Использовать ли вирт машины? Роутер для офиса в вирт. машине..

тут сложно не согласиться, посмотрел сабжевый контроллер - кусок сами-знаете-чего. т.е. да, мой совет про хардварный рейд применительно сюда был ошибочен, поскольку тут оно того не стоит. но последний опыт «офисного сервера» у меня был тоже достаточно давно, отвык-с.

Возможно я чего то не понимаю, но в чем смысл? С точки зрения безопасности выигрыша никакого. Нагрузка на и так не ахти какой сервер - увеличена. Камушек и так заставят обрабатывать непривычные для него данные о маршрутах, так еще и на виртуалке, которая сама по себе отъедает. При этом конфигурирование сети станет чем то изуитским, похожим на мазохизм и все ради того, чтобы тянуть траффик через виртуалку.

Процессор будет вынужден трижды(!) обрабатывать маршруты, хотя обычный (юзерский или серверный) камень не предназначен для этого вообще, в следствии чего возникают вынужденные задержки в обработке. А тут эти задержки будут увеличены трижды в геометрической прогрессии. Т.е. вместо <1мс. будет что нибудь вроде 1-6мс. Представьте: сигнал приходит на аппаратную сетевуху, с нее на камушек, тот отправляет на виртуальную сетевуху (в драйвер виртуальной сетевухи), та шлет на виртуальную машину, та на камушек...

Но и это еще не все. Получается, что пакет, пришедший на реальный сервер может быть перехвачен или может скомпрометировать безопасность системы просто потому, что еще не успел дойти до виртуалки с правилами безопасности.

Короче, если уж использовать сервак, как шлюз, то уж точно не на виртуалке. А вот уже на этом шлюзе поднимайте виртуалки с вашими сервисами, как вам будет удобно. Но шлюз обязательно должен быть на реальной машине. А еще лучше, попробуйте выбить денег на проводной роутер, хотя бы за 3-5 тысяч. Это уже будет лучше. Хотя, все зависит от кол-ва пользователей.

С проводным роутером все сложно. У нас 3 аплинка по приоритетам (2 PPPoE, 1 ethernet), если отваливается основной - переключение на резерв. Плюс к этому поверх поднятого канала PPTP-подключение. Все это натится в локальную сеть. Смотрел в свое время проводные роутеры, но они такого не умеют, поэтому остается только софт. Куплен маленький микротик, который будет держать аплинки, а сервер уже за микротиком будет поднимать PPTP и трафик. Можно попробовать все сделать на микротике, но.. пока непонятно будет ли оно вообще работать и если да, то как.

Смысл задумывался в том, чтобы делать бэкапы виртуалок целиком. И если что - поднять то же самое на другом железе, запустив эти самые виртуалки. Плюсом конечно raid1.

Посмотрите в сторону Cisco ASA 5505. Это конечно уже не 5000р, но вам подошло бы. Что касается бэкапов, то есть различные решения. От банального скрипта, который автоматически устанавливает нужный софт и переносит/применяет конфиги, до системы типа Bacula. Оба решения бесплатны. Но не делайте шлюз на виртуалке. Либо это будет просто костыли, либо это будет еще и извращение с точки зрения настроек сети.

К тому же на ASA есть замечательная штука ASDM, которая позволит настраивать ее через веб-морду, что крайне упростит решение проблем. Там конечно на функционал нужны лицензии за много $, но это обходится. Было бы желание))))

XEN

Ненужно, ибо есть KVM

Эксперты в треде! Что админишь кроме локалхоста?

К сожалению бюджет уже потрачен. Cisco расточительно дорого для наших задач, конечно было бы приятно, но бессмысленно. В общем насчет виртуалок надо еще раз подумать. Подкупает именно бэкапированием.. очень подкупает.

Ужасы какие рассказываете. Гипервизоры прекрасно работают с сетевым оборудованием, почти без оверхеда. С циской не сравнить, но для SOHO-роутера хватит с запасом. Плюс удобные бекапы и снапшоты!

Гейт на freebsd, если не трогать: аптайм до 9 лет)) на linux 6 лет проработал на моей прошлой работе. Настроил, сделал бэкап всех конфигов и в ус не дуешь.

Ну, это дело такое. Каждому свое. Я виртуализацию люблю, но без фанатизма. Некоторые вещи ей не доверяю. Например DC, Gate... Но работать конечно будет.

У меня сейчас тоже аптайм по полгода. Обнуляется только при длительном отключении электричества, так как ИБП не управляемый и сервер просто выключается через 10 минут после потери линка на одном из интерфейсов, если линк не поднимается. А так тоже - работает как часы, тьфу-тьфу..

Xen зачем? если везде линуксы то контейнеры, и будет быстрее чем Xen, если нужны другие ОС то KVM и опять же будет быстрее чем Xen, да и в настройках все намного проще и удобнее.

Вот и я о чем

Блин, хватит уже распространять этот бред.

а обосновать?

можно, если на новом хосте такой же или похожий контроллер. на нормальном предприятии стандартизация должна быть. ну или если помер контроллер, то меняем его на такой же по гарантии.

анонимусы конечно же всем экспертам эксперты Ч)

Практика мне показала, что работает это не всегда и не везде.
Так что лучше не надеяться на вендора и таки бекапить.

спорим моя практика побольше будет? я на такого вендора как раз работал, и восстанавливал тысячи если не десятки тысяч массивов за это время, да и после. если массив цел, и я имею ввиду как целые так и degraded, то восстановить его не сложно, на родном железе, или даже железе из той же серии.

это не отменяет потребность в бекапах конечно, только бекапы к рейду не имеют никакого отношения.

из той же серии

Удачи найти ту же серию спустя пару лет после покупки

до 5 лет никаких проблем. во всяком случае у большой тройки вендоров. а после можно найти онлайн. у меня знакомый админит целую ферму альф и ваксов, и запчасти до сих пор без проблем находятся на ebay.

Есть ли в этом смысл? С виртуалками никогда не работал, потому и спрашиваю.

Да, как минимум в ключе безопасности.

без проблем находятся на ebay

«без проблем» и «ebay» в одном предложении не сочетаются.

Попробовал дома qemu-kvm на debian, поставил win_xp - через virt-manager. Поставилась нормально, работает. Но пока для меня все ново. Как я понял virt-manager может подключаться к удаленной системе, удобно.

Рассмотри, как вариант, проксмокс(proxmox ve). Бесплатен(регулярно предлагает подписку, но не навязывает), нормальная веб-морда, есть удобная настройка бэкапов, по софтовой части меня ещё не подводил. Но я его только около года использую. Основан на debian + rhel ядро и кластер.

У меня в одном из офисов работает в двух-нодном режиме, на одной ноде всё крутится, на вторую делаются бэкапы и в случае падения 1-ой ноды можно всё оперативно восстановить. Если не нужен HA и плюшки для больших кластеров, то почти идеальное решение, имхо.

за 30+ лет ни секунды даунтайма, но куда нам бедолагам до ваших гениальных решений.

хорошо хоть по первому пункту возражений не поступало.

тут ведь всего один хост, зачем этот монстрогибрид из ужа и ежа?

Удобнее и проще чем, virt-manager(я его вообще не долюбливаю, имхо виртуалбокс в этом случае, и то лучше будет).

Можно сделать двухнодный кластер, и на второй ноде можно будет оперативно развернуть бэкапы. А я так понял автор хочет возможность быстрого восстановления. Можно миграции делать.

У монстрогибрида 200 метров оверхеда, вполне приемлимо. В остальном вполне дебиан.

дебиан с ядром от RHEL и с припиленным OVZ... это монстрогибрид, почище нексенты. ну не люблю я продукты которые заставляют долго чесать репу и спрашивать «но зачем?!»

а у автора всего один хост, все что ему надо это поднимать и опускать ВМ, для чего virt-manager более чем адекватен.

Ну если только одна, то да. А если нужна возможность быстро восстановить, то две ноды проксмокса самое то. Вторую можно слабенькую, на обычном железе, лишь бы винта много было и минимально хватило мощности на самое необходимое.

ЗЫЖ Моё дело предложить, я не настаиваю. Но я выбрал такой вариант.

и восстанавливал тысячи если не десятки тысяч массивов за это время

ага, 10 лет ничего другого не делал, только массивы и восстанавливал каждый день, обычно после такого можно дальше не читать.

Релиз LXC, про который говорится, что он готов для продакшена, был только в феврале. Поддержка в шестой шляпе пока не полная, а седьмая до массового внедрения еще не дошла, хотя для многих всё это - не проблема. Docker - вообще полурабочее изделие еще неготовое ни для чего. Если контейнеры, то только в Соляре, там они хотя бы работают.

XEN, конечно, не такой эффективный как KVM и не имеет такой тесной интеграции с ядром, зато более зрелый, возможно, имеет меньше проблем, лучшую поддержку коммьюнити, а также коммерческую поддержку от Citrix, если очень надо. KVM вдобавок завязан с QEMU, который сам по себе - огромный продукт с богатой историей (это такой эвфемизм для «неконтролируемая свалка кода»). Разница в скорости между XEN HVM (а тем более PVHVM) и KVM не так уж и велика.

А вообще - да, охота пуще неволи. Хочется контейнеров - какие вопросы, можно и контейнеры.

А интересная штука этот proxmox - прям для новичка. Надо посмотреть. Управление можно конечно осуществлять через virsh, но придется долго курить маны по синтаксису команд. Мне показались реальной жестью команды установки новых систем.

Почитал, пишут, что B120i - контроллер, который используется в моем сервере - не что иное как fakeraid.

Не вздумай его использовать, используй mdadm.

делать бэкапы виртуалок целиком. И если что - поднять то же самое на другом железе

kvm на zfs идеально для этого подходит, снапшот виртуалки (инкрементальный или полный) делается мгновенно и его сразу же можно по сети залить на резервный серв. В отличии от снапшотов lvm zfs позволяет получать мгновенные снапшоты без тормозов дисковой подсистемы и без проседания производительности.

Плюсом конечно raid1.

а почему не raid10?

proxmox

ненужная гуевая обертка для школоты

Ставь центос 6.5 (на нем, на мой взгляд, проще всего все поднять) с XEN и вперед. Немного придется повозиться (скорее даже потрахаться) с конфигурацией сети, но там все вполне осиляемо.

КМК, проще поставить Citrix XenServer.

raid10 не получится - в сервере всего 2 диска и это максимум )) Бэкапы будут складываться на внешний hdd, подключенный по usb и потом с него через samba забираться по сети.

С zfs не встречался, рисковать не хочу, лучше уж старая добрая ext4 + lvm. Хотя сегодня я напоролся на траблу после полного апгрейда тестового debian - grub сказал, что не может поставиться на диск из-за mdadm и натянутых поверх него lvm (в т.ч. и под /boot).

в сервере всего 2 диска

))) да уж, сервер блин.

Бэкапы будут складываться на внешний hdd, подключенный по usb

жесть в общем

тестового debian

Зачем на сервере тестинг, этож ужос, только стабиле и без левых реп

из бекапа

мне кажется лучше рейд все таки разбить, и вместо raid 10 ставить 2xraid1, рейды отдельно, быстрее будет пересборка рейда и т.д. raid10 стоит ставить когда реально нужно большой сторадж.

+1 за proxmox

Не тестинг, а тестовый, просто debian... для тестов. Сервер уж какой есть - это был пожалуй лучший вариант под наш бюджет. :)

за шестидневную недельку по 10 часов можно много успеть и за пару лет. например зарегистрироваться не как анонизмус

LXC уже используется, и внедряется все больше, но до него всегда был OVZ.

XEN, конечно, не такой эффективный как KVM и не имеет такой тесной интеграции с ядром, зато более зрелый, возможно, имеет меньше проблем, лучшую поддержку коммьюнити, а также коммерческую поддержку от Citrix, если очень надо.

про эффективность уже сказано, в принципе этим можно и ограничиться. зрелость в данном случае далеко не обязательно плюс - KVM существует уже 8 лет, этого более чем достаточно для «зрелости», зато как самая свежая итерация реализации гипервизора, там заранее учтены ляпы vmware и xen, и изначально был выбран другой, более подходящий для современных процессоров путь. отсюда и эффективность. Проблем там вряд ли больше - kvm намного меньше чем xen в плане кода, а значит и сломать можно меньше. коммерческая поддержка от red hat опять же есть, если понадобится.

KVM вдобавок завязан с QEMU, который сам по себе - огромный продукт с богатой историей (это такой эвфемизм для «неконтролируемая свалка кода»).

KVM использует qemu, как впрочем и xen. «свалка кода» это о чем? мсье читал код qemu, проводил анализ? если есть конкретные замечания, то я могу напрямую, за чашкой кофе, передать ключевым разработчикам.

Разница в скорости между XEN HVM (а тем более PVHVM) и KVM не так уж и велика.

охота пуще неволи

именно.

настоящие одмины управляют тысячами серверов через virsh?

KVM использует qemu, как впрочем и xen. «свалка кода» это о чем? мсье читал код qemu, проводил анализ? если есть конкретные замечания, то я могу напрямую, за чашкой кофе, передать ключевым разработчикам.

Где работаешь? =)

Начал вкуривать настройку сети в kvm. Я почему-то был уверен, что гостю можно полностью отдать физ. интерфейс. Оказывается не все так просто...

типа «ты с какова района, пацанчег?» )))

можно, через macvtap или pci passthrough или 802.1Qbh, но оно точно нужно?