Apache in una VM

[uovobw]

Ciao a tutti,
sto guardando in giro per vedere di mettere su apache su una virtual machine, visto che dopo l'ultima bucata di server ci sono rimasto scottato.
Come macchina host c'è un Dual Athlon 2600+ con 1 giga di ram, quindi come potenza per far girare una macchina virtuale con sopra solo apache (e un po di php e mysql, ma prevalentemente pagine statiche) ce ne dovrebbe essere.
Ero indeciso fra:

- UML
- quemu
- bochs

ma ho letto un bel po di doc di tutti e tre e mi è parso che nessuno di questi ti permetta di avere una connessione a internet tramite la eth...
Mi spiego:
il mio sogno sarebbe:
avere la macchina host connessa alla rete e da li a internet con sopra un firewall che:
- fa i lsuo lavoro con gli altri servizi sulle porte !=80
- indirizza in modo trasparente le connessioni in arrivo sulla porta 80 alla macchina virtuale sulla porta 80, in modo da avere apache che lavora.
l'idea è di fare in modo che, dall'esterno, sembri che io io realtà abbia solo la macchinina con sopra apache e il resto direttamente connessa alla rete.
Sulla macchina host (il dual) ci gireranno anche altri servizi, ma sono su porte non standard e solo per la rete interna, quindi non c'è problema.
Apache però deve essere raggiungibile da fuori.

Non mi è parso che si possa fare, ma forse non ho letto le pagine giuste.

Voi che macchina virtuale usereste?
E per le connessioni?
Qualcuno ha gia avuto esperienze di questo tipo?

grazie mille

[W.S.]

Ciao!
Sicuro non gestiscano una connessione eth? io uso vmware e funziona benissimo...

il dual 2600+ ti gestisce allegramente anche più di una macchina virtuale! (bhe poi dipende dal carico del server ma nella maggior parte dei casi puoi stare tranquillo che sei sopra la media)

Non so se ho capito bene la topologia della rete che vuoi creare, vediamo:

- dual 2600+ con sopra macchina virtuale attaccata a switch
- rete interna attaccata allo stesso switch
- firewall attaccato allo switch e natta tutti verso l'esterno

giusto?

Dall'esterno si vede solo la macchina che gestisce la connessione (il firewall di sopra)

Hai gia capito come è arrivata la bucata? E' partita da un pc interno o esterno della lan? E' arrivata tramite una richiesta http dritta al server?
Prima di modificare la configurazione di una rete io risponderei prima a queste domande.

Poi oltre al firewall classico mettici pure un proxi (tipo squid) che si lavora le richieste sulla 80, cosi controlli se è traffico http valido.

I servizi su porte non standard non è detto che nn siano un problema... ora non so che tipo di rete sia e che utenti abbia, ma se non puoi fidarti degli utenti interni diventa un bel problema.

[uovobw]

Quote:

Originariamente inviato da W.S.

Ciao!
Sicuro non gestiscano una connessione eth? io uso vmware e funziona benissimo...

eh si, vmware lo fa, ma preferirei mantenermi verso una soluzione libera

Quote:

il dual 2600+ ti gestisce allegramente anche più di una macchina virtuale! (bhe poi dipende dal carico del server ma nella maggior parte dei casi puoi stare tranquillo che sei sopra la media)

Non so se ho capito bene la topologia della rete che vuoi creare, vediamo:

- dual 2600+ con sopra macchina virtuale attaccata a switch
- rete interna attaccata allo stesso switch
- firewall attaccato allo switch e natta tutti verso l'esterno

giusto?

non del tutto:
lo schema è circa così:

Codice:

INTERNET -> switch -> DUAL (con dentro) 
                              |---- Iptables che ridirige tutto sulla ottanta alla vm
                              |----- vm

in modo da avere: alcuni servizi sulla macchina dual athlon "nativa" diciamo, e solo apache sulla vm.
Questo è il motivo per cui facevo quella domanda

Quote:

Hai gia capito come è arrivata la bucata? E' partita da un pc interno o esterno della lan? E' arrivata tramite una richiesta http dritta al server?

i famosi e bellissimi bug di php, se ricordi.
/me coglione che non ha aggiornato immediatamente

Quote:

Poi oltre al firewall classico mettici pure un proxi (tipo squid) che si lavora le richieste sulla 80, cosi controlli se è traffico http valido.

si a quello ci avevo pensato, ma per ora mi interessava di più virtualizzare apache.
Sono due cose diverse, ma grazie del consiglio.

[HexDEF6]

io invece vorrei provare xen per fare macchine virtuali..
rispetto a qemu bochs ecc. dovrebbe essere molto piu' veloce (ma necessita di un kernel appositamente patchato)...

ma comunque perche' non iniziare da un chroot?

[uovobw]

Quote:

Originariamente inviato da HexDEF6

io invece vorrei provare xen per fare macchine virtuali..
rispetto a qemu bochs ecc. dovrebbe essere molto piu' veloce (ma necessita di un kernel appositamente patchato)...

ma comunque perche' non iniziare da un chroot?

non saprei, è sicuro come una macchina virtuale?
poi non vorrei che ci fossero problemi con mysql e php...
il vantaggio della vm è che è molto semplice da aggioranre e non da probelmi di eventuali librerie mancanti o simili, mentre per una chroot sembra che debba copiare tutto il necessario a mano...

[W.S.]

Quote:

Originariamente inviato da uovobw

eh si, vmware lo fa, ma preferirei mantenermi verso una soluzione libera .

D'ho! Maledetta ignoranza (concordo sul matenersi liberi anche se nn si direbbe)

Ok, ora ho capito

Bhe chroot è una buona soluzione, risolve alcuni problemi ma ne aggiunge altri, il bello della virtualizzazione (secondo me) è il recovery e la separazione delle macchine, non dico che uscire da una chroot sia semplice per carità, ma personalmente preferisco una macchina virtuale... correggetemi se sbaglio.

[uovobw]

Quote:

Originariamente inviato da W.S.

Bhe chroot è una buona soluzione, risolve alcuni problemi ma ne aggiunge altri, il bello della virtualizzazione (secondo me) è il recovery e la separazione delle macchine, non dico che uscire da una chroot sia semplice per carità, ma personalmente preferisco una macchina virtuale... correggetemi se sbaglio.

infatti ci avevo pensato, ma il problema più grosso della chroot per me è che devi copiare a mano dentro le cose.
Fai anche uno script, ma lo stesso è alquanto complesso...
In una vm invece fai un apt-get e sei a posto.
Senza contare che è un sistema linuc completo.

Qualcuno ha altre idee esperienze?

[uovobw]

Per ora sto installando debian sarge 31.r1 su qemu, vediamo poi come siamo messi a prestazioni o simili.
Ho fatto un bel disco di 3 giga e l'ho dato in pasto a qemu.
Una debian minimale, da install cd pesa qualcosa come solo 335 mega...
<burns>
eccellente
</burns>

e per ora sto vedendo in rete per eventuali guide.
Pare che la cosa sia piuttosto semplice, invero:
compili il kernel della macchina ospitante con il TUN/TAP attivato, lo imposti nella machina ospitata e sei a posto.
Ora però devo fare si che il firewall mi consenta tutto il traffico stabilito e relato da e verso l'host, e che mi accetti le connessioni in entrata sulla porta 80 ridirigendole verso tun0...

vi farò sapere
ciao
e grazie

[ilsensine]

Quote:

Originariamente inviato da uovobw

infatti ci avevo pensato, ma il problema più grosso della chroot per me è che devi copiare a mano dentro le cose

Read-only bind mount

Purtroppo il "read-only" è disponibile solo con una patch esterna:
http://www.13thfloor.at/patches/

[uovobw]

Quote:

Originariamente inviato da ilsensine

Read-only bind mount

Purtroppo il "read-only" è disponibile solo con una patch esterna:
http://www.13thfloor.at/patches/

non ne esiste una che ilsensine non sappia...terrificante

ci do un occhio, ma solo se divento psicotico con qemu
graize

[HexDEF6]

Quote:

Originariamente inviato da uovobw

non ne esiste una che ilsensine non sappia...terrificante

ci do un occhio, ma solo se divento psicotico con qemu
graize

secondo me con qemu non vai avanti a botte... perche' non provi xen (cosi' mi dici com'e' )?

[Aryan]

Quote:

Originariamente inviato da HexDEF6

secondo me con qemu non vai avanti a botte... perche' non provi xen (cosi' mi dici com'e' )?

Quoto per XEN...

[uovobw]

Quote:

Originariamente inviato da HexDEF6

secondo me con qemu non vai avanti a botte... perche' non provi xen (cosi' mi dici com'e' )?

secondo me invece con quemu funziona bene, dato che il server è su e sta girando ora come ora

grazie mille mila

in ogni caso dovrò dare un occhio anche a XEN

ciao

[pinok]

Quote:

Originariamente inviato da Aryan

Quoto per XEN...

Domanda, da quello che ho letto.
Se XEN dovesse avere un bug, un crash di una VM potrebbe tirarsi giù tutte le altre, perché XEN sta sotto il SO.
Qemu invece sta sopra, per cui anche se più lento un eventuale crash è limitato alla VM che l'ha generato.
Per Qemu dovrebbe esistere anche un acceleratore.

Sto sparando cavolate ?
Lo chiedo, perché devo scegliere anch'io (quando avrò un attimo )

[Aryan]

Quote:

Originariamente inviato da pinok

Domanda, da quello che ho letto.
Se XEN dovesse avere un bug, un crash di una VM potrebbe tirarsi giù tutte le altre, perché XEN sta sotto il SO.
Qemu invece sta sopra, per cui anche se più lento un eventuale crash è limitato alla VM che l'ha generato.
Per Qemu dovrebbe esistere anche un acceleratore.

Sto sparando cavolate ?
Lo chiedo, perché devo scegliere anch'io (quando avrò un attimo )

Ammetto di non averlo mai usato. Però so che è uscita da poco una nuova versione e ne ho sentito parlare benissimo!
Ho usato solo VMWare al momento per la possibilità di emulare ANCHE macchine Winsozz...

[uovobw]

Scusate, ma ora che ci ho sacramentato (anche in remoto) per circa una settimana, urge che vi spieghi cosa ho fatto:

qemu, kqemu, macchina virtuale e script di avvio ben configurati sia dentro alla VM che alla macchinona host.
Decisamente troppo comodo

se volete spiegazioni più approfondite, pm

ciao

[gio67]

micro-micro howto?

[uovobw]

Quote:

Originariamente inviato da gio67

micro-micro howto?

aptitude install qemu
[NOTA: non ho compreso la compilazione di kqemu, complesso e "out of scope", inoltre proprietario]
poi installi con i comandini belli di qemu

qemu -boot d -cdrom /dev/cdrom -hda hd.img

fai il boot da cd
installi configuri tutto, la rete ecc,
poi sempre con qemu riavvi la macchina e booti da "disco fisso"

qemu -hda hd.img -boot c

e via che ci sei.
metti tutto con il tunnel sulla eth0
lo fai con le regole:
iptables -A PREROUTING -t nat -i INTERFACCIAINTERNET -p tcp --dport 80 -j DNAT --to IPMACCHINAVIRTUALE:80
iptables -A FORWARD -p tcp -m state --state NEW -d IPMCCHINAVIRTUALE --dport 80 -j ACCEPT

e via che sei a cavallo!
ciao

[Mezzelfo]

Vai di Xen 3.0!

[HexDEF6]

Quote:

Originariamente inviato da Mezzelfo

Vai di Xen 3.0!

e' un secolo che glielo consiglio!!!!... (cosi ci fa un simpatico howto!)

P.S. Buon Natale