[Sysadmins] Hosting server AltLinux Server 4.0.1 (openvz)

[Sysadmins] Hosting server AltLinux Server 4.0.1 (openvz)

[Сергей Бялко]

Здравствуйте, многоуважаемый ALL!
Собрался настраивать хостинг сервер (на 15-20 виртуальный машин) на
САБЖ дистрибутиве. В связи с чем прошу у Вас совета по организации
схемы.
Как я предполагаю всё сделать:

1. ROOT система c реальным IP - подняты только ssh и файервол
предположительно со следующими настройками:
80 >> VM1 (nginx)
53 >> VM4 (bind)
22100 >> 172.16.1.100:22
22101 >> 172.16.1.101:22
21101 >> 172.16.1.101:21
...

2. виртуальная машина (далее VM) №1 с IP 172.16.1.100 - на ней я
запускаю только NGINX, который будет проксировать запросы на апачи в
виртуалках.

3. VM2 с IP 172.16.1.101 - Apache2, PHP, MySQL, vsftpd (виртуалька
настроена для работы "Bitrix-1C"). Эта VM будет клонироваться.

4. VM3 c реальным IP - postfix, spamassistan, и др.

5. VM4 c IP 172.16.1.53 - BIND

В процессе реализации вешеописанной схемы у меня возникли вопросы:

1. VM1 (nginx) прекрасно видит Vm2 и его клоны (172.16.1.100/24), но
VM2 не видит интернет. Мне нужно поднимать NAT на ROOT?

2. Как логичней сконфигурировать VM2 для последующего клонирования?
Сейчас в шаблон я добавил следующие пакеты (может я что-нибудь забыл?):
а. mysql-server
alterator vsftpd
vsftpd
apache2_mod_php
libgd2
mc
vim
php5-eaccellerator
phphMyAdmin-apache2-php5
ve-base

б. Создал пользователя user (кстати, можно ли в линуксе "поставить
галочку" типа "сменить пароль после первой авторизации" для того,
чтобы в виртуалке изначально был один пользователь с одинаковым
паролем (которым пользователь сам потом и меняет)?

в. где делать public_html пока не могу решить и жду ваших советов.
Если делать в домешнем каталоге, то тогда нужно править конфиг апача и
добавлять группу пользователя в группу apache2 (у апача должны быть
права на запись). Или просто сделать домашнюю директорию для
пользователя /var/www/apache2/ и всё равно нужно будет добавлять
группу пользователя в apache2.

3. Как сохранить в openvz сконфигурированную виртуальную машину для
последующей клонизации? Средствами альтератора я могу клонировать
машины, но не существующие. И могу ли я переносить с одного сервера на
другой виртуальные машины?


Заранее всем спасибо за советы и наставления.






-- 
--
С уважением, Бялко Сергей.

Re: [Sysadmins] Hosting server AltLinux Server 4.0.1 (openvz)

[Michael Shigorin]

On Tue, Oct 09, 2007 at 08:31:54PM +0400, Сергей Бялко wrote:
> Собрался настраивать хостинг сервер (на 15-20 виртуальный машин) на
> САБЖ дистрибутиве. В связи с чем прошу у Вас совета по организации
> схемы.  Как я предполагаю всё сделать:
> 1. ROOT система c реальным IP - подняты только ssh и файервол

ssh рекомендую на левом порту и открытый только для нескольких
IP, по вкусу -- +knockd

> 2. виртуальная машина (далее VM)

Это не машина, а контейнер (VE, virtual environment).

> В процессе реализации вешеописанной схемы у меня возникли вопросы:
> 1. VM1 (nginx) прекрасно видит Vm2 и его клоны (172.16.1.100/24), но
> VM2 не видит интернет. Мне нужно поднимать NAT на ROOT?

Да. (для проброса портов при этом используется DNAT, а e.g. DoS и
невменяемых рубим не в INPUT, а в FORWARD)

> 2. Как логичней сконфигурировать VM2 для последующего клонирования?

Вестимо, сделать template cache, а не VE клонировать.

> в. где делать public_html пока не могу решить и жду ваших советов.
> Если делать в домешнем каталоге, то тогда нужно править конфиг апача и
> добавлять группу пользователя в группу apache2 (у апача должны быть
> права на запись). Или просто сделать домашнюю директорию для
> пользователя /var/www/apache2/ и всё равно нужно будет добавлять
> группу пользователя в apache2.

Если предполагаете от пользователя (и мапить где-то -- nginx'ом?
-- сайты на http://се.ры.й.ip/~user/), то в /home; иначе я делаю
в /var/www/vhosts (см. vhosts-filesystem).

> 3. Как сохранить в openvz сконфигурированную виртуальную машину
> для последующей клонизации? Средствами альтератора я могу
> клонировать машины, но не существующие.

Как вариант -- завернуть остановленный VE целиком в
/var/lib/vz/template/cache/altlinux-4.0-my_hosting.tar.gz

Для наиболее формализованного решения может иметь смысл оформить
все производимые изменения RPM-пакетом (делая их в %post), тогда
можно построить чистый template cache при помощи spt (или им же,
но из-под alterator-ovz), исходя только из репозиториев.

Зависит от того, какова предполагаемая разношерстность таких
шаблонов -- нужно их два десятка практически одинаковых или пять
штук таких и полдюжины почти таких, но вот в этом отличающихся.

Ну и от того, насколько много производится действий, как они
автоматизируемы и надо ли вообще через год точно знать, что
делалось.

> Заранее всем спасибо за советы и наставления.

Ещё из рекомендаций -- monit и collectd.

PS: http://www.freesource.info/wiki/AltLinux/Dokumentacija/OpenVZ
видели?

PPS: тема строго для sysadmins@ :)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
 ----       Oct 26--27, Kiev, Ukraine:
--       http://conference.osdn.org.ua

Re: [Sysadmins] Hosting server AltLinux Server 4.0.1 (openvz)

[Anatol B. Bazyukin]

09.10.07, Michael Shigorin<mike@osdn.org.ua> написал(а):

Вы писали 9 октября 2007 г., 22:27:39:

> PS: http://www.freesource.info/wiki/AltLinux/Dokumentacija/OpenVZ
> видели?

http://www.freesource.info/wiki/SergeyLebedev/EisSystem
IMHO - для старта лучшее что мне встречалось

-- 
С уважением,
 Anatol

Re: [Sysadmins] Hosting server AltLinux Server 4.0.1 (openvz)

[Timur Batyrshin]

Сергей Бялко (Tue, 9 Oct 2007 20:31:54 +0400):

> 1. VM1 (nginx) прекрасно видит Vm2 и его клоны (172.16.1.100/24), но
> VM2 не видит интернет. Мне нужно поднимать NAT на ROOT?

Да. Его пакеты по сети так с обратным адресом 172.16.... и гуляют.

Re: [Sysadmins] Hosting server AltLinux Server 4.0.1 (openvz)

[Timur Batyrshin]

Michael Shigorin (Tue, 9 Oct 2007 21:27:39 +0300):

> > В процессе реализации вешеописанной схемы у меня возникли вопросы:
> > 1. VM1 (nginx) прекрасно видит Vm2 и его клоны (172.16.1.100/24), но
> > VM2 не видит интернет. Мне нужно поднимать NAT на ROOT?
> 
> Да. (для проброса портов при этом используется DNAT, а e.g. DoS и
> невменяемых рубим не в INPUT, а в FORWARD)

А есть какие-нибудь примеры порубки? Я составлял себе правила на основе
примера из iptables-tutorial. Мне кажется, там общие проблемы решаются
(new not syn и т.д.), а решение более конкретных типа того же DoS где
бы посмотреть?

Re: [Sysadmins] Hosting server AltLinux Server 4.0.1 (openvz)

[Michael Shigorin]

On Wed, Oct 10, 2007 at 09:51:01AM +0400, Timur Batyrshin wrote:
> > > В процессе реализации вешеописанной схемы у меня возникли
> > > вопросы: 1. VM1 (nginx) прекрасно видит Vm2 и его клоны
> > > (172.16.1.100/24), но VM2 не видит интернет. Мне нужно
> > > поднимать NAT на ROOT?
> > Да. (для проброса портов при этом используется DNAT, а e.g.
> > DoS и невменяемых рубим не в INPUT, а в FORWARD)
> А есть какие-нибудь примеры порубки? Я составлял себе правила
> на основе примера из iptables-tutorial. Мне кажется, там общие
> проблемы решаются (new not syn и т.д.), а решение более
> конкретных типа того же DoS где бы посмотреть?

Смотря какой DoS... где руками, где 

-A http-flood -p tcp -m tcp -m limit --limit 1/s --limit-burst 2 -j ACCEPT
-A icmp-flood -p icmp -m icmp --icmp-type 8 -m limit --limit 5/s --limit-burst 25 -j ACCEPT
-A syn-flood -m limit --limit 10/sec --limit-burst 50 -j RETURN

до более автоматизированного/умного не добирался.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
 ----       Oct 26--27, Kiev, Ukraine:
--       http://conference.osdn.org.ua