我需要为虚拟主机创build一个freebsd监狱,这将经常在主机之间迁移。
它有多可行? 我可以使用域而不是IP? 我可以使用通配符IP吗?
我需要这个基准不同的hw / swconfiguration对已知的资源hogger。
对于你所描述的,“监狱迁移”几乎肯定是错误的解决scheme – 你真的想要在整个networking上应用DDoS保护,而不仅仅是一个特定的主机/ IP地址。
更一般地说,就像我在评论中所说的,Jails不会像你所描述的那样“迁移”。 有些人用geom_mirror和ggated做了创造性的事情 ,但这比ggated迁移更具有故障转移的能力,而且我最好将这个过程描述为“繁琐”。
运行虚拟机的实时迁移(无论是自动还是自动进行资源平衡)最好留给真正的虚拟机pipe理程序系统,如VMWare和Hyper-V(Linux KVM可能会到达那里,有一天它可能是一个项目,FreeBSD监狱工作人员的工作,但是Jail的devise真的是stream程/系统隔离 – 一种类固醇的基础 – 而不是一个虚拟机,你可以从主机移动到主机。迁移是其中之一,需要很多编程工作)。
我知道你不能做的一些事情是使用“通配符IP” – IP地址被分配给底层主机系统和监狱,所以迁移需要你移动IP地址。 您可以使用DNS进行切换(同时运行jail的受保护和未受保护的副本,并使用与我所描述的链接相似的技术),但保证有一些交叉时间(至less是logging的TTL),基本上要求你加倍你的硬件和IP空间的承诺 – 可能是不可行的,除非你有这个服务的特权更多的收费(如果你打算这样做,只能给DDoS保护的一部分您的基础设施可能只是向全球的用户提供更多的DDoS防护系统 – 这是一个小得多的pipe理难题)。
我也在寻找一个监狱移民工具。 我正在使用ezjail和rsync监狱pipe理/在主机之间移动,我需要有更复杂的解决scheme。 谷歌在http://bsdstore.ru上发现了一些有趣的东西,但是这个项目的logging非常糟糕