qemu-kvm и сеть

0

2

Возникла некоторая заминка. Прошу совета. Есть задача настроить сервер виртуальных машин KVМ. На нем несколько серверов dns,mail,web. Планируется что будет крутится внутри лок. сети без доступа во внешний мир. Вот возникшие вопросы.
1.Правильно ли установить для каждого вирт. сервера отдельно физический сетевой адаптер.
2.Какие характеристики запланировать для сервера под такие задачи. В тестовом режиме крутится web-srv c (wordpress/lighttpd) без нагрузки (i5-4670 CPU @ 3.40GHz / ram 8 gb) с выделенным виртуальными характеристиками 1 процессор и 2 гб памяти, но понять как все обернется в реальной обстановке сложно.

Ссылка

←	Fedora 25 - iptables SNAT пакеты исчезают

OSPF Hello не проходят через GRE/IPSec VPN туннель в одну сторону

→

Правильно ли установить для каждого вирт. сервера отдельно физический сетевой адаптер.

Нет, не правильно, достаточно настроить сеть через бридж.

Какие характеристики запланировать для сервера под такие задачи.

dns ничего не жрёт, так что зависит от того сколько почты и какой web.

~~King_Carlo~~ ★★★★★
(27.01.17 14:47:11 MSK)

Ответ на: комментарий от King_Carlo 27.01.17 14:47:11 MSK

brige можно завернуть на реальный адаптер?

tooncheg
(27.01.17 14:52:05 MSK) автор топика

Ответ на: комментарий от tooncheg 27.01.17 14:52:05 MSK

Можно, но если хочется «без доступа во внешний мир», то зачем?

shamus24 ★
(27.01.17 14:55:25 MSK)

Ссылка

Ответ на: комментарий от tooncheg 27.01.17 14:52:05 MSK

Ну да, он поверх адаптера натягивается.

~~King_Carlo~~ ★★★★★
(27.01.17 15:03:12 MSK)

Ссылка

А вот вопрос в тему: в libvirt есть «стандартный» механизм для обеспечения виртуалок сетью: virsh net-create, virsh net-define и т.д., которые «порождают» своеобразные сети типа virbr0, но по сути, кажется, являются тем же самым мостом плюс nat/port mapping, только управляемые самим libvirt. Кто-то этим реально пользуется?

shamus24 ★
(27.01.17 15:26:52 MSK)

Ответ на: комментарий от shamus24 27.01.17 15:26:52 MSK

Кто-то этим реально пользуется?

Я на десктопе пользуюсь, на серверах нет.

~~King_Carlo~~ ★★★★★
(27.01.17 15:49:19 MSK)

Ссылка

Ответ на: комментарий от shamus24 27.01.17 15:26:52 MSK

Кто-то этим реально пользуется?

Не знаю, как другие, а я так и не постиг, зачем оно нужно и чем оно лучше бриджа с сетевухой на хосте.

dexpl ★★★★★
(27.01.17 16:50:47 MSK)

1.Правильно ли установить для каждого вирт. сервера отдельно физический сетевой адаптер.

нет, достаточно настроить мост или ovs

2.Какие характеристики запланировать для сервера под такие задачи.

замерить нагрузку в реальном использовании. Виртуалкам отдать минимум нужных ресурсов, продолжить мониторить и поднять ресурсы если видно что изначального минимума недостаточно.

Если сложно понять какой сервер нужен, то брать что нибудь средненькое, с рассчетом не апгрейдить сервер под виртуалки а докупить еще, если ресурсов не будет хватать

dyasny ★★★★★
(27.01.17 19:59:09 MSK)

Ссылка

Ответ на: комментарий от dexpl 27.01.17 16:50:47 MSK

Не знаю, как другие, а я так и не постиг, зачем оно нужно и чем оно лучше бриджа с сетевухой на хосте.

тем что это изолированные сети которых можно нагородить сколько угодно. У меня в такой конфигурации стенды с опенстаком крутятся

dyasny ★★★★★
(27.01.17 20:00:14 MSK)

Ответ на: комментарий от dyasny 27.01.17 20:00:14 MSK

Так к обыкновенному бриджу можно не привязывать реальную сетевушку, и будет изолированное по самое нехочу. У меня даже есть такие. Ещё и с бонусом, если прямая связь с внешним миром всё же понадобится, можно без проблем что-нибудь железное туда прицепить, в отличие от virbrX. Впрочем, ответ я увидел: для клиентских хостов, т.е. когда виртуалки пускаются на персональной машине админа-экспериментатора, а не на сервере. Автомат по конфигурации, DHCP и NAT «из коробки» в этом случае может быть весьма удобным.

shamus24 ★
(27.01.17 21:05:42 MSK)

Ответ на: комментарий от shamus24 27.01.17 21:05:42 MSK

Так к обыкновенному бриджу можно не привязывать реальную сетевушку, и будет изолированное по самое нехочу.

можно конечно, именно это libvirt и делает, плюс прикручивает туда готовый iptables и dnsmasq, что позволяет всем этим управлять в очень удобной манере, особенно при автомации. Можно назначать машинам IP со стороны хоста, можно цеплять все это к OVS, там много вкусных плюшек на самом деле, особенно когда нужно всю эту кухню автоматизировать

dyasny ★★★★★
(27.01.17 22:02:24 MSK)

Ответ на: комментарий от dyasny 27.01.17 22:02:24 MSK

А откуда лучше пакеты ovs для centos7/rhel7 брать? в стандарной репе отсутствуют.

anton_jugatsu ★★★★
(28.01.17 11:06:41 MSK)

Ответ на: комментарий от anton_jugatsu 28.01.17 11:06:41 MSK

у меня все есть, но у меня подключены каналы для RHOS

dyasny ★★★★★
(28.01.17 18:47:48 MSK)

Ссылка

Ответ на: комментарий от dyasny 27.01.17 22:02:24 MSK

плюсую за OVS, сам делаю обычно так: выделенный физический интерфейс для нужд хостовой машины, и два/четыре интерфейса с агррегацией выделены под OVS исключительно для виртуалок

Bloody ★★
(29.01.17 13:58:22 MSK)

Ответ на: комментарий от Bloody 29.01.17 13:58:22 MSK

а бондинг средствами ovs?

anton_jugatsu ★★★★
(29.01.17 17:54:57 MSK)

Ответ на: комментарий от anton_jugatsu 29.01.17 17:54:57 MSK

да, отлично поддерживается LACP

Bloody ★★
(29.01.17 18:34:03 MSK)

Ответ на: комментарий от Bloody 29.01.17 18:34:03 MSK

а какой дистрибутив? я выше задавал вопрос где брать пакет openvswitch в centos7

anton_jugatsu ★★★★
(29.01.17 21:40:49 MSK)

Ответ на: комментарий от anton_jugatsu 29.01.17 21:40:49 MSK

http://mirror.centos.org/centos/7/virt/x86_64/ovirt-4.0/

[rdo-qemu-ev]
name=RDO CentOS-7 - QEMU EV
baseurl=http://mirror.centos.org/centos/7/virt/$basearch/ovirt-4.0/
gpgcheck=0
enabled=1

dyasny ★★★★★
(30.01.17 04:20:27 MSK)

Пользуй bridge. По скорости у меня так:

Простая настройка (scp=38MB/s, http=54MB/s):
#    -net nic,model=rtl8139 \
#    -net user,net=192.168.24.0/24,host=192.168.24.151,restrict=off,hostfwd=tcp:127.0.0.1:10022-192.168.24.15:22

Сложная (virtio, scp=122MB/s, http=560MB/s):
qemu-system-x86_64 -m 16384 \
	-machine pc,accel=kvm \
...
	-netdev tap,id=g1_net0,ifname=tap1,vhost=off,script=no,downscript=no \
	-device virtio-net-pci,netdev=g1_net0,mac=00:12:34:56:78:9a,addr=06.0

Еще сложнее (virtio+vhost, scp=133MB/s, http=950MB/s):
	* Права на: /dev/vhost-net
	* Ядро:
		* Host-system: CONFIG_VHOST_NET=y (зависит от протокола CAIF)
		* Guest-system: CONFIG_PCI_MSI=y
	* /etc/udev/rules:
		* KERNEL=="vhost-net", GROUP="kvm", MODE="0660"

	-netdev tap,id=g1_net0,ifname=tap1,vhost=on,script=no,downscript=no \
	-device virtio-net-pci,netdev=g1_net0,mac=00:12:34:56:78:9a,addr=06.0

soomrack ★★★★★
(30.01.17 11:16:07 MSK)

Ответ на: комментарий от anton_jugatsu 29.01.17 21:40:49 MSK

сейчас в меня полетят ****, но мы в продакшене используем fedora, просто не каждый день свежие апдейты накатываем. С некоторым опозданием, предварительно обкатав на стенде.

Bloody ★★
(30.01.17 12:09:44 MSK)

Ответ на: комментарий от dyasny 30.01.17 04:20:27 MSK

спасибо

anton_jugatsu ★★★★
(30.01.17 13:12:36 MSK)

Ссылка

Ответ на: комментарий от Bloody 30.01.17 12:09:44 MSK

anton_jugatsu ★★★★
(30.01.17 13:12:51 MSK)

Ссылка

Ответ на: комментарий от soomrack 30.01.17 11:16:07 MSK

# -net nic,model=rtl8139 \

virtio ничем не сложнее, зато паравиртуализирован, а не эмуляция в софте как rtl. rtl был нужен на старых виндах, когда драйверов еще не было, так же как и IDE для дисков, но с тех пор использовать эмуляцию смысла нет (уже почти 10 лет как)

dyasny ★★★★★
(30.01.17 17:24:10 MSK)