ограничение ресурсов jail

[sintetic]

Приветствую, коллеги.

Никак не могу справится с возникшей задачей. Может кто чего подскажет...

Задача: построить сервер с виртуалками, которые будут выполнять задачи хостинга, почты, фтп, етс...
Для этого купил сервер XEON 1,8/2Gb ECC/2x250Gb wd re, поставил FreeBSD (лучше всего знаю эту ОС, поэтому она лучше подходит ). Создал 4 клетки - все хорошо работает. Далее проскочила мысль о том, что сервера на 4+ клетки может не хватить и было бы неплохо ограничить системные ресурсы доступные каждой клетке.

Поискал в сети данные по теме и понял, что их мало или я не там ищу просто... Как решение проблемы, вижу два варианта:
1. патчить ядро патчем от Cris Jones. Я списался с ним, он сказал, что патч будет работать тока на FreeBSD6-current. У меня, ну край 6.3 могу собрать. => не очень подходит/
2. В каждой клетке сделать файл login.conf. Сделал, но не могу проверить, что работает. Нет у меня достаточного понимания как это работает.

Ещё варианты?

И ещё... Я так понял, что каждую клетку лучше всего размещать на отдельных слайсах. Но когда понял, уже все было размещено на одном =( Тоже засада - не ясно как дисковое просраство ограничивать (в каметах к доке лисяры про клетки было написано, но что-то у меня не получилось опять же).

Коллеги, поделитесь своими мыслями на этот счет. Может FreeBSD+jail не подходит для организации сервера VDS? Может надо что-то другое применять? Спасибо.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

особо никак не ограничишь...
второй вариант - бесполезен - тот кто в клете сможет файл править... либо рута не давать ему.
=========
я бы в родительской машине тупо нарисовал скрипт киляющий всё что работает дольше 30 сеукунд, о чём и предупредил бы клиентов.

[sintetic]

Спасибо за быстрый ответ.

По файлу login.conf - думаю, не будут менять они ничего...
Касательно скрипта - я так понимаю, что это костыль типа login.conf, тока над клеткой... Вот может обсудим его работу?

Я прочитал большое количество документации, но так и не понял как именно вычисляется процессорное время потребляемое процессом, и что это именно (это же не процент использования процессорной мощности, а именно время.. как однажды квантом что ли обозвали эту величину). Как выбрать оптимальное значение? Ты говоришь 30 секунд.. а почему? Тоже самое касательно оперативной памяти. Ну с диском наверное как-нить разберусь.. там попроще я думаю будет. Я так думаю, что в корне не понимаю работу login.conf.. Разжуете? Или может надо что-то дополнительно изучить?

На чем обычно строят сервер VDS на агаве или русониксе например? Они jail используют?

[Alex Keda]

нет. они используют специальный ядрёный модуль который всё это умеет.
платный.

[sintetic]

Угу... Понятно. Дорого стоит? Где можно почитать о модуле?
В случае с клетками как лучше организовать?
И все же подниму неконкретный вопрос про login.conf. Как понять значения типа cputime, например? Может есть какая-то документация на русском, тяжело читаю на английском.

[princeps]

Несколько ограничить потребление винчестера jail'ами, можно, если поиграться с монтированием файловых систем в jail'е в ридонли.
http://www.samag.ru/cgi-bin/go.pl?q=art ... .2006;a=04 читал? там, кажется, написано про разные варианты jail'ов, в том числе и для хостинга.

[sintetic]

ага.. читал.
Оттуда много взял.

[sintetic]

up..
Посоветуйте где можно о login.conf прочитать доступно и понятно?

[manefesto]

кхе...

Код: Выделить всё

man login.conf

[zingel]

я думаю, что делать login.conf стоит для группы пользователей, а VPS/VDS строят на специальных файловых системах, OpenVZ, к примеру, там пользуется vznode, каждая отдельный chroot. Для фри не обязательно создавать каждому пользователю отдельный слайс, достаточно создать слайс для класса логинов, другими словами для группы пользователей и для этой же группы создать login.conf, ограничивать потребление клетки очень неплохо можно через MAC, фот такой конфиг ядра, очень действенно:

options MAC
options MAC_PARTITION
options MAC_BSDEXTENDED

и потом в login.conf указать критичные метки для каждой клетки.

[Alex Keda]

кстати, зингель прав.
но вот с маками я не развлкался...
поэтому пнуть куда надо не мог

[princeps]

Бляяя, а я тоже хотел посоветовать парню ман почитать, хорошо что манефесто мну опередил....

[dikens3]

up..
Посоветуйте где можно о login.conf прочитать доступно и понятно?

http://pascal.tsu.ru/unix/users/class.html

[zingel]

когда не знаеш что сказать, всегда можно посоветовать ман....

(поговорили с человеком в аскье, там сложная ситуация, очень интересная, нужно рубить процессы от разных клеток по CPU, по-этому я предложил метки MAC для UFS) Вообще с этим хорошо бы справились бы солярка или аикс...

[princeps]

когда не знаеш что сказать, всегда можно посоветовать ман....

Да в общем-то никто не спорит, просто чуваки, которым лень разбираться самим, а проще на форуме спросить попадаются с завидной регулярностью. Г-н Синтетик зря обругал ув. Манефесто - что

я реально не понимаю, что написано в мане, поэтому и апнул

у него на лбу не написано. Ну да ладно, это я так, к слову.

[manefesto]

у меня в день бывает по 2-3-4 вопроса возникает которые я не понимаю как решить....
Я ж с ними не бегу на форум....
Сяду лучше....поищу по инету и СВОИМ умом дойду как делать...man он и в африке man

а высказывание типа

Не надо мне говорить что надо читать, вы мне лучше скажите как сделать

меня бесят....инфы в инете полно....надо только её найти...
===========
Та же самая критика была в топике про блокирование icq

[zingel]

короче повернул его в сторону OpenVZ...оно и проще и понятнее.

[paradox]

еще можно посмотреть на Xen
вроде как под bsd
если ему это принципиально
что бы не линух

[sintetic]

Уважаемые коллеги. Кто "за" и "против" этого топика.

Я потратил двое суток на то, чтобы оценить работу WinXP+VMware player 1.0.6 (бесплатный), и понял... Что 4 юникса и 4 винды (2DC + 1term + 1user) живут в пределах заданных параметров под некоторой нагрузкой(!) в пределах моего несильного ноута!!!... За заданные пределы никакая из виртуалок не вышла (!)
Я с нагрузками этих ОС на мой ноутбук, вполне нормально пишу в форуме без видимых тормозов для меня и для пользователей (около 50).

Уважаемые, получается выгоднее поставить бесплатный VMplayer + 195$ WinXP(!), и не задавать здесь вопросов, которые обсирают, и на которые вменяемо не отвечают (простите читатели типа меня, и те люди, которые очень помогли по асе, жабберу и мсн, а не боты - типа "МАН" и "ты дибил")...

Получается вменяемый VDS не так просто построить.. Возможно при помощи "виртуально платного" патча (лис писал о нем в начале треда, но ничерта не раскрыл тему), или с помошью login.conf, некие параметры которого везде пояснять не хотят, да и не работает оно толком в такой ситуации (поищите в яху например...)

Че ХР сдел фриюникс? По-прежнему не хочу верить...
Итого!! WinXP выигрывает у FreeBSD по всем параметрам... Я в шоке!! ОС, которую я любил, делает 195$_M$ + БЕСПЛАТНЫЙ СОФТ... А в этом форуме мне "ман" посоветовали.. СПАСИБО, я 4 года использую фриюникс и наверное ни разу не читал великий "МАНбля"..

PS: ребята, про самбу в домене не подскажете... и на два канала я инет раздать никак не могу ... ой сложно мне.. памажите - тема отдельного топа или даже форума наверное ...

PPS: manifesto, тебе бы в ночной дозор наверное надо...

[f_andrey]

Уважаемые коллеги. Кто "за" и "против" этого топика.

Уважаемый топикстартер по моему не понимает отличий jail от виртуальной машины, побоюсь спросить о паравиртуализации он вообще слышал?
В общем как обычно решение проблемы сводится к ее точной формулировке.

[sintetic]

Я понимаю, что jail - не виртуальная машина, и имеет множество ограничений (общее ядро, ограниченая работа с сетью и т.д.). Но неужели нельзя ограничить поедаемые жайлом ресурсы? Я хотел, чтобы мне подсказали как такую задачку решать.. Может надо как-то иначе? Ну маны в таком случае точно не помогут..

Вещи типа openvz вроде как под линукс тока.

Что такое паравиртуализация? Никогда не слышал.

Формулировка по-моему прозрачна: купили сервер, нарезали жайлов, и хотим, чтобы на всех сервера хватило. Задачи простые хостинг, почта, етс. Жайлы нужны, чтобы не мешать друг другу. Все получилось вообще без проблем, кроме ограничения поедаемых жайлом ресурсов.

[paradox]

а прокакие ресурсы идет речь?
вроде login.conf в jail всегда был

[sintetic]

Тут обсуждали login.conf... У меня также был по нему вопрос касательно значения cputime.. Не очень понятно как подобрать значение этого параметра.
Остальное там более менее понятно.

[paradox]

:cputime=1h:
в jail неработает?

[sintetic]

да вроде работает.. А почему час, а не 10 секунд например?