ISP3 im OpenVZ Gast

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von Quest, 11. Feb. 2011.

  1. Quest

    Quest Member

    Hallo zusammen,

    ich habe jetzt den ersten Schritt der Virtualisierung meiner Serverumgebung hinter mir und eine funktionierende Multiserverumgebung in OpenVZ aufgesetzt. Momentan nur mit 1 Panel+DNS und 1 alles-andere, aber klappt soweit schon mal ganz gut.
    Beide sind mit dem Debian-Squeeze HowTo auf howtoforge.com aufgesetzt.
    Der Host wurde vor einer ganzen Weile mal nach ISP3 Debian Lenny aufgesetzt.

    3 Fragen bleiben noch:

    • ich bekomme bei beiden Servern immer noch recht hohen failcnt bei der Kernel Memory Size, jeder von beiden bekommt hier bereits 20% der verfügbaren Ressourcen. Wo sollte ich bei der Optimierung ansetzen um diesen failcnt nach unten zu bekommen?
    • Wie bereite ich das Dateisystem der VM auf die Verwendung von Quota vor? Die Einträge in der /etc/fstab werden ja hier nicht funktionieren ;)
    • Wie bringe ich der Bastille Firewall auf dem Host bei, dass sie IP_FORWARD erlauben soll? Sobald auf dem Host die Firewall oben ist, sind die Gäste von der Außenwelt abgeschnitten
    Ist sonst auf dem Gast noch etwas wichtiges anzupassen, das hier anders läuft als vorher auf der phys. Maschine?
     
  2. Till

    Till Administrator

    Schau am besten mal ins opnevz wiki. Die einzelnen Limit Werte sollten in bestimmten Verhältnissen zueinannder stehen. das ist dort recht ausführlich beschrieben.

    Quota wird über openvz zur Verfügiung gestellt. Du musst nur die quotatools in der VM installieren.

    Der Host sollte ja ein minimal Debian ohne irgendwelche weiteren Dienste sein. Da dort dann nur SSH läuft, brauchst Du dort keine Firewall und auf dem Host sollte auch keine Firewall installiert ein.
     
  3. Quest

    Quest Member

    1) Werde ich machen, danke.

    2) Echt? Quota ist da automatisch aktiv und muss auch auf dem Host nicht erst eingerichtet werden? Im Vergleich zu dem HickHack mit der Netzwerkconfig ist das ja fast schon zu einfach :)

    3) Der Host ist noch mein bestehender, alter isp3 Server.
    Ich bereite gerade die virtualisierte Umgebung vor und werde dann meine Kunden auf die virtuellen Server umziehen.
    Danach ziehe ich die VMs auf einen neuen Host um, der dann definitiv nur debian-min bekommt. In der Zwischenzeit werde ich die Bastille dann wohl unten lassen müssen.
     
  4. Quest

    Quest Member

    Ich muss noch mal auf die Bastille Firewall zurückkommen.
    Der Gast ist ja nach Perfect Server ISPC3 Squeeze installiert und hat damit eine Bastille-Firewall.
    Sobald diese aktiv ist kommen keine DNS-Anfragen mehr vom Server nach draußen.
    Sonst kann ich keine Probleme feststellen, nur Outbound DNS.
    Ist für einen Produktivserver natürlich etwas ungünstig.
    Hast du eine Idee wie ich dieses Problemchen lösen könnte?
     
  5. Quest

    Quest Member

    Ich habe das Problem gefunden. Wie ich das im Netz gesehen habe bin ich nicht der einzige, der dieses Problem hatte, deshalb hier die Lösung:
    Auf dem Host /etc/vz/vz.conf öffnen und dem Eintrag IPTABLES folgendes hinzufügen:
    iptable_nat

    Danach den Dienst und alle VMs per /etc/init.d/vz restart neu starten und ende.
     
  6. Quest

    Quest Member

    Leider bin ich auf noch ein (hoffentlich letztes) Problem gestoßen:
    Timeouts beim Aufbau einer FTP-Verbindung.
    Muss am FTP-Daemon beim Betrieb in einem OpenVZ-Gast etwas angepasst werden?
     
  7. F4RR3LL

    F4RR3LL Member

    Hast Du eine passive Portrange beim FTP definiert und in der Firewall freigegeben ?
     
  8. Till

    Till Administrator

    Und läuft der FTP Daemon überhaupt? Check mal mit:

    netstat -tap
     
  9. Quest

    Quest Member

    Ja, er läuft.
    Auszug von netstat -tap
    Code:
    tcp        0      0 *:ftp                   *:*                     LISTEN      1218/pure-ftpd (SER
    Auch noch mal per Restart des Daemon überprüft ob er ohne Fehlermeldung hochfährt, tut er.

    Der Wink mit der Portrange hat mich aber weitergebracht.
    Manchmal sollte man halt doch mal FAQForge zu Rate ziehen, wozu schreibt Till das schließlich alles dort auf (an dieser Stelle vielen Dank dafür ;))

    Jetzt folgt schon das nächste Problem:
    Der Login funktioniert nicht: Login authentication failed
    Irgendwelche bekannten Probleme bei Betrieb in OpenVZ?
     
  10. Till

    Till Administrator

    Außer dass er gernicht erst startet. Aber das ist bei Dir ja nicht der Fall.

    Auf faqforge findest Du auch einen Artikel, wie Du das Logging bei pure-ftpd aktivierst. In dem Log findest Du dann möglicherweise den Hinweis, warum es nicht geht.
     
  11. Quest

    Quest Member

    ... hatte wohl etwas mit der noch nicht ganz optimalen Konfiguration der vz-limits zu tun.
    Während ich versucht habe mich einzuloggen ist der failcount von kmemsize gestiegen.
    Ich habe die VM neu gestartet und siehe da, es funktioniert!

    Danke auf jeden Fall für die Hilfe.

    Dann werd ich wohl mal weiter an der Config des Containers knobeln.
    Bin mal gespannt wann der endlich läuft ohne überall an die Limits zu stoßen.

    Hat hier zufällig schon jemand einen produktiven ISP3-Server in einem openVZ-Gast ohne regelmäßige fails laufen?
     
  12. F4RR3LL

    F4RR3LL Member

    Ich betreibe ISP3 seit 1,5 Jahren nur noch im OpenVZ Container.
    Gibt für mich nichts besseres. Serverumzüge, Snapshots etc sind alles kein Problem dadurch.
     

Diese Seite empfehlen