Насколько это дурацкая затея, шлюз на базе виртуальном машины?

шлюз предполагает автономность и простоту обслуживания.

А чем линуксовая машина в качестве шлюза не устраивает? Не, я так делал конечно(только не с фряхой, а с другим линуксом) - но прежде чем делать стоит задать вопрос - зачем?

У тебя есть опыт поднятия шлюза на фряхе и нет на Linux и ты поэтому не хочешь заморачиваться изучением iptables и прочего?

У меня нет опыта ни там ни там и там не только шлюз, а дофига еще всего. Боюсь накосячить и тогда поломают. Поэтому решил просто перенести работающую систему с старого сервера в виртуальную машину.

Да без проблем, если скорость не большая. И вроде как FreeBSD нужно чуть потюнить, чтобы она не кушала CPU как бешанная.

У самого так сделано. На сервере proxmox, в виртуалке pfsense.

Идея дурацкая, предупреждаю сразу.

Вот эту связку нужно немного тюнить как раз. pfsense кушает много CPU.

Если разделять транспорт и апликейшн, то шлюз должен не зависеть от проблем виртуализации. Я считаю это уровень приложений. Все это заканчивается обычно плохо.

Почему нет? Тут люди слегка не в курсе виртуальной сетевой инфраструктуры, дело уже дошло до виртуальных нексусов, не то что несчастный pfsense туда поставить.

Но сразу стоит предупредить, что во фряхе не все настроено :)

Да можно, почему нет. Только обычно применяется для удобства руления виртуальной сетью и впнами.

А это как временное решение...

одно дело маршрутизировать отдельное облако приложений. упадет - не жалко. другое дело базовая сеть предприятия. Использовать при этом kvm, lxc или xen в том виде, в котором они нам доступны в бесплатных проектах...

Тут щас много насоветуют про нексусы и прочие успехи, лучше сразу обнови резюме на всякий случай.

Ну, если выбор стоит между туполинком 741 и пфсенсом в квм, то выбор очевиден. Есть правда некоторые подводные камни, вроде не работающего из-за глючного udp offload'а dhcp на virtio-адаптерах, но это мелочи (offload в pfsense выключаешь и все).

в квм можно даже пробросить виртуальные функции sv-iov поддерживающие сетевухи. но дело не в этом. Каждое обновление квм - это испытание на шкурах бесплатных тестеров, коими мы считаемся. просто пару примеров.

спонтанное падение при ksm/merge_across_nodes = 0 на хосте. Я заипался искать эту проблему. ошибка была в ядре. периодические ошибки ipv6 при лив миграции. Хрен с ним пока.

Что-то чинят, что-то ломают при каждом новом релизе. Если сюда добавить ovirt. Это вообще песня. В одном месте чинят, в другом сразу ломают. Начиная с морды, и заканчивая с залипанием снепшотов, отваливания iscsi, потерей связи с vm при высокой копировании снепшотов. Вы реально хотите поместить свою жизнь в ночной ад, поместив около центральный маршрутизатор в квм ?

одна из версий xen4 vm просто умирала при большой сетевой нагрузке. Находишь баг репорт и что в ответ? Ну давайте подождем...

У меня нет опыта ни там ни там....
решил просто перенести работающую систему

В одном месте свербит? Работает не трогай.
Вообще кто пустил уборщицу в серверную?

И вроде как FreeBSD нужно чуть потюнить, чтобы она не кушала CPU как бешанная.

Ты что-то делаешь не так. Фряха не жрёт проц, если не лезть корявыми руками куда не надо. Искаропки она вообще ничего не жрёт.

Network Function Virtualization, так называется концепция в которой виртуализируются разные сетевые устройства.

Она активно продвигается наряду с SDN, как в корпоративный, так и операторский сегмент. Вопрос заключается в том, насколько хорошо при этом у вас обеспечена инфраструктура виртуализации.

Если у вас обеспечена живая миграция, а серверы достаточно производительные, то почему бы и нет. Если же живой миграции нет, то вы можете столкнуться с рядом сложностей, в случае выхода из строя вашего текущего узла виртуализации.

С другой стороны и ваш одиноко стоящий старый сервер может выйти из строя, рано или поздно. Я бы на вашем месте проанализировал возможные риски от обоих вариантов и уже на основе этого принял решение.

Фряха не жрёт проц, если не лезть корявыми руками куда не надо. Искаропки она вообще ничего не жрёт.

Конечно, «искаропки» она ж вообще не фурычит.

ваш одиноко стоящий старый сервер

Вот. Давно не на гарантии, пару раз уже случались отказы, на новый денег нет.

Виртуализация это прекрасное лекарство для старых, усталых серверов, самое главное, чтобы инфраструктура виртуализации была построена так, чтобы перенос сервера в виртуальной среду, обеспечивал производительность, отказоустойчивость и доступность не ниже, чем у его железного варианта.

На железе - всё ок. Вопрос именно при работе внутри kvm.

Вопрос именно при работе внутри kvm.

На одном ядре? Для работы в виртуалке я бы отключил всё неиспользуемое (sendmail, куча cron-job'ов, репорты, там много всего). Так-то логично, что оно в слабой виртуалочке загибается.

делал такое, работало на proxmox. и в openvz и в kvm. Была такая шляпа в KVM с виртуалкой centos5.х загрузка цпу при трафике была очень большая. Переехал на centos 6.х загрузка цпу сильно упала.

полностью дурацкая идея.
независимо ни от чего, пусть даже при виртуализации будет 0% потерь производительности, да хоть даже в плюс уйдёт.
ты не можешь сказать «у вас не будет сети, потому что мне нужно поднять кластер виртуализации который упал, а траблшутить буду через мобильный интернет»
вернее можешь, но только один раз.

Да нормальная идея. Просто всё нужно делать так, чтобы само восстанавливалось после ресета, вот и всё. Вернулось питание - загрузилось и заработало. А что там у тебя - да всем плевать.

Зашел через веб-интерфейс в pfsense, во вкладке «Системная активность» такое:

last pid: 89532; load averages: 0.34, 0.20, 0.11 up 22+22:45:32 19:54:45
275 processes: 18 running, 173 sleeping, 84 waiting

Mem: 15M Active, 144M Inact, 211M Wired, 17M Buf, 3549M Free
Swap: 1638M Total, 1638M Free

умвр, чяднт?

У самого так сделано, правда в качестве шлюза опенбсд а не фря, ну и изначально было спроектирована так что стоит проксмокс, а в него внутри уже сервера. У вас вроде как живой сервер в который виртуализацю надо впихнуть. В общем траблом не было, о том что так сделал ни жалею ни каплю, напротив иногда даже испытываю поллюции.

очень хороший сервер

=)