[snvoronkov]

Речь о возможности одной/двумя/пятью виртуалкой/ами сожрать какой-то ресурс хост-системы под корень.

 

И тогда у вас раком встанет ВСЕ.

 

А 10 абонентов со 100мбитным каналом могут сожрать 1GE-канал, который расчитан на микрорайон/небольшой городок с 700-1000 абонентами. И ничего, работает как-то массовый провайдинг с его основным принципом в отношении трафика - оверсабскрайбинг

 

DDOS он и 5 физических серверов положит, было бы желание

Однако приятно иметь возможность проанализировать ДДоС на ДНС по выжившему сислогу, чего-то-там-флоу и статистике с железок. :-)

 

Это я все к чему? Не надо создавать себе единую точку отказа.

[vlad11]

Однако приятно иметь возможность проанализировать ДДоС на ДНС по выжившему сислогу, чего-то-там-флоу и статистике с железок. :-)

 

Это я все к чему? Не надо создавать себе единую точку отказа.

 

+1

[Ivan_83]

И да, для фанатиков нулевого оверхеда есть контейнерная виртуализация, где оверхед действительно близок к нулю(ну правда и полноценной виртуализацией это не назовёшь, но внешне выглядит как будто разные сервера)

chroot и аналоги?

Оно для повышения секурности почти бесплатно.

жаил для ещё большего повышения секурности ценой ресурсов.

С первым возни только при первой настройке/создании, со вторым как с виртуалкой.

 

Для админа какого-нибудь мухосранск-телекома, который днс-сервер поднимал полтора раза в жизни, сделать это через года 3 может быть проблемой.

Точно так же он через 3 года не вспомнит ничего и про виртуалку, и куда она там подключалась, к каким сетям/интерфейсам.

Тут документация нужна на сеть.

 

PS: ещё я выкинул один железный роутер с фрёй, а фрю поставил в hiper-vi на имеющемся серваке, который всё равно греет воздух со своим кд и файлопомойкой.

И кд в виртуалке, потому что единственный вменяемый способ его бэкапить и не боятся что железо сдохнет.

 

 

от виртуалки бекапится не только образ, но и xml файл с настройками, где лежит полное описание. при восстановлении просто разворацивается на новом сервере (я пока еще не проводил процедуры восстановления из бекапа, но сюдя по инструкциям в сети, все делается в несколько команд, не сложнее чем оживлять какждый конкретный сервис), а все остальное уже настроено на системе внутри виртуалки, делать и забывать делать вообще ничего не придется.

Ну я как бы представляю что там образ диска и отдельно описание эмулируемого железа с настройками.

Но вы упомянули что не могли вспомнить куда были подключены интерфейсы, и я не понимаю как описание интерфейсов виртуалки решит проблему переноса этого ужаса на другую хост систему.

 

вполне можно создать пару виртуалок и назвать их small-udp-services на разных серверах, это обеспечит резервирование и не займет много места. оверхед будет где? оверхед будет в занимаемом месте на хдд, и совсем чуть-чуть в памяти и CPU и они будут жить рядом с биллингом, системой управления и еще кучкой прочих сервисов. а что будет с железными серверами? правильно, они будут греть воздух с околонулевой загрузкой

А можно не создавать а засетапить сервисы сразу на хосте и получить ровно тоже самое, с экономией на месте на винте, в памяти и времени на до админство дополнительных ОС.

 

А во-вторых, виртуальные конфигурации для высоконагруженных систем тоже существуют. В каких-то случаях виртуализация даже применяется для повышения производительности и надежности.

Тут нужно на сервисы смотреть и нагрузку.

 

Всяким хостингам виртуализация выгодна тк позволяет мультиплексировать ресурсы при продаже и избавится от головняка с админством.

Не продаст какой нибудь амазон столько дешманских хостингов без виртуализации, а шаред веб многих не устраивает, а дэдик сильно дорого - те это ниша появившаяся благодаря виртуализации.

 

Всякие гугли и прочие кто сами данные жуют вряд ли страдают виртуализацией, им выгоднее вылизывать софт чтобы он использовал все доступные фичи железа (SSE, AVX и тп) а не просирать ресурсы на ненужную виртуализацию которая им ничего не даст.

[YuryD]

А смысл городить виртуалки?

для начала, это просто удобно например при переезде на более новые сервера

 

даже если ntp/dns/dhcp совместить на одной машине, неплохо бы обеспечить резерв, это значит как минимум две машины, а отдавать два железных сервера под такую мелочь несколько расточительно, а вот в виде виртуалки подселить к чему-нибудь другому вполне разумно

 

там и другие радости можно вспомнить, у каждого они будут свои, но в любом случае это будет следствием абстрагирования от аппаратуры

Ничего не понимаю. Задача для мелкого админа, не для провайдера. У настоящего провайдера в складе лежит куча разнообразных железяк, у меня ntp служит древняя 1750. DNS-серверы - понятно есть, и два железных, я же порядка 25 своих зон держу. dhcp - только для перетыкальщиков и посетителей халявных вифи у моих клиентов...

[s.lobanov]

DNS-серверы - понятно есть, и два железных, я же порядка 25 своих зон держу.

 

25 зон это вообще ни о чём, только это если не PTR-ы к IPv6 префиксу /32 :)

[taf_321]

Ничего не понимаю. Задача для мелкого админа, не для провайдера. У настоящего провайдера в складе лежит куча разнообразных железяк, у меня ntp служит древняя 1750. DNS-серверы - понятно есть, и два железных, я же порядка 25 своих зон держу. dhcp - только для перетыкальщиков и посетителей халявных вифи у моих клиентов...

 

Железок-то да. Но вот жаба давит под такие задачи выделять порты в коммутаторах и розетки питания. Потому и крутятся у нас такие сервисы в kvm-ах. Если вдруг чего, время даунтайма не более 5 минут.

[andryas]

Почти по теме. Хочу поднять ещё один резервный DHCP сервер, но тулить ещё один писюк накладно по объективным причинам (питание и т.д.)

Вспомнил микротик роутерборд :) Я понимаю, что это совсем не операторское решение, но всё же: есть ли у кого опыт эксплуатации его DHCP сервера на 5-6к активных пользователей?

Имею ввиду надёжность самого софта DHCP сервера, роутерборд можно подобрать с требуемой производительностью.

 

По сабжу - для служебных целей стоИт RB2011 там и днс-ка + сервер времени, кушает мало и проблем вроде не наблюдается.

[shicoy]

Однако приятно иметь возможность проанализировать ДДоС на ДНС по выжившему сислогу, чего-то-там-флоу и статистике с железок. :-)

Это я все к чему? Не надо создавать себе единую точку отказа.

Чисто совковый подход - нахера строить дороги, построим большие трактора! Защищайте периметр сети, периметр виртуализации, и спите более менее спокойно.

 

По сабжу: виртуализация наше все, с HA конечно :)

[Night_Snake]

Виртуализация удобна количеством сущностей, за которыми нужен уход. Т.е. бэкапится не конфиг, а снапшотится ВМ. Оверхед на диске? Ну да. Но при стоимости гигабайта места как-то даже несерьезно.

Насчет "забэкапил конфиги-перенес-развернул" - плавали, знаем. Перетащить виртуалку со всеми ее потрохами выходит гораздо проще. В условиях ESXi-фермы с vSwitch миграция вообще происходит "одной кнопкой". Восстановление из снапшота аналогично.

[s.lobanov]

Виртуализация удобна количеством сущностей, за которыми нужен уход. Т.е. бэкапится не конфиг, а снапшотится ВМ. Оверхед на диске? Ну да. Но при стоимости гигабайта места как-то даже несерьезно.

Насчет "забэкапил конфиги-перенес-развернул" - плавали, знаем. Перетащить виртуалку со всеми ее потрохами выходит гораздо проще. В условиях ESXi-фермы с vSwitch миграция вообще происходит "одной кнопкой". Восстановление из снапшота аналогично.

У админов фряшечек, которые наизусть знают где какой конфиг лежит и их синтаксис все эти удобства вызывают жуткий баттхёрт ибо их ценность на рынке труда падает

[Ivan_83]

Оверхед на диске? Ну да. Но при стоимости гигабайта места как-то даже несерьезно.

А оверхэд по процу, памяти и обслуживанию ещё одной ос?

 

У админов фряшечек, которые наизусть знают где какой конфиг лежит и их синтаксис все эти удобства вызывают жуткий баттхёрт ибо их ценность на рынке труда падает

Глупый троллинг.

В линупсе точно так же.

Только винда выигрывает от виртуализации, вот уж что действительно из бэкапа поднимать трудно и долго.

[taf_321]

А оверхэд по процу, памяти и обслуживанию ещё одной ос?

 

Кхм... Скажите, в случае отельной железки под эти задача что, все вот эти затраты волшебно пропадут (проц, уже не виртуальный, а настоящий, память, осблуживание ОС)?

[Mallorn]

У админов фряшечек, которые наизусть знают где какой конфиг лежит и их синтаксис все эти удобства вызывают жуткий баттхёрт ибо их ценность на рынке труда падает

Глупый троллинг.

В линупсе точно так же.

Только винда выигрывает от виртуализации, вот уж что действительно из бэкапа поднимать трудно и долго.

И то спорно, при наличии удачно спижженнного купленного и настроенного Acronis True Image бекап поднимается в несколько кликов мышкой на сервере.

[Night_Snake]

А оверхэд по процу, памяти и обслуживанию ещё одной ос?

Угу, держать под всякую мелочь гору тазиков конечно проще.

 

Реалии таковы, что виртуализацию, так или иначе, пользуют почти все - это просто удобней и дешевле, чем покупать тазики. Так что одна-две-три виртуалки с dns/syslog/ntp и т.д. погоды уж точно не сделают.

[snvoronkov]

Защищайте периметр сети, периметр виртуализации, и спите более менее спокойно.

 

Угу. А потом продаван принесет бота в офисную сеть... А виртуалку с клиентским форумом протроянят через свежую дырку в движке и она заработает как IRC-ботовод...

 

И. Эта. Ужо все типы возможных атак известны, чтобы от них защититься? Или таки каждый год их десятками изобретают?

 

Нравится валить все в виртуалки на одну/две физические шылизяки? Да ништяк! Продолжайте так и делать.

 

А только меня вот привычка раскидывать критические сервисы и дубли мониторинга по нескольким физически различным сервантам уже не раз спасала.

[zi_rus]

А виртуалку с клиентским форумом протроянят через свежую дырку в движке и она заработает как IRC-ботовод...

таки мы говорим за сервисы управляемые оператором, а не хостинг, давайте не путать теплое с мягким

 

раскидывать критические сервисы и дубли мониторинга по нескольким физически различным сервантам

раскидать и виртуалки можно

[Ivan_83]

Кхм... Скажите, в случае отельной железки под эти задача что, все вот эти затраты волшебно пропадут (проц, уже не виртуальный, а настоящий, память, осблуживание ОС)?

Угу, держать под всякую мелочь гору тазиков конечно проще. Реалии таковы, что виртуализацию, так или иначе, пользуют почти все - это просто удобней и дешевле, чем покупать тазики. Так что одна-две-три виртуалки с dns/syslog/ntp и т.д. погоды уж точно не сделают.

Я говорил про виртуализацию только сабжевых сервисов - её полезность весьма сомнительна.

Виртуализация удобна, для некоторых задач, но использовать её решительно везде и для всего просто маразм.

Если так нравятся кнопочки для запуска сервисов - вебмин или ещё какая морда даст такой же примерно эффект за меньший оверхэд абсолютно всех ресурсов для сабжевых сервисов.

 

И то спорно, при наличии удачно спижженнного купленного и настроенного Acronis True Image бекап поднимается в несколько кликов мышкой на сервере.

Что, вместо асусовской матери и и7 проца можно будет развернутся на амд е-350?

И оно даже загрузится без секса в консоле восстановления?

[alibek]

На виртуалках еще можно безболезненно экспериментировать.

Например сделать копию DNS-сервера и экспериментировать с настройками.

С железным сервером нужно быть осторожнее, и все равно остается риск что-нибудь сделать не так.

[zi_rus]

сабжевые сервисы именно по причине малого потребления ресурсов первые кандидаты на виртуализацию

[Ivan_83]

На виртуалках еще можно безболезненно экспериментировать. Например сделать копию DNS-сервера и экспериментировать с настройками. С железным сервером нужно быть осторожнее, и все равно остается риск что-нибудь сделать не так.

А что может пойти не так на реальном железе при экспериментах с этими сервисами?

Конфиг скопировал и тоже будет всё без проблем.

Можно и на другой порт посадить.

 

сабжевые сервисы именно по причине малого потребления ресурсов первые кандидаты на виртуализацию

Запускайте каждую программу и каждый скрипт в своей виртуалке.

Вообще не понятно зачем нам многозадачные ОС, у нас же теперь виртуализация есть. )

[s.lobanov]

Запускайте каждую программу и каждый скрипт в своей виртуалке.

Вообще не понятно зачем нам многозадачные ОС, у нас же теперь виртуализация есть. )

Вообщем-то такой концент уже потихоньку продвигают, особенно там где думают о безопасности и/или удобстве администрирования. Если говорить о безопасности, то традиционными способами типа запуска из-под user, в chroot-е и даже в контейнере так или иначе полноценной изоляции не добиться. Дыры в гипервизорах всё-таки куда реже находят, чем во всяких userspace-приложения, ядрах ОС и т.п., позволящие повысить привилегии и добраться до всего остального. А с учётом того, что много современного железа проектируют так, что оверхед при виртуализации минимален, то да, от многозадачных ОС уходят в кучу виртуалок. Даже термин есть такой appliance, когда софт распространяют не виде бинарных пакетов, инсталляторов, исходников или прочими консервативными способами, а в виде образа виртуальных машин, это реально очень удобно.

 

Я помню как-то ставил Huawei U2000 (проприетарная NMS от Huawei). Особенность этой штуки в том, что нужно найти ровно такую винду как в документации, установить патчи, указанные в доке, ещё какого-то софта строго определённых версий и т.д.(шаг влево, шаг вправо и оно не заведётся). Вообщем, у меня ушло около 2 дней, чтобы установить эту NMS по подробнейшей инструкции. И именно ради того, чтобы не заниматься всей этой ерундой придумали те самые appliance-ы. Одно приложение - одна виртуалка (понятно, что одно приложение это может быть не один процесс и поэтому там опять многозадачная ОС, но суть именно такова)

[snvoronkov]

А виртуалку с клиентским форумом протроянят через свежую дырку в движке и она заработает как IRC-ботовод...

таки мы говорим за сервисы управляемые оператором, а не хостинг, давайте не путать теплое с мягким

У вас личный кабинет для клиентов есть? А форум/форма для жалоб? И оно на хостинге с проколупанным к операторской базе тоннелем?

 

Еще раз: Я вовсе не против виртуалок. Только городить под каждый внутренний операторский сервис свою - это оверкилл. И складывать их на физически одну железку, как это предлагали в начале треда - глупость.

[zi_rus]

У вас личный кабинет для клиентов есть? А форум/форма для жалоб?

личный кабинет и форум также управляются оператором, находятся под его контролем и ответственностью и это не соотносится с:

виртуалку с клиентским форумом

[snvoronkov]

Пардон. Некорректно выразился. Форум для клиентов оператора. Так правильнее?

[Ivan_83]

Вообщем-то такой концент уже потихоньку продвигают, особенно там где думают о безопасности и/или удобстве администрирования. Если говорить о безопасности, то традиционными способами типа запуска из-под user, в chroot-е и даже в контейнере так или иначе полноценной изоляции не добиться.

Кроме венды, повышение привилегий редко где/когда встречалось.

Оверхэд в сравнении с chroot() + права + юзер просто дичайший.

Да, удобно бэкапить, переносить, но +1 система для обслуживания.

 

Даже термин есть такой appliance, когда софт распространяют не виде бинарных пакетов, инсталляторов, исходников или прочими консервативными способами, а в виде образа виртуальных машин, это реально очень удобно.

Это конечно имеет некоторые удобства для тех кто пользуется, но больше всего удобств для разработчиков:

- не нужно тестировать на разных платформах

- не нужно писать инструкций по установке

- можно полагаться на всякие грязные хаки

Напоминает как раньше программы некоторых моих однокурсников работали только на том компьютере на котором они их писали :)