# Diskussion Virtualisierung auf/von Servern

## slick

Ursprünglich war mein Post umfangreicher, aber ich fand es verwirrte nur. Daher halte ichs erstmal knappt, tiefer einsteigen kann man immernoch.

Ich möchte meinen Rootserver auf einen größeren wechseln. Da die Leitungsdaten des neuen Systems recht hoch sind, überlege ich einzelne Services in eigene virtuellen Maschinen auszulagern - für mehr Sicherheit und außerdem bin ich flexibler was spezielle Konfigurationen angeht.

Welche Vor- und Nachteile steht dem gegenüber und welche Lösungen sind praxistauglich in Bezug auf Sicherheit, Flexibilität, Wartbarkeit und Leistung?

----------

## misterjack

Ich habe auch einen Rootserver und darauf den Webserver als extra vServer und den Mailserver extra. Größter Vorteil für mich ist, dass man vServer äußerst bequem auf einen anderen migrieren kann. Ein Vorteil ist, wenn ein vServer gehackt wird, man geringeren Ausfall hat.

Ich nutze XEN, größter Nachteil ist der alte Kernel. Vorteil, die vServer verhalten sich wie native Server. Hatte auch mal OpenVZ ausprobiert, wenn man da einen vServer überlastet, kam es bei mir jedenfalls zu Datenverlusten. Das man mehrere Betriebssysteme zu verwalten hat, kann man als Nachteil sehen, ich finde es jedoch besser, da ein Server mit vielen Diensten komplexer ist, als einzelne auf die jeweiligen Dienste abgestimmte. XEN ist recht performant und bis auf den Kernel praxistauglich. Das Hostsystem kann man so sehr stark absichern, bis auf SSH sollte kein Dienst darauf laufen.

----------

## slick

Danke, die Infos sind schon recht hilfreich. Die älteren Kernel störten mich bei XEN auch. Das Lastproblem mit OpenVZ war mir so neu. Ich dachte bisher an eine VServer-Lösung für diverse Services (Webserver/..). Wie siehts da in der Praxis aus? 

Um den Mailserver noch besser abzuschotten wollte ich für diesen zusätzlich eine Emulation (z.B. mittels VirtualBox). Spricht etwas gegen diese Lösung/Mischung?

Noch eine Frage zum allgemeinen Konzept. Versch. Services brauchen Zugriff auf eine (bzw. die gleiche) Datenbank. Diese sollte auch performant sein. Sollte ich diese daher nicht virtualisieren (und direkt auf dem Host laufen lassen) und die Services der einzelnen Guest übers Netz darauf zugreifen lassen? Untergräbt das den Sicherheitsgedanken?

Oder wäre es besser das Hostsystem so klein wie möglich zu halten und alles (einzeln) virtualisieren?

----------

## misterjack

Kenn nur XEN, OpenVZ und Virtualbox. Letzteres nehme ich nur für Windows auf dem Desktop, habe daher keine Servererfahrung damit. In Bezug auf Sicherheit sehe ich bis auf aktuelle Kernelmodule keinen Unterschied.

Zur Datenbank, da MySQL recht unkompliziert ist, habe ich den auf dem Webvserver laufen. Man kann den natürlich auch in einem eigenen vServer laufen lassen, wenn die maschine das hergibt, absolut kein Problem. Wenn man den anderen vServer Zugriff erlauben möchte, muss man natürlich den Port 3306 öffnen, aber einfach mit iptables nur die jweiligen IPs erlauben. Untergräbt imo nicht den Sicherheitsgedanken, die DB-Server sogar auf extra Hosts laufen zu lassen ist ja bei größeren Architekturen üblich.

Wenn der Host gehackt wird, kann man den vServern nicht mehr trauen, deshalb ist es das beste, da nur SSH und die vServer laufen zu lassen. Hardened und andere Sicherheitsmaßnahmen sollten dabei für bessere Sicherheit helfen.

----------

## zyko

 *Quote:*   

> Welche Vor- und Nachteile steht dem gegenüber und welche Lösungen sind praxistauglich in Bezug auf Sicherheit, Flexibilität, Wartbarkeit und Leistung?

 

Ich kenne nur OpenVZ. OpenVZ hat bezüglich Wartbarkeit ein paar Vorteile. Man kann z.B. schnell und einfach das Produktivsystem in einen zweiten Container klonen und dort erstmal testweise Softwareupdates, neue Konfigurationen etc. ausprobieren. Falls alles gefällt kann man den Klon-Container ohne Downtime zum Produktivsystem umdeklarieren und das alte Produktivsystem einfach löschen. Es ist großartig, für die vielen kleinen Bastelstunden, die man als Serveradmin gerne mal einlegt, einfach einen separaten Container zu klonen, so kann man viel freier und ohne Angst vor der Downtime tüfteln  :Smile: 

Die Trennung in Mailserver, Webserver und Datenbankserver ist für die Sicherheit bestimmt von Vorteil. Ich würde alles, was mit Email zu tun hat, unbedingt vom Rest abtrennen.

 *Quote:*   

> Um den Mailserver noch besser abzuschotten wollte ich für diesen zusätzlich eine Emulation (z.B. mittels VirtualBox). Spricht etwas gegen diese Lösung/Mischung?

 

Was spricht denn dafür?

 *Quote:*   

> Hatte auch mal OpenVZ ausprobiert, wenn man da einen vServer überlastet, kam es bei mir jedenfalls zu Datenverlusten.

 

Kannst du das etwas näher ausführen? Sowas sollte eigentlich nicht passieren.

----------

## misterjack

 *zyko wrote:*   

> Man kann z.B. schnell und einfach das Produktivsystem in einen zweiten Container klonen und dort erstmal testweise Softwareupdates, neue Konfigurationen etc. ausprobieren

 

So wie hier beschreiben, ist das unter XEN auch kein großer Akt.

 *zyko wrote:*   

> Kannst du das etwas näher ausführen? Sowas sollte eigentlich nicht passieren.

 

Hab meinen Mailserver mal unter OpenVZ getestet und dabei den Durchsatz so hoch getrieben, dass die "failcnt" hoch gingen. Wenn dann Mails ohne jeglichen Inhalt ankommen, kann man von Datenverlust sprechen. Bei XEN passiert das nicht das einzige was man überlasten kann, ist Ram und Swap, mir jedoch nicht gelungen. Im Einsatz habe ich Qmail und Dovecot.

----------

## slick

 *zyko wrote:*   

>  *Quote:*   Um den Mailserver noch besser abzuschotten wollte ich für diesen zusätzlich eine Emulation (z.B. mittels VirtualBox). Spricht etwas gegen diese Lösung/Mischung? 
> 
> Was spricht denn dafür?

 

In meinen Augen ist das die bestmögliche  Kapselung. 

Verständnisfrage: Wenn ichs richtig verstanden habe nutzt XEN Diskimages und OpenVZ und VServer nutzen direkt das Host-Filesystem!?

----------

## misterjack

 *slick wrote:*   

> In meinen Augen ist das die bestmögliche Kapselung.

 

Inwiefern sollte Virtualbox mehr abkapseln als andere Virtualisierungstechniken?

 *slick wrote:*   

> Verständnisfrage: Wenn ichs richtig verstanden habe nutzt XEN Diskimages und OpenVZ und VServer nutzen direkt das Host-Filesystem!?

 

Jepp, ich habe LVM2 im Einsatz für XEN.

----------

## slick

 *misterjack wrote:*   

>  *slick wrote:*   In meinen Augen ist das die bestmögliche Kapselung. 
> 
> Inwiefern sollte Virtualbox mehr abkapseln als andere Virtualisierungstechniken?

 

Kann ich keine kompetente Antwort geben. War nur so ein Bauchgefühl. Aber wenn man logisch darüber nachdenkt dann ists das selbe.

Wie verhält sichs mit der Ressourcen-Verwaltung in Xen bzw. OpenVZ, speziell CPU/RAM Nutzung. Kann man die zur Laufzeit anpassen?

----------

## misterjack

Bei XEN kann man Ram zur Laufzeit anpassen und die Anzahl der CPUs. Da ich in meinen derzeitigen (noch) Rootserver einen Singlecore drin habe, habe ich letzteres noch nicht nutzen können. Wenn mehrere vServer volle CPU benötigen, wird die Rechenzeit zu gleichen Teilen vergeben.

OT: Habe selber auch vor, auf einen aktuellen Root zu wechseln

----------

## slick

Habe mich noch ein wenig belesen und kam zu dem Schluss das wohl KVM eine bessere Alternative zu Xen ist. Gibt es dazu praktische Erfahrungen?

----------

## AmonAmarth

 *slick wrote:*   

>  *misterjack wrote:*    *slick wrote:*   In meinen Augen ist das die bestmögliche Kapselung. 
> 
> Inwiefern sollte Virtualbox mehr abkapseln als andere Virtualisierungstechniken? 
> 
> Kann ich keine kompetente Antwort geben. War nur so ein Bauchgefühl. Aber wenn man logisch darüber nachdenkt dann ists das selbe.
> ...

 

bei openVZ kann man recht problemlos den jeweiligen containern RAM/CPU und verfügbaren festplattenspeicher zuweisen.

kleiner überblick findet sich auch bei wikipedia http://de.wikipedia.org/wiki/OpenVZ#Ressourcenverwaltung

oder tiefgreifendere informationen im openVZ wiki: http://wiki.openvz.org/Disk_quota http://wiki.openvz.org/Resource_shortage

----------

## misterjack

 *slick wrote:*   

> Gibt es dazu praktische Erfahrungen?

 

Die sammel ich in den nächsten Wochen, wenn ich dann meine Desktophardware aufgerüstet habe  :Smile: 

----------

## bbgermany

Hi,

 *slick wrote:*   

> Habe mich noch ein wenig belesen und kam zu dem Schluss das wohl KVM eine bessere Alternative zu Xen ist. Gibt es dazu praktische Erfahrungen?

 

ich habe mich schon mit beidem beschäftigt. Ein großes Problem von KVM ist, dass du zwingend eine CPU mit VT bzw. SVM benötigts um virtuelle Maschinen nutzen zu können. Xen ist auch möglich auf Maschinen ohne dieser Erweiterungen. Ich persönlich favorisiere jedoch auch KVM, schon aus dem Grund, dass ich das Gefühl hatte, dass die VMs irgendwie subjektiv schneller waren. Was auch ein großer Vorteil von KVM ist, dass du auch aktuellere Hardware nutzen kannst (ich hatte Probleme mit einer Netzwerkkarte, Kernel 2.6.18 bzw. Kernel 2.6.21 war nicht wirklich im Stande diese zu nutzen). Bei KVM kannst du auch weiter Treiber wie den fglrx oder nvidia nutzen. Bei Xen ist dies nicht so einfach möglich (diverse Patche, die nicht immer funktionieren, sind Voraussetzung).

Bei weiteren Fragen kannst du mich gerne ansprechen.

MfG. Stefan

----------

## misterjack

 *bbgermany wrote:*   

> Ein großes Problem von KVM ist, dass du zwingend eine CPU mit VT bzw. SVM benötigts um virtuelle Maschinen nutzen zu können.

 

Sterben die CPUs ohne Erweiterungen nicht eh aus? Sehe das nicht als großes Problem.

Edith meint, dass Intel nicht konsequent ist: http://de.wikipedia.org/wiki/Intel_Virtualization_Technology

 *bbgermany wrote:*   

> Bei KVM kannst du auch weiter Treiber wie den fglrx oder nvidia nutzen.

 

Naja das spielt auf Servern nun wirklich keine Rolle  :Smile: 

----------

## bbgermany

 *misterjack wrote:*   

> Naja das spielt auf Servern nun wirklich keine Rolle 

 

Das ist wohl wahr, jedoch verwende ich meinen Desktop doch eher als Testumgebung für potentielle VMs. Ab und zu will ich da auch mal drauf zocken bzw. ein paar nette Desktopeffekte haben, da machen sich solche Treiber immer recht gut für  :Very Happy:  und die VMs kann man dann einfach in die Echtumgebung verschieben, wenn man sie fertig konfiguriert hat  :Wink: 

MfG. Stefan

----------

## misterjack

Wenn man nach http://wiki.xensource.com/xenwiki/XenDom0Kernels geht, dann ist ab Xen4 der Einsatz aktueller Kernel wieder möglich. Das klingt schonmal nicht schlecht

----------

## trikolon

Vielleicht kann ich zum Xen und KVM Vergleich auch ein paar Sachen beitragen, da ich vor ein paar Monaten von Xen zu KVM gewechselt bin.

Positives an KVM:

- Aktueller Kernel

- Speedstepping funktioniert

- ich kann den fglrx Treiber ohne Probleme nutzen

Negatives an KVM:

- wenn man wie ich, einen LVM für die VMs nutzt und den Virtio Treiber kann es zu Filesystem Errors kommen, wenn die VM versucht die Barriers zu aktivieren. Diese sind aber durch LVM nicht verfügbar, folglich wird das FS ro und nichts geht mehr. Es gibt wohl Patches dafür, die aber leider noch nicht überall eingebaut wurden

- Netzwerkspeed ist bei mir mit virtio relativ lahm. Desktop to Host laut iperf ca 1Gbit, Desktop zu einer VM auf dem Host ca 200-300 mbit. Ich bilde mir ein, dass das unter Xen schneller ging, habs aber nie getestet.

----------

