader (hlavne RHEL7), aby chodily novejsi userspace
distribuci, jako napr. Fedora 20+, Debian 8+.

Porad al nejde o virtualizaci, jenom tomu jednomu jadru, ktere ma
spustene dalsich cca 90 kontejneru vedle tebe, jenom vyrabis podstromy
procesu v cgroupach v ruznych namespacech, cili vykon je porad nativni
vykon toho hardware. Much better nez jakakoliv virtualizace.

Je jedno, jestli se rozhodnes cgroups+namespaces ovladat pres LXC,
LXC+LXD, Docker nebo treba systemd, pokazdy si hrajes s jednou a tou
samou in-kernel sadou technologii, jenom kazda ma jiny moznosti v
userspace a je pro trochu jinej use-case.

Kdybys chtel realnou virtualizaci, tzn. pustit si virtualni x64-64
machine s VT akceleraci, dalo by se to uz ted s OpenVZ CT zaridit, da
se dovnitr zpristupnit /dev/kvm a v CT rozbehat libvirt+qemu/kvm.

Co se tyce bezpecnosti, porad je to to same, je to jedno a to same
jadro, akorat QEMU vyuziva mnohem mensi povrch toho jadra, kontejnery
se naprimo bavi s jadrem jako kazda jina user-space aplikace, tzn.
samotne jsou uz na urovni mit user-level access (se ziskavanim
pristupu do cizich CT je to slozitejsi, user namespace a OpenVZ
mechanismy jsou celkem mocna kombinace dohromady).

/snajpa

> 
> Diky, Tomas Volf _______________________________________________ 
> Community-list mailing list Community-list at lists.vpsfree.cz 
> http://lists.vpsfree.cz/listinfo/community-list
> 
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2

iF4EAREIAAYFAlWC20gACgkQgRwOVqYrsFVbqgEAnOrzkUcq0SaNh7rbFecXiXKr
0J6Nw+Hpw+8taVpfJ/YA/2ls9MDSkV9lXW7/iMTqs87RorZX+9/q+iIeGquYyxex
=vSuU
-----END PGP SIGNATURE-----

More information about the Community-list mailing list