snvoronkov Опубликовано 13 октября, 2014 · Жалоба Речь о возможности одной/двумя/пятью виртуалкой/ами сожрать какой-то ресурс хост-системы под корень. И тогда у вас раком встанет ВСЕ. А 10 абонентов со 100мбитным каналом могут сожрать 1GE-канал, который расчитан на микрорайон/небольшой городок с 700-1000 абонентами. И ничего, работает как-то массовый провайдинг с его основным принципом в отношении трафика - оверсабскрайбинг DDOS он и 5 физических серверов положит, было бы желание Однако приятно иметь возможность проанализировать ДДоС на ДНС по выжившему сислогу, чего-то-там-флоу и статистике с железок. :-) Это я все к чему? Не надо создавать себе единую точку отказа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 13 октября, 2014 · Жалоба Однако приятно иметь возможность проанализировать ДДоС на ДНС по выжившему сислогу, чего-то-там-флоу и статистике с железок. :-) Это я все к чему? Не надо создавать себе единую точку отказа. +1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 13 октября, 2014 · Жалоба И да, для фанатиков нулевого оверхеда есть контейнерная виртуализация, где оверхед действительно близок к нулю(ну правда и полноценной виртуализацией это не назовёшь, но внешне выглядит как будто разные сервера) chroot и аналоги? Оно для повышения секурности почти бесплатно. жаил для ещё большего повышения секурности ценой ресурсов. С первым возни только при первой настройке/создании, со вторым как с виртуалкой. Для админа какого-нибудь мухосранск-телекома, который днс-сервер поднимал полтора раза в жизни, сделать это через года 3 может быть проблемой. Точно так же он через 3 года не вспомнит ничего и про виртуалку, и куда она там подключалась, к каким сетям/интерфейсам. Тут документация нужна на сеть. PS: ещё я выкинул один железный роутер с фрёй, а фрю поставил в hiper-vi на имеющемся серваке, который всё равно греет воздух со своим кд и файлопомойкой. И кд в виртуалке, потому что единственный вменяемый способ его бэкапить и не боятся что железо сдохнет. от виртуалки бекапится не только образ, но и xml файл с настройками, где лежит полное описание. при восстановлении просто разворацивается на новом сервере (я пока еще не проводил процедуры восстановления из бекапа, но сюдя по инструкциям в сети, все делается в несколько команд, не сложнее чем оживлять какждый конкретный сервис), а все остальное уже настроено на системе внутри виртуалки, делать и забывать делать вообще ничего не придется. Ну я как бы представляю что там образ диска и отдельно описание эмулируемого железа с настройками. Но вы упомянули что не могли вспомнить куда были подключены интерфейсы, и я не понимаю как описание интерфейсов виртуалки решит проблему переноса этого ужаса на другую хост систему. вполне можно создать пару виртуалок и назвать их small-udp-services на разных серверах, это обеспечит резервирование и не займет много места. оверхед будет где? оверхед будет в занимаемом месте на хдд, и совсем чуть-чуть в памяти и CPU и они будут жить рядом с биллингом, системой управления и еще кучкой прочих сервисов. а что будет с железными серверами? правильно, они будут греть воздух с околонулевой загрузкой А можно не создавать а засетапить сервисы сразу на хосте и получить ровно тоже самое, с экономией на месте на винте, в памяти и времени на до админство дополнительных ОС. А во-вторых, виртуальные конфигурации для высоконагруженных систем тоже существуют. В каких-то случаях виртуализация даже применяется для повышения производительности и надежности. Тут нужно на сервисы смотреть и нагрузку. Всяким хостингам виртуализация выгодна тк позволяет мультиплексировать ресурсы при продаже и избавится от головняка с админством. Не продаст какой нибудь амазон столько дешманских хостингов без виртуализации, а шаред веб многих не устраивает, а дэдик сильно дорого - те это ниша появившаяся благодаря виртуализации. Всякие гугли и прочие кто сами данные жуют вряд ли страдают виртуализацией, им выгоднее вылизывать софт чтобы он использовал все доступные фичи железа (SSE, AVX и тп) а не просирать ресурсы на ненужную виртуализацию которая им ничего не даст. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 15 октября, 2014 · Жалоба А смысл городить виртуалки? для начала, это просто удобно например при переезде на более новые сервера даже если ntp/dns/dhcp совместить на одной машине, неплохо бы обеспечить резерв, это значит как минимум две машины, а отдавать два железных сервера под такую мелочь несколько расточительно, а вот в виде виртуалки подселить к чему-нибудь другому вполне разумно там и другие радости можно вспомнить, у каждого они будут свои, но в любом случае это будет следствием абстрагирования от аппаратуры Ничего не понимаю. Задача для мелкого админа, не для провайдера. У настоящего провайдера в складе лежит куча разнообразных железяк, у меня ntp служит древняя 1750. DNS-серверы - понятно есть, и два железных, я же порядка 25 своих зон держу. dhcp - только для перетыкальщиков и посетителей халявных вифи у моих клиентов... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 15 октября, 2014 · Жалоба DNS-серверы - понятно есть, и два железных, я же порядка 25 своих зон держу. 25 зон это вообще ни о чём, только это если не PTR-ы к IPv6 префиксу /32 :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 15 октября, 2014 · Жалоба Ничего не понимаю. Задача для мелкого админа, не для провайдера. У настоящего провайдера в складе лежит куча разнообразных железяк, у меня ntp служит древняя 1750. DNS-серверы - понятно есть, и два железных, я же порядка 25 своих зон держу. dhcp - только для перетыкальщиков и посетителей халявных вифи у моих клиентов... Железок-то да. Но вот жаба давит под такие задачи выделять порты в коммутаторах и розетки питания. Потому и крутятся у нас такие сервисы в kvm-ах. Если вдруг чего, время даунтайма не более 5 минут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andryas Опубликовано 15 октября, 2014 · Жалоба Почти по теме. Хочу поднять ещё один резервный DHCP сервер, но тулить ещё один писюк накладно по объективным причинам (питание и т.д.) Вспомнил микротик роутерборд :) Я понимаю, что это совсем не операторское решение, но всё же: есть ли у кого опыт эксплуатации его DHCP сервера на 5-6к активных пользователей? Имею ввиду надёжность самого софта DHCP сервера, роутерборд можно подобрать с требуемой производительностью. По сабжу - для служебных целей стоИт RB2011 там и днс-ка + сервер времени, кушает мало и проблем вроде не наблюдается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shicoy Опубликовано 15 октября, 2014 · Жалоба Однако приятно иметь возможность проанализировать ДДоС на ДНС по выжившему сислогу, чего-то-там-флоу и статистике с железок. :-) Это я все к чему? Не надо создавать себе единую точку отказа. Чисто совковый подход - нахера строить дороги, построим большие трактора! Защищайте периметр сети, периметр виртуализации, и спите более менее спокойно. По сабжу: виртуализация наше все, с HA конечно :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 16 октября, 2014 · Жалоба Виртуализация удобна количеством сущностей, за которыми нужен уход. Т.е. бэкапится не конфиг, а снапшотится ВМ. Оверхед на диске? Ну да. Но при стоимости гигабайта места как-то даже несерьезно. Насчет "забэкапил конфиги-перенес-развернул" - плавали, знаем. Перетащить виртуалку со всеми ее потрохами выходит гораздо проще. В условиях ESXi-фермы с vSwitch миграция вообще происходит "одной кнопкой". Восстановление из снапшота аналогично. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 16 октября, 2014 · Жалоба Виртуализация удобна количеством сущностей, за которыми нужен уход. Т.е. бэкапится не конфиг, а снапшотится ВМ. Оверхед на диске? Ну да. Но при стоимости гигабайта места как-то даже несерьезно. Насчет "забэкапил конфиги-перенес-развернул" - плавали, знаем. Перетащить виртуалку со всеми ее потрохами выходит гораздо проще. В условиях ESXi-фермы с vSwitch миграция вообще происходит "одной кнопкой". Восстановление из снапшота аналогично. У админов фряшечек, которые наизусть знают где какой конфиг лежит и их синтаксис все эти удобства вызывают жуткий баттхёрт ибо их ценность на рынке труда падает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 16 октября, 2014 · Жалоба Оверхед на диске? Ну да. Но при стоимости гигабайта места как-то даже несерьезно. А оверхэд по процу, памяти и обслуживанию ещё одной ос? У админов фряшечек, которые наизусть знают где какой конфиг лежит и их синтаксис все эти удобства вызывают жуткий баттхёрт ибо их ценность на рынке труда падает Глупый троллинг. В линупсе точно так же. Только винда выигрывает от виртуализации, вот уж что действительно из бэкапа поднимать трудно и долго. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 17 октября, 2014 · Жалоба А оверхэд по процу, памяти и обслуживанию ещё одной ос? Кхм... Скажите, в случае отельной железки под эти задача что, все вот эти затраты волшебно пропадут (проц, уже не виртуальный, а настоящий, память, осблуживание ОС)? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mallorn Опубликовано 17 октября, 2014 · Жалоба У админов фряшечек, которые наизусть знают где какой конфиг лежит и их синтаксис все эти удобства вызывают жуткий баттхёрт ибо их ценность на рынке труда падает Глупый троллинг. В линупсе точно так же. Только винда выигрывает от виртуализации, вот уж что действительно из бэкапа поднимать трудно и долго. И то спорно, при наличии удачно спижженнного купленного и настроенного Acronis True Image бекап поднимается в несколько кликов мышкой на сервере. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 17 октября, 2014 · Жалоба А оверхэд по процу, памяти и обслуживанию ещё одной ос? Угу, держать под всякую мелочь гору тазиков конечно проще. Реалии таковы, что виртуализацию, так или иначе, пользуют почти все - это просто удобней и дешевле, чем покупать тазики. Так что одна-две-три виртуалки с dns/syslog/ntp и т.д. погоды уж точно не сделают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 17 октября, 2014 · Жалоба Защищайте периметр сети, периметр виртуализации, и спите более менее спокойно. Угу. А потом продаван принесет бота в офисную сеть... А виртуалку с клиентским форумом протроянят через свежую дырку в движке и она заработает как IRC-ботовод... И. Эта. Ужо все типы возможных атак известны, чтобы от них защититься? Или таки каждый год их десятками изобретают? Нравится валить все в виртуалки на одну/две физические шылизяки? Да ништяк! Продолжайте так и делать. А только меня вот привычка раскидывать критические сервисы и дубли мониторинга по нескольким физически различным сервантам уже не раз спасала. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 17 октября, 2014 · Жалоба А виртуалку с клиентским форумом протроянят через свежую дырку в движке и она заработает как IRC-ботовод... таки мы говорим за сервисы управляемые оператором, а не хостинг, давайте не путать теплое с мягким раскидывать критические сервисы и дубли мониторинга по нескольким физически различным сервантам раскидать и виртуалки можно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 17 октября, 2014 · Жалоба Кхм... Скажите, в случае отельной железки под эти задача что, все вот эти затраты волшебно пропадут (проц, уже не виртуальный, а настоящий, память, осблуживание ОС)? Угу, держать под всякую мелочь гору тазиков конечно проще. Реалии таковы, что виртуализацию, так или иначе, пользуют почти все - это просто удобней и дешевле, чем покупать тазики. Так что одна-две-три виртуалки с dns/syslog/ntp и т.д. погоды уж точно не сделают. Я говорил про виртуализацию только сабжевых сервисов - её полезность весьма сомнительна. Виртуализация удобна, для некоторых задач, но использовать её решительно везде и для всего просто маразм. Если так нравятся кнопочки для запуска сервисов - вебмин или ещё какая морда даст такой же примерно эффект за меньший оверхэд абсолютно всех ресурсов для сабжевых сервисов. И то спорно, при наличии удачно спижженнного купленного и настроенного Acronis True Image бекап поднимается в несколько кликов мышкой на сервере. Что, вместо асусовской матери и и7 проца можно будет развернутся на амд е-350? И оно даже загрузится без секса в консоле восстановления? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 18 октября, 2014 · Жалоба На виртуалках еще можно безболезненно экспериментировать. Например сделать копию DNS-сервера и экспериментировать с настройками. С железным сервером нужно быть осторожнее, и все равно остается риск что-нибудь сделать не так. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 18 октября, 2014 · Жалоба сабжевые сервисы именно по причине малого потребления ресурсов первые кандидаты на виртуализацию Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 18 октября, 2014 · Жалоба На виртуалках еще можно безболезненно экспериментировать. Например сделать копию DNS-сервера и экспериментировать с настройками. С железным сервером нужно быть осторожнее, и все равно остается риск что-нибудь сделать не так. А что может пойти не так на реальном железе при экспериментах с этими сервисами? Конфиг скопировал и тоже будет всё без проблем. Можно и на другой порт посадить. сабжевые сервисы именно по причине малого потребления ресурсов первые кандидаты на виртуализацию Запускайте каждую программу и каждый скрипт в своей виртуалке. Вообще не понятно зачем нам многозадачные ОС, у нас же теперь виртуализация есть. ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 18 октября, 2014 · Жалоба Запускайте каждую программу и каждый скрипт в своей виртуалке. Вообще не понятно зачем нам многозадачные ОС, у нас же теперь виртуализация есть. ) Вообщем-то такой концент уже потихоньку продвигают, особенно там где думают о безопасности и/или удобстве администрирования. Если говорить о безопасности, то традиционными способами типа запуска из-под user, в chroot-е и даже в контейнере так или иначе полноценной изоляции не добиться. Дыры в гипервизорах всё-таки куда реже находят, чем во всяких userspace-приложения, ядрах ОС и т.п., позволящие повысить привилегии и добраться до всего остального. А с учётом того, что много современного железа проектируют так, что оверхед при виртуализации минимален, то да, от многозадачных ОС уходят в кучу виртуалок. Даже термин есть такой appliance, когда софт распространяют не виде бинарных пакетов, инсталляторов, исходников или прочими консервативными способами, а в виде образа виртуальных машин, это реально очень удобно. Я помню как-то ставил Huawei U2000 (проприетарная NMS от Huawei). Особенность этой штуки в том, что нужно найти ровно такую винду как в документации, установить патчи, указанные в доке, ещё какого-то софта строго определённых версий и т.д.(шаг влево, шаг вправо и оно не заведётся). Вообщем, у меня ушло около 2 дней, чтобы установить эту NMS по подробнейшей инструкции. И именно ради того, чтобы не заниматься всей этой ерундой придумали те самые appliance-ы. Одно приложение - одна виртуалка (понятно, что одно приложение это может быть не один процесс и поэтому там опять многозадачная ОС, но суть именно такова) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 18 октября, 2014 · Жалоба А виртуалку с клиентским форумом протроянят через свежую дырку в движке и она заработает как IRC-ботовод... таки мы говорим за сервисы управляемые оператором, а не хостинг, давайте не путать теплое с мягким У вас личный кабинет для клиентов есть? А форум/форма для жалоб? И оно на хостинге с проколупанным к операторской базе тоннелем? Еще раз: Я вовсе не против виртуалок. Только городить под каждый внутренний операторский сервис свою - это оверкилл. И складывать их на физически одну железку, как это предлагали в начале треда - глупость. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 18 октября, 2014 · Жалоба У вас личный кабинет для клиентов есть? А форум/форма для жалоб? личный кабинет и форум также управляются оператором, находятся под его контролем и ответственностью и это не соотносится с: виртуалку с клиентским форумом Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 18 октября, 2014 · Жалоба Пардон. Некорректно выразился. Форум для клиентов оператора. Так правильнее? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 19 октября, 2014 · Жалоба Вообщем-то такой концент уже потихоньку продвигают, особенно там где думают о безопасности и/или удобстве администрирования. Если говорить о безопасности, то традиционными способами типа запуска из-под user, в chroot-е и даже в контейнере так или иначе полноценной изоляции не добиться. Кроме венды, повышение привилегий редко где/когда встречалось. Оверхэд в сравнении с chroot() + права + юзер просто дичайший. Да, удобно бэкапить, переносить, но +1 система для обслуживания. Даже термин есть такой appliance, когда софт распространяют не виде бинарных пакетов, инсталляторов, исходников или прочими консервативными способами, а в виде образа виртуальных машин, это реально очень удобно. Это конечно имеет некоторые удобства для тех кто пользуется, но больше всего удобств для разработчиков: - не нужно тестировать на разных платформах - не нужно писать инструкций по установке - можно полагаться на всякие грязные хаки Напоминает как раньше программы некоторых моих однокурсников работали только на том компьютере на котором они их писали :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...