Как перестать боятся jails и начать просто ими пользоваться?

[Алекс]

Добрый день.
Статей по Jail много, и все сводятся к одному собрать и пересобрать.
ezjail как оказалось в 10.3 не работает.
На сегодняшний момент установлена 10.3 и обновляется бинарно.
Создал директорию базовую usr/Jails в ней base103x64 базовая система развернута из base с ftp
И дальше не понятно как настраивать jail для нескольких машин с использованием base103x64.
А стоило ли создавать базовую и как потом ее обновлять даже бинарно.
Подскажите правильное направление к действиям !!!

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[guest]

Добрый день.
Статей по Jail много, и все сводятся к одному собрать и пересобрать.
ezjail как оказалось в 10.3 не работает.

Вас обманули, ezjail работает в 10.x .
В портах есть лучше решения для управления jail'ами: iocage, cbsd ...
Но лучшие решения завязаны на ZFS.

На сегодняшний момент установлена 10.3 и обновляется бинарно.
Создал директорию базовую usr/Jails в ней base103x64 базовая система развернута из base с ftp
И дальше не понятно как настраивать jail для нескольких машин с использованием base103x64.
А стоило ли создавать базовую и как потом ее обновлять даже бинарно.
Подскажите правильное направление к действиям !!!

"Правильное" решение - для каждого свое и зависит от знания и понимания работы jails:
- либо используете готовые порты и они _все_ делают за Вас
- либо пишите свою обвязку для jails
- либо используете ядро GENERIC, системный запуск jail с jail.conf и freebsd-update

Base Jail - базовая система FreeBSD для jails с ОДНОЙ версией системы, из дистрибутива создаются:
bin/sbin/libs & etc - которые будут общими для всех jail'ов и затем через nullfs монтируются
внутрь каждого jail'а, а в нем симлинки, а /var /usr/local, что-то еще - свои в каждом jail,
можно общие или раздельные /usr/ports... Это ньюансы...

Делается это для "экономии" места, хотя система ~2GB.

Какие проблемы возникают:
- необходима синхронизация host и jail
- проблемы у freebsd-update с симлинками
- проблемы у mergemaster и mtree

Все они решаемы, sorry, проблемы по памяти, часть их связные и растут одна из другой

Как-то так.

[Алекс]

ezjail, 10.3 отказалась запускать и предложила мигрировать на jail.conf .

В портах есть лучше решения для управления jail'ами: iocage, cbsd ...
Но лучшие решения завязаны на ZFS.

Еще бы литература и статьи были бы актуальными, цены бы им не было.
А так сплошные бои с тараканами.
неделю по кругу хожу вокруг jail`a.

"Правильное" решение - для каждого свое и зависит от знания и понимания работы jails:
- либо используете готовые порты и они _все_ делают за Вас
- либо пишите свою обвязку для jails
- либо используете ядро GENERIC, системный запуск jail с jail.conf и freebsd-update

Делается это для "экономии" места, хотя система ~2GB.

10.3 по сравнению с 6 версией сильно изменилась и много нового появилось.
На сегодняшний момент пока стоит хост с ipfw используется freebsd-update.
Проверяет и закачивает , потом сообщает. Для меня удобно.
Насчет экономии места, спорить не буду, читал, что для безопасности сервера он.
Так как все таки настроить родной jail и использовать freebsd-update.

[f_andrey]

Так вы бы может написали, в чём у вас проблему, ну вот почти первая ссылка в гугле https://forums.freebsd.org/threads/55718/ вполне всё вроде работает.

По информации, да маловато, но по базовым вещам вполне можно найти, опять же главное определится что вы ищите.

[guest]

Еще бы литература и статьи были бы актуальными, цены бы им не было.
А так сплошные бои с тараканами.
неделю по кругу хожу вокруг jail`a.

а без статей уже никак?

10.3 по сравнению с 6 версией сильно изменилась и много нового появилось.
На сегодняшний момент пока стоит хост с ipfw используется freebsd-update.
Проверяет и закачивает , потом сообщает. Для меня удобно.
Насчет экономии места, спорить не буду, читал, что для безопасности сервера он.
Так как все таки настроить родной jail и использовать freebsd-update.

причем тут 6'ая версия?

Установите 10.3R в виртуалке и тренируйтесь, появятся вопросы - welcome.

А пока Вы не в зуб ногой и хотите чтобы Вам все разжевали, для этого есть курсы.

[Алекс]

На 6 когда то работал. А сейчас на 10.3 вот и вся разница. Как пример установка 6 версии и сейчас установка 10 версии - небо и земля.

а без статей уже никак?

Как понимаю , вы можете и без статей и без книг. Вы являетесь разработчиком данной системы поэтому вы можете и без обойтись.

Установите 10.3R в виртуалке и тренируйтесь, появятся вопросы - welcome.
А пока Вы не в зуб ногой и хотите чтобы Вам все разжевали, для этого есть курсы.

Вопрос задан, если в вопросе мало информации так и скажите.
А показывать, что вы гуру и лучше всех это не красит абсолютно.
На подумать " на машине кто то ездит, а кто то ее ремонтирует". Вы и ездите и сами коробку автомат чините и двигатель и бортовой компьютер и подушки безопасности. Даже знаете как они устроены и работают, вообще про легковые авто вы знаете все. Но думаю скорей всего вы просто ездите на машине а ремонт и ТО в сервисе. Возвращаясь к вашему ответу, когда вы на сервисе ТО проходите вам там слесаря говорят как правильно нужно рулить , кнопочки нажимать и т.д. , и добавляют перед тем как ездить нужно курсы пройти и потренироваться. Если вам кто то испортил настроение, поднимите руку в верх и быстро опустите ее со словами все равно будет лучше чем было.
Возвращаемся к теме.
Установлена 10.3, перезборка ядра и мира не делалась как было раньше на 6 версии. Решено использовать freebsd-update.
раз уж freebsd-update появилась и работает и меня устраивает.
как уже было сказано Jail можно реализовать 3 способами.
-собрать из исходников
- использовать дополнительное ПО
- использовать функционал самой 10.3
Инфы по собрать много и проблема как я понимаю потом одна, что бы залатывать дыры в ПО нужно опять пересобирать а это время и простой сервера.
Доп ПО решено тоже не использовать, при смене версии на более новую или установке заплатки или глобальном изменении возможен отказ в работе сервера из за не поддержки или миграции.
Так вот 3 вариант.
Не нашел в инете в литературе как он реализовывается.
Кто то же знает читал и реализовывал.
Просьба подсказать направление действий.

[guest]

На 6 когда то работал. А сейчас на 10.3 вот и вся разница. Как пример установка 6 версии и сейчас установка 10 версии - небо и земля.

практически, никакой разницы в установке нет.

а без статей уже никак?

Как понимаю , вы можете и без статей и без книг. Вы являетесь разработчиком данной системы поэтому вы можете и без обойтись.

могу, ибо системный администратор.

обиделись... ну что Вы...

Вопрос задан, если в вопросе мало информации так и скажите.

информация? где? может кто-то заметил?

А показывать, что вы гуру и лучше всех это не красит абсолютно.

лучшая защита незнайки - нападение... Только это для "юношей со взором горящим", - не трогает...

На подумать " на машине кто то ездит, а кто то ее ремонтирует". Вы и ездите и сами коробку автомат чините и двигатель и бортовой компьютер и подушки безопасности. Даже знаете как они устроены и работают, вообще про легковые авто вы знаете все. Но думаю скорей всего вы просто ездите на машине а ремонт и ТО в сервисе.

Не в тему пример, Unix - конструктор, зачем Вам кубики, если Вы их складывать не умеете...

Возвращаясь к вашему ответу, когда вы на сервисе ТО проходите вам там слесаря говорят как правильно нужно рулить , кнопочки нажимать и т.д. , и добавляют перед тем как ездить нужно курсы пройти и потренироваться. Если вам кто то испортил настроение, поднимите руку в верх и быстро опустите ее со словами все равно будет лучше чем было.

сервис - это форум, а участники - слесаря, а Вы - барин, зашли за "СТАТЬЕЙ"

Вам на bsdportal.ru расписали.

[Алекс]

практически, никакой разницы в установке нет.

Вы определитесь практически или никакой.
Хотя для вас и нет разницы, после скольки там лет )

могу, ибо системный администратор.

Теперь понятно, кто книги и статьи читает перед тем как что то пытаться делать
у других учится, тот "...." по вашему.
А вы получается есть задача , реализовываете методом научного тыка. Кубики складываете. )
А если на ребро кубик поставите после тыка на "боевом" . )

обиделись... ну что Вы...
Вопрос задан, если в вопросе мало информации так и скажите.
информация? где? может кто-то заметил?
А показывать, что вы гуру и лучше всех это не красит абсолютно.
лучшая защита незнайки - нападение... Только это для "юношей со взором горящим", - не трогает...
На подумать " на машине кто то ездит, а кто то ее ремонтирует". Вы и ездите и сами коробку автомат чините и двигатель и бортовой компьютер и подушки безопасности. Даже знаете как они устроены и работают, вообще про легковые авто вы знаете все. Но думаю скорей всего вы просто ездите на машине а ремонт и ТО в сервисе.
Не в тему пример, Unix - конструктор, зачем Вам кубики, если Вы их складывать не умеете...

Вот как то нет желания кубики на ребро в башенку складывать.

сервис - это форум, а участники - слесаря, а Вы - барин, зашли за "СТАТЬЕЙ"
Вам на bsdportal.ru расписали.

На bsdportal.ru посмотрел. Больше вопросов только стало.
СТАТЬИ пишут многие и стиль написания у них разный.
Но хороших статей мало по многим вопросам.
От вас кроме как "Я", так дельного и не поступило.
Что конкретно вы рекомендуете из вашего опыта, а не из статей ) ???

[f_andrey]

Что конкретно вы рекомендуете из вашего опыта, а не из статей ) ???

Начать наконец что то делать и ставить конкретные вопросы, вот тут я прочитал так, ввёл это, получилось вот так, а ожидал этак.

Без этого вы можете ещё сколько угодно упражняться тут в словословии, нам конечно не привыкать, но и вам толку будет не много

[guest]

Теперь понятно, кто книги и статьи читает перед тем как что то пытаться делать
у других учится, тот "...." по вашему.

Читать Вы не умеете и не хотите, но и писать не умеете, см верхнюю сентенцию

А вы получается есть задача , реализовываете методом научного тыка. Кубики складываете. )
А если на ребро кубик поставите после тыка на "боевом" . )

Изучаю документацию, man'ы, читаю списки рассылки FreeBSD, затем собираю стенд
или решаю задачу под Виртуальными машинами.

А показывать, что вы гуру и лучше всех это не красит абсолютно.

Это Ваши показания, если вдруг Вы не замечаете или не осознаете что пишите.

Вот как то нет желания кубики на ребро в башенку складывать.

Понятно, что ж тут непонятного, пусть другие потеют и изучают, и еще
статьи пишут, да не простые, а чтобы все разжевать, еще лучше тык by тык,
зачем думать, лучше готовые кубики взять, еще лучше - не простые кубики,
а на все случаи жизни.

На bsdportal.ru посмотрел. Больше вопросов только стало.

ЧТД - вопросом Вы не просто не владеете, а не имеете представления.

СТАТЬИ пишут многие и стиль написания у них разный.
Но хороших статей мало по многим вопросам.

Ваши подходы к Системе, к работе и остальные принципы - понятны, можете
не повторяться.

От вас кроме как "Я", так дельного и не поступило.
Что конкретно вы рекомендуете из вашего опыта, а не из статей ) ???

Не передергивайте, везде - Ваше "Я" и "Претензии", пока лишь к тем кто пишет
статьи, но и из этого видны претензии к разработчикам - отсутствие документации
УСТРАИВАЮЩЕЙ Вас.

Если у Вас UFS - воспользуйтесь ezjail и разберите как он работает.
С ZFS лучше cbsd, iocage и смотрите как они работают, поймете смысл

Если кубиками не владеете, warden из портов или что-то gui или web-based.

Из своего опыта:
- jail + vnet (vimage в ядро) со своими скриптами
или
- cbsd или iocage с ZFS

[Алекс]

Из всего выше написанного и сказанного, а так же bsdportal.ru
имеем хост машину 10.3 с UFS.(Выбор был основан на статьях, форумах и рекомендациях специалистов какая ФС с чем лучше работает)
Задача максимально облегчить обслуживание используя стандартные средства, т.е.
обновление freebsd-update хоста.
Максимально обезопасить хост. Для этого как понимаю и используется Jail для сервисов и служб.

С материалов bsdportal.ru есть 3 варианта как я понял создать "базу" и в каждую VM монтировать нужные директории из базы или в каждую vm развернуть из архива BASE с ftp нужные директории и 3 вариант сам напрашивается подмонтировать из хост системы нужные папки в vm. Режим монтирования как понимаю должен быть read - only.
Монтируемые или развернутые из архива
/usr (целиком или только /bin; /sbin;)
/bin;
/sbin.
Вопрос.
Как хост система понимает, что у нее появились допустим vm, vm1, vm2, vm3 и т.д. ???
Данный вопрос появился так как freebsd-update -b /jails/10.1-RELEASE-amd64 fetch а потом install
как понимаю выполняет обновление VM в Jail установленных.

[guest]

Из всего выше написанного и сказанного, а так же bsdportal.ru
имеем хост машину 10.3 с UFS.(Выбор был основан на статьях, форумах и рекомендациях специалистов какая ФС с чем лучше работает)
Задача максимально облегчить обслуживание используя стандартные средства, т.е.
обновление freebsd-update хоста.
Максимально обезопасить хост. Для этого как понимаю и используется Jail для сервисов и служб.

С материалов bsdportal.ru есть 3 варианта как я понял создать "базу" и в каждую VM монтировать нужные директории из базы или в каждую vm развернуть из архива BASE с ftp нужные директории и 3 вариант сам напрашивается подмонтировать из хост системы нужные папки в vm. Режим монтирования как понимаю должен быть read - only.
Монтируемые или развернутые из архива
/usr (целиком или только /bin; /sbin;)
/bin;
/sbin.
Вопрос.
Как хост система понимает, что у нее появились допустим vm, vm1, vm2, vm3 и т.д. ???
Данный вопрос появился так как freebsd-update -b /jails/10.1-RELEASE-amd64 fetch а потом install
как понимаю выполняет обновление VM в Jail установленных.

Система ничего не понимает, понимает администратор, который создает JAIL-VM:

vm1 --- path ---> /jails/vm1/...
vm2 --- path ---> /jails/vm2/...

клетки запускаются утилитой jail:
# jail -c host=test host.hostname=test.domain name=test path=/jails/vm1 ip4.addr=192.168.1.1 persist

где -c - создать клетку, после создания можно модифицировать -m или remove -r, -rc restart...
host, host.hostname, name, а path указывает путь к корню клетки & etc -> параметры запуска, см man jail

# man jail
# jail –c host.hostname=test.domain name=test path=/ ip4.addr=192.168.1.1 persist
# jls
# jexec 1 /bin/sh
> ps axuww
> exit
# jail -r 1

В jail.v2 и FreeBSD 10.1/10.2/10.3 - изменились:
- /etc/rc.d/jail - больше не используются rc-парметры jail_name_option
- запуск jail -> использует параметры командной строки или /etc/jail.conf

Ezjail -> ezjail-admin -> использует свой кофиг для каждой ВМ: /usr/local/etc/ezjail/name.conf
парсит и запускает ВМ посредством скрипта /etc/rc.d/jail с передачей параметров
jail_name_parameters. Данный вызов устарел, см выше, но пока работает, за исключением
изменения ряда параметров --> см. man jail.
И указанием devfs_rulesets по номеру, а не по имени.
В итоге, ezjail работает, правда выдает смущающее сообщение.
Можно немного поправить ezjail-admin на предмет дополнительных или изменившихся параметров
jail -> man jail

Update:
- в случае base - достаточно только его обновить (машины придется остановить)
- в случае полных ВМ - обновлять каждую

если VM в /jails/vm1:
# freebsd-update -b /jails/vm1 command

параметры запуска клетки:

# jls -n -j N

[Amadeus]

Еще бы литература и статьи были бы актуальными, цены бы им не было.
А так сплошные бои с тараканами.
неделю по кругу хожу вокруг jail`a.

Уважаемый топик стартер). Если Вы "неделю ходите" на данный момент, супротив клеток, может быть не туда ходите?)
Это для начала. Ман старый, но рабочий. И "архи сложный" *). Зачем читать bsdportal blablabla портал, и прочие вещи, прежде чем открыть оф доку?

https://www.freebsd.org/doc/handbook/jails-build.html

А вы получается есть задача , реализовываете методом научного тыка. Кубики складываете. )
А если на ребро кубик поставите после тыка на "боевом" . )

Вот как то нет желания кубики на ребро в башенку складывать.

Guest вам крайне подробно все расжевал. Следующий этап подробности - сделать задачу самому. *)

Отправлено спустя 5 минут 48 секунд:

От вас кроме как "Я", так дельного и не поступило.
Что конкретно вы рекомендуете из вашего опыта, а не из статей ) ???

Добрый день.
Статей по Jail много, и все сводятся к одному собрать и пересобрать.
ezjail как оказалось в 10.3 не работает.
На сегодняшний момент установлена 10.3 и обновляется бинарно.
Создал директорию базовую usr/Jails в ней base103x64 базовая система развернута из base с ftp
И дальше не понятно как настраивать jail для нескольких машин с использованием base103x64.
А стоило ли создавать базовую и как потом ее обновлять даже бинарно.
Подскажите правильное направление к действиям !!!

Я позволю себе дополнить Guest'a. То что вы написали в первом посте, это не вопрос. Это описание ваших шагов в каком то направлении. И резонный вопрос далее после прочтения- и что?.

Сформулируйте пожалуйста еще раз вопрос, более внятно. что бы люди смогли хоть как то Вам помочь. Так как пока сути тут нет. Я конечно, не гуру пишущий стати, нубло занимающееся highload web'om но на пару с Guest я думаю поможем вам начать юзать данную технологию

Отправлено спустя 12 минут 43 секунды:

Вот как то нет желания кубики на ребро в башенку складывать.

Кстати, 80 процентов задач SA отдела решается именно складыванием кубиков. И именно в башенку, и именно на тестовых стендах, а еще, вы удивитесь, иногда и в треугольник, и да, в круг без ножки. Посему на форумы, и в открытый доступ ЭТО НИКОГДА НЕ ВЫНОСИТСЯ.