[Sysadmins] pop3-server внутри ovz контейнера

[Sysadmins] pop3-server внутри ovz контейнера

[Vladimir Cherednichenko]

Здравствуйте.
Появилось желание наконец-то освоить openvz :-) в ALS4.0, в результате хочу 
поднять pop3-server в ovz контейнере с веб-интерфейсом к нему, пользователями 
в mysql-е . mysql-server в том же контейнере или м.б. в отдельном.

Но, по незнанию, возник вопрос - будет ли правильно хранить клиентскую почту 
(Maildir) в самом контейнере, в каталоге /var/mail/virtual/ или правильнее 
будет монтировать в этот каталог ovz-контейнера отдельный раздел с 
maildir-ами при запуске каким-нибудь скриптом ? 

И возможно ли вообще это реализовать с помощью OpenVZ. На форуме и wiki OpenVZ 
ответа, к сожалению,  не нашел. Такой же вопрос и относительно 
ovz-ftp-serverа, в котором будут храниться большие файлы , например iso-шки.

Если кто-то делал такую схему просьба поделиться опытом или ссылками. 
Если похожий вопрос уже поднимался раньше.
Спасибо 

-- 
Vladimir Cherednichenko

Re: [Sysadmins] pop3-server внутри ovz контейнера

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 2448 bytes --]

Vladimir Cherednichenko пишет:
> Здравствуйте.
> Появилось желание наконец-то освоить openvz :-) в ALS4.0, в результате хочу 
> поднять pop3-server в ovz контейнере с веб-интерфейсом к нему, пользователями 
> в mysql-е . mysql-server в том же контейнере или м.б. в отдельном.
>
> Но, по незнанию, возник вопрос - будет ли правильно хранить клиентскую почту 
> (Maildir) в самом контейнере, в каталоге /var/mail/virtual/ или правильнее 
> будет монтировать в этот каталог ovz-контейнера отдельный раздел с 
> maildir-ами при запуске каким-нибудь скриптом ? 
>   
Это как вы хотите. Если это все пользовательские данные, то можно
хранить и в контейнере. А если у вас такие-же пользователи еще и в
других контейнерах нужны, то я делал чтобы все пользовательские данные
лежали в одном месте и по мере надобности монтировал туда куда надо.

А также в одном контейнере ldap и все пользователи там хранятся и все
контейнеры берут от туда пользователей.
> И возможно ли вообще это реализовать с помощью OpenVZ. На форуме и wiki OpenVZ 
> ответа, к сожалению,  не нашел. Такой же вопрос и относительно 
> ovz-ftp-serverа, в котором будут храниться большие файлы , например iso-шки.
>   
Нет никаких проблем.
> Если кто-то делал такую схему просьба поделиться опытом или ссылками. 
> Если похожий вопрос уже поднимался раньше.
>   
Много раз. Посмотрите в документации про action scripts. Вот пример
использования. http://forum.openvz.org/index.php?t=msg&th=159&#msg_720

-- 
WBR,
Dubrovskiy Vyacheslav


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3249 bytes --]

Re: [Sysadmins] pop3-server внутри ovz контейнера

[Vladimir Cherednichenko]

В сообщении от Четверг 16 августа 2007 Slava Dubrovskiy написал(a):
> > И возможно ли вообще это реализовать с помощью OpenVZ. На форуме и wiki
> > OpenVZ ответа, к сожалению,  не нашел. Такой же вопрос и относительно
> > ovz-ftp-serverа, в котором будут храниться большие файлы , например
> > iso-шки. 
>
> Нет никаких проблем.

То есть размер контейнера может быть довольно большим, настолько на сколько 
это нужно ?

За ссылку спасибо.

-- 
Vladimir Cherednichenko

Re: [Sysadmins] pop3-server внутри ovz контейнера

[Mikhail A. Pokidko]

16.08.07, Slava Dubrovskiy написал(а):
> А также в одном контейнере ldap и все пользователи там хранятся и все
> контейнеры берут от туда пользователей.
Дадад, это самый удобный вариант, IMHO.
  Если это интересно, верну на freesource.info статью с описанием
использования OpenLDAP со различными сервисами (proftpd, apache,
postfix, imap/pop3-серверами).  У меня как раз так сделано + по
контейнерам разнесено.
  Просто статья после падения f.i пропала, а запоново опубликовать всё
руки не доходят.



-- 
Mikhail A. Pokidko
ALTLinux Team
e-mail: pma@altlinux.org
xmpp: solar@solar.net.ru

Re: [Sysadmins] pop3-server внутри ovz контейнера

[Slava Dubrovskiy]

[-- Attachment #1.1: Type: text/plain, Size: 838 bytes --]

Vladimir Cherednichenko пишет:
> То есть размер контейнера может быть довольно большим, настолько на сколько 
> это нужно ?
>   
Что значит размер контейнера? Контейнер это папка на диске. И её размер
ограничивается квотами и размером раздела на котором она находится. Если
отключить квоты размер может быть таким, сколько у тебя места на разделе.
> За ссылку спасибо.
>   
Еще тут есть уже готовые скрипты по автоматизации монтирования от Ivan
Fedorov (во вложении)

-- 
WBR,
Dubrovskiy Vyacheslav


[-- Attachment #1.2: vzmount.tar.gz --]
[-- Type: application/x-gzip, Size: 671 bytes --]

[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3249 bytes --]

Re: [Sysadmins] pop3-server внутри ovz контейнера

[Vladimir Cherednichenko]

В сообщении от Четверг 16 августа 2007 Slava Dubrovskiy написал(a):
> Что значит размер контейнера? Контейнер это папка на диске. И её размер
> ограничивается квотами и размером раздела на котором она находится. Если
> отключить квоты размер может быть таким, сколько у тебя места на разделе.

Понял, буду пробовать, tnx.


-- 
Vladimir Cherednichenko

Re: [Sysadmins] pop3-server внутри ovz контейнера

[Vladimir Cherednichenko]

В сообщении от Четверг 16 августа 2007 Mikhail A. Pokidko написал(a):
>  Просто статья после падения f.i пропала, а запоново опубликовать всё
> руки не доходят.

Если дойдут руки, было бы просто замечательно.  :-)
Очень ждём.

-- 
Vladimir Cherednichenko

[Sysadmins] openvz action scripts (mount, umount)

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 796 bytes --]

On Thu, Aug 16, 2007 at 04:05:35PM +0300, Vladimir Cherednichenko wrote:
> Но, по незнанию, возник вопрос - будет ли правильно хранить
> клиентскую почту (Maildir) в самом контейнере, в каталоге
> /var/mail/virtual/ или правильнее будет монтировать в этот
> каталог ovz-контейнера отдельный раздел с maildir-ами при
> запуске каким-нибудь скриптом ? 

Вот так обычно и делаю, а данные держу на отдельном
разделе/md/RAID.

> И возможно ли вообще это реализовать с помощью OpenVZ. На
> форуме и wiki OpenVZ ответа, к сожалению,  не нашел.

Action scripts, см. около с. 89 PDF-ки.

Могу привести пример, но вообще-то сам думаю сползти на
приаттаченный vzmount имени Ivan Fedorov <ns@altlinux>
(GPL3).

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: vzmount.tar.gz --]
[-- Type: application/x-gzip, Size: 671 bytes --]

Re: [Sysadmins] pop3-server внутри ovz контейнера

[Michael Shigorin]

On Thu, Aug 16, 2007 at 06:34:34PM +0400, Mikhail A. Pokidko wrote:
> > А также в одном контейнере ldap и все пользователи там
> > хранятся и все контейнеры берут от туда пользователей.
> Дадад, это самый удобный вариант, IMHO.
> Если это интересно, верну на freesource.info статью с описанием
> использования OpenLDAP со различными сервисами (proftpd,
> apache, postfix, imap/pop3-серверами).  У меня как раз так
> сделано + по контейнерам разнесено.

Конечно, надо!

> Просто статья после падения f.i пропала, а запоново
> опубликовать всё руки не доходят.

Сегодня вернули из небытия LTSP5. :)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] pop3-server внутри ovz контейнера

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 596 bytes --]

Maks Re пишет:
> очень ждемсЪ статью...
> 
> ибо что-то я не понимать в некоторых местах...
> например использовани HN с двумя интерфейсами...
> у меня,после поднятия второго интерфейса, почему-то стаои соединения
> утанавливаться внутрь контейнера именно с него (а это инет и все аткое..)

  Самое весёлое -- что не всегда можно сказать ip какого интерфейса
будет исходящим.

  Решаю примерно так:

iptables -t mangle -A OUTPUT -o venet0 -j MARK --set-mark 0x01

iptables -t nat -I POSTROUTING 1 -mmark --mark 0x01 -j SNAT --to-source
<lan_ip>

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 548 bytes --]

Re: [Sysadmins] openvz action scripts (mount, umount)

[Eugene Prokopiev]

> Могу привести пример, но вообще-то сам думаю сползти на
> приаттаченный vzmount имени Ivan Fedorov <ns@altlinux>
> (GPL3).

Как насчет опакетить и документировать (наверное, вопросы к ns@, но 
первый может и к майнтейнеру vzctl?)? Я сходу не въехал в сценарий 
использования, можно в двух словах?

-- 
С уважением,
Прокопьев Евгений

Re: [Sysadmins] openvz action scripts (mount, umount)

[Michael Shigorin]

On Fri, Aug 17, 2007 at 09:07:57AM +0400, Eugene Prokopiev wrote:
> >Могу привести пример, но вообще-то сам думаю сползти на
> >приаттаченный vzmount имени Ivan Fedorov <ns@altlinux> (GPL3).
> Как насчет опакетить и документировать (наверное, вопросы к
> ns@, но первый может и к майнтейнеру vzctl?)?

При чём тут vzctl?  Возьми да опакеть, раз у нас с dubrsl@ 
руки ещё не дошли, как и у Вани :)

> Я сходу не въехал в сценарий использования, можно в двух
> словах?

Живёт в /etc/vz/conf, вот то ли у ns@ были на него сим/хардлинки, 
то ли как-то ещё -- уже забыл.  Пошли его спрашивать, мож заодно
всё-таки доберусь и своё хозяйство перетащить.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] pop3-server внутри ovz контейнера

[Michael Shigorin]

On Fri, Aug 17, 2007 at 12:27:37AM +0400, Aleksey Avdeev wrote:
> Самое весёлое -- что не всегда можно сказать ip какого
> интерфейса будет исходящим.

Для этого есть MASQUERADE, см. документацию (iptables-tutorial,
кажется, подробно рассказывал разницу со SNAT).

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] pop3-server внутри ovz контейнера

[Michael Shigorin]

On Fri, Aug 17, 2007 at 12:27:37AM +0400, Aleksey Avdeev wrote:
> Самое весёлое -- что не всегда можно сказать ip какого
> интерфейса будет исходящим.

А, в смысле "_откуда_ маскарадить", а не "_на что_"? :)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] pop3-server внутри ovz контейнера

[Michael Shigorin]

On Fri, Aug 17, 2007 at 11:35:23AM +0400, Maks Re wrote:
> а вот как оопределять что соединения "откуда"??

Так показали же -- по маркировке пакетов. :)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] pop3-server внутри ovz контейнера

[Michael Shigorin]

On Fri, Aug 17, 2007 at 02:59:17PM +0400, Maks Re wrote:
> сегодня жарко, и я перегрелся... голова совсем не варит уже...

Дык остыть сперва помогает ;-)  А то бывает, что потом чинить
дороже ;-(

> 1) как мне промаркировать патеты которые идут из локальной сети
> на контейнер?
> делал iptables -t mangle -A INPUT -i venet0 -j MARK --set-mark 0x10
> тока счетчик не увеличивается...  видимо не так оформил правило....

Так это ж на выход -- из контейнера в локалку.

> 2) как мне хитро пророутить пакет, чтобы он приходил на ЛАН
> интерфейс контейнера(сквид)?

Я бы перечитал iptables-tutorial и особенно картинку по
прохождению пакетов.  Каждый раз помогало.

> 3) из контейнера (сквид) пакет должен уйти видимо через
> нат/маскарадинг.

Зависит, но в любом разе ovz'шная документация предлагает считать
HN и VE раздельными машинами, причём _все_ VE маршрутизируются
через HN.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] pop3-server внутри ovz контейнера

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 445 bytes --]

Maks Re пишет:
> сегодня жарко, и я перегрелся... голова совсем не варит уже...
> 
> 1) как мне промаркировать патеты которые идут из локальной сети на
> контейнер?
> делал iptables -t mangle -A INPUT -i venet0 -j MARK --set-mark 0x10
                              ^^^^^
> тока счетчик не увеличивается...  видимо не так оформил правило....

  Похоже что в данном случаи нужно FORWARD или PREROUTING.

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 548 bytes --]

Re: [Sysadmins] pop3-server внутри ovz контейнера

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 627 bytes --]

Michael Shigorin пишет:
> On Fri, Aug 17, 2007 at 12:27:37AM +0400, Aleksey Avdeev wrote:
> 
>>Самое весёлое -- что не всегда можно сказать ip какого
>>интерфейса будет исходящим.
> 
> 
> Для этого есть MASQUERADE, см. документацию (iptables-tutorial,
> кажется, подробно рассказывал разницу со SNAT).

  Это я знаю.

  Имею в виду случай пакетов сгенирированных на HN и уходящих в venet0:
т. к. у нас со стороны HM venet0 ip не имеет, то исходящий ip не
фиксирован -- похоже система подставляет ip одного из живых eth, и
меняет на другой (от ещё живого), при опускании оного.

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 548 bytes --]

Re: [Sysadmins] pop3-server внутри ovz контейнера

[Eugene Prokopiev]

> Зависит, но в любом разе ovz'шная документация предлагает считать
> HN и VE раздельными машинами, причём _все_ VE маршрутизируются
> через HN.

Бывает полезен подход, когда и маршрутизатор - тоже VE (если ovz живет в 
кластере, то выбора вообще-то и нет ;) ), а HN - не более, чем контейнер.


-- 
С уважением,
Прокопьев Евгений

Re: [Sysadmins] pop3-server внутри ovz контейнера

[Michael Shigorin]

On Fri, Aug 17, 2007 at 08:46:41PM +0400, Eugene Prokopiev wrote:
> >Зависит, но в любом разе ovz'шная документация предлагает
> >считать HN и VE раздельными машинами, причём _все_ VE
> >маршрутизируются через HN.
> Бывает полезен подход, когда и маршрутизатор - тоже VE (если
> ovz живет в кластере, то выбора вообще-то и нет ;) ), а HN - не
> более, чем контейнер.

Жень, у меня parse error.

HN не может быть контейнером, поскольку это hardware node.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] openvz action scripts (mount, umount)

[Ivan Fedorov]

[-- Attachment #1: Type: text/plain, Size: 617 bytes --]

Michael Shigorin пишет:
>> Я сходу не въехал в сценарий использования, можно в двух
>> словах?
> 
> Живёт в /etc/vz/conf, вот то ли у ns@ были на него сим/хардлинки, 
> то ли как-то ещё -- уже забыл.  Пошли его спрашивать, мож заодно
> всё-таки доберусь и своё хозяйство перетащить.
> 

В /etc/vz/ ложится еще один конфиг. в него пишется VEID, имя шары и путь
внутри контейнера. При старте VE оно автоматом выполняет "mount -o bind".

Но вообще я сейчас переписываю всю эту конструкцию, ибо неудобно
ребутить контекст, чтобы поменять шары. Я делаю набор утилит, которые
будут вызываться в vps.mount.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 252 bytes --]

Re: [Sysadmins] pop3-server внутри ovz контейнера

[Alexey Borovskoy]

[-- Attachment #1: Type: text/plain, Size: 808 bytes --]

* Пятница 17 августа 2007 Maks Re

> очень ждемсЪ статью...
>
> ибо что-то я не понимать в некоторых местах...
> например использовани HN с двумя интерфейсами...
> у меня,после поднятия второго интерфейса, почему-то стаои
> соединения утанавливаться внутрь контейнера именно с него (а
> это инет и все аткое..)

А эта рукоятка для чего?

# The name of the device whose ip address will be used as source 
ip for VE.
# By default automatically assigned.
#VE_ROUTE_SRC_DEV="eth0"

-- 
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63  2753 E37A 9E3F 11F3 BDE1

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] pop3-server внутри ovz контейнера

[Eugene Prokopiev]

Michael Shigorin пишет:
> On Fri, Aug 17, 2007 at 08:46:41PM +0400, Eugene Prokopiev wrote:
>>> Зависит, но в любом разе ovz'шная документация предлагает
>>> считать HN и VE раздельными машинами, причём _все_ VE
>>> маршрутизируются через HN.
>> Бывает полезен подход, когда и маршрутизатор - тоже VE (если
>> ovz живет в кластере, то выбора вообще-то и нет ;) ), а HN - не
>> более, чем контейнер.
> 
> Жень, у меня parse error.
> 
> HN не может быть контейнером, поскольку это hardware node.

Контейнер в смысле просто ящик, в котором живут разные VE, при этом сам 
без какого-либо сложного поведения вроде маршрутизации, NAT и т.д. - эти 
функции делегируются еще одному VE

Я просто неправильно выразился, не в тех терминах, забыл, что в OpenVZ 
контейнерами принято называть сами VE

-- 
С уважением,
Прокопьев Евгений

Re: [Sysadmins] pop3-server внутри ovz контейнера

[Michael Shigorin]

On Sun, Aug 19, 2007 at 03:01:28PM +0400, Eugene Prokopiev wrote:
> >>>Зависит, но в любом разе ovz'шная документация предлагает
> >>>считать HN и VE раздельными машинами, причём _все_ VE
> >>>маршрутизируются через HN.
> >>Бывает полезен подход, когда и маршрутизатор - тоже VE (если
> >>ovz живет в кластере, то выбора вообще-то и нет ;) ), а HN -
> >>не более, чем контейнер.
> >Жень, у меня parse error.  HN не может быть контейнером,
> >поскольку это hardware node.
> Контейнер в смысле просто ящик, в котором живут разные VE

Не стоит вводить такое "в смысле", когда в области виртуализации
типично применение слова "контейнер" как "то, чего мы понастроили
на одном хосте для изолированных сред".

> при этом сам без какого-либо сложного поведения вроде
> маршрутизации, NAT и т.д. - эти функции делегируются еще одному
> VE

Ой, а ты и NAT в VE делаешь?  Вообще-то насколько мне известно,
для этого как минимум надо >1 белого или все серые IP.

Можешь рецепт на f.i (как будет не 504) изложить?

> Я просто неправильно выразился, не в тех терминах, забыл, что в
> OpenVZ контейнерами принято называть сами VE

Ага, и не только там.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] pop3-server внутри ovz контейнера

[Eugene Prokopiev]

>> при этом сам без какого-либо сложного поведения вроде
>> маршрутизации, NAT и т.д. - эти функции делегируются еще одному
>> VE
> 
> Ой, а ты и NAT в VE делаешь?  Вообще-то насколько мне известно,
> для этого как минимум надо >1 белого или все серые IP.
> 
> Можешь рецепт на f.i (как будет не 504) изложить?

Да я уже обизлагался :) - 
http://www.av5.com/journals-magazines-online/1/20/736

На обе части статьи есть ссылка с 
http://www.freesource.info/wiki/Software/HighAvailability

Что касается NAT - достаточно iptable_nat в IPTABLES в /etc/vz/vz.conf. 
Писать туда можно не все модули (где-то в форумах на openvz.org было 
разъяснено чего нельзя и почему), но для простых применений достаточно.

А зачем >1 белого или все серые IP?

-- 
С уважением,
Прокопьев Евгений