Ayuda con virtualización

Iniciado por WHK, 6 Mayo 2016, 22:03 PM

0 Miembros y 1 Visitante están viendo este tema.

WHK

Hola, he decidido transformar mi servidor dedicado en varias instancias virtuales para separar en red local varios servicios tales como web, correo, archivos en la nube, vpnssl (o socks5 via ssh sobre un puerto personalizado), etc. El problema es que mi maquina no tiene recursos ilimitados, tiene 32gb de ram y una cpu xeon de 8 cores y quiero tener 7 u 8 instancias virtuales, sacando la cuenta de la cantidad de memoria que usa cada servicio mas lo que usa propiamente el sistema operativo me alcanza muy bien, pero estoy en el dilema de la compartición de recursos.

Estoy usando Centos 7, estuve observando KVM pero al crear una instancia necesitas declarar la cantidad de nucleos a usar y ram, si debo repartir estos recursos tendría que disponer de 1 nucleo para cada servicio y 2.5gb de ram para cada instancia, pienso que es muy poco en comparación a lo que tengo hoy (todo en uno).

La ventaja de lo que tengo hoy es que todos los servicios usan el mismo hardware asi que si un servicio no tiene mucha carga y otro tiene una carga elevada este puede hacer uso de la mayor parte de los recursos, esto quiere decir que el sitio web podría recibir una ataque muy bien mientras que los demás servicios estén relajados.

Al no poder hacer esto en KVM Qemu vi algunas alternativas como Openvz que justamente utilizan el hardware bajo demanda, esto quiere decir que ya no asignas un uso de memoria ram para cada instancia virtual sino que utiliza el máximo siempre y este se comparte (eso fue lo que entendí), el problema es que nunca he usado Openvz (pero si virtualbox y vmware workstation) y vi que ofrece un sistema llamado virtuozo pero que al parecer es de pago y mas de encima el sitio web está caido.

Asi que mi pregunta viene así: ¿Es posible utilizar software comunitario o de libre costo para realizar lo que necesito?

Otra pregunta: Esposible que la instancia web y mail hagan uso de todo el hardware pero el servidor de tetsing haga uso solamente de 2gb de ram y 2 cpu como máximo? hay algún software de virtualización que haga esto?

¿Que me recomiendan o que debiera ser lo mas óptimo que debiera hacer?

lemi

#1
En KVM los núcleos no se "reparten". Puedes tener un servidor con 4 cores y un número indeterminado de máquinas con 1 core cada uno sin problemas. El principal limitante suele ser la memoria RAM.

Cada máquina KVM es un proceso en el anfitrión el cual crea más o menos hilos en función del uso que tenga. Es el anfitrión quien se encarga de distribuir los hilos por todos los núcleos que disponga.

El motivo por el cual KVM te permite asignar más de un núcleo tiene que ver más con la naturaleza de las aplicaciones que tendrá la máquina virtual.

Hay herramientas que están optimizadas para trabajar mejor si detectan que el equipo tiene más de un núcleo.

Pero por regla general asignar más de un núcleo a una máquina KVM suele degradar su rendimiento ya que incrementas la complejidad de la virtualización. KVM tendría que crear y no exponer  más núcleos para la máquina virtualizada.

Respecto a la gestión de la memoria RAM siempre puedes tirar de VirtIO balloning [1] para hacer overbooking de la misma y controlarla de forma dinámica. Aunque personalmente yo prefiero definir unos límites fijos.

Además no te olvides que si tus máquinas son parecidas es probable que te ahorres unos cuantos GB con KSM.

Por otro lado Openvz se basa en la paravirtualización, es decir, en vez de crear núcleos virtuales si expone los físicos del anfitrión. Pero aún así se sigue pudiendo limitar los recursos que recibirá una máquina.

En cualquier caso Openvz está "muerto". Upstream (virtuozo) lo fusionó con su producto de pago y ahora sirve de base con funcionalidades básicas.

La mejor alternativa a Openvz es o Xen o LXC. El primero está mucho más maduro que el segundo pero LXC es mucho más flexible y ofrece más rendimiento.

Yo lo que te recomiendo es Proxmox. Una solución basada en Debian que integra KVM + LXC y una interfaz web bastante decente. De este modo puedes probar ambas tecnologías y decidir cual es la que más te conviene.

Una última cosa... si priorizas la seguridad frente al rendimiento la mejor solución es KVM dado que no dependes del kernel del anfitrión. Además KVM + VirtIO + VT se acerca bastante al rendimiento que ofrece Xen  y quizás también LXC...

[1] http://www.linux-kvm.org/page/Projects/auto-ballooning
[2] https://www.proxmox.com/

Slava_TZD

#2
vSphere te ahorrará dolores de cabeza y hace lo que pides. Puedes definir límites y reservas de memoria o CPU de forma individual, si una máquina tiene una reserva de X MHZ, siempre podrá acceder a ellos pero si no están en uso otras vms en la misma pool pueden disponer de ellos. De la misma forma puedes establecer shares para el acceso a los cores reales, de forma tal que en caso de que 2 vms estén turnándose por el acceso a un core la que tiene el share mas elevado tiene preferencia sobre la otra. De hecho lo que comentas es algo básico de cualquier sistema de virtualización, normalmente puedes incluso crear un cluster de servidores y que las vms compartan el acceso a los recursos de los mismos de forma dinámica.

La única pega es que si no tienes vCenter olvídate de administrar el servidor desde Linux.


The fact is, even if you were to stop bombing us, imprisoning us, torturing us, vilifying us, and usurping our lands, we would continue to hate you because our primary reason for hating you will not cease to exist until you embrace Islam.

WHK

Muchas gracias por las opiniones, haré algunas pruebas para aver de que manera funciona mejor y nos conviene.

Saludos.

MinusFour

¿No es un poco excesivo tener una maquina virtual por servicio? Me parece redundante tener n sistemas operativos diferentes para tener todos tus n servicios separados. Yo creo que tu mejor opción son contenedores, LXC o Docker por ejemplo.

WHK

Pues en este caso no porque los procesos entre otras cosas se comparten, se supone que hacer esta separación es para dar mayor seguridad y que los usuarios del proxy por ejemplo no puedan acceder al proceso del apache o del servidor de correos o acceder a http://localhost/ , pero en cambio desde una instancia virtual los puedo separar por completo y delegar permisos y accesos a cada servicio, por ejemplo a un grupo de usuarios llamados desarrollo puedo darles acceso a la maquina virtual de desarrollo y a los de ventas a la maquina virtual de documentación y los de ventas ya no podrán tocar nada relacionado con la administración del mismo servidor o hacer un sniff si llegan a hackear el sistema y ser root.

El problema principal es seguridad vs rendimiento, claramente usar lxd o lxc y docker es mucho mas conveniente en cuanto a la portabilidad y rendimiento de los softwares pero no me dan la seguridad que necesito la cual es separar los permisos y accesos a cada cosa.

Por ahora estoy mirando con buenos ojos a kvm y xen. Gracias de todas maneras.

MinusFour

Cita de: WHK en 10 Mayo 2016, 19:35 PM
Pues en este caso no porque los procesos entre otras cosas se comparten, se supone que hacer esta separación es para dar mayor seguridad y que los usuarios del proxy por ejemplo no puedan acceder al proceso del apache o del servidor de correos o acceder a http://localhost/ , pero en cambio desde una instancia virtual los puedo separar por completo y delegar permisos y accesos a cada servicio, por ejemplo a un grupo de usuarios llamados desarrollo puedo darles acceso a la maquina virtual de desarrollo y a los de ventas a la maquina virtual de documentación y los de ventas ya no podrán tocar nada relacionado con la administración del mismo servidor o hacer un sniff si llegan a hackear el sistema y ser root.

El problema principal es seguridad vs rendimiento, claramente usar lxd o lxc y docker es mucho mas conveniente en cuanto a la portabilidad y rendimiento de los softwares pero no me dan la seguridad que necesito la cual es separar los permisos y accesos a cada cosa.

Por ahora estoy mirando con buenos ojos a kvm y xen. Gracias de todas maneras.

Los procesos no se comparten a menos que tu quieras, puedes perfectamente tener 5 contenedores y cada uno de estos procesos están aislados entre ellos. Lo único que tienen que compartir es el mismo kernel. Si te llegan a "hackear" un proceso van a entrar a esta instancia del contenedor y de ahí quizás puedan llegar a vulnerar el kernel y encontrar acceso a tus otros contenedores. Es posible sí. En el caso de las otras tecnologías que usan un Hypervisor, la cosa está un poco más complicada. Tienes una capa extra en medio que es mucho más difícil de vulnerar, pero aún así puede pasar (no es tan común). Sin embargo, ahora estás virtualizando n kernels diferentes que consumen recursos solamente para correr n procesos. Yo creo que está de más y estás bastante limitado en cuanto a recursos.

No es tan sencillo vulnerar el kernel de los contenedores (por lo general las vulnerabilidades son parchadas rapidamente), pero no es tan dificil como ponerle un cuatro al hypervisor.