VDS с кучей LXC-контейнеров вместо кучи VDS

0

2

У меня есть несколько VDS с разными сервисами и разных конфигураций. Появилась мысль объединить все эти VDS, купив одну большую VDS и все сервисы распихать внутри LXC контейнеров, чтобы они не мешали друг другу и из соображений безопасности. Но вот хотелось бы узнать, какие подводные камни имеются для такой конфигурации. Действительно ли несколько LXC контейнеров эквивалентны нескольким VDS или имеются нюансы? Разумеется, я буду пробрасывать из контейнеров только те порты, которые в этом нуждаются, остальные будут сидеть без доступа извне. И насколько безопасно хранить необходимую информацию (файлы, базы данных и т.д) в LXC контейнерах? Не может ли случиться однажды так, что из-за какого-то сбоя все это исчезнет? Я сейчас про форс-мажоры у хостера не говорю, это с каждым может случиться, я про вероятность локального сбоя LXC на сервере.

Ссылка

←	HP 8GB 1Rx4 PC3

Не работает домен по https в nginx

→

Контейнеры не имеют возможности загружать модули ядра. Если VPS будет работать под ядром с уязвимостью, которая позволяет повысить привилегии до root, то, с большой вероятностью, при взломе контейнера злоумышленники смогут получить доступ вне контейнера, к хост-VPS и другим контейнерам.

ValdikSS ★★★★★
(02.07.18 15:04:10 MSK)

Ответ на: комментарий от ValdikSS 02.07.18 15:04:10 MSK

Но ведь за одним ядром проследить проще, чем за кучей ядер на разных VDS?

Rinaldus ★★★★★
(02.07.18 15:08:36 MSK) автор топика

Кажется что lxc контейнерами ты не сможешь нормально ограничивать ресурсы на каждый контейнер.

Но я так. Мимопроходил.

anonymous
(02.07.18 15:13:24 MSK)

Ответ на: комментарий от anonymous 02.07.18 15:13:24 MSK

Для моих нужд мне это и не требуется, у меня нет чересчур прожорливых служб. VPS я планирую взять с большим запасом по ресурсам.

Rinaldus ★★★★★
(02.07.18 15:20:31 MSK) автор топика

Ответ на: комментарий от Rinaldus 02.07.18 15:20:31 MSK

Ну просто тогда один контейнер сможет повесить все остальные. Вопрос же не про прожорливые службы, а ошибки в коде. Утечки, дэдлоки...

anonymous
(02.07.18 15:30:11 MSK)

Ответ на: комментарий от anonymous 02.07.18 15:30:11 MSK

Но ведь с тем же успехом служба вне контейнера может и всю маленькую VPS повесить, на котором она сейчас находится. А этого не наблюдается.

Rinaldus ★★★★★
(02.07.18 15:45:49 MSK) автор топика

Ссылка

Ответ на: комментарий от Rinaldus 02.07.18 15:08:36 MSK

В целом, да, проще. А с KernelCare вообще перезагружаться не нужно в большинстве случаев.

Я запускаю контейнеры средствами systemd machinectl, меня устраивает.

ValdikSS ★★★★★
(02.07.18 16:13:42 MSK)

Ссылка

Не может ли случиться однажды так, что из-за какого-то сбоя все это исчезнет?

Первые три правила сисадмина.

Действительно ли несколько LXC контейнеров эквивалентны нескольким VDS или имеются нюансы?

Если идет High-load, будешь ограничен одним интерфейсом сети/одним жестким диском.

Deleted
(02.07.18 17:15:43 MSK)

Ссылка

У вас останется всего один внешний интерфейс и 1...5 внешних IP (зависит от доброты хостера). Ваше хозяйство готово к такому переходу?

Nastishka ★★★★★
(03.07.18 10:08:05 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	HP 8GB 1Rx4 PC3

General

Не работает домен по https в nginx

→

Похожие темы