Threaded Mode | Linear Mode

**fluser** · 10-28-2010 05:43 AM

Hallo zusammen

Ich weiss, das sich schon einige Leute mit dieser Frage ausseinander gesetzt haben, jedoch bin ich aus den meisten Posts nicht schlau geworden...

So, nun zu meiner Frage:
Ich überlege mir, ispCP in OpenVZ oder KVM zu virtualisieren. Zu OpenVZ stellt sich bei mir die Frage, wie fest ich den Gast (VM) absichern muss, dass bei einem Gehacktem Gastsystem, nicht den Kernel bzw. den Host angegriffen werden kann. OpenVZ gilt zwar als sehr sicher, jedoch hege ich doch meine Bedenken, vorallem, da ich nicht weiss, wo ich allfällige Löcher stopfen könnte.

(Bin abgeschweift beim Thema)
Da bei KVM alles vollständig virtualisiert und auf die Hardware fast direkt zugegriffen wird, ohne den Kernel des Hosts teilen zu müssen, stellt sich diese Sicherheitsfrage bei KVM nicht.

Meines erachtens ist der Vorteil bei OpenVZ, dass weniger Ressourcen (Ram) verbraucht wird. Zudem kann KVM Memory-Sharing und Balooning über den Linux-Kernel machen, damit nicht mehrmals von verschiedenen VMs die gleichen Prozesse mehrmals Arbeitsspeicher brauchen. Zudem sind die VMs megaschnell aufgestartet. Auch können CPUs und Arbeitsspeicher während dem Betrieb angepasst werden, was bei KVM nicht möglich ist.

Bei KVM ist der Vorteil, dass man einen normalen Server aufsetzen kann, wie man es so kennt. Zudem ist man nicht auf Templates und Linux beschränkt. Der Nachteil ist einfach, dass Memory-Balooning wegfällt.

(Wieder beim Thema)
Wer hat gute Erfahrung mit OpenVZ oder KVM (und spezifisch nur diese zwei Technologien) gemacht?
Vorallem welche Absicherungen und Vorkerungen habt ihr bei OpenVZ betrieben?

MlG Fluser

**ZooL** · 10-28-2010 02:55 PM

Da dieser Thread nicht viel mit ispCP zu tun hat verschiebe ich.

**fluser** · 10-28-2010 05:14 PM

Sorry, war wohl kurze Zeit mal etwas abwesend mit meinen Gedanken ;-)

**fluser** · 11-02-2010 05:48 PM

Keiner eine Meinung dazu? Oder vielleicht hilfreiche Tipps?

MlG Fluser

Knut · 11-03-2010 02:13 PM

(11-02-2010 05:48 PM)fluser Wrote: Keiner eine Meinung dazu? Oder vielleicht hilfreiche Tipps?

MlG Fluser

Ich habe mittlerweile alle via openVZ (und Proxmox) virtualisiert. Auf dem Host nur das allernötigste drauf und immer aktuell halten. Da ich nur Linux Guests brauche habe ich mir auch nur kurz andere VirtSysteme angeschaut. openVZ war für mich das einfachste, ressourcensparenste und schnellste System meiner Meinung nach.

Knut

**fluser** · 11-03-2010 07:51 PM

Hast du dein Linux in der OpenVZ noch irgendwie speziell abgesichert? Benutzt du die Live-Migration von Proxmox? Wenn ja, wie gut läuft das gesammte bei dir?

MlG Fluser

Knut · 11-03-2010 08:39 PM

Ausser die üblichen Sicherungsgeschichten (fail2ban usw.) läuft nichts besonderes auf dem Host.
Livemigration habe ich bisher noch nicht benötigt, ich habe Proxmox (bisher auf einem) nur aus Bequemlichkeit installiert. Wenn man nur openVZ verwendet ist es eigentlich auch überflüssig :-)

MasterTH · 11-04-2010 03:27 PM

ich habe auch alle meine Server unter Proxmox mit OpenVZ & KVM virtualisiert. Es besteht keinerlei möglichkeit als Gast auf den Kernel des Hosts zuzugreifen. Anders allerdings schon.
Du kannst ja ohne weiteres (ohne Passwort oder so) in die Gastmaschine wechseln. "vzctl enter CID". Bedeutet für deine Frage: Du solltest dir mehr Gedanken um dein Host-System machen.

LiveMigration macht nur dann wirklich Sinn wenn du nen zentrales Storage hast, ISCSI, NFS oder auch DRBD. Weil nur dann kannst du die Vorteile richtig ausspielen. Ansonsten ist LiveMigration eh kaum möglich, weil die Maschine ja nicht auf dem 2. Host existent ist und erst noch transferiert werden muss.

Leistung von openVZ: TOP. Kann ich nur jedem empfehlen. KVM mit Linux auch gut aber teilweise sind die IOs auf die HDD schon langsam, aber das liegt wahrscheinlich eher an den Gastsystemen Wink

(Windoof)

Gomez · 12-21-2010 06:02 PM

Ich habe mein Webhosting auch unter OpenVZ laufen. Bin mittlerweile sehr zufrieden.

Man muss jedoch die Einstellungen kennen und verstehen. Habe einige Zeit benötigt um die optimale Konfiguration zu finden. Die userbean_counter sollte man überwachen! Ich mach das mit nagios.

Eine frag an alle OpenVZ user:

Wie habt ihr ISPCP eine weiter IP zugewiesen? Ich habe venet0:0, diese kann ISPCP ansprechen. Nun habe ich dem OpenVZ Container eine weiter IP gegeben: venet0:1. Diese kann ich aber nicht auswählen Sad

Was muss ich in ISPCP einstellen damit diese Interface gefunden wir?

MasterTH · 12-23-2010 10:40 PM

einfach unter den ips eintragen?!

is ja nicht weiter als ne zusätzlich IP auf dme venet0

Threaded Mode \| Linear Mode Virtualisierung von ispCP Omega
Author	Message