Исходное сообщение
"(offtopic) виртуализация" Отправлено PereresusNeVlezaetBuggy, 09-Мрт-08 23:10
>>>>[...] виртуализация, она приносит проблем не меньше, чем решает >>>Вы точно сталкивались на практике? >>Не так часто, как некоторые, если говорить о VMWare/Xen/Qemu; Постоянно если о >>jail(2). > >jail -- ерунда, а не виртуализация :(  Главного -- управления ресурсами >-- толком нет. А оно не всегда и надо :) >[оверквотинг удален] >>Не видел ещё ни одной реализации, которая не добавляла бы реально <10% >>оверхеда. > >Посмотрите vserver (сопоставимо с jail) или лучше сразу openvz.  Последнее вполне >неплохо справляется с разруливанием приоритетов на CPU/RAM/IO: например, на конторе несколько >сборочных контейнеров и прочий мелкий интранет вполне уживаются на одном двухъядернике >(4Gb RAM и пачка дисков, по которым io разведено) с терминальным >сервером.  Проверяли расстановку приоритетов запуском трёх hasher'ов (формирует чистый чрут >для сборки, на чём "свой" тазик обычно просаживается весьма изрядно) и >при этом работой в браузере-офисе.  Хоть бы хны :) Посмотрю, может, что и пойдёт в продакшн... >(хотя коллега тут недавно показывал рядом qemu с kqemu и kvm -- >на глаз последний на AMD X2 действительно шустрей бегал, будто бы >"как родной"; kqemu и так довольно шустрый, но не настолько, чтоб >в livecd окошко браузера, тягаемое по экрану, совсем не "дребезжало" -- >с другой стороны, у того же Xen наиболее неприятный характер просадки >начинается при размножении контейнеров, а не просто запуске одного domU) kqemu пока заюзать не удалось, в OpenBSD он не стабилен (конкретно на обоих компах, на которых я гоняю такие вещи, оно бессовестно падает, хотя у кого-то работает без нареканий), а в других ОС тестить пока руки не доходили... Но наслышан, конечно. >>Нет, я не против виртуализации - она _удобна_, это факт, но считать >>её полноценной мерой защиты (особенно в свете участившихся в последнее время >>сообщений о побегах из гостевой ОС) я не могу. > >Ну об этом речи нет, конечно.  Хотя на практике применить даже >уязвимость класса local kernel для того, чтобы сбежать -- похоже, достаточно >сложно.  По крайней мере я пока о таких прецедентах не >слышал. Думаю, их и афишировать тоже никто из возможно пострадавших не собирается ;) >[оверквотинг удален] >>(эх, зачем я только полез читать Core 2 Errata... жил бы спокойно:) >>) или Web-CMS. А они (проблемы) - будут. Поэтому лично я >>не вижу смысла вкладываться в потенциальный источник проблем сейчас. > >Гм.  Я предпочитаю приличные CMS (ту же TYPO3), приличные процессоры (из >того, что покупаю сейчас -- обычно AMD) и соответственно приличные системы >виртуализации (опять же OpenVZ). > >Ничего, пока вполне себе отбиваются :)  Всё заранее не просчитаешь, хотя >где проблемы видны заранее -- конечно, лучше их не огребать. Никто и не спорит, что есть хорошие продукты. Правда, зачастую ещё и возникает проблема их стыковки, но это уже совсем отдельная песня :) >Сам вот думаю прикручивать в одном месте http://racktables.org для отслеживания стопки серверов >со стопкой контейнеров каждый, ну и в более протяжённом времени -- >чего-нить на alterator соорудить. У нас в конторе тоже в их сторону смотрели, но потом оставили свою пустячную разработку, т.к. хотя она и не такая красивая и более "тупая", но для конкретно наших условий подходит лучше. :) Сделали банально на XML+XSLT, никаких серверных скриптов, изменения через cvs, make для проверки - просто и надёжно :)

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>>>>[...] виртуализация, она приносит проблем не меньше, чем решает >>>>Вы точно сталкивались на практике? >>>Не так часто, как некоторые, если говорить о VMWare/Xen/Qemu; Постоянно если о >>>jail(2). >> >>jail -- ерунда, а не виртуализация :( Главного -- управления ресурсами >>-- толком нет. > А оно не всегда и надо :) >>[оверквотинг удален] >>>Не видел ещё ни одной реализации, которая не добавляла бы реально <10% >>>оверхеда. >> >>Посмотрите vserver (сопоставимо с jail) или лучше сразу openvz. Последнее вполне >>неплохо справляется с разруливанием приоритетов на CPU/RAM/IO: например, на конторе несколько >>сборочных контейнеров и прочий мелкий интранет вполне уживаются на одном двухъядернике >>(4Gb RAM и пачка дисков, по которым io разведено) с терминальным >>сервером. Проверяли расстановку приоритетов запуском трёх hasher'ов (формирует чистый чрут >>для сборки, на чём "свой" тазик обычно просаживается весьма изрядно) и >>при этом работой в браузере-офисе. Хоть бы хны :) > Посмотрю, может, что и пойдёт в продакшн... >>(хотя коллега тут недавно показывал рядом qemu с kqemu и kvm -- >>на глаз последний на AMD X2 действительно шустрей бегал, будто бы >>"как родной"; kqemu и так довольно шустрый, но не настолько, чтоб >>в livecd окошко браузера, тягаемое по экрану, совсем не "дребезжало" -- >>с другой стороны, у того же Xen наиболее неприятный характер просадки >>начинается при размножении контейнеров, а не просто запуске одного domU) > kqemu пока заюзать не удалось, в OpenBSD он не стабилен (конкретно на > обоих компах, на которых я гоняю такие вещи, оно бессовестно падает, > хотя у кого-то работает без нареканий), а в других ОС тестить > пока руки не доходили... Но наслышан, конечно. >>>Нет, я не против виртуализации - она _удобна_, это факт, но считать >>>её полноценной мерой защиты (особенно в свете участившихся в последнее время >>>сообщений о побегах из гостевой ОС) я не могу. >> >>Ну об этом речи нет, конечно. Хотя на практике применить даже >>уязвимость класса local kernel для того, чтобы сбежать -- похоже, достаточно >>сложно. По крайней мере я пока о таких прецедентах не >>слышал. > Думаю, их и афишировать тоже никто из возможно пострадавших не собирается ;) >>[оверквотинг удален] >>>(эх, зачем я только полез читать Core 2 Errata... жил бы спокойно:) >>>) или Web-CMS. А они (проблемы) - будут. Поэтому лично я >>>не вижу смысла вкладываться в потенциальный источник проблем сейчас. >> >>Гм. Я предпочитаю приличные CMS (ту же TYPO3), приличные процессоры (из >>того, что покупаю сейчас -- обычно AMD) и соответственно приличные системы >>виртуализации (опять же OpenVZ). >> >>Ничего, пока вполне себе отбиваются :) Всё заранее не просчитаешь, хотя >>где проблемы видны заранее -- конечно, лучше их не огребать. > Никто и не спорит, что есть хорошие продукты. Правда, зачастую ещё и > возникает проблема их стыковки, но это уже совсем отдельная песня :) >>Сам вот думаю прикручивать в одном месте http://racktables.org для отслеживания стопки серверов >>со стопкой контейнеров каждый, ну и в более протяжённом времени -- >>чего-нить на alterator соорудить. > У нас в конторе тоже в их сторону смотрели, но потом оставили > свою пустячную разработку, т.к. хотя она и не такая красивая и > более "тупая", но для конкретно наших условий подходит лучше. :) Сделали > банально на XML+XSLT, никаких серверных скриптов, изменения через cvs, make для > проверки - просто и надёжно :)
	Введите код, изображенный на картинке: