Forum Linux.debian/ubuntu (debian squeeze) Cloisonnement de services: LXC / OpenVZ ?

Posté par  .
Étiquettes :
2
17
mar.
2011

Bonjour,

Je dois installer une nouvelle machine, avec divers services (parefeu iptables,bind,proftp,LAMP,samba,ssh), et histoire de bien démarrer, je souhaiterais cloisonner chaque service afin d'augmenter (un peu) la sécurité du système.

D'abord, un petit schéma de la configuration:

[internet]-----[box]---[le serveur]---[switch]--/ plusieurs pc /

Je n'ai qu'une seule ip publique, classiquement "masqueradée" sur le serveur avec iptables.

J'ai commencé à lire quelques infos sur OpenVZ (solution de virtualisation), c'est peut-être un peu "excessif" pour ce que je veut faire, mais pourquoi pas, d'autant que des templates existent pour la dernière debian.

Si j'ai bien compris le principe, pour ce qui est du réseau en particulier, chaque VE a une ip (192.168.x.y par exemple) et accède à l'extérieur via du NAT (dans les 2 sens d'ailleurs, le port 53 serait à rediriger sur la VE de bind par exemple).

Si je schématise (j'aime bien les schéma ;-)), cela donnerait quelque chose comme ça:

[VE Bind] [VE Apache/Php/Mysql] [VE Parefeu/iptables] [VE ssh] [VE Proftpd] [VE Samba]

         [  Kernel OpenVZ  ]

Avez-vous des retours d'expérience à partager sur ce sujet? des conseils?

Merci d'avance de vos avis,

  • # Openvz avec Proxmox

    Posté par  (site web personnel, Mastodon) . Évalué à 2.

    Salut,
    ici j'ai 6 machines sur deux sites et dans trois bâtiments différant qui sont en cluster sous proxmox.
    ça marche très bien, je fait tourner des conteneurs sous openvz (un par service) et des machines virtuel sous kvm (4 windows server 2008 et 4 sous 2003, quelque windows xp pour des usages particulier). Ce qui est bien avec openvz c'est la facilité de migrer sur un autre serveur si on a besoin de plus de ressource, par contre oublier la migration a chaud si il y a une base de donnée (j'ai explosé un mysql) dans le container.

    Concernant iptable, sur mon infra je l'utilise pas vu qu'on est uniquement dans le lan, par contre j'administre un dédié chez ovh ou j'ai un proxmox avec openvz et j'ai mis dans le openvz des adresses en 192.168... j'ai fait des règles iptables sur l’hôte qui redirige les ports qui entre sur les adresses privé d'openvz.

  • # J'ai essayé LXC

    Posté par  (site web personnel) . Évalué à 0.

    C'est facile à mettre en place, pas besoin de patch. (LXC utilise les cgroups du noyau pour isoler les processus ou les groupes de processus)

    La semaine dernière j'avais testé vserver, mais je n'avais pas réussi à faire tourner ejabberd dans un conteneur vserver.

    Avec LXC, le plus difficile est de configurer un bridge au niveau de la carte réseau.
    Soit on défini une classe d'adresse IP différente, et on s'amuse avec du NAT
    Soit on utilise juste une IP différente et le conteneur est au même niveau que l'hôte (il est alors accessible directement depuis l'extérieur via son IP)

    LXC ça bouffe aussi peu de ressources CPU que Vserver et OPenVZ, par contre il n'y a pas encore la gestion des quotas de disque, et il faut recompiler le noyau pour avoir une gestion de quotas pour la mémoire.

    LXC est un projet encore jeune mais qui semble plein d'avenir (contrairement à Vserver et OpenVZ pour qui ne seront plus maintenus d'ici peu)

    La semaine prochaine je tente d'installer LXC en parallèle avec OpenVZ pour voir si ça facilite une migration en douceur, services par services.

  • # Merci

    Posté par  . Évalué à 0.

    Bonjour,

    Merci pour vos retours d'expérience.

    LXC est un projet encore jeune mais qui semble plein d'avenir (contrairement à Vserver et OpenVZ pour qui ne seront plus maintenus d'ici peu)

    Que veut-tu dire par la? OpenVZ est (déjà) en fin de vie ? tu a une source ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.