GoldenLine
Zaloguj się

konto usunięte

Temat: wzajemnie bezpieczne virtualnehosty

Hej,

buduję serwer webowy, na różnych VHostach, mam różne rozwiązania (głównie w PHP).

Chciałbym je jak najlepiej odseparować od siebie w taki sposób by dany VHost miał dostęp do zasobów tylko dla niego przeznaczonych.

Poproszę o wskazówki :>
Link do wypowiedziLink
Przemek M.

Przemek M. Software Engineer,
TomTom

Temat: wzajemnie bezpieczne virtualnehosty

OpenVZ?
Link do wypowiedziLink

konto usunięte

Temat: wzajemnie bezpieczne virtualnehosty

Z poziomu systemu ngix+php-fpm z chroot ze wszelkimi + i - z tego wynikajacymi.
Link do wypowiedziLink

konto usunięte

Temat: wzajemnie bezpieczne virtualnehosty

uWSGI w trybie emperor + linuxowe namespace'e dla aplikacji + cgroup'y do limitowania zasobów

A jak to ma być N backedów to jeszcze load balancer z subskrypcjami
Link do wypowiedziLink
Łukasz C.

Łukasz C. Senior Technical
Architect

Temat: wzajemnie bezpieczne virtualnehosty

openvz / vserver / bsd jail albo poprostu postaw je w wirtualkach ;)
Link do wypowiedziLink
Michał Panasiewicz

Michał Panasiewicz Administrator
systemów, sieci i
aplikacji.

Temat: wzajemnie bezpieczne virtualnehosty

Łukasz M.:
uWSGI w trybie emperor + linuxowe namespace'e dla aplikacji + cgroup'y do limitowania zasobów

A jak to ma być N backedów to jeszcze load balancer z subskrypcjami

Pierwsza myśl po przeczytaniu pytania to Cgroups ,
tylko że pytajacy nie odpowiedział co rozumie przez Wirtualne Hosty ;): VPS (jaki) czy Virtual hosting

http://wolvverine.jogger.pl/2012/06/23/cgroups-zarzadz...

http://wolvverine.jogger.pl/2012/06/12/lxc-linux-conta...
Link do wypowiedziLink

konto usunięte

Temat: wzajemnie bezpieczne virtualnehosty

prostuje i dodaje szczegółów

Apache/VHOST

buduję zespół webdeveloperski dla firmy i w ramach organizacji zaczynamy hostować web aplikacje, na chwilę obecną głównie PHP, nie wszystkie są obsługiwane (dev,mainten) przez nasz zespół dlatego próbuję wypracować :

1. bezpieczne rozwiązanie, by aplikacje miały jak najbardziej ograniczone pole manewru
2. zautomatyzowany proces deploymentu

chciałbym to zrobić jak najmniejszym kosztem pracy i tak by maksymalnie efektywnie wykorzystać sprzęt
Link do wypowiedziLink
Łukasz C.

Łukasz C. Senior Technical
Architect

Temat: wzajemnie bezpieczne virtualnehosty

Tomasz Grzechowski:
prostuje i dodaje szczegółów
1. bezpieczne rozwiązanie, by aplikacje miały jak najbardziej ograniczone pole manewru
2. zautomatyzowany proces deploymentu

przerabiam ten temat na co dzien i moge Ci polecic infrastrukture oparta na wirtualkach (np xenserver) i serwerze CI jak jenkins

process wyglada tak ze np: tworzysz sobie szablon maszyny ze srodowiskiem testing/staging etc, nastepnie jak masz projekt dla jakiegos klienta to odpalasz z szablonu takie srodowisko, podpinasz instancje jako nody do jenkinsa i to on zajmuje sie deploymentem:
- potrafi polaczyc sie do dowolnego hostia via ssh
- jest hostoria budowania
- jest sporo triggerow do budowania, np zmiany w kodzie, cron, reczny trigger itp
- mozna skopiowac projekt deployowania w ciagu chwili jak np: chesz sprawdzic nowy branch zanim poleci na produkcje
- masz logowanie stdout i stderr w czasie rzeczywistym wiec wiadomo co sie dzieje na danym serwerze
- mozesz podpiac automatyzacje testow: jednostkowe (phpunit), regresyjne (phpunit + coverage), integracyjne (np: curl), akceptacyjne (selenium, behat, itp)
- maszyne z zdeployowanym oprogramowaniem mozesz szybko wystawic na produkcje kopiujac wirtualke lub skopiowac ja dla testera/developera zeby mogl na niej pracowac
- masz ACL do kontroili co i kto moze

z doswiadczenia wiem, ze zakladaniue ze na jednym serwerze mozna postawic wiele aplikacji (np apache vhost) jest bledne ze wzgledu na unifikacje konfiguracji i brak izolacji pomiedzy projektami, np: takie same nazwy baz danych, wspolne miejsca montowania zasobow, cache itp itd

openvz, vserver, jail moga byc fajne jak chcesz hostowac w produkcji mniejsze rzeczy i miec overselling ale w srodowisku developerskim jest zaduzo zmian i potrzeba bardziej elastycznych narzedzi

minus rozwiazania z wirtualizacja do koszt sprzetu ale gdybys byl zainteresowany to moge doradzic jak zrobic to taniej :)Łukasz C. edytował(a) ten post dnia 15.02.13 o godzinie 08:41
Link do wypowiedziLink
Piotr R.

Piotr R. ...

Temat: wzajemnie bezpieczne virtualnehosty

Też skłaniam się w stronę rozwiązania z virtualkami per aplikacja / grupa aplikacji. Przetrenowane w małym, dużym jak i wrednym środowisku - działa. Faktycznie rozwiązanie mało efektywne pod kątem zjadania zasobów ale sprzęt w dzisiejszych czasach jest tani a rozwiązanie ma jedną zaletę nie do przecenienia. Święty spokój :D Jak coś się sypnie to tylko w tej jednej aplikacji (VM). Jak ci ktoś przyjdzie i powie, że chce jakiś pakiet, który nie jest wspierany przez disto to się nie zastanawiasz czy komuś czegoś nie wysypiesz w innym miejscu tylko robisz i dostajesz odznakę super admina bo nie mędzisz. Jak trzeba to delegujesz większe uprawniania dla kogoś z dev'ów aby ci tyłka pierdołami nie zawracali. Może nie koniecznie xenserver tylko openvz lub ESXi (overbooking) ale generalnie w tym kierunku.
Link do wypowiedziLink
Łukasz C.

Łukasz C. Senior Technical
Architect

Temat: wzajemnie bezpieczne virtualnehosty

Piotr Rusoł:
Może nie koniecznie xenserver tylko openvz lub ESXi (overbooking) ale generalnie w tym kierunku.

Openvz odradzam, mialem problem z sypaniem sie wiekszych aplikacji np: java i problem z out of memory bo limity byly zbyt ostre, ja wiem mozna zwiekszyc ale jednak vm dziala stabilniej. Co do ESXi to jednak Xen tanszy ;)
Link do wypowiedziLink
Piotr R.

Piotr R. ...

Temat: wzajemnie bezpieczne virtualnehosty

Łukasz C.:
Piotr Rusoł:
Może nie koniecznie xenserver tylko openvz lub ESXi (overbooking) ale generalnie w tym kierunku.

Openvz odradzam, mialem problem z sypaniem sie wiekszych aplikacji np: java i problem z out of memory bo limity byly zbyt ostre, ja wiem mozna zwiekszyc ale jednak vm dziala stabilniej. Co do ESXi to jednak Xen tanszy ;)

No jak xen tańszy? Chyba że za używanie xena dopłacają bo od 2008 roku ESXi (wtedy ESX 3.5) jest za free i nic się nie zmieniło. Chyba że o czymś nie wiem. :)Piotr Rusoł edytował(a) ten post dnia 15.02.13 o godzinie 18:55
Link do wypowiedziLink
Łukasz C.

Łukasz C. Senior Technical
Architect

Temat: wzajemnie bezpieczne virtualnehosty

no ale vcenter juz chyba cos kosztuje a xencenter jest za free, afaik dopiero jak potrzebujesz HA to trzeba placic za licencje, choc nie dam sobie lba uciac ;)
Link do wypowiedziLink

konto usunięte

Temat: wzajemnie bezpieczne virtualnehosty

Za Xen-a się płaci ale to zależy jakie masz wymagania: http://www.citrix.com/products/xenserver/features/edit... ;) jak chcesz porządne hosty to musisz dopłacić za współdzielenie gpu.

Co do samego wątku może zobacz na rozwiązania linuxow coś jak ubuntu cloud (juju / maas)?
Link do wypowiedziLink
Rafał W.

Rafał W. hmmm

Temat: wzajemnie bezpieczne virtualnehosty

ispconfig załatwić ci sprawe, versja niestety 3.0.5 jest rc.
Link do wypowiedziLink

konto usunięte

Temat: wzajemnie bezpieczne virtualnehosty

Jeśli ktoś nie chce płacić za komercyjną wersję Citrix XenServera to polecam spróbować Xen Cloud Platform - praktycznie pełna funkcjonalność płatnych wersji XenSerwera, w 100% kompatybilne (budowane na kodzie Citrixa), jedyne czego brakuje to automatyczny failover który i tak w Citrixie kiepsko działa i lepiej to obudować własnymi skryptami. No i nie trzeba odnawiać licencji :) Od najnowszej wersji działa to naprawdę dobrze i powoli zastępuję tym swoje instalacje XenServera.

http://www.xen.org/products/cloudxen.html
Link do wypowiedziLink
Vladimir M.

Vladimir M. System Administrator
/ Architect / R&D

Temat: wzajemnie bezpieczne virtualnehosty

Z prostych rzeczy zobacz sobie mod_itk. To moduł ustawia uid+gid per virtualhost, zapewniając podstawową izolację. Nieźle działa również w połączeniu z klasycznym mod_php.

Pozdrawiam,
Vladimir

PS> Dzięki za poprawienie :)Vladimir M. edytował(a) ten post dnia 25.02.13 o godzinie 10:08
Link do wypowiedziLink

konto usunięte

Temat: wzajemnie bezpieczne virtualnehosty

mod_itk
Link do wypowiedziLink
Maciej Natan Milaszewski

Maciej Natan Milaszewski Kierownik dzialu IT
/ sys administrator

Temat: wzajemnie bezpieczne virtualnehosty

Łukasz C.:
Piotr Rusoł:
Może nie koniecznie xenserver tylko openvz lub ESXi (overbooking) ale generalnie w tym kierunku.

Openvz odradzam, mialem problem z sypaniem sie wiekszych aplikacji np: java i problem z out of memory bo limity byly zbyt ostre, ja


Kolego nie wiem jakie masz z tym doświadczenie ale ja z openvz pracuje na codzien - wszystko zależy od konfiguracji HNa jak masz własnego dedyka i na nim stawiasz opevz to mozesz sobie to dowolnie dostsowac i dowolnie modyfikować pod swoja aplikację itp. Mowiac prościej openvz to taki "prościejszy chroot" i tyle w temacie

Poco na muche wystawiać armate i bawic sie esxi czy citrixa itp jak mozna to zrobic prościej :)Maciej Natan Milaszewski edytował(a) ten post dnia 20.03.13 o godzinie 11:08
Link do wypowiedziLink
Łukasz C.

Łukasz C. Senior Technical
Architect

Temat: wzajemnie bezpieczne virtualnehosty

Maciej Natan Milaszewski:
Poco na muche wystawiać armate i bawic sie esxi czy citrixa itp jak mozna to zrobic prościej :)

Polemizowałbym co jest prostsze, citrix xen/xcp czy openvz, uzywam obydwu i jednak xena stawiasz z iso, podpinasz xen center i ogien, z openvz wiecej zabawy, nawet jesli uzywa sie ovz-web-panel, nie wspominajac o konfiguracji san, ha, migracjach, itp.
Link do wypowiedziLink
Adam Tomasz K.

Adam Tomasz K. Zaawansowana
modyfikacja
rzeczywistości.

Temat: wzajemnie bezpieczne virtualnehosty

W większości takich wypadków wystarczy Apache, FastCGI, osobne skrypty wrappery dla FastCGi per vhost, dobre prawa dostępu, ulimit, cgroup. Do tego można dodać jakiś prosty monitoring użycia zasobów - choćby Cacti.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

VboxManager - bezpieczne za...




Wyślij zaproszenie do
Anuluj