Как грамотно изолировать сервисы на linux-сервере?

Question

[Vitaly]

Переехал на новый сервер и хочу добиться большей отказоустойчивости и изолированности сервисов друг от друга.
На сервере будет использоваться:
1. Postfix + PostgreSQL
2. Несколько (3-5) проектов с примерно одинаковым стеком технологий (python, NodeJS, PostgreSQL, MongoDB, RabbitMQ)
3. Несколько (3-5) проектов, требующих apache, php, MySQL.
4. Bind
5. ownCloud

Как-то на старом сервере я попался на уязвимость в exim, из-за которой пришлось срочно переезжать на новый сервер. Если я правильно рассуждаю, то максимально изолировав сервисы от корневой ОС и друг от друга, я добьюсь большей отказоустойчивости.

Отсюда вытекают вопросы:
1. Какую (бесплатную) технологию лучше выбрать для изоляции? Я рассматривал KVM + Qemu, LXC и Docker.

2. Как грамотней распределить мои сервисы по контейнерам?

Думаю над таким распределением:
bind остаётся работать на корневой ОС.
Postfix с PostgreSQL (где хранятся почтовые аккаунты), в отдельном контейнере.
Каждый проект (python, NodeJS, PostgreSQL, MongoDB, RabbitMQ) — в отдельный контейнер
Простые сайты на php + MySQL поместить в один отдельный контейнер
ownCloud тоже изолировать отдельно.

Буду признателен вашим советам.

Answer 1

[Алексей Черемисин]

Технологий конечно же есть.
1) Это виртуализация - KVM/Xen
На мой взгляд предпочтительнее KVM, лучше поддержка, не нужно специальное хост-ядро.
Немного, процента на 2-3 проигрывает перед XEN, но в удобстве выигрывает однозначно. XEN - только линукс, и только со специальными патчами в ядре на хосте и клиенте.
Фактически получаете полноценную виртуальную машину, ставите туже все, что душе угодно, хоть линукс, хоть BSD, хоть винду.
Проблема одна - требует жесткого выделения ресурсов. Поэтому только десяток-другой виртуалок (да и то заивисит от нагрузок).
По сравнению с железом, сожрет от 3 до 7-10 процентов производительности.
Тем не менее: мой выбор KVM.
2) Контейнеризация - Docker/LCX/Virtuozzo.
Сразу скажу за virtuozzo - ничего про нее говорить не буду. В принципе - очень похожа на XEN.
Остальные две основаны на CGroups, более того, docker внутри использует LXC.
Docker - очень распространен и популярен, фактически лидер рынка. Заточен на запуск одной задачи в одном контейнере. Контейнеры можно объединять в группы.
LXC/LXD - менее распростанен, но очень удобная технология, если нужно контейнеризировать окружение операционки с кучей процессов.

Мы пользуем и Docker и LXC/LCD. И даже в LXC пускаем Docker.
Все зависит от задачи.
Нужен сервис с кучей процессов и окружением - LXC
Нужен один процесс - docker.
Нужно полноценное окружение с ядром, куртизанками и гусарами - KVM.

По факту - около 10 виртуалок KVM, порядка 10 контейнеров LXC, и порядка 20 контейнеров Docker.

Comments

[Sanes]

Virtuozzo умеет KVM и Containers. По сравнению. с LXD там контейнеры более полноценные в плане самодостаточности. Мало чем отличаются от VM.
Не зря OpenVZ до сих пор в строю и кроме него ничего на рынке хостинга не представлено.

[Vitaly]

А вот, например, для веб-проекта, состоящего из нескольких микро-сервисов на python и NodeJS, использующих также PostgreSQL, MongoDB и RabbitMQ (и над которым я работаю не один, т.е. мне надо дать доступ другим программистам), подойдёт вариант выделить отдельную виртуальную машину через KVM, в которую установить debian, и там каждый сервис запускать в docker? Или это уже перебор и docker лучше не использовать?

[Sanes]

Виталий Соколов, обычно совместная работа ведется в Git. А ответственный уже заливает обновления.

[Алексей Черемисин]

Виталий Соколов, Да, вполне так нормально! У меня под 20 серверов, там на них крутится CentOS, внутри живут виртуалки KVM (не на всех), и с дебианом, и редхатом, даже sles один стоит. Во многих крутится и docker и lxc/lxd.

[Алексей Черемисин]

Sanes, Я и здесь задам этот же вопрос - сколько у вас серверов с virtuozzo?!

[Vitaly]

Sanes, мы тоже используем git, разумеется. Просто товарищи предлагают добавить docker для deployment'а, поэтому и возник вопрос, не перебор ли запускать docker-контейнеры внутри виртуальной машины. Сервер для разработки, не продакшен, но всё равно нужно, чтобы работало быстро.

[Алексей Черемисин]

Виталий Соколов, Нет, не перебор! В производительности не потеряете. И товарищи правильно вам советуют - запускайте контейнеры внутри виртуалок, так и снаружи.

Answer 2

[Sanes]

Лучше разделить по стекам через KVM или другую нормальную виртуализацию.
Например LAMP в одну VM, почту в другую и т.д.

1. LXC/LXD возможны проблемы из-за кастрированности технологии
   
2. Docker вообще не про это
   

Virtuozzo Containers пока единственная более или менее полноценная среди контейнеров. Если делить на виртуальные машины.

Comments

[Алексей Черемисин]

Извиняюсь, но я вот, мягко говоря (!), и про virtuozzo, и про docker/lxc, вообще с Вам не соглашусь. Ответ свой привел отдельно.

[Sanes]

Алексей Черемисин, LXD кастрированная и очень много софта с ней просто не подружится, в отличии даже от старого OpenVZ.

[Алексей Черемисин]

Sanes, Только один вопрос - сколько лично у вас установок virtuozzo? После этого поговорим, если хотите.

[Sanes]

Алексей Черемисин, я с Virtuozzo работаю еще с бета-версий. Про устаревший OVZ уже говорить смысла нет. И с LXD я тоже прекрасно знаком.
LXD слишком далек от OVZ в плане развертывания более или менее полноценной ОС.

[Алексей Черемисин]

Sanes, А сколько конкретно у вас установок? Число назвать можете, 1? 2? 5? 10?

[Sanes]

Алексей Черемисин, конкретно сейчас пользуюсь для своих проектов. Стоит уже не первый год. При чем здесь кол-во вообще?

[Sanes]

Алексей Черемисин, если допишу панель управления, то и клиентам поставлю. Но я к сожалению не программист и полноценную панель сделать не смогу.

[Алексей Черемисин]

Sanes, При том, что virtuozzo использует патчи на ядро, и не на каждое ядро эти патчи натянутся. Все тоже самое, что и с xen. И так вот не на каждый новый сервер это ядро встает и работает без бубна и танцев! Например у нас сеть infiniband и и довольно новые адаптеры, поэтому ни виртуозо, ни xen у нас не прижились, и не приживутся.

[Sanes]

Алексей Черемисин, это вы про Storage? Какое это имеет отношение к обычному серверу?

[Алексей Черемисин]

если допишу панель управления, то и клиентам поставлю. Но я к сожалению не программист и полноценную панель сделать не смогу.

Вот поэтому, боюсь, нам пока не чего делить и сравнивать,. Извините. Не вводите людей в заблуждение.

[Sanes]

Алексей Черемисин, а при чем тут панель управления и сама технология. Я привел это как причину, почему не могу использовать массово. Нормально там все работает.

[Алексей Черемисин]

Sanes, Так, нормально все и в XEN рабоатет, и во FreeBDS Jail, и в солярисе в контейнерах!

[Sanes]

Алексей Черемисин,
мне например надо поставить Billmanager. Попробуйте сделать это в LXD.

[Sanes]

Алексей Черемисин, или ssh chroot. Обломов с LXD было масса.

[Алексей Черемисин]

Sanes, Еще раз, если конкретно вам подходит что-то, это не значит, что подходит большинству. Если Вы не смогли разобраться в LXC/Docker/Cgroups/KVM, или как-то не так их применяли, это совсем не значит, что они не работают!
Docker и lcx - мейнстрим с миллионами установок (в отличии от OVZ), если у вас негативный опыт, то не нужно очернять эти технологии, боюсь, что огульно.
Предлагаю просто прекратить дискуссию, по моему, Вы просто не компетентны.

[Sanes]

Алексей Черемисин, так себе отмазка.

[Алексей Черемисин]

С вами бесполезно дискутировать. Это все что пытаться объяснить плоскоземельщику, почему он не прав. Вы будете приводить ничтожные факты каждый раз, ничего не говоря по существу. С моей же стороны, для их опровержения потребуется на порядок значительнее аргументы. Я не желаю тратить время на идиотское обсуждение. Я уже сказал, устраивает лично вас vittuozzo - пользуйте. Только не говорите, что на ней все заканчивается и мейнстримные технологии не применимы и не юзабельны, миллионы разработчиков и администраторов просто с вами не согласны. Я в их числе.

[Sanes]

Алексей Черемисин, я обозначил конретную проблему в LXD. Таких примеров масса, где LXD будет вставлять палки в колеса. С отличии от OpenVZ.
Ну а то то у вас пригорает, это хорошо.

[Алексей Черемисин]

И поэтому еще раз спрошу, сколько у вас серверов с virtuozzo? Если вы его поставили один раз,это не значит, что вас будет все хорошо на второй и третий!
Вопрос простой - сколько у вас серверов с virtuozzo! Подозреваю, что он один, и не сервер, а компухтер в чулане.

[Алексей Черемисин]

Я пойму, если у вас хотя бы стойка серверов с виртуозо, тогда есть смысл обращать на ваше мнение взгляд.

[Алексей Черемисин]

У меня давно не пригорает. Противно, когда человек начинает с безапелляционной уверенностью утверждать, что "технология ХХХ" наше все, а остальные "говно", причем, сам не понимая ни технологию ХХХ, ни поработав с чем-то другим, и вообще не имея никакого опыта.

[Sanes]

Алексей Черемисин, ты глупый чтоль? Я в сфере хостинга работаю больше 10 лет. И прекрасно знаком со всеми технологими. Не важно сколько у меня серверов. Мои серверы вообще не должны никого волновать. Настроено и протестировано было сотни серверов с разными конфигами.

[Vitaly]

Sanes, Алексей Черемисин Давайте прекратим эту дискуссию. Спасибо вам за советы!

[Алексей Черемисин]

Sanes, Во первых - на Вы! Чтобы понять, что человек разбирается в автомобилях, я его спрашиваю, сколько автомобилей он обслужил. Если человек "системный администратор", я его спрашиваю - сколько он обслуживал серверов. На вопрос то будете отвечать?
У меня 4 стойки серверов на предприятии, сотня бездисковых станций. Все это под линуксом (отcentos до debian). На личном обслуживании 7 серверов с достаточно крупными интернет проектами. Я системный программист, есть коммиты в ядро линукс, написал более 100 драйверов, разработал пару десятков систем. Стаж работы уже 30 лет, еще с тех времен, когда IT IT еще не называлось.

Answer 3

[mayton2019]

Топик совершенно не так должен звучать. Автор видел уязвимость. Что это было? Почему оно имело эффект в exim (? что такое exim?) и вдруг не будет имет эффекта в виртуальной среде.

Атака может проходить через сетевой порт и нет гарантии что если ты вынес все в докеры то ты "спрятался в домике". Возможно ты виртуализацией решаешь человеческую ошибку? Так это - другое. И может быть не надо виртуализировать. А просто позаводить несколько учетных записей.

Да кто вообще докер сертифицировал на безопасность? Тоже мне крепость.

Comments

[Sanes]

Автор видел уязвимость. Что это было? Почему оно имело эффект в exim (? что такое exim?) и вдруг не будет имет эффекта в виртуальной среде.

В прошлом или позапрошлом году массовый ахтунг был из-за уязвимости.

[Vitaly]

https://habr.com/en/post/455598/

[Алекс]

Да кто вообще докер сертифицировал на безопасность? Тоже мне крепость.

в контейнерах изолируют не потому, что они магическим образом убирают уязвимости, а для того, чтобы минимизировать последствия атаки/проникновения. Ну получат атакующие доступ на контейнер с exim - а дальше что?

Answer 4

[0x131315]

ИМХО наиболее актуально - докер.
Банально - прост в настройке, есть уже собранные образы на любой вкус, минимальные накладные расходы (можно позволить себе меньше памяти и дешевле железо), лёгкий мониторинг и управление сервисами. Умеет изолировать сервисы, сети и ресурсы. Умеет поднимать упавшие сервисы. Умеет управлять кластерами. Есть множество удобных веб-морд для управления/мониторинга из любого места, где есть браузер.

По разбиению - рекомендую БД вынести в отдельный общий (глобальный) контейнер, т.к. это будет одна из самых тяжёлых по памяти частей. Несколько БД держать дорого, и имеет смысл, только если проекты несовместимы с общей БД, но такое редкость.
Часть проектов может работать только с mysql - тогда нужно держать два контейнера с БД: mysql и postgres
Понятно, что для каждого проекта нужен отдельный ограниченный пользователь в БД.
Такая организация не только экономит ресурсы, но и позволяет управлять всеми БД через одну веб-морду, а также позволит легко прикрутить бекапы сразу для всех проектов.

Также отдельно стоит вынести nginx, который будет принимать подключения, обеспечивать безопасность и маршрутизацию по контейнерам. Как минимум это нужно, чтобы собрать все общие настройки в одном месте, и для возможности разделять один внешний порт на множество проектов.
nginx из проектов можно заменить глобальным (nginx довольно гибкий, достаточно перенести настройки), а можно и не трогать - nginx довольно дешёвый по памяти.

Также и с FPM, можно держать несколько общих контейнеров с разными версиями - глобальный nginx легко заставить маршрутизировать каждый проект в нужную версию FPM. Но это тоже не особо критично, т.к. FPM тоже дешёвые.
Специфичные настройки FPM под каждый проект нередко можно компенсировать подключением полифилов внутри проекта, чтобы сэкономить память.

Естественно все это нужно собирать под docker compose
И придерживаться правила: всё, что нужно проекту для работы, должно быть в одном docker compose файле (читай - каждый проект в своей папке)

Ну и в хост-системе, понятно, не должно быть нативно того софта, что работает в контейнерах - будут проблемы с настройками, портами, и вообще, софт в хост-системе по факту не нужен, докером намного удобнее управлять, особенно когда есть несколько несовместимых проектов, и нужны две-три версии одного и того же софта. Без докера такое настраивать - ад.

Answer 5

[Алексей Пьянов]

"Каждый проект / сайт в отдельный контейнер" - в корне неверный подход. Контейнеризация - способ изоляции процессов, а не проектов. Т. е. на проекте у вас будет несколько контейнеров (один для ноды, один для реббита, один для постгреса и т. д.), и в основной системе вы будете видеть сразу всю эту кучу контейнеров со всех проектов. Поэтому, если Вы хотите изолировать друг от друга проекты, Ваш выбор - не контейнеры, а виртуалки на KVM (и вот там уже внутри виртуалок можно будет проект разбивать на контейнеры попроцессно). Так у вас будет нормальная изоляция проектов друг от друга, и проблемы в одном проекте будут по минимуму затрагивать другие.