Játszadozom egyelőre az OpenSolaris-al, s ha jól viselkedik, akkor két hét múlva OpenSolaris kerül arra a szerverre, amely majd a javaforum.hu portált is hajtani fogja. Egyelőre jól viseli magát... bár kissé aluldokumentált még... :)
Szóval, adott lesz egy rack jellegű szerver egy szolgáltatónál, kapok egy IP címet, és felteszek egy OpenSolaris-t. Eddig semmi gond, de szeretném egy zónába tenni a portált, egy másik zónába az egyéb webalkalmazásokat, és a levelezést is külön szeretném pakolni. Ehhez az kellene, hogy a zónák privát tartományban legyenek (pl. 192.168.1.x) és a global zóna végezzen NAT-ot és befelé - a megfelelő portokra - portforward-ot. Mennyire nehéz ezt megoldani? Emlékeim szerint Solaris 10 esetén ez eléggé fájdalmas dolog (hamis ARP bejegyzések és ilyesmi :), változott ez valamit OpenSolaris-ban?
--
http://www.javaforum.hu
- 5158 megtekintés
Hozzászólások
Miért akarod a zónákat 192.168.1.x -es tartományba rakni?
- A hozzászóláshoz be kell jelentkezni
Tehetem máshova is... hova tegyem? :)
Nekem csak az kell, hogy viszonylag egyszerűen tudjak NAT-ot és portforward-ot.
--
http://www.javaforum.hu
- A hozzászóláshoz be kell jelentkezni
Akkor máshogy kérdezem. Miért szeretnél NATolni minden áron? Szerintem a plusz IP címek a szolgáltatódnál havi szinten 1-2 ezres kb. Kérjél az összes zónádnak IP címet, amit el szeretnél érni "kívülről" és ezeket a publikus címeket add a zónákhoz, így nem kell NATolnod.
- A hozzászóláshoz be kell jelentkezni
Nos, ez lenne az, amit legvégső esetben tennék. Nem látom be, hogy miért kellene egy egész IP címet elpazarolnom arra, hogy a levelezést bezárjam egy zónába. Vagy azért, hogy egy alkalmazást kényelmesen tudjak korlátozni a zóna erőforrásainak beállításával.
Ezért kérdeztem, hogy javult-e ezen a téren az OpenSolaris, mert FreeBSD esetén a jail rendszer a NAT és portforward szempontjából teljesen transzparens, olyan egy FreeBSD-s jail, mintha önálló gépek lennének a szerver mögött és csak az ipnat és ipf beállításokkal szépen megy a NAT és a portforward és minden más hálózatos korlátozást.
Azért kérdezem, mert jelenleg a FreeBSD és az OpenSolaris között gondolkodom, de van már ZFS FreeBSD-re is, ahogy látom, és egyre olvad le az OpenSolaris előnye... :(
--
http://www.javaforum.hu
- A hozzászóláshoz be kell jelentkezni
Meg mindig ezt kell csinalni, de nem olyan veszes hack. Itt le van irva hogy kell:
http://blogs.sun.com/ford/entry/using_nat_in_the_global
- A hozzászóláshoz be kell jelentkezni
Nem vészes, de igen szúrós hack szaga van... :)
Most nézem kicsit a FreeBSD-t is, hogy azzal mit tudok kezdeni.
--
http://www.javaforum.hu
- A hozzászóláshoz be kell jelentkezni
Bármily különösen hangzik, valójában a FreeBSD-s megoldás a hack, bár egyszerű esetben tényleg könnyű használni, de ugyanakkora istencsapás is tud lenni.
Az ARP bejegyzéssel csak azt biztosítod, hogy a packet átmenjen a routing rétegen.. az ipnat nem tud ugyanarra az interfészre redirectelni, mint ahonnan a packet érkezett, de ez minden OS alatt így van. Solaris alatt a zónáknak saját loopbackje van saját 127.0.0.1 stb -vel, ezért nem játszik a loopback alias.
Tudsz akár saját IP stacket adni minden zónának, saját ipnat/ipf instance-al, routinggal, stb, és pld vnic-ekből csinálsz egy privát hálózatot, valahogy úgy, ahogy esx alatt csinálnád vswitch-ekkel, és a global zóna lesz a gateway. Mindenképp ez a szép megoldás. http://opensolaris.org/os/project/crossbow/
Kérdés miért annyira jó ez? Azt írod több webalkalmazást szeretnél szétpakolni. Az hogy lesz? 80-as portból csak egy van.
- A hozzászóláshoz be kell jelentkezni
Gondolom ForwardProxyzni akarja egy webszerverről, vagy valami ilyesmi.
--
"SzAM-7 -es, tudjátok amivel a Mirage-okat szokták lelőni" - Robi.
- A hozzászóláshoz be kell jelentkezni
Nyilvánvaló, hogy a Solaris zóna többet tud, mint a FreeBSD jail. De a célom nem az, hogy egy zónán belül még egy réteget hozzak létre, csak annyi, hogy egyes alkalmazásokat el tudjak szeparálni fájlrendszer szinten, illetve tudjam korlátozni az általuk igényelt erőforrások elérését (CPU, memória, stb)...
Webalkalmazásokat pedig proxy-n keresztül tudom elérni, egy olyan zónából/jailből, amelyben a 80-as port lesz elérhető. :)
Pár éve használok Solaris-t, most éppen egy zónát, de még nem találja a helyét szerintem. :)
--
http://www.javaforum.hu
- A hozzászóláshoz be kell jelentkezni
Na és FreeBSD jaillel hogy fogsz resource controlt csinálni?
Na meg Java-t futtatni. Tény, némi erőfeszítéssel lehet JDK-t csinálni FreeBSD-re. De az OpenJDK-t felejtsd el, és mi lesz a servlet container? Jetty meg ilyenek nem játszanak rendes hardveren. Mármint ha rendes teljesítményt akarsz.
- A hozzászóláshoz be kell jelentkezni
Na és FreeBSD jaillel hogy fogsz resource controlt csinálni?
A fájlrendszert ZFS alapokon, a hálózatot kiválóan ipfw használatával, a CPU-t nem tudom igazán (bár van már rá patch), a memóriát pedig processz szinten, de csak saját scriptekkel. Viszont nincs igazán szükségem ennél jobb tudásra jelenleg.
Feltettem JDK-t és Glassfish elindult, futott rendesen cluster módban. Nem annyira problémás a Java, mint amennyire problémás a Solaris csomaghiánya vagy az OpenSolaris befejezettlensége.
Egyébként azt nem értem, hogy miért nem a FreeBSD ports került átvételre Solaris esetén... nagyon sok hasonlóság van a két rendszer között, szerintem többet nyertek volna vele, mint a blastwave vagy a mostani Debian-hoz hasonló csomagkezeléssel... dehát ez nem az én reszortom... :)
Úgy néz ki, hogy a FreeBSD jó lesz. Ha lesz stabil OpenSolaris - amelyet szerverre szánnak és nem Ubuntu pótlónak, illetve bő csomagválaszték hozzá, akkor áttérek arra... ha nem lesz csomagválaszték (értsd fordítanom kell szinte mindent), akkor nem. :)
--
http://www.javaforum.hu
- A hozzászóláshoz be kell jelentkezni