Главная » Форум » Gentoo Linux » Системное администрирование

openvz насколько стабильна удобна?

scion 5 сентября, 2009 - 21:59

кто использовал, насколько стабильна? недавно поставил. Начал тестировать один из контайнеров на ddos так kernel panic поймал.... сервер прошлось кнопкой... пытался в течении недели несколько раз повторить больше паников не видел...

для достаточно нагруженных проектов кто-нибудь юзал?? какие впечатления?

‹ проброс unix сокета serial null modem ›
»

Алексий в конфе переодически

Автор NightNord, дата создания 5 сентября, 2009 - 23:26.

Алексий в конфе переодически жаловался, что какие-то нехорошие его машину в load average ~800 загоняли, которая вроде как на openvz как раз. И ничего. У меня сервер домашний, на него столь больших нагрузок не бывает, но под >1 нагрузкой он почти постоянно, ибо дохленький.

Вы какое ядро используйте? У меня стоит 27.9999 ядро, и вообщем-то после пары месяцев отлова ошибок и постоянных падений но работает без нареканий.

Удобно? Ну да, удобно, особенно в виду багов openrc. Есть небольшие проблемы с гентушными скриптами, которые поставляются из коробки, их надо допиливать для поддержки IPv6 на venet девайсах, к примеру.

Но это у меня все руки не доходят баг сделать.

Нету vps.* скриптов в поставке, но, опять же, есть как минимум несколько уже готовых вариантов - у меня с fstab-like конфигом или более простые скрипты в интернете в больших количествах.

Проблема с харденед имеется. В его отсутсвии. У меня есть наложенные hardened патчи на 27 ядро, но результат не стабилен и не виртуализирован. Остальные существующие системы RBAC, имеющиеся в ядре (в т.ч. SELinux), и иже с ними пока не поддерживаются (их надо отключать).

P.S. У ментейнеров тамошних есть забавная практика сразу после релиза начинать тестить ;) Поэтому обычно сами релизные ядра малопригодны, на них надо накладывать два-три последующих патча из гита =)

P.S.S. Если вы про удобство идеи "дешевой виртуализации" по сравнению с обычным подходом - так я уже и не думаю делать как-то иначе =). Чем проще система - тем лучше, а когда в системе стоит два десятка необходимых сервисов с зоопарком зависимостей, ее уже сложно назвать простой и вероятность проблем больше. (особенно в случае openrc который вечно что-то не то включает/отключает или просто зацикливается и начинает спаммить во все возможные выводы)

P.S.S.S. Ну и вам понадобится эффективная система генерации правил iptables, иначе замучаетесь прописывать все. В портаже есть как минимум ferm, на первый взгляд очень неплохая вещь, хотя ее я не использовал, ибо у меня есть свой мега-скрипт =).

P.многа.S. Да, вообщем-то еще крайне неплохо уметь писать скрипты на баше - серьезно упрощает вопросы обновления/проверки и выполнения любых действий на всех контейнерах

P.еще.больше.S. Ну и если есть мечта выпилить gcc из системы, то тут есть проблема в его библиотеках. Есть предположение, что гцц не надо выпиливать, а просто ему выставлять особые привилегии, чтобы использовать мог только portage. Если все контейнеры контролируются вами, компилировать лучше из HN при помощи ROOT= (или --root) либо через хитрые механизмы реализовывать "билд-хост" ибо иначе вам в контейнерах будет вечно не хватать памяти, особенно на 64битной машине.

»

спасибо за исчерпывающий

Автор scion, дата создания 6 сентября, 2009 - 00:16.

спасибо за исчерпывающий ответ.
openvz стоит ядро 2.6.18-128.2.1.el5.028stab064.4PAE т.к. на centos 5.3. (да и ментейнеры справно выпускают ядра для этого дистра... притом даже как-то более приоритетно... + вопрос с gcc не стоит... =) нафиг не нужен =)

"Ну и вам понадобится эффективная система генерации правил iptables, иначе замучаетесь прописывать все" уже написал скриптик =) тут всё просто...
"вообщем-то после пары месяцев отлова ошибок и постоянных падений" тут подробнее можно? почему падало? просто если у меня там что-то будет часто падать мене что-то оторвут =) расскажите где на грабли вставали... я ночевок в openvz боюсь где-нибудь что-нибудь недоглядеть...

»

Выкиньте этот цент он и его

Автор NightNord, дата создания 6 сентября, 2009 - 14:52.

Выкиньте этот цент он и его не стоит ;)

18 ядро - зомбоядро рхела, в котором строчек кода патчей больше чем во всем ядре. Оно, имхо, глючное по определению. Просто потому что никто толком не понимает, что там происходит. А если тронуть конфиг, то точно грохот на весь квартал будет.

В Самом Правильном Дистрибутиве™ есть такие версии:

     Available versions:  
        (2.6.18.028.056.1)      2.6.18.028.056.1!b!s
        (2.6.18.028.062.3)      (~)2.6.18.028.062.3!b!s
        (2.6.24.009.1-r2)       [M](~)2.6.24.009.1-r2!b!s
        (2.6.26-chekhov.1)      (~)2.6.26.1.1!b!s[1]
        (2.6.27-briullov.1)     (~)2.6.27.2.1!b!s[1]
        (2.6.27.2.1-r1) (~)2.6.27.2.1-r1!b!s
        (2.6.27-briullov.1-r2)  2.6.27.2.1-r2!b!s
        (2.6.27.9999)   [M]**2.6.27.9999!b!s [M]**2.6.27.9999!b!s[1]

Я говорил про 2.6.27.9999 в то время как он тока появился. Собсно тогда 2 месяца ловили критические баги, а больше нету. Где посмотреть? У них в багзилле/git'е =). Собсно если ядро не рхеловое, то конфиг почти любой катит, щас там вроде даже депендансы между openvz опциями и мейнлайн кусками уже прописаны толково, так что проблем быть не должно.

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".