* Re: [Sysadmins] ovz and services
2008-03-23 15:00 ` Michael Shigorin
@ 2008-03-23 15:38 ` Dmitry V. Levin
2008-03-23 15:42 ` Andrii Dobrovol`s`kii
2008-03-23 15:41 ` Andrii Dobrovol`s`kii
2008-03-23 15:43 ` Eugene Prokopiev
2 siblings, 1 reply; 16+ messages in thread
From: Dmitry V. Levin @ 2008-03-23 15:38 UTC (permalink / raw)
To: admin list
[-- Attachment #1: Type: text/plain, Size: 551 bytes --]
On Sun, Mar 23, 2008 at 05:00:19PM +0200, Michael Shigorin wrote:
> On Sun, Mar 23, 2008 at 03:20:27PM +0200, Andrii Dobrovol`s`kii wrote:
> > Eсть сервер. Нужно на нем поднять ряд служб. Бинд, сквид,
> > дашсипи, самбу, фтп и возможно точное время. Хотелось бы
> > рассовать это по контейнерам. Есть ли рекомендации, что стоит
> > пихать, а что нет? И как ихгрупировать?
>
> NTP я пока не учился сажать в HN, для этого надо давать
> дополнительные разрешения.
В 4.0 Server можно сделать контейнер с ntp из web-интерфейса.
--
ldv
[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Sysadmins] ovz and services
2008-03-23 15:38 ` Dmitry V. Levin
@ 2008-03-23 15:42 ` Andrii Dobrovol`s`kii
0 siblings, 0 replies; 16+ messages in thread
From: Andrii Dobrovol`s`kii @ 2008-03-23 15:42 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В Вск, 23/03/2008 в 18:38 +0300, Dmitry V. Levin пишет:
> On Sun, Mar 23, 2008 at 05:00:19PM +0200, Michael Shigorin wrote:
> > On Sun, Mar 23, 2008 at 03:20:27PM +0200, Andrii Dobrovol`s`kii wrote:
> > > Eсть сервер. Нужно на нем поднять ряд служб. Бинд, сквид,
> > > дашсипи, самбу, фтп и возможно точное время. Хотелось бы
> > > рассовать это по контейнерам. Есть ли рекомендации, что стоит
> > > пихать, а что нет? И как ихгрупировать?
> >
> > NTP я пока не учился сажать в HN, для этого надо давать
> > дополнительные разрешения.
>
> В 4.0 Server можно сделать контейнер с ntp из web-интерфейса.
>
О. Это здорово.
>
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Sysadmins] ovz and services
2008-03-23 15:00 ` Michael Shigorin
2008-03-23 15:38 ` Dmitry V. Levin
@ 2008-03-23 15:41 ` Andrii Dobrovol`s`kii
2008-03-23 15:51 ` Michael Shigorin
2008-03-23 16:12 ` Eugene Prokopiev
2008-03-23 15:43 ` Eugene Prokopiev
2 siblings, 2 replies; 16+ messages in thread
From: Andrii Dobrovol`s`kii @ 2008-03-23 15:41 UTC (permalink / raw)
To: shigorin, ALT Linux sysadmin discuss
В Вск, 23/03/2008 в 17:00 +0200, Michael Shigorin пишет:
> On Sun, Mar 23, 2008 at 03:20:27PM +0200, Andrii Dobrovol`s`kii wrote:
> > Eсть сервер. Нужно на нем поднять ряд служб. Бинд, сквид,
> > дашсипи, самбу, фтп и возможно точное время. Хотелось бы
> > рассовать это по контейнерам. Есть ли рекомендации, что стоит
> > пихать, а что нет? И как ихгрупировать?
>
> NTP я пока не учился сажать в HN, для этого надо давать
> дополнительные разрешения.
Этот меня как раз интересует больше гипотетически.
>
> bind, squid -- без проблем.
Это хорошо. Их там нужно "разводить" в любом случае.
>
> dhcpd -- проблемы есть (принципиальные с venet, вроде решаемые --
> но я обломался -- с veth), решается просовыванием в VE отдельной
> карточки. (vzctl ... --netdev_add ...)
>
На машине есть три сетевых. Это можно как-то использовать? Или, с учетом
отсутствия опыта, лучше сейчас "отсадить в другой горшок"?
> С самбой примерно то же самое (чуть попроще), в общем могу
> рекомендовать всунуть ещё одну сотку и гигабит выделить на VE
> для LAN, а на сотку зарулить WAN.
Там есть три сетевых. Локалку и внешнюю сеть так и собирался рассадить.
Хочется как-то получить выгоду от третьей сетевой... Это реально?
Самба нужна только для "Сетевого окружения". Правда, при наличии
сложностей, попробую её ещё для чего задействовать...
>
> С ftp тебе может понадобиться сделать FTP-aware NAT -- если речь
> про LAN, куда проще всунуть к samba/dhcpd на ту же сетевую.
>
Да. Фтп для раздачи ПО в локалку и обновления серверного хозяйства.
ысаживать эту троицу в одну лунку... Надо думать... Хотя хорошо уже то,
что можно отсадить отдельно бинд и сквид.
Спасибо за наводки.
> Ну и всё это описано на forum.openvz.org, обычно неплохо гуглится
> в лоб по словам :)
>
Оно то гуглится... Только теория -- одно, а отзывы от реалий -- совсем
другое... :) А означенный сайт я понятно изучаю...
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Sysadmins] ovz and services
2008-03-23 15:41 ` Andrii Dobrovol`s`kii
@ 2008-03-23 15:51 ` Michael Shigorin
2008-03-23 16:12 ` Eugene Prokopiev
1 sibling, 0 replies; 16+ messages in thread
From: Michael Shigorin @ 2008-03-23 15:51 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Sun, Mar 23, 2008 at 05:41:03PM +0200, Andrii Dobrovol`s`kii wrote:
> > bind, squid -- без проблем.
> Это хорошо. Их там нужно "разводить" в любом случае.
Если bind только внутренний (бишь может ходить наружу,
но не слушать) -- можно его в LAN-контейнер.
> > dhcpd -- проблемы есть (принципиальные с venet, вроде
> > решаемые -- но я обломался -- с veth), решается просовыванием
> > в VE отдельной карточки. (vzctl ... --netdev_add ...)
> На машине есть три сетевых. Это можно как-то использовать? Или,
> с учетом отсутствия опыта, лучше сейчас "отсадить в другой
> горшок"?
Проше использовать, чем кувыркаться в бриджах.
> > С самбой примерно то же самое (чуть попроще), в общем могу
> > рекомендовать всунуть ещё одну сотку и гигабит выделить на VE
> > для LAN, а на сотку зарулить WAN.
> Там есть три сетевых. Локалку и внешнюю сеть так и собирался
> рассадить. Хочется как-то получить выгоду от третьей
> сетевой... Это реально?
Воткни куда-нибудь ещё, если у тебя один WAN и один LAN.
И не создавай себе проблем, пытаясь приткнуть что-нибудь
ненужное ;)
> > С ftp тебе может понадобиться сделать FTP-aware NAT -- если
> > речь про LAN, куда проще всунуть к samba/dhcpd на ту же
> > сетевую.
> Да. Фтп для раздачи ПО в локалку и обновления серверного
> хозяйства. ысаживать эту троицу в одну лунку... Надо думать...
Нормально.
> Хотя хорошо уже то, что можно отсадить отдельно бинд и сквид.
> Спасибо за наводки.
Это всё как раз можно и в один контейнер всунуть, если у тебя
не одни кульхацкеры в локалке. Основные проблемы всё равно будут
скорее на уровне "он мой MAC стырил!", а не "кто взломал
контейнер".
Просто если делить по уровню функциональности -- то выходит,
что не требует бродкастов и является базовым только bind, а вот
ещё более базовый dhcpcd -- требует. Соответственно из
дополнительных -- squid не требует, samba требует, а с ftp
так проще.
Вот и получается, что базовые в одну корзинку, а дополнительные
в другую -- не особо выходит (если затеешь со втыканием двух eth
в один сегмент, то почитай на всякий ещё про "arp flux").
Потому и остановился на практике "один lan -- один eth --
один контейнер".
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Sysadmins] ovz and services
2008-03-23 15:41 ` Andrii Dobrovol`s`kii
2008-03-23 15:51 ` Michael Shigorin
@ 2008-03-23 16:12 ` Eugene Prokopiev
1 sibling, 0 replies; 16+ messages in thread
From: Eugene Prokopiev @ 2008-03-23 16:12 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
> На машине есть три сетевых. Это можно как-то использовать? Или, с учетом
> отсутствия опыта, лучше сейчас "отсадить в другой горшок"?
>
...
>
> Там есть три сетевых. Локалку и внешнюю сеть так и собирался рассадить.
> Хочется как-то получить выгоду от третьей сетевой... Это реально?
> Самба нужна только для "Сетевого окружения". Правда, при наличии
> сложностей, попробую её ещё для чего задействовать...
Я бы действовал так: если надо запихивать в VE сервисы, которым
потребуется veth (dhcp, samba), то использовал бы _только_ veth c
бриджами без venet, чтоб не усложнять и без того замороченную
конфигурацию, при этом воспользовался бы случаем и вынес бы из HN
вообще все, кроме sshd, даже iptables (жаль net.ipv4.ip_forward = 0
там не работает ;) ). Иначе использовал бы _только_ venet, т.к. оно
все же проще.
--
С уважением,
Прокопьев Евгений
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Sysadmins] ovz and services
2008-03-23 15:00 ` Michael Shigorin
2008-03-23 15:38 ` Dmitry V. Levin
2008-03-23 15:41 ` Andrii Dobrovol`s`kii
@ 2008-03-23 15:43 ` Eugene Prokopiev
2008-03-23 15:53 ` Michael Shigorin
2 siblings, 1 reply; 16+ messages in thread
From: Eugene Prokopiev @ 2008-03-23 15:43 UTC (permalink / raw)
To: shigorin, ALT Linux sysadmin discuss
> > Eсть сервер. Нужно на нем поднять ряд служб. Бинд, сквид,
> > дашсипи, самбу, фтп и возможно точное время. Хотелось бы
> > рассовать это по контейнерам. Есть ли рекомендации, что стоит
> > пихать, а что нет? И как ихгрупировать?
>
>
> NTP я пока не учился сажать в HN, для этого надо давать
> дополнительные разрешения
Кажется, в Server 4.0.1 был даже шаблон с ntpd в VE. Я сажал в VE
callweaver - дело ограничилось vzctl set $VID --capability net_admin,
c ntpd можно действовать по аналогии.
> bind, squid -- без проблем.
>
> dhcpd -- проблемы есть (принципиальные с venet, вроде решаемые --
> но я обломался -- с veth), решается просовыванием в VE отдельной
> карточки. (vzctl ... --netdev_add ...)
>
> С самбой примерно то же самое (чуть попроще), в общем могу
> рекомендовать всунуть ещё одну сотку и гигабит выделить на VE
> для LAN, а на сотку зарулить WAN.
Да какие там проблемы? veth с бриджами - штатное решение (даже 802.1q
vlans работают), а иначе карточек не напасешься ;)
> С ftp тебе может понадобиться сделать FTP-aware NAT -- если речь
> про LAN, куда проще всунуть к samba/dhcpd на ту же сетевую.
Ну здесь с venet и ip_conntrack_ftp/ip_nat_ftp все работает.
Моя самая большая претензия к venet -
https://bugzilla.altlinux.org/show_bug.cgi?id=13148, но тут, как я
понял, идут разборки по поводу того, кто же больше виноват - vzctl или
etcnet, хотя исправление тривиально.
--
С уважением,
Прокопьев Евгений
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Sysadmins] ovz and services
2008-03-23 15:43 ` Eugene Prokopiev
@ 2008-03-23 15:53 ` Michael Shigorin
2008-03-23 16:01 ` Eugene Prokopiev
0 siblings, 1 reply; 16+ messages in thread
From: Michael Shigorin @ 2008-03-23 15:53 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Sun, Mar 23, 2008 at 06:43:49PM +0300, Eugene Prokopiev wrote:
> > dhcpd -- проблемы есть (принципиальные с venet, вроде
> > решаемые -- но я обломался -- с veth), решается
> > просовыванием в VE отдельной карточки.
> Да какие там проблемы? veth с бриджами - штатное решение
Я понимаю -- ты конкретно dhcpd так заводил?
Взлететь взлетает, а дальше странное припоминаю.
> > С ftp тебе может понадобиться сделать FTP-aware NAT -- если
> > речь про LAN, куда проще всунуть к samba/dhcpd на ту же
> > сетевую.
> Ну здесь с venet и ip_conntrack_ftp/ip_nat_ftp все работает.
Возни с файрволом больше...
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Sysadmins] ovz and services
2008-03-23 15:53 ` Michael Shigorin
@ 2008-03-23 16:01 ` Eugene Prokopiev
2008-03-23 16:12 ` Led
0 siblings, 1 reply; 16+ messages in thread
From: Eugene Prokopiev @ 2008-03-23 16:01 UTC (permalink / raw)
To: shigorin, ALT Linux sysadmin discuss
> > > dhcpd -- проблемы есть (принципиальные с venet, вроде
> > > решаемые -- но я обломался -- с veth), решается
> > > просовыванием в VE отдельной карточки.
>
> > Да какие там проблемы? veth с бриджами - штатное решение
>
> Я понимаю -- ты конкретно dhcpd так заводил?
> Взлететь взлетает, а дальше странное припоминаю.
Да, его с tftp и nbd в один VE, а dm с openbox - в другой, и клиенты
работали, проблемы начались с pulseaudio, но не ovz-специфичные ...
Хотя стоп, там был все-таки dnsmasq :)
> > > С ftp тебе может понадобиться сделать FTP-aware NAT -- если
> > > речь про LAN, куда проще всунуть к samba/dhcpd на ту же
> > > сетевую.
> > Ну здесь с venet и ip_conntrack_ftp/ip_nat_ftp все работает.
>
> Возни с файрволом больше...
Ну меня с карточками возиться ломает больше :)
--
С уважением,
Прокопьев Евгений
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Sysadmins] ovz and services
2008-03-23 16:01 ` Eugene Prokopiev
@ 2008-03-23 16:12 ` Led
2008-03-23 16:20 ` Eugene Prokopiev
0 siblings, 1 reply; 16+ messages in thread
From: Led @ 2008-03-23 16:12 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Sunday, 23 March 2008 18:01:32 Eugene Prokopiev написав:
> > > > dhcpd -- проблемы есть (принципиальные с venet, вроде
> > > > решаемые -- но я обломался -- с veth), решается
> > > > просовыванием в VE отдельной карточки.
> > >
> > > Да какие там проблемы? veth с бриджами - штатное решение
> >
> > Я понимаю -- ты конкретно dhcpd так заводил?
> > Взлететь взлетает, а дальше странное припоминаю.
>
> Да, его с tftp и nbd в один VE, а dm с openbox - в другой, и клиенты
> работали, проблемы начались с pulseaudio, но не ovz-специфичные ...
> Хотя стоп, там был все-таки dnsmasq :)
А зачем tftpd при "живом" dnsmasq?
--
Led
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Sysadmins] ovz and services
2008-03-23 16:12 ` Led
@ 2008-03-23 16:20 ` Eugene Prokopiev
2008-03-24 10:32 ` Vladimir Cherednichenko
0 siblings, 1 reply; 16+ messages in thread
From: Eugene Prokopiev @ 2008-03-23 16:20 UTC (permalink / raw)
To: ledest, ALT Linux sysadmin discuss
> > Да, его с tftp и nbd в один VE, а dm с openbox - в другой, и клиенты
> > работали, проблемы начались с pulseaudio, но не ovz-специфичные ...
> > Хотя стоп, там был все-таки dnsmasq :)
>
>
> А зачем tftpd при "живом" dnsmasq?
Чем-то оно мне показалось удобнее, хотя работало действительно и без
tftpd. Чем - не соображу сейчас, может и ничем, а просто развлекался
перебирая варианты ;)
А, вспомнил, мне так удобнее оказалось по VE нарезать:
VE 101 - то, что нужно всем клиентам: dhcp, dns, nat наружу
VE 102 - то, что нужно бездисковым клиентам: tftp, nbd, nfs
VE 103 - то, что нужно линуксовым бездисковым клиентам: dm и openbox
--
С уважением,
Прокопьев Евгений
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Sysadmins] ovz and services
2008-03-23 16:20 ` Eugene Prokopiev
@ 2008-03-24 10:32 ` Vladimir Cherednichenko
2008-03-24 14:38 ` Eugene Prokopiev
0 siblings, 1 reply; 16+ messages in thread
From: Vladimir Cherednichenko @ 2008-03-24 10:32 UTC (permalink / raw)
To: sysadmins
В сообщении от Воскресенье 23 марта 2008 Eugene Prokopiev написал(a):
> А, вспомнил, мне так удобнее оказалось по VE нарезать:
>
> VE 101 - то, что нужно всем клиентам: dhcp, dns, nat наружу
> VE 102 - то, что нужно бездисковым клиентам: tftp, nbd, nfs
> VE 103 - то, что нужно линуксовым бездисковым клиентам: dm и openbox
А как с сислогами, один на всех в HN или в каждом VE свой ?
--
Vladimir Cherednichenko
^ permalink raw reply [flat|nested] 16+ messages in thread
* Re: [Sysadmins] ovz and services
2008-03-24 10:32 ` Vladimir Cherednichenko
@ 2008-03-24 14:38 ` Eugene Prokopiev
0 siblings, 0 replies; 16+ messages in thread
From: Eugene Prokopiev @ 2008-03-24 14:38 UTC (permalink / raw)
To: che, ALT Linux sysadmin discuss
> > А, вспомнил, мне так удобнее оказалось по VE нарезать:
> >
> > VE 101 - то, что нужно всем клиентам: dhcp, dns, nat наружу
> > VE 102 - то, что нужно бездисковым клиентам: tftp, nbd, nfs
> > VE 103 - то, что нужно линуксовым бездисковым клиентам: dm и openbox
>
>
> А как с сислогами, один на всех в HN или в каждом VE свой ?
мне удобнее отдельно, но вроде нет прпятствий к тому, что бы их
собирать в одно место (HN или специальный VE).
--
С уважением,
Прокопьев Евгений
^ permalink raw reply [flat|nested] 16+ messages in thread