>>>>[...] виртуализация, она приносит проблем не меньше, чем решает
>>>Вы точно сталкивались на практике?
>>Не так часто, как некоторые, если говорить о VMWare/Xen/Qemu; Постоянно если о
>>jail(2).
>
>jail -- ерунда, а не виртуализация :( Главного -- управления ресурсами
>-- толком нет. А оно не всегда и надо :)
>[оверквотинг удален]
>>Не видел ещё ни одной реализации, которая не добавляла бы реально <10%
>>оверхеда.
>
>Посмотрите vserver (сопоставимо с jail) или лучше сразу openvz. Последнее вполне
>неплохо справляется с разруливанием приоритетов на CPU/RAM/IO: например, на конторе несколько
>сборочных контейнеров и прочий мелкий интранет вполне уживаются на одном двухъядернике
>(4Gb RAM и пачка дисков, по которым io разведено) с терминальным
>сервером. Проверяли расстановку приоритетов запуском трёх hasher'ов (формирует чистый чрут
>для сборки, на чём "свой" тазик обычно просаживается весьма изрядно) и
>при этом работой в браузере-офисе. Хоть бы хны :)
Посмотрю, может, что и пойдёт в продакшн...
>(хотя коллега тут недавно показывал рядом qemu с kqemu и kvm --
>на глаз последний на AMD X2 действительно шустрей бегал, будто бы
>"как родной"; kqemu и так довольно шустрый, но не настолько, чтоб
>в livecd окошко браузера, тягаемое по экрану, совсем не "дребезжало" --
>с другой стороны, у того же Xen наиболее неприятный характер просадки
>начинается при размножении контейнеров, а не просто запуске одного domU)
kqemu пока заюзать не удалось, в OpenBSD он не стабилен (конкретно на обоих компах, на которых я гоняю такие вещи, оно бессовестно падает, хотя у кого-то работает без нареканий), а в других ОС тестить пока руки не доходили... Но наслышан, конечно.
>>Нет, я не против виртуализации - она _удобна_, это факт, но считать
>>её полноценной мерой защиты (особенно в свете участившихся в последнее время
>>сообщений о побегах из гостевой ОС) я не могу.
>
>Ну об этом речи нет, конечно. Хотя на практике применить даже
>уязвимость класса local kernel для того, чтобы сбежать -- похоже, достаточно
>сложно. По крайней мере я пока о таких прецедентах не
>слышал.
Думаю, их и афишировать тоже никто из возможно пострадавших не собирается ;)
>[оверквотинг удален]
>>(эх, зачем я только полез читать Core 2 Errata... жил бы спокойно:)
>>) или Web-CMS. А они (проблемы) - будут. Поэтому лично я
>>не вижу смысла вкладываться в потенциальный источник проблем сейчас.
>
>Гм. Я предпочитаю приличные CMS (ту же TYPO3), приличные процессоры (из
>того, что покупаю сейчас -- обычно AMD) и соответственно приличные системы
>виртуализации (опять же OpenVZ).
>
>Ничего, пока вполне себе отбиваются :) Всё заранее не просчитаешь, хотя
>где проблемы видны заранее -- конечно, лучше их не огребать.
Никто и не спорит, что есть хорошие продукты. Правда, зачастую ещё и возникает проблема их стыковки, но это уже совсем отдельная песня :)
>Сам вот думаю прикручивать в одном месте http://racktables.org для отслеживания стопки серверов
>со стопкой контейнеров каждый, ну и в более протяжённом времени --
>чего-нить на alterator соорудить.
У нас в конторе тоже в их сторону смотрели, но потом оставили свою пустячную разработку, т.к. хотя она и не такая красивая и более "тупая", но для конкретно наших условий подходит лучше. :) Сделали банально на XML+XSLT, никаких серверных скриптов, изменения через cvs, make для проверки - просто и надёжно :)