Linux-vserver или каждому сервису по песочнице
Недавно на хабре публиковались статьи о openvz и lxc. Это напомнило мне, что эта статья всё еще валяется в sandbox’е… Для целей размещения проектов я применяю такую схему: каждый сервис запускается в изолированной среде: боевой — отдельно, тестовый — отдельно, телефония — отдельно, веб — отдельно. Это снижает риски взлома систем, позволяет бакапить всё и вся одним rsync’ом на соседний сервер по крону, а в случае слёта железа просто поднять на соседнем железе. (А использование drbd + corosync позволяет это делаеть еще и автоматически) Для создания изолированной среды есть два подхода, именуемые VDS (виртуализация аппаратуры) и VPS/jail (виртуализация процессного пространства). Для создания VDS изоляций применяют XEN, VirtualBox, VMWare и прочие виртуальные машины. Для создания VPS на linux используется либо linux-vserver, либо openvz, либо lxc. Плюсы VDS: система внутри может быть совершенно любой, можно держать разные версии ядер, можно ставить другую ОС. Минусы VDS: высокие потери производительности на IO, избыточное потребление CPU и RAM на сервисы, дублирующие запущенные на серверной ОС. Плюсы VPS: крайне низкая потеря производительности, только на изоляцию, запускаются только те сервисы, которые реально необходимы. Минусы VPS: можно запустить только linux и ядро будет только той версии, что уже запущено. Так как мне не нужны разные ОС, то всюду применяю linux-vserver (так уж сложилось исторически, применяю с 2004 го года, а openvz вышел в открытый доступ в 2005 м), а lxc в моём понимании еще не дорос до продакшена (хотя и очень близок уже). Ниже я опишу базовые операции по запуску LAMP сервера в изолированном окружении.Читать дальше →
