我有apf安装在一个OpenVZ容器(proxmox 2.1)。 configuration是非常香草和事情正在工作。 我的外部服务,如ssh和http正在工作。 我的问题是,http / https上的所有出站stream量被阻止。 如何允许http / https的所有出站stream量。 如果我像这样将EGF更改为1,则所有入站和出站stream量都将被阻止 EGF="1" EG_TCP_CPORTS="21,25,80,443,43,53" EG_UDP_CPORTS="20,21,53" EG_ICMP_TYPES="all" 我用下面的方法打开了一个出站规则 # /usr/local/sbin/apf -a downloads.wordpress.org 如何在不阻止所有stream量的情况下允许http / https上的所有出站stream量? 为什么我会允许所有入站ssh / httpstream量并阻止所有出站stream量?
硬件: 英特尔®酷睿™i7-920,12GB DDR3内存,2 x 1500 GB SATA-II硬盘 (没有SoftRaid,因为Proxmox开发者不支持软件,他们肯定会遇到问题) 软件:具有KVM和OpenVZ支持的Proxmox VE以及各处的debian 我想在这台服务器上运行多个Linux虚拟机。 一个用于防火墙(我想尝试pfSense ),一个用于MySQL,一个用于nginx的虚拟机(我的东西)和~2个用于其他人的网站的nginx虚拟机。 我不认为pfSense将在OpenVZ环境中运行,但应该在KVM中运行。 问题是如果我应该使用KVM或OpenVZ设置其他虚拟机。 在OpenVZ中,操作系统本身应该有较less的开销,但我不知道性能。 我听说KVM更稳定,但需要更多的RAM和CPU。 我发现这个图表显示了我正在使用的相同硬件上的OpenVZ设置。 这家伙使用自己的虚拟机,每个网站正在他的服务器上运行。 我想不出为什么他使用这么多的虚拟机。 编辑: 有没有办法在OpenVZ或KVM中给虚拟机“dynamic”RAM? 我的意思是,他们可以尽可能多的记忆,而不是我奉献给他们的那么多。
你如何做一个在OpenVZ下的simfs文件系统的fsck? 你应该不会在FS上运行fsck。 你可以只是fsck的形象(/ vz /私人/ 100或任何它所谓的)? 对不起,我不能标记simfs。
vSwap和Burstable RAM有什么区别? vSwap是否使用磁盘创build并导致I / O? 我知道SWAP将使用磁盘,所以vSwap与刚在容器中虚拟化的交换相同。
简洁版本: 是否有关于Virtuozzo / OpenVZ中用作Web服务器的容器的kmemsize限制和限制的官方指南? 我们发现博客和论坛上的post说kmemsize应该至less是vmguarpages的10%(在转换为相同的单位之后)。 可悲的是,我们没有发现引用这个10%断言的权威性参考(甚至是一个理由)。 任何想法的10%的想法来自哪里? 长版本: 我的客户有一个运行CentOS 5.9 64bit的1and1托pipe的VPS的网站。 该网站是广泛的,但特别值得注意的是一个在线调查,通常是从同一个地点的同一群体的人(图片教室)完成的。 有时(但并非全部)当一个小组几乎在同一时间开始调查过程时,我们发现在我们的VPS上的“持有”价值有巨大的上涨。 起初,这导致我们超出kmemsize限制,增加我们的kmemsize failcnt,并向用户的浏览器发送错误。 通过调整Apache的MaxClients,我可以避免超出kmemsize限制。 但是,如果我们达到极限,http请求就会排队等待,网站会慢慢爬行,页面加载需要花费几分钟的时间,这可以说没有比崩溃更好的了。 似乎很清楚,我们需要更高的限制/限制。 这是背景。 我真正的问题是关于我们目前的限制是否合理。 我们应该有1G的RAM“保证”(vmguarpages障碍设置为262144),可能爆发高达4G。 但是我已经注意到,即使我们已经接近或处于kmemsize的限制, free还是会报告我们使用的内存不足60万k。 /proc/user_beancounters报告我们的kmemsize屏障为31457280,限制为34603008。如上面的短版本所引用的,我们发现网站声称kmemsize应该设置为由vmguarpages设置的“保证”内存的至less10%。 做math我performance出我们在 kmemsize barrier = 31457280 B = 30 MB =约1024 MB的vmguarpages屏障的3% 这似乎与(根据free )我们似乎没有使用超过我们总记忆的一半“保证”的想法一致。 所以,我们只是打电话给1and1,并说:“哇,这个服务不符合VPS的最低要求,因此我们实际上不可能使用你保证我们的内存数量” 。 而且,如果他们不听取理由并解决问题,请转到其他提供商处。 然而,无论是为了向提供者提供我的观点,还是为了向客户组织的上级举证(如果有必要),我都希望能够引用更权威的消息来源:“至less应该是10%的保证记忆“的想法。
我正面临着在基于OpenVZ的VPS上运行的Ubuntu 12.04上设置ufw的问题。 我知道ufw有局限性。 我GOOGLE了一堆文章如何解决这个问题(如: http : //blog.bodhizazen.net/linux/how-to-use-ufw-in-openvz-templates/ )。 但如果我试图应用这些方法,我卡住了 ufw-init强制重载 只是跳过: # ufw enable Command may disrupt existing ssh connections. Proceed with operation (y|n)? y ERROR: problem running ufw-init # /lib/ufw/ufw-init force-reload Skipping (not enabled) 我无法弄清楚是否可以使用ufw? 如果不是,我应该与iptables打交道吗?
情况是这样的: 我有一个Debian服务器,作为一个Web /邮件服务器以及一个小型办公室的Internet网关。 所有可用的外部服务都在OpenVZ虚拟环境中运行。 我有一个要求,提供外部访问与办公室内的员工共享的目录(devise师)。 这个目录必须可以通过SMB访问,所以我设置了OpenVPN来通过互联网提供对Samba的安全访问。 为了提高安全性,我不希望OpenVPN远程用户(将来可能会有更多的用户)能够完全访问公司networking,所以我打算在一个虚拟环境中设置一个Samba守护进程,只监听OpenVPN虚拟接口以及单独的Samba守护进程,仅在内部networking接口上侦听。 守护进程将服务于位于VE根目录树内的相同目录(并且可以访问物理机器的操作系统)。 主要问题是:从内部networking和外部同时访问文件时(这可能是因为此设置用于Adobe InDesign / InCopy协作),不会出现冲突(文件locking问题等)吗? 如果是这样的话,那么在这种情况下更好的设置是什么? 我想到的另一种select是通过端口转发在OpenVPN接口上访问内部Samba后台进程。 同样,我不希望OpenVPN客户端能够实际访问公司networking,我只想让Samba共享在互联网上工作(计划的工作stream程需要这样做)。 如果有人有类似的设置的经验,如果你分享你的见解,我将非常感激。 编辑 – 澄清:我使用OpenVPN的桥接VPN(一个tap接口),据我所知,这是Samba的正确select(它甚至可以在路由VPN上工作吗?是否需要精心devise的转发/路由设置?)但是,我不想将VPN与物理服务器的接口连接起来,原因有三:避免干扰公司networking,同时使接口向上和向下; 避免授予外部客户访问整个内部networking; 作为策略规则,避免在物理机器上运行公共服务。 目前,我打算使用选项1: 选项1:在VE上为外部客户端运行OpenVPN和Samba,在主服务器上为员工(不需要VPN)运行第二个Samba实例。 然而,我担心两个Samba服务相同的文件和冲突(因此原来的问题表述)的实例。 选项2将只在VE上运行OpenVPN,并将Samba端口转发到物理机(或OpenVZ术语中的硬件节点)。 选项3将不会为这项服务的虚拟企业服务而烦恼(因为它本质上是非公开的),只需在硬件节点上用Tap(桥接)接口运行OpenVPN,但实际上并没有用物理接口桥接它,然后使单个Samba实例监听内部networking接口和Tap接口(用于VPN客户端),而不是侦听外部接口。 所以,最新的问题是:选项3会比前两项安全吗? 如果没有,我会执行它,因为它似乎是最简单和最强大的。 对不起,我不能用更less的话来expression:)感谢阅读和答案。
根据我读的所有资料(openvz wiki,各种邮件列表,论坛等),cpuunits设置的值是相互关联的。 所以,当所有的都相同,系统繁忙,所有收到相同的CPU共享。 但有些东西仍然令我感到困惑:为什么有一个工具“vzcpucheck”显示“节点/主机的威力”: Current CPU utilization: 18000 Power of the node: 880001 为什么有(我需要)一个绝对数字,当所有的设置只是相对的? 这两个设置不应该完全一样吗? ve1: 1 ve2: 1 ve3: 1 = 3 ve1: 293334 ve1: 293334 ve1: 293334 = 880001 (power of the node) 有什么不同?
我正在从OpenVZ切换到lxc。 唯一让我感到困惑的是,我无法findvzctl exec的lxc替代品。 在OpenVZ之前,我可以做vzctl exec 1033 restart nginx 。 现在,我所能做的就是在每个容器中运行sshd或使用lxc-console,而且我不喜欢这两种select(第一种是pipe理开销过大,第二种是太麻烦)。
我知道这个问题已经在 几个 地方讨论过 了 ,但是目前似乎还没有明确的答案 – 至less对于RHEL 6来说,我只是希望有人能够指出它是如何工作的,所以我可以挖小。 短版本:我有一个公共IP地址的OpenVZ主机节点,作为一个OpenVZ容器私有IP地址的反向代理。 我已经创build了2个同名的容器(如果你想知道为什么,可以跳到下面的长版本),HN在/etc/hosts也有这些条目: # Generated by make_clone.sh 10.0.0.130 testbackup.xxx.yy 10.0.0.131 testbackup.xxx.yy 我可以使用OpenVZ挂起/恢复这些主机的任何一个ID,而反向代理似乎神奇地将请求路由到任何主机运行(例如IP地址10.0.0.130或10.0.0.131 。但我不能在我的生活中,我发现哪一部分软件正在做这件事,是Apache吗?在HN的networking系统中是什么东西?还有其他的东西吗?它似乎工作,但我想知道更多关于为什么/因为在它是否应该工作方面,似乎也存在着很大的意见分歧,为了清楚起见,我并不是在寻找循环法或负载平衡,只是简单地从一个OpenVZ容器切换到另一个容器。 Lomg版本:虽然设置了一些脚本来创build和pipe理一系列OpenVZ容器,但是我创build了一个名为make_clone.sh的脚本,它接受一个模板并创build一个新的容器。 该脚本需要2个参数 – 容器ID和所需的主机名。 其中一件事是为容器分配新的10.0.0.* IP地址,并configuration一些networking,其中一个元素将一个条目放入主机节点的/etc/hosts文件中。 在为这些容器testing一些备份/恢复脚本的同时,我想“假装”一个特定的容器已经死亡,将另一个具有相同名称的磁盘加速并恢复备份。 我没有真正删除原来的容器,而是使用vzctl stop 130使其脱机。 然后,我创build了一个ID为131的新容器,但名称相同。 一旦启动,我恢复MySQL数据库,并检查(通过浏览器),我可以访问它 – 它运行Joomla一些定制 – 一切都很好。 但后来我注意到,在主机节点的/etc/hosts ,我有这2个条目(其中包括): # Generated by make_clone.sh 10.0.0.130 testbackup.xxx.yy 10.0.0.131 testbackup.xxx.yy 主机节点也充当反向代理。 只有主机节点具有外部IP地址,其Apacheconfiguration将子域有效地映射到容器上。 因此,除了上面的/ etc / hosts中的条目,在httpd config中也有这样的部分: `ServerName testbackup.xxx.yy […]