VMware-ről FreeBSD jail-re váltott egy levelezéssel kapcsolatos szolgáltatásokat nyújtó cég

FreeBSD

A levelezés áthelyezési szolgáltatásokat nyújtó YippieMove kezdetben VMware virtualizációs technológiát választott üzletének alapjául, hogy elszigetelje egymástól az egyes folyamatokat, hogy könnyebben karban tudja tartani a rendszert és hogy rendkívül egyszerű legyen a későbbi bővülés. Azonban az idők során arra jutottak, hogy számukra nem a VMware volt a legjobb választás.

A kezdetben alkalmazott "nagy rakás fájl" adattárolási modellt felváltotta egy sokkal tisztább sqlite3-as dizájn. A cég ezt a virtuális környezetbe helyezve azt tapasztalta, hogy a várt teljesítmény elmarad. Végül arra gyanakodtak, hogy ennek az az oka, hogy a virtuális gépekben vendég (guest) operációs rendszerként FreeBSD-t használnak (ami állítólag valóban lassú VMware-ben bizonyos finomhangolások nélkül). Próbálták tuningolni a FreeBSD-t, de kevés sikerrel. Felmerült, hogy más operációs rendszerre - például Ubuntu-ra - váltanak, de eközben képbe került a FreeBSD jail megoldása.

Noha a cég tisztában van azzal, hogy a VMware drágább verziói jobb processz- és erőforrás-kezelést tesznek lehetővé és ezt majd meg kell vizsgálniuk, ha tovább bővülnek, a FreeBSD jail jelenleg megfelelő megoldás számukra.

A részletek itt olvashatók.

( prygme | 2009. 06. 03., sze – 13:14 )

ha nem kell hosttól eltérő guest OSeket működtetni, akkor imho jobb megoldás a jail, vagy kvm megoldások használata, mint a complexebb vmware, virtualbox, vagy akár xen.

ebben teljesen igazad van. de az már régen rossz, ha buggy kernellel megy a host rendszer. updatelni kell rendszeresen. ritkán fordul elő hogy publikus exploit kering a kernel bugra azelőtt, hogy fixálnák azt.
heavy I/O mellett problémák vannak a vmwarel a virtualboxal pláne. jail meg kvm alatt, érthető okokból nincs ilyen probléma. esx biztosan sokkal stabilabban állja a strapát, de az ára eléggé húzós sajnos.

Már másodszor írod, de a kvm miért lenne a jail párja Linux alatt? Úgy értem, a nagy vonalakban hasonló működés mitől nyúlt jobb I/O performanciát a vmware-nél? A vmware spéci drivereinél (guest additions) a virtio többet tud hozni?

Implementáció szempontjából inkább a korlátozott chroot (pl. grsec extrákkal, capability finomhangolással megspékelt), a vserver vagy az openvz/virtuozzo tűnik a jailhez hasonló megoldásnak, arra számítanék, hogy ezek overhead-je is kisebb lehet.

nem írtam, hogy párja. ezeket próbáltam eddig, és ez a kettő gyorsabbnak bizonyult, mint a vmware és a virtualbox. plusz nem szálltak el egyszer sem a guestek. stabilitásban a virtualbox eléggé problémás volt, vmware sem makulátlan de kétségkívül ritkábban döglött meg.
xent még csak futólag teszteltem.

"updatelni kell rendszeresen"

kurvara nem

up2date rendszergazdanak lenni elegge low-life

akkora kell updatelni ha a rendszered erintett azaz pl. hasznalod az adott szoftvert, kernelmodult, libraryt ami sebezheto es ez a hiba kihasznalhato pl. nincs meg egy reteg(tuzfal) ami megfogna az ilyen jellegu tamadast

1 retegu security meg viccnek is rossz :)

--
.

A kernel mindig buggy, a patcheles nem ved meg, publikus exploitokra meg csak a script-kiddie-knek van szukseguk. :)

"heavy I/O mellett problémák vannak a vmwarel a virtualboxal pláne"

Probald ki az esx4-et, abban mar van paravirtualizalt scsi driver (bar az igaz, hogy valoszinuleg a freebsd meg nem tamogatja).
Nyilvan nem azt mondom, az ilyen os-level virtualizacios cuccok (ha jol megirjak oket), mindig gyorsabbak lesznek, mint ami egy reteggel lejjebb teszi ezt, de ettol meg nem mindenhova optimalis valasztas (kulonosen, hogy ritkan hianyzik pont az az 1-2%).

"kvm alatt, érthető okokból nincs ilyen probléma"

Hajjaj, dehogynincs. :)

Szerk.: most olvasom a cikkben, hogy ezek vmware server-el probalkoztak. Ez sok mindent megmagyaraz. :)

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Az ESXi egészen konkrétan ingyenes, úgyhogy nem mondanám húzósnak.

Ha azt is hozzáveszem, hogy egy ESX alatti VM-et alapvetően könnyebb tutujgatni, mint egy FreeBSD jailt, akkor az ingyenes ESXi olcsóbb, mint az ingyenes FreeBSD jail. Ha még azt is hozzáveszem, hogy X idő múlva mindenképpen célszerű fizetős VMware infrastruktúra szolgáltatásokra migrálni, akkor az ingyenes ESXi még olcsóbb, mint az ingyenes FreeBSD jail.

valoban

mennyi ilyenre volt pelda?

ha jol tudom talan 3-4 volt az elmult 5 evben
(nyilvan vannak olyan hibak amit a hunger fele megatalkodott bohocsapkasok nem hoznak nyilvanossagra ezeket most haggyuk ki)

aztan nezzuk hany kritikus hiba volt a vmwareban amivel ki lehet torni a virtualizalt os-bol

ha a ket szam nagyjabol egyenlo(~) akkor sztem ez nem indok arra hogy vmwaret hasznalj vagy eppen jailt

az viszont mar igen h szukseged van live migrationra es hasonlo szolgaltatasokra ami nem tipikusan container/jail ficsor de ebben az esetben ok csak a szeparaciot akartak

sztem meg mindig kenyelmes dolog jailt terelgetni es nem tul rossz megoldas szekjuriti elkulonitesre ha ismered a limiteket es tudsz veluk egyutt elni
--
.

"ha jol tudom talan 3-4 volt az elmult 5 evben"

Legalabb egy nagysagrendet tevedsz.

"aztan nezzuk hany kritikus hiba volt a vmwareban amivel ki lehet torni a virtualizalt os-bol"

ESX-ben? En 1-rol tudok.

"ha a ket szam nagyjabol egyenlo(~) akkor sztem ez nem indok arra hogy vmwaret hasznalj vagy eppen jailt"

Kozepiskola, matekora, fuggetlen esemenyek valoszinusege. Dereng valami?

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

atneztem a freebsd asc-ket es nem tevedek, nagysagrendet meg plane nem

http://www.freebsd.org/security/advisories.html

Te egyrol tudsz, ugyes vagy tehat ha igy is van nincs lenyeges kulonbseg.

"Kozepiskola, matekora, fuggetlen esemenyek valoszinusege. Dereng valami?"

gondolom kozepiskolaig sikerult eljutnod. ugyes vagy ismetelten.

tovabbra is tartom az allitast h jail vagy vmware esx security szempontbol kb. egyenlo biztonsagot nyujt

--
.

"atneztem a freebsd asc-ket es nem tevedek, nagysagrendet meg plane nem"

Nezd at megegyszer, en 10 utan meguntam.

"gondolom kozepiskolaig sikerult eljutnod. ugyes vagy ismetelten."

Egy sima "nem" is eleg lett volna.

"tovabbra is tartom az allitast h jail vagy vmware esx security szempontbol kb. egyenlo biztonsagot nyujt"

Ha te mondod.
Kapok egy jailt egy ceges szervereden?

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

MAC-et vagy valamit?

:))

Igazabol nem kell sok dolog ahhoz hogy egy atlagos haxor wanabeet kivul tarts a szervereden

Hunger ellen meg kapcsolgathatsz MAC-t igazabol nem nagyon lassitja le ha mar shellje van.

Bar nem rossz dolog de egyelore mas jellegu megoldasokon dolgozunk, lesz egy nagyobb update valamikor

--
.

Azon túl, hogy ha publikálja mindkét fél a saját részét, akkor sokat lehet majd tanulni belőle, közelebb leszünk annak a megválaszolásához, hogy összehasonlítható-e biztonsági szempontból a jail és a vmware?
Mert ha jól értem, eax szerint nem, szerinted meg igen.
Namost akár nyer eax, akár nem, mi derül ki belőle?