VServer

Эту страничку давно следовало нарисовать...

Что такое vserver? Это комплект для лёгкой виртуализации — патч для Linux и набор утилит, который позволяет выполнять различные т.н. контексты под одним ядром. Вледствие отсутствия эмуляции железа в каком-либо виде накладные расходы существенно ниже, чем в случае использования VMware, Xen, qemu или Bochs. Пробегала информация об оверхеде порядка считанных процентов для хостинговых задач на дуальном Xeon.

Существует две ветки — 1.x для Linux 2.4 (включена в ALT Linux 2.4 Master — ядро vs-smp) и 2.x для Linux 2.6 (доступна в Sisyphus и 3.0/contrib). Возможности второй существенно шире, особенно в части управления и лимитирования. Первая ближе к chroot или jail, но обеспечивает также «невидимость» чужих процессов.

Лично мне vserver нравится тем, что система получается более структурированной и менее привязанной к конкретной железке — если «основная» система минимальна и не несёт сервисов (кроме крайне ограниченного удалённого доступа и, скажем, базового мониторинга), то собственно сервисы в vserver'ах можно спокойно останавливать по расписанию, архивировать целиком или как заблагорассудится, переносить на другие хосты или менять с вводимыми в эксплуатацию. Получается очень удобно для плавного обновления, миграции сервисов и других нервосберегающих и общеполезных вещей. Опять же у меня появилась привычка делать «серую» сеть по vserver'ам, и если заранее спланировать адресное пространство, то при необходимости наборы vserver'ов на разных хостах должно быть можно объединить при помощи VPN или простого IPIP.

ALM2.4

На базе Master 2.4 можно легко и удобно сгородить сколько надо vserver'ов; доступен минимизированный образ опять же ALM2.4 и небольшой QUICKSTART (также на ftp.linux.kiev.ua, тут доступен и оптимизированный по конфигурации резолвера и apt для использования в пределах UA-IX экземпляр). Цитирую:

# for ALT Linux 2.4 Master apt-get install util-vserver kernel-image-vs-smp # reboot and select -vs-smp- kernel rebootin linux-smp # configure cd /var/lib/vserver tar jxpf ~/tmp/dummy_vserver.tar.bz2 mv dummy_vserver name mdir /etc/vservers cd /etc/vservers cat ~/tmp/dummy_vserver.conf > name.conf # start vserver name enter

Возможна также сборка при помощи vserverator; увы, не пользовался.

Грабли

речь о 1.x/2.4

Если прописать HOSTNAME/DOMAINNAME в /etc/vservers/$host.conf, то при абсолютно правильно настроенном резолвере резолвинг может не работать...

Если в vserver запустить vsftpd из-под xinetd с _реальным_ IP в interface, то оно каким-то макаром сядет как раз на него, а не на тот, который указан в IPROOT конфигурации сервера. Если предполагать, что это дело надо ещё NAT'ить, то iptables как раз и перекроет то, что при остановленном файрволе работает само... IPROOT в 1.x липовый?

2.6.x (3.0+)

Тут товарисчи грозились поделиться экспириенсом по части vs26-smp.x86_64, но проблема с жёстким диском и острая нехватка времени перед поездом вкупе с лёгшим ftp.linux.kiev.ua не позволила этому непосредственно произойти... может, или те, кто уже использует VServer 2.x, расскажут, или я дозрею.

<gvy> btw, 32-bit chroot под 64bit kernel бывает? <lakostis> да, легко <lakostis> просто подключаешь другой sources.list и все %) <gvy> о как. уже хорошо :) <lakostis> базовые ссылки для ознакомления <lakostis> http://linux-vserver.org/alpha+util-vserver <lakostis> http://deb.riseup.net/vserver/usage/ <lakostis> http://linux-vserver.org/ProblematicPrograms

vs26/x86_64

Попробую по горячим следам описать развёртывание Sisyphus/x86_64 в качестве гостевой системы под таким же. Спасибо за хинты lakostis@, глядишь, долго бы ещё чесал в затылке.

apt-get install util-vserver-build vserver - build --help cp -a /etc/apt/vendors.list /etc/vservers/.distributions/altSisyphus/apt/ vim /etc/apt/sources.list cat /etc/apt/sources.list > /etc/vservers/.distributions/altSisyphus/apt/sources.list vserver web build -m apt-rpm --hostname=www --interface eth0:10.0.4.101/24 --context 4101 -- -d altSisyphus vapt-get web -- install syslogd vixie-cron vserver web start vserver web enter

Пояснения:

• vendors.list в пакете на сейчас отсутствует (и при установке не берётся и не линукется системный)
• в sources.list — ftp.altlinux.com Sisyphus i586, что при локальном зеркале и желании зарядить x86_64 не совсем то ;-)
• <lakostis> + советую сразу при сборке --context <xid> указывать. [...] какое-нить число больше 128
• сразу после build сделать start не получится — при отсутствии запущенных процессов vserver считается неактивным
• enter теперь вроде как не делает start при остановленном контексте

TODO

описать известные проблемы с crond, syslogd и sshd; в принципе, оно довольно быстро гуглится по архивам рассылок с добавлением vserver и/или кусков логов

Ссылки

• http://linux-vserver.org/
• ftp://ftp.altlinux.org/pub/people/mike/vserver/
• http://lists.osdn.org.ua/wws/info/vserver

• http://linux-vserver.org/alpha+util-vserver
• http://deb.riseup.net/vserver/usage/
• http://linux-vserver.org/ProblematicPrograms
• HOWTO deal with NAT'ing firewalls and source-based routing with vservers

• RAD Linux VServers page (2.6.x)
• http://lists.altlinux.org/pipermail/devel/2005-August/023367.html

• http://lists.altlinux.org/pipermail/community/2006-April/177657.html
• http://lists.altlinux.org/pipermail/sisyphus/2004-March/037804.html

• http://lists.altlinux.org/pipermail/sisyphus/2005-September/070584.html
• http://lists.altlinux.org/pipermail/sysadmins/2006-February/000468.html