Продвинутые возможности систем виртуализации

Советую QEMU-KVM + Spice.

С чего советуете начать

qemu/kvm+libvirtd.

VNC или RDP?

Spice.

QEMU-KVM

Всё остальное потом.

Про удалённое управление, что лучше: VNC или RDP?

Поставь на ПК virt-manager и рули сервером виртуализации по ssh.

QEMU-KVM

начать

kvm, lxc

удалённое управление

ssh

ssh

А если у гостевой ОС инсталлятор только графический?

А если у гостевой ОС инсталлятор только графический?

virt-manager

spice, vnc - на выбор

Посмотри vagrant. Правда надо будет найти образы.

VirtualBox, QEMU-KVM, Xen, OpenVZ?

С понимания чем они различаются. Разным задачам разные инструменты.

Virtualbox, QEMU-KVM

Чем различаются эти два? Виртуализация в них устроена по одному и тому же принципу, наборы прикладных фич только разные...

Ну я так понимаю из этих четырёх систем виртуализации из общего списка выбивается только OpenVZ, которая представляет собой виртуализацию на уровне ядра и гостевыми ОС в ней могут быть только Linux. Однако практическая работа для прохождения сертификации предполагает решение задачи, связанной с поднятием именно OpenVZ. Ну, цель у меня такая...

Эти два от третьего отличаются?

OpenVZ, наряду с lxc, это «лёгкая виртуализация». Контейнеры могут работать только на ядре хостовой системы но при этом низки накладные расходы на их запуск.

Конечно. И от чётвёртого. Но я про первый vs второй спрашивал :]

Xen выбивается, потому что в ней нет хостовой ОС как таковой. dom0 тоже виртуализируется.

Не скажу. Вообще я с виртуализацией мало имел дела, на практике с ovz и пару раз с vbox. С последним даже не разбираясь как использовать аппаратные возможности (и были ли они на том процессоре).

Буду оригинальным.

Устройся на работу/поддерживай серваки где используется виртуализация и попутно учись. Это сэкономит тебе пару лет жизни, ибо на локалхосте ничему путному научиться [относительно] быстро не выйдет.

Виртуализация в них устроена по одному и тому же принципу

В виртуалбоксе разве не динамическая трансляция?

Так они оба транслируют.

На самом деле, вопрос в другом. Если аппаратная виртуализация (которая суть каскад из двух MMU) в процессоре есть, то всё понятно. А если её нет, то что? softMMU или теневые таблицы?

P. S.: но это всё «количественные различия». Суть там всё равно одна и та же: это не гипервизор и не паравиртуализация, а просто виртуалка общего назначения, работающая в kernel-space уже существующего хоста.

в ней нет хостовой ОС как таковой

define хостовая ОС. отдельное ядро есть, юзерспейс убран под капот. виртуализированный dom0 и отдельное ядро это костыли

чем kvm в kernel space отличается от гипервизора? помимо отсутствия лишней прослойки которая только тормозит, конечно. терминология с типами виртуализации и самое понятие «bare metal» давно ничего не значат, и пользуются ими только продаваны.

Драйверы которой общаются с реальным железом (реальной фирмварью) без каких-либо прослоек.

В Xen даже dom0 — это тоже виртуалка. Отличие которой в том, что ей можно делать привилегированные гипервызовы.

отсутствия лишней прослойки которая только тормозит

this.

this.

так это и есть KVM. работа идет напрямую с железом, OS лишней прослойки не создает. Никакие гипервызовы никаких лишних слоев не проходят.

Товарищ! Есть такая штука, которая называется Proxmox VE. Сочетает в себе QEMU-KVM и контейнеры OpenVZ. Production-ready, плюс еще и есть возможность купить платную поддержку, если помощь нужна. А так, пожалуйста, всё рулится и из гуя, и из cli.

Ладно, предположим QEMU-KVM. Созданием виртуальных машин и настройкой удалённого доступа нужно через libvirt заниматься? Сейчас на хабре прочитал там множество инструментов для этого есть. А клиенты для удалённого VNC/Spice-доступа под Windows есть?

через libvirt

Очевидно, да.

VNC/Spice-доступа под Windows

Не в курсе, что такое Windows.

Не в курсе, что такое Windows.

Это такая ос у которой 99% от всех пользователей.

клиенты для удалённого

веб-морды есть

Созданием виртуальных машин

вм лучше создавать из заранее подготовленных шаблонов при таком варианте гуи не нужны.

такое Windows.
ос у которой 99%

это уже не так - http://www.netmarketshare.com/operating-system-market-share.aspx?qprid=10&amp...

99% от всех пользователей

Как хорошо, что я никого из них не знаю.

Объясню. Мне хочется воспроизвести систему, которую я видел в одном офисе: На компьютерах сотрудников стоит винда. Данных на этих компьютерах никаких нет. Сотрудник запускает программу клиент удалённого доступа к виртуальной машине. На виртуальной машине - тоже винда, и там же все конфиденциальные данные фирмы. А на хостовой системе, на которой ВМ крутятся как раз-таки Линукс и стоит эта машина где-то в датацентре, на ней тоже нет никаких данных.

Для удалёнки типа «винда — винда» никаких вариантов, кроме RDP или RemoteFX, нет. И Линукс тут ни при чём.

На компьютерах сотрудников стоит винда. Данных на этих компьютерах никаких нет. Сотрудник запускает программу клиент удалённого доступа к виртуальной машине. На виртуальной машине - тоже винда, и там же все конфиденциальные данные фирмы.

т.е. клиенты подключаются по рдп к терминальному серверу, который размещен в виртуалке запущенной на линуксе.

там же все конфиденциальные данные фирмы.

а ничего что при таком раскладе эти данные доступны третьим лицам, админам датацентра?

А нифига! Данные в виртуалке, образ которой зашифрован, а не на хостовой системе. Даже если изымут компьютеры из офиса и сервер из датацентра - всё равно получат шиш.

А нифига! Данные в виртуалке, образ которой зашифрован

))) кто тебе сказал такую чушь? пока вм запущена, и все зашифрованные ФС примонтированны админы хоста с виртуалками беспрепятственно могут лазить по всем данным.

Тут можно поспорить, но не буду. Лучше вернусь к теме, какое ПО нужно. Значит RDP-доступ нужен? Читал в LinuxFormat RDP-доступ можно к VirtualBox прикрутить.

если изымут компьютеры из офиса и сервер из датацентра - всё равно получат шиш.

во-вторых, если здесь попахивает ст. 146 УК , то админ просто обязан сдать все явки и пароли людям в погонах, иначе он увеличивает тяжесть преступления путем препятствования следствию.

тут спорить не о чем, размещение важных коммерческих данных у третьих лиц это идиотизм, скрыть в виртуалке данные путем шифрования ее фс или образа от админов хоста на которой она крутиться невозможно

RDP-доступ можно к VirtualBox прикрутить

установи в виртуалбоксе виндовый терминальный сервер и радуйся. в качестве клиента можно использовать и линукс и видовс и там и там есть клиент терминального сервера rdp

во-вторых, если здесь попахивает ст. 146 УК , то админ просто обязан сдать все явки и пароли людям в погонах, иначе он увеличивает тяжесть преступления путем препятствования следствию.

А если их двое: админ и криптограф. Админ будет сотрудничать со следствием по мере возможностей, но предоставить ключи шифрования он не сможет, потому что ими не владеет. А криптограф официально не является сотрудником компании, работает по найму удалённо и сидит где-нибудь на Тайланде.
Всё, хорош в оффтоп уходить!

А если их двое: админ и криптограф.

за преступления совершенные группой лиц, действующих в сговоре, предусмотренны более тяжкие наказания (больше срок дадут)

криптограф официально не является сотрудником компании

для следствия такая отмаза не проканает, изучайте УК очень полезная штука, не ведитесь на поводу нерадивых работодателей не жалающих платить за софт, они то вывернуться, а вот админу жизнь испортят, по 146 грозит вроде до 6 лет в максимуме, и при таком сроке условку могут не дать

криптограф

еще раз пишу пока ВМ запущена, все данные на ней доступны админам тачки на которой она крутиться. шифрование здесь никаким боком не поможет скрыть данные.

Работа напрямую с железом идёт только с памятью. Остальное идёт через хостовую ОС. Привилегированные инструкции бинарно транслируются, устройства эмулируются полностью программно (в контексте хостовой ОС) и так далее.

В случае Xen, насколько я понимаю, это не так.

любая ВМ? прямо ответственно заявляешь, что все мои domU могут перелить к себе злые админы и я этого не спалю?

я просто оставлю это здесь

http://s152758605.onlinehome.us/wp-content/uploads/2012/02/slide33.png

http://s152758605.onlinehome.us/wp-content/uploads/2012/02/slide21.png

любая ВМ?

абсолютно, они просто сделают снапшот и будут работать с ним как ты спалишь работу с совершенно другим объектом.

А если её нет, то что?

То в kvm ничего.