Ano cestou "virtualizace pro chude" (mnoho verejnych IP na em0) se vydam. Ta "lehkost" jailu se mi libi tuze a ted si nemuzu odpustit otazku, jak u takoveto virtualizace/izolace resite pristup ke zdrojum, pokud treba nektere jaily maji tendenci se "urvat" (zblazni se java server a rekne se o vsechnu RAM apod.).
Jde mi o kontrolu pristupu k CPU, RAM a SWAPu (pokud se tedy neda hodne RAM a SWAP se nezakaze).. Vse pres rctl/cpuset? U CPU jsem tam videl jen prirazeni jailu (procesu) na jedno/vice jader, nebo maximum procent, ktery jail/proces muze z CPU brat, coz ale znamena, ze pokud nastavim max 20%, tak to nedostane vic ani kdyz se stroj flaka a mohlo by to zrovna dostat vic CPU. Omezeni na cputime u serveru moc smysl nedava. Da se skutecne pomoci rctl/cpuset (dalsich) jaily rozumne ridit - nebo se obsahu jailu stale musi spise "duverovat"? A pak tu mame IO throttling (nekdo vyzere vsechny IOPS na discich) - to asi na 10.x nejde, ne? Ale na 11-CURRENT co mam na notebooku jsem pri aktualizaci zdrojaku kdesi zahledl, ze IO trhottling je novinka v GELI... Je to tedy uz mimo %subj%, same otazky a pate pres devate... pf > Petr Fischer wrote on 06/28/2016 18:22: > > > NAT mi ten provoz z jedný veřejný IP (na em0) do jailů (lo1, různá IP) > > nezajisti? > > Tady je dulezite vedet, jake sluzby a jak chces provozovat. > > Jestli chces jailama oddelit sluzby od sebe a navenek je provozovat na > jedne verejne IP, pak ti staci do jednoho jailu soupnout treba Postfix, > do druheho treba Apache a z te jedne verejne IP to portforwardovat / > NATovat do jednotlivych jailu. > > Pokud ale budes mit 5 jailu a v kazdem pobezi Apache na portu 80, no tak > je ven na jedne IP:80 nezverejnis pres port forwarding, ale jedine pres > reverzni proxy podle HTTP Host hlavicky. > > Ja vetsinou jaily pouzivam jako "virtualizaci pro chude" - v jailu jede > kompletni webserver (PHP, MySQL, FTP, SSH / SFTP) a bezi na verejne IP. > Tady nema smysl je spoustet na lo1 s privatni IP a pak delat BINAT / NAT > / RDR. > > V jednom pripade mam v jailu na lo1 jedinou sluzbu a tu pres Apache > reverzni proxy zverejnuju ven. > > Mirek > -- > FreeBSD mailing list ([email protected]) > http://www.freebsd.cz/listserv/listinfo/users-l -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
