From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.3 (2007-08-08) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-0.6 required=5.0 tests=AWL,BAYES_00,FUZZY_XPILL autolearn=no version=3.2.3 Date: Sun, 23 Mar 2008 17:51:47 +0200 From: Michael Shigorin To: ALT Linux sysadmin discuss Message-ID: <20080323155147.GS30084@osdn.org.ua> Mail-Followup-To: ALT Linux sysadmin discuss References: <1206278427.13568.4.camel@k1-sysadmin.iop.kiev.ua> <20080323150019.GQ9721@osdn.org.ua> <1206286863.13568.16.camel@k1-sysadmin.iop.kiev.ua> Mime-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: <1206286863.13568.16.camel@k1-sysadmin.iop.kiev.ua> User-Agent: Mutt/1.4.2.1i Subject: Re: [Sysadmins] ovz and services X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.10b3 Precedence: list Reply-To: shigorin@gmail.com, ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Sun, 23 Mar 2008 15:51:48 -0000 Archived-At: List-Archive: On Sun, Mar 23, 2008 at 05:41:03PM +0200, Andrii Dobrovol`s`kii wrote: > > bind, squid -- без проблем. > Это хорошо. Их там нужно "разводить" в любом случае. Если bind только внутренний (бишь может ходить наружу, но не слушать) -- можно его в LAN-контейнер. > > dhcpd -- проблемы есть (принципиальные с venet, вроде > > решаемые -- но я обломался -- с veth), решается просовыванием > > в VE отдельной карточки. (vzctl ... --netdev_add ...) > На машине есть три сетевых. Это можно как-то использовать? Или, > с учетом отсутствия опыта, лучше сейчас "отсадить в другой > горшок"? Проше использовать, чем кувыркаться в бриджах. > > С самбой примерно то же самое (чуть попроще), в общем могу > > рекомендовать всунуть ещё одну сотку и гигабит выделить на VE > > для LAN, а на сотку зарулить WAN. > Там есть три сетевых. Локалку и внешнюю сеть так и собирался > рассадить. Хочется как-то получить выгоду от третьей > сетевой... Это реально? Воткни куда-нибудь ещё, если у тебя один WAN и один LAN. И не создавай себе проблем, пытаясь приткнуть что-нибудь ненужное ;) > > С ftp тебе может понадобиться сделать FTP-aware NAT -- если > > речь про LAN, куда проще всунуть к samba/dhcpd на ту же > > сетевую. > Да. Фтп для раздачи ПО в локалку и обновления серверного > хозяйства. ысаживать эту троицу в одну лунку... Надо думать... Нормально. > Хотя хорошо уже то, что можно отсадить отдельно бинд и сквид. > Спасибо за наводки. Это всё как раз можно и в один контейнер всунуть, если у тебя не одни кульхацкеры в локалке. Основные проблемы всё равно будут скорее на уровне "он мой MAC стырил!", а не "кто взломал контейнер". Просто если делить по уровню функциональности -- то выходит, что не требует бродкастов и является базовым только bind, а вот ещё более базовый dhcpcd -- требует. Соответственно из дополнительных -- squid не требует, samba требует, а с ftp так проще. Вот и получается, что базовые в одну корзинку, а дополнительные в другую -- не особо выходит (если затеешь со втыканием двух eth в один сегмент, то почитай на всякий ещё про "arp flux"). Потому и остановился на практике "один lan -- один eth -- один контейнер". -- ---- WBR, Michael Shigorin ------ Linux.Kiev http://www.linux.kiev.ua/