Всё в Jail

[Olax]

Подскажите, толкните, отговорите, посоветуйте -
Суть вопроса:
Хочу на отдельную машину поставить jail-s (DNS, WWW, Mysql, Postgres, NTP, WINS, SAMBA, GIS, mail, PPTP сервер, ldap, squid, SAMS, ipfw и т.д.), в общем поднять все сервисы средней сети на одной машине.
сделать бекап клеток и при необходимости(например мать померла или винт отвалился) поднять эти клетки на другой машине с минимальным простоем сети.
Больше всего меня интересует возможность работы в jail - PPTP сервер, squid, SAMS, ipfw.(шлюза, прокси)

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[f0s]

тоже думал об этом

[Olax]

Уважаемые Гуру freebsd - выскажите свое мнение, опыт реализации и т.д. тем более я не одинок в этой идее.

[Lord Beaver]

Есть один подобный сервак, всё в одном. DNS и DHCP в chroot'е, samba, mysql, openldap, postfix, apache, ... в отдельных клетках. Вот только MPD не завелся. Для удобства развертывания был использован ezjail.

[tynix]

Для начала нужно знать железо и нагрузки.
bind, postfix -точно работают (проверено).
WWW, Mysql, Postgres (зачем, если уже есть mysql?), WINS, SAMBA, ldap, squid, SAMS - должны без проблем.
GIS - кто это?
NTP- какое-то нехорошее чувство насчет него.
pptp- кажется не пойдет, вроде проблемы с интерфейсами.
ipfw - с 8.0 в клетках что-то добавляли насчет ipfw, чтоб на каждую свои правила.
А что будет в самой системе? только сами клетки и больше ничего?
Я бы все-таки разделил- ipfw, pptp, squid,sams оставил на системе, а остальное распихал в клетку(-и, в зависимости от имеющихся ресурсов).
Размер дампа с клетками будет больше, чем без них (за счет системных файлов клеток).

[Olax]

Для начала нужно знать железо и нагрузки.
bind, postfix -точно работают (проверено).
WWW, Mysql, Postgres (зачем, если уже есть mysql?), WINS, SAMBA, ldap, squid, SAMS - должны без проблем.
GIS - кто это?

WWW, Mysql - для веб серверов
Postgres - для системы gis - картография

NTP- какое-то нехорошее чувство насчет него.
pptp- кажется не пойдет, вроде проблемы с интерфейсами.

ipfw - с 8.0 в клетках что-то добавляли насчет ipfw, чтоб на каждую свои правила.

да будет freebsd 8.0

А что будет в самой системе? только сами клетки и больше ничего?

да - для обеспечения экстренной миграции на другое железо (dump и restore ezjail на другом железе)

Я бы все-таки разделил- ipfw, pptp, squid,sams оставил на системе, а остальное распихал в клетку(-и, в зависимости от имеющихся ресурсов).

а детальнее можно, почему именно так? ваши соображения?

Размер дампа с клетками будет больше, чем без них (за счет системных файлов клеток).

Да, согласен, но не настолько чтобы этим нельзя было пренебречь для достижения поставленной цели - быстро разворачиваемый резервный сервер всей сети.
на вторую машину и будут складываться дампы.
В целом за счет этого достигается еще одна цель - экономия - в место 5 не загруженных машин будут задействованы только две.

[tynix]

а детальнее можно, почему именно так? ваши соображения?

Потому что pptp с клетками не работает, ipfw тоже еще не полностью для клеток заточен, squid все-таки лучше на шлюзе ставить (т.е. там, где есть ipfw), а самс к сквиду.
А для остальных одну или для каждого отдельную клетку- зависит от желания.
Потом делать дамп всей машины и раскатывать на другой при проблемах.Получается один дамп со всеми клетками, который остается только раскатать на физическую машину с помощью restore.
Кстати, а в jail работает dump ТОЛЬКО клетки? Ведь у нее fstab совсем другой.

[f0s]

а детальнее можно, почему именно так? ваши соображения?

Потому что pptp с клетками не работает, ipfw тоже еще не полностью для клеток заточен, squid все-таки лучше на шлюзе ставить (т.е. там, где есть ipfw), а самс к сквиду.
А для остальных одну или для каждого отдельную клетку- зависит от желания.
Потом делать дамп всей машины и раскатывать на другой при проблемах.Получается один дамп со всеми клетками, который остается только раскатать на физическую машину с помощью restore.
Кстати, а в jail работает dump ТОЛЬКО клетки? Ведь у нее fstab совсем другой.

можно сделать при установке раздел /jails и потом просто его дампить

[tynix]

Ясно.
Все равно все клетки придется восстанавливать одновременно (gis зависит от постгры, самс без мускуля не запустится и т.д.), поэтому,считаю, здесь проще сделать дамп всей системы и раскатывать на физическую машину, раз автор говорит, что с железом проблем нет.

[f0s]

для одного дампа надо много места а то все-таки каждый джейл задампить (или просто заархивировать), имхо удобнее

[dekloper]

NTP- какое-то нехорошее чувство насчет него.

ага, нехорошее..
нехочет время в клетке синхронизироваться
непонятно, это проблема демона, или удп в принципе..?
соответственно, не ясно, как неможет быть проблем с

, WINS, SAMBA, ldap, squid, SAMS - должны без проблем.

[Burner]

собственно почти все сервисы тут сами по себе предполагают некоторый файловер. Просто настроить вторую машину да и все.

[tynix]

Код: Выделить всё

каждый джейл задампить (или просто заархивировать), имхо удобнее

Нужно выбрать клетки, от которых зависят другие (mysql-sams-squid например) и архивировать их вместе с зависимыми, а остальные, у которых нет прямых зависимостей (DNS например) - отдельно. А на резервную машину установить фрю той же версии и даже клетки такие же создать пустые, чтоб в любой момент тем же tar'ом раскатать.

[paix]

офигеть, ребята, фанатизм

хочу спросить, кто это чудо извращенной архитекторской мысли собирается сапортить?
хотя, если для поиграться и по...ть себе мозг - оценка пять!

пример того, как "не нужно" проектировать инфраструктуру.

поразмышляйте
http://opennet.ru/guide.shtml

[dekloper]

офигеть, ребята, фанатизм

тока так и не иначе
========
а хто знаит, как в тюрьме в /dev новый хард "увидеть"?

[tynix]

а хто знаит, как в тюрьме в /dev новый хард "увидеть"?

то есть "увидеть"? Наверное, его нужно сначала в основной системе примонтировать, а потом уже к клетке.

[paix]

джайлы не умеют (не умели) напрямую работать с /dev,
что в общем от них и не особо то требуется.

[FrIcE]

джайлы не умеют (не умели) напрямую работать с /dev,
что в общем от них и не особо то требуется.

Вполне умеют, нужно только "показать" необходимые устройства через правила в /etc/devfs.rules.

[ttys]

(например мать померла или винт отвалился))

RAID на кой или gmirror здесь написано как это сделать