изоляция окружения - nginx,php,mysql

chroot, lxc, kvm - выбирай на вкус

kvm - это создание виртуалок же, если я не ошибаюсь.А вот про lxc почитаю. Спасибо.

Я просто перечислил по возрастанию изоляции.

понял.спасибо,поэксперементирую с этим.

Тем не менее, идеальный по удобству вариант.

что именно? kvm?

Идеальный по удобству это chroot.

Да.

Ты копрофаг, что ли? Чрут никогда не будет удобнее даже OpenVZ, не говоря про KVM :)
Это костылизм дикой величины, имеющий оверхед в ручном обслуживании.

Чрут никогда не будет удобнее даже OpenVZ, не говоря про KVM

Ну ты и лолка :) Для чрута всего-то и требуется - скопировать корень, прибиндить ядерные ФС и чрутнуться. Несравнимо с геморроем от openvz и kvm.

А если есть в наличии ФС со снапшотами, то и копировать ничего не надо, достаточно сделать снапшот. Ещё и место на накопителе расходуется по минимуму.

Для чрута всего-то и требуется

Ты мне напомнил башизм про установку генты.
Конечно, это необслуживаемое «проще», чем просто virsh start vm-name :)
Я уже молчу о том, что понятия «chroot» и «изоляция среды» рядом не сильно лежат.

просто virsh start vm-name

А сообщение с хостом? При чруте файлы кидать туда-сюда можно просто через ФМ, а с виртуалками так просто не получится.

Я уже молчу о том, что понятия «chroot» и «изоляция среды» рядом не сильно лежат.

Для тестирования прожек сойдёт вполне.

а с виртуалками так просто не получится.

nfs, cifs, sshfs, ftp ... не, не слышал.

chroot, lxc, kvm - выбирай на вкус

а про xen то забыли.

Конечно, это всё проще, чем файловый менеджер, ага.

Для тестирования прожек сойдёт вполне.

Не сойдет, ибо во-первых легко может удрать в основную систему, а во-вторых, будут проблемы с поддержкой и обновлением самой среды. Чрут - это костыль для решения задач класса «полная жопа», а не для изоляции среды.

Про него все вменяемые люди забыли.

Конечно, это всё проще, чем файловый менеджер, ага.

Это не проще. Это оно и есть - ибо тоже файловым менеджером все делается. Не могу избавиться от ощущения, что ты троллишь - не верю я в таких тупых.

Про него все вменяемые люди забыли.

Да неужели? реквистирую пояснения.

Lxc, kvm, chroot.

легко может удрать в основную систему

ТСу это вряд ли важно.

будут проблемы с поддержкой и обновлением самой среды

Какого рода проблемы?

Да а смысл? Не мейнстрим - нафиг.

Какого рода проблемы?

Диванный теоретик детектед.

Да а смысл? Не мейнстрим - нафиг.

А когда его с мейнстрима вынесли на кладбище? Я что то пропустил?

Это оно и есть - ибо тоже файловым менеджером все делается

Файловый менеджер сам автоматически создаёт коннект между гостём и хостом через ftp/nfs/sshfs? не верю я в таких тупых :)

Это всё? С облегчением :)

Файловый менеджер сам автоматически создаёт коннект между гостём и хостом через ftp/nfs/sshfs?

Т.е. прописать маунт для тебя - нереально сложная задача? Ну в таком случае, он может и сам - mc, krusader, да даже тупой наутилус и то умеет. Но ты реально тролль, так что кормить тебя я прекращаю, ибо миссия выполнена и ТС сущность твою увидел.

Он разве когда-то был в ядре? =)

виртуалками так просто не получится.

Лол

Он разве когда-то был в ядре?

В ванильном ядре много чего нету. Вот не надо передергивать только =)

Там есть и квм и контейнеры.

Т.е. прописать маунт для тебя - нереально сложная задача?

Странно, что ты не видишь сложностей в прописывании маунта, но холодеешь спиной при виде chroot.

Ну в таком случае, он может и сам - mc, krusader, да даже тупой наутилус и то умеет

Без поднятия и настройки соответствующего сервера на госте? До чего техника дошла.

все равно xen достаточно хорошая штука, хоть и нет его в ванильном ядре.

Ты вовремя. У фрактальчика опять обострение тупняка.

Много слышал про безудержный жор процессора в простое и неработающий из-за этого speedstep/cnq. Это вылечили?

а я всего то спросил как сделать лучше :)

ладно,когда два сервера есть,там хоть 1 работает, 2 обновляется.Потом меняем.

А вот когда 1 сервер,уж лучше распараллелить все это дело.В любом случае буду пробовать все,но начну наверное с chroot...

kvm msut have.Работал с ним уже,понравилось.

А чем хорошая? Кроме паравирта у него никаких плюшек-то и нет.

Много слышал про безудержный жор процессора в простое и неработающий из-за этого speedstep/cnq. Это вылечили?

Я его именно в паравиртуальном режиме юзаю. Много машин виртуальных есть и вендовые. все бегает на ура.

Почитай, штука интересная и перспективная. Пока-что оно сыровато местами, для хостинг-провайдеров наверное всё-ещё не готово, но для твоих задач вполне достаточно.
У меня по LXC контейнерам некоторые сервисы разнесены (почта, web, мониторинг). В плане безопасности это добавляет не так уж много (в моём винтажном ядре реализовано далеко не все что нужно для качественной изоляции недоверенных приложений), но количество бардака всё-же уменьшает.

А работает стабильно? я тоже думаю вынести некоторые сервисы в lxc-контейнеры, чтобы основную систему не хламить.

Никаких проблем вызданных собственно пространствами имён не было (LXC это по сути набор ядерных фич для создания рездельных неймспейсов для всего подряд и управления ими (cgroup)). В этом плане всё хорошо, но поддержка виртуализации некоторых пространств имён важных для безопасности (строгой изоляции приложений) внесли в ядро лишь недавно (в версии 3.9 или 3.10 кажется), что-то важное возможно ещё не внесли.

У меня были косяки из-за того что окружения разворачиваемые debootstrap не заточены под работу в контейнере (стартовым скриптам не удавалось запустить стандартные tty о чём они ругались во все консоли раз в n минут). Были косяки из-за того что утилита lxc-create по умолчанию создаёт уж очень не изолированные контейнеры, у них есть доступ к сетевым интерфейсам хоста (что меня в общем-то вполне устраивало) и в результате они могли их гасить (и таки делали это при выполнении shutdown в контейнере), а заодно запускали dhcp-клиент на eth0 при старте (потому-что такие уж настройки по умолчанию у контейнеров).

В общем есть приколы с настройкой (основная сырость там), но после настройки всё работает стабильно на столько что о стабильности lxc до сего момента я просто не задумывался.

P.S. ещё было такое что логи (то-ли все, то-ли только ядерные) писались во все контейнеры.

Чем хорошая в сравнении с квм?

в KVM все печально для вируализации вендов. Чего не скажешь о Xen.

в KVM все печально для вируализации вендов

Что там печального? Никогда с проблемами не сталкивался.

Что там печального? Никогда с проблемами не сталкивался.

если можешь, то ткни носом в истории успехов.

В какие такие истории успехов?

что все хорошо и Win2K3 и Win2K8 R2 итп работают без проблем.

А, эти венды я не трогал ни разу.

А, эти венды я не трогал ни разу.

Вот о том и речь. Есть задачи которые надо решать только виртуализировав венды. Жизнь она такая, хочешь не хочешь а это гамно надо юзать. По мне так лучше она в виртуальном контейнере в ксене живет чем на реальном железе. Обслуживать ее проще и откатывать бекапы итп итд.