virtualisointia proxmoxilla

3 views
Skip to first unread message

Elias

unread,
Feb 1, 2017, 4:40:37 AM2/1/17
to
Terve
Asentelimpa tässä proxmoxin kvm:n päälle rakennettu virtualisointi
ympäristö siis. Toimii oikein jees. Kaunis webgui millä kyseistä
systeemiä voi hallita. Koska tuo on rakennettu debianin päälle niin
tottakai myös komentorivi löytyy. Suosittelen vilkaisemaan jos
virtualisointi kiinnostaa. Tukee highavailability klustereita ja vaikka
mitä. Onko porukalla tästä kokemuksia vai onko vmware edelleen se kova
juttu. Omat linuxkoneeni siirsin virtuaalisiksi proxmoxin päälle.
https://www.proxmox.com/en/

Mikko Tuumanen

unread,
Feb 4, 2017, 3:15:57 PM2/4/17
to
> mitä. Onko porukalla tästä kokemuksia vai onko vmware edelleen se kova
> juttu. Omat linuxkoneeni siirsin virtuaalisiksi proxmoxin päälle.

Töissä on muutama vuosi pyöritelty proxmoxia eikä mitään mainittavaa
ongelmaa tule mieleen.

OpenVZ:sta siiryttiin proxmoxia päivitettäessä LXC:hen ja sekin
siirtymä meni mukavasti. Openvz-säiliön asetukset piti vaan
muuttaa lxc-muotoon, eroa lähinnä verkkoasetuksilla ja sillä, miten
säiliölle annetaan oikeudet avata tun-laitteita.

Proxmoxiin kaipaisin vielä automaattista KSM-tukea
myös lxc-säiliöille, mikä säästäisi muistia ajamalla eri
säiliöissä pyörivät samat softat samasta binääristä.

Tietysti KSM:ää parempi olisi, jos eri säiliöt käyttäisivät
samaa binääriä alun perinkin, mutta proxmox ei taida tukea
tiedostojärjestelmien "kerrostamista" tuolla tavalla.

Tuolla tuosta on keskustelut pari vuotta sitten:
https://plus.google.com/+MaksimMelnikau/posts/QfhAchyzYva

Elias

unread,
Feb 4, 2017, 3:51:58 PM2/4/17
to
Hienoa kun firmoissa käytetään opensource ratkaisuja. Ettei vain aina
perinteistä vmware ja microsoft hypev:tä. Käyttääköhän mikään firma
pfsenseä palomuurinaan aina vain nähnyt pernteistä cisco asa tai dellin
sonicwall. Ei siinä hyviä laitteita nuokin ovat. Mutta ciscon huonopuoli
on juuri siinä että et mitään ohjelmistopäivityksiä saa laitteeseen
ilman ciscon kanssa tehtyä sopimusta, Ja se taas maksaa. Mielestäni tämä
on todella huono suunta. Koska ilman tätä ciscon kanssa tehtyä sopimusta
et saa edes uusia tietoturvapäivityksiä laitteisiin. Ok sama kyllä on
sonicwallilla ja muilla palomuurivalmistajilla myös. Pfsenseen
esimerkiksi virität ja säädät mitä haluat. Ciscossa säädän mitä cisco
haluaa, Pfsenseen ostat uusia verkkoportteja kaupasta, Ciscossa ostat
uuden raudan, Ciscossa vpn maksaa per yksi käyttäjä, Pfsensessä täysin
ilmainen. Pfsensen miinuksena taas että käsitykseni mukaan heillä ei ole
mitään supporttia mihin firman admini voi ottaa yhteyttä jos
järjestelmän kanssa tulee ongelmia kuten ciscolla ja muilla isoilla
palomuuri ja verkkolaitevalmistajilla. Karkasi keskustelu taas aiheesta
mutta haittaako tuo.

Juhani Varemo

unread,
Feb 4, 2017, 5:06:54 PM2/4/17
to
> Hienoa kun firmoissa käytetään opensource ratkaisuja. Ettei vain aina
> perinteistä vmware ja microsoft hypev:tä. Käyttääköhän mikään firma
> pfsenseä palomuurinaan aina vain nähnyt pernteistä cisco asa tai dellin
> sonicwall.


Jos noin 10 verkkokäyttäjän firma lasketaan firmaksi niin käyttää - koska
olemme sellaisia asennellut. Oikeastaan kaikki on avointa koodia:
palvelinkäyttis, virtualisointi, virtuaalikoneet, yhteiskäytössä olevat
sovellukset ja työasemien käyttöjärjestelmät. Suljettua koodia saattaa olla
jossain laiteajureissa tms.



Ari Saastamoinen

unread,
Feb 4, 2017, 6:35:00 PM2/4/17
to
Elias <elias.s...@gmail.com> writes:

> Hienoa kun firmoissa käytetään opensource ratkaisuja. Ettei vain
> aina perinteistä vmware ja microsoft hypev:tä.

Meitin firmassa on myös kvm käytössä, ihan tuotannossa. Ja on ihan
asiakkaillekin myytyjä virtuaalikoneita.

Joskus monta vuotta sitten kun testailtiin vaihtoehtoja, niin
todettiin, että vmware ei tarjonnut mitään sellaista ominaisuutta jota
tarvitisisimme (joka kvm:stä puuttui). Ainoastaan sen käyttöliittymä
oli valmiimman tuotteen oloinen, (mutta tuossa asiassa kvm on nyt
vuosien saatossa saavuttanut ainakin jonkin verran) joten mielestämme
vmwaren hintalappu oli liian kova pelkästä käyttöliittymästä. Olihan
siinä myös automaattisisia kuormantasaushärpäkkeitä, jotka siirteli
virtuaalikoneita palvelimelta toiselle automaattisesti, mutta
todettiin, että haluamme kuitenkin ite päättää, että millä klusterin
koneella mikäkin pyörii. Ja noi on tarvittaessa skriptattavissa itse
myös kvm:ään, jos sen kokee halutuksi ominaisuudeksi.

En muista oliko vmwaressa jo tuolloin livemigraatio myös
levyparitioille, mutta se on potentiaalisesti hyödyllinen ominaisuus,
joka kvm:stä puuttuu edelleenki. En tuotakaan kuitenkaan usein olisi
tarvinnut. Olisi hieman helpottanut, kun on joskus joutunut
siirtämään virtuaalikoneen levyjärjestelmästä toiseen, kun piti
järjestellä tilaa.

--
Arzka oh3mqu+...@hyper.fi - En halua follareita mailina
1. Valitse sopiva paikka, ei ihmisten tai rakennusten lahella, jossa
paukku voi aiheuttaa hairiota. - Iso-Kiinalaisen kayttoohje

Mikko Tuumanen

unread,
Feb 5, 2017, 7:04:49 AM2/5/17
to
Elias <elias.s...@gmail.com> kirjoitti 04.02.2017:
> ilmainen. Pfsensen miinuksena taas että käsitykseni mukaan heillä ei ole
> mitään supporttia mihin firman admini voi ottaa yhteyttä jos
> järjestelmän kanssa tulee ongelmia kuten ciscolla ja muilla isoilla
> palomuuri ja verkkolaitevalmistajilla. Karkasi keskustelu taas aiheesta
> mutta haittaako tuo.

Tästähän pääsee kätevästi takaisin proxmoxiin. Proxmox sisältää jonkinlaisen
oman palomuuritoteutuksensa. En ole sitä juurikaan käyttänyt, mutta sen hyöty
tulee siitä, että palomuurisäännöt seuraavat kätevästi mukana, jos
virtuaalikoneen siirtää koneelta toiselle.

Vaikka olenkin proxmoxiin ihan tyytyväinen, olisi hyvä varmaan joskus kokeilla
muitakin vaihtoehtoja, kuten OpenNebula tai OpenStack. Pelkkä kokeileminen on
kuitenkin jo aikaa vievä ja kallis projekti. Pitäisi säätää useita koneita
testikäyttöön ja sen lisäksi yrittää pyörittää niillä samoja juttuja, mitä nyt
pyörii proxmoxin päällä.

Virtualisointisysteemin paremmuus tulee parhaiten esille siinä kohtaa,
kun asioita menee pieleen. Kiintolevy hajoaa, emolevy tai virtalähde kärähtää.
Proxmoxin vastaus tähän taitaa olla se, että käytetään HA Clusteria ja
rikkoutunut kone poistetaan ja sitten lisätään uusi tai korjattu kone
clusteriin.

Siitä en olekaan aivan varma, mikä on proxmoxin vastaus siihen, jos
virtuaalikoneiden tallennustilana toimiva raid-pakka hajoaa kokonaan.
Tietenkin uuden koneen asennus ja palautus varmuuskopioista hoitaa homman,
mutta siihen menee niin kauan aika että ei voida kovin HA:sta puhua.
Proxmoxin ulkopuolisena säätönä pitäisi siis virittää kahdennettu
tallennustila.

Elias

unread,
Feb 5, 2017, 7:28:59 AM2/5/17
to
Joo käsittääkseni tuo opennebula ei ole varsinainen
virtualisointitoteutus vaan käyttöliittymä kvm:ään että sitä on helpompi
hallita. Itse joskus meinasin tuota testailla mutta homma jäi sitten kun
olen ollut niin tyytyväinen proxmoxiin. Pitäisi tuota proxmoxin ha
klusterointia ja palomuuriratkaisuja testailla. Mitä softaa käytätte
muuten iptablesin konffaamiseen. Konffaatteko suoraan iptablesia vai
käytättekö esim shorewall tai fireholl iptablesin konffaamiseen.
Proxmoxin palomuurin konffaushan hoituu webguin kautta mutta esimerkiksi
virtuaalikoneiden palomuurin konffaus. Itse käyttänyt siihen
firewalld:tä. Oikein jees ja helpompi syntaksi kuin iptablesissa.
http://www.firewalld.org/
https://opennebula.org/

Ari Saastamoinen

unread,
Feb 5, 2017, 9:16:28 AM2/5/17
to
Elias <elias.s...@gmail.com> writes:

> konffaamiseen. Konffaatteko suoraan iptablesia vai käytättekö esim
> shorewall tai fireholl iptablesin konffaamiseen. Proxmoxin palomuurin

En tiedä miten teillä noi verkkointerfacet on konffattu, mutta meillä
noi virtuaalikoneet on bridge(i)ssä, ja siihen toi iptables ei tee
mitään.

Itse olen tehnyt ebtables:ia käyttävän skriptin jolla estetään
virtuaalikoneet käyttämästä muita kuin omaa MAC- ja IP-osoitettaan, ja
muu pallomuuritus on sitten reuna-Juniperissa ja/tai virtuaalikoneessa
itsessään.

> konffaushan hoituu webguin kautta mutta esimerkiksi virtuaalikoneiden
> palomuurin konffaus.

Eihän toi itse virtuaalokoneiden (guest) pallomuuritus, mitenkään
liity siihen varsinaiseen virtualisointisysteemiin.

Elias

unread,
Feb 5, 2017, 9:31:49 AM2/5/17
to
5.2.2017, 16:16, Ari Saastamoinen kirjoitti:
> Elias <elias.s...@gmail.com> writes:
>
>> konffaamiseen. Konffaatteko suoraan iptablesia vai käytättekö esim
>> shorewall tai fireholl iptablesin konffaamiseen. Proxmoxin palomuurin
>
> En tiedä miten teillä noi verkkointerfacet on konffattu, mutta meillä
> noi virtuaalikoneet on bridge(i)ssä, ja siihen toi iptables ei tee
> mitään.
>
> Itse olen tehnyt ebtables:ia käyttävän skriptin jolla estetään
> virtuaalikoneet käyttämästä muita kuin omaa MAC- ja IP-osoitettaan, ja
> muu pallomuuritus on sitten reuna-Juniperissa ja/tai virtuaalikoneessa
> itsessään.
>
>> konffaushan hoituu webguin kautta mutta esimerkiksi virtuaalikoneiden
>> palomuurin konffaus.
>
> Eihän toi itse virtuaalokoneiden (guest) pallomuuritus, mitenkään
> liity siihen varsinaiseen virtualisointisysteemiin.
>
Itse asentanut openswitchin ja luonut bridgen johon on liitetty eth0 eli
proxmoxin verkkokortti. Tarkoituksena olisi hommata lisää verkkokortteja
ihan fyysiseen hostiin ja lähteä opettelemaan vlanien tekoa openswitchin
kautta. Virtuaalikoneet itsellä siis myös bridgessä. Meinaan vaan että
onko itse guestiin mitään palomuuria asennettu. Itsellä tosiaan
guesteissa firewalld, Ja vielä muu palomuuritus hoidetaan pfsensessä.
Ehkä tuo ensimmäinen viesti oli huonosti selitetty. Liian vähän kahvia
tullut juotua. Itse siis vasta vielä labraympäristössä tutustun
virtualisointiin.
https://pve.proxmox.com/wiki/Open_vSwitch

Mikko Tuumanen

unread,
Feb 12, 2017, 1:21:49 PM2/12/17
to
Elias <elias.s...@gmail.com> kirjoitti 05.02.2017:
> klusterointia ja palomuuriratkaisuja testailla. Mitä softaa käytätte
> muuten iptablesin konffaamiseen. Konffaatteko suoraan iptablesia vai
> käytättekö esim shorewall tai fireholl iptablesin konffaamiseen.

Fireholia tähän mennessä. Monelta virtuaalikoneelta (itse asiassa käytän
enemmän säiliöitä, kuin virtuaalikoneita, mutta menköön) on jäänyt
palomuuriasetukset kokonaan säätämättä, mutta siihenkin pitäisi varmaan jossain
kohtaa käyttää hetki aikaa.

Fireholia varten pitäisi varmaankin värkätä muutama palomuuripohja
virtuaalikonetta varten. Tyypillisesti asennan virtuaalikoneen yksittäistä
palvelua varten ja sen palomuuraus olisi usein suoraviivaista: Kielletään
kaikki sisääntulevat tcp:t ja udp:t, paitsi haluttu palvelu ja ssh.
Oikeastaan ulosmenvästäkin liikenteestä voisi monessa tapauksessa
kieltää suuren osan, mutta se vaatisikin sitten hieman enemmän miettimistä,
ettei riko mitään.

Jyrki Tikka

unread,
Sep 16, 2017, 8:03:15 AM9/16/17
to
Ari Saastamoinen <oh3mq...@hyper.fi> writes:

> Elias <elias.s...@gmail.com> writes:
>
> En muista oliko vmwaressa jo tuolloin livemigraatio myös
> levyparitioille, mutta se on potentiaalisesti hyödyllinen ominaisuus,
> joka kvm:stä puuttuu edelleenki. En tuotakaan kuitenkaan usein olisi
> tarvinnut. Olisi hieman helpottanut, kun on joskus joutunut
> siirtämään virtuaalikoneen levyjärjestelmästä toiseen, kun piti
> järjestellä tilaa.

KVM/Qemu itse asiassa mahdollistaa myös levyjen livemigraation. Olen
sitä jopa onnistuneesti itse kokeillut.

--
jmt

Jyrki Tikka

unread,
Sep 16, 2017, 8:12:33 AM9/16/17
to
Ari Saastamoinen <oh3mq...@hyper.fi> writes:

> Elias <elias.s...@gmail.com> writes:
>
> En muista oliko vmwaressa jo tuolloin livemigraatio myös
> levyparitioille, mutta se on potentiaalisesti hyödyllinen ominaisuus,
> joka kvm:stä puuttuu edelleenki. En tuotakaan kuitenkaan usein olisi
> tarvinnut. Olisi hieman helpottanut, kun on joskus joutunut
> siirtämään virtuaalikoneen levyjärjestelmästä toiseen, kun piti
> järjestellä tilaa.

KVM/Qemu itse asiassa mahdollistaa myös levyjen livemigraation. Olen
sitä jopa onnistuneesti kokeillut.

--
jmt

Ari Saastamoinen

unread,
Sep 16, 2017, 10:19:03 AM9/16/17
to
Jyrki Tikka <jmt...@hotmail.com> writes:

> KVM/Qemu itse asiassa mahdollistaa myös levyjen livemigraation. Olen
> sitä jopa onnistuneesti itse kokeillut.

Hmmm.. Ei toi ainakaan kauhean hyvin dokumentoitu ominaisuus ole. kun
vasta kolmannella googlehaulla onnistuin löytämään sivun, jossa tosta
puhuttiin, mutta ilmeisesti tuossa tollainenkin ominaísuus näköjään on :)

Jyrki Tikka

unread,
Sep 20, 2017, 5:50:14 AM9/20/17
to
Ari Saastamoinen <oh3mq...@hyper.fi> writes:

> Jyrki Tikka <jmt...@hotmail.com> writes:
>
>> KVM/Qemu itse asiassa mahdollistaa myös levyjen livemigraation. Olen
>> sitä jopa onnistuneesti itse kokeillut.
>
> Hmmm.. Ei toi ainakaan kauhean hyvin dokumentoitu ominaisuus ole. kun
> vasta kolmannella googlehaulla onnistuin löytämään sivun, jossa tosta
> puhuttiin, mutta ilmeisesti tuossa tollainenkin ominaísuus näköjään on :)

Tuohan on varsin selkeästi dokumentoitu virsh-komennon manuaalisivulla
kohdassa 'migrate'. :-)

Jotta migraatio onnistuisi, on on kohdekoneeseen luotava valmiiksi
samannimiset ja -kokoiset virtuaalilevyt. Ainakin näin oli siinä
KVM-versiossa, jolla tätä viimeksi kokeilin.

--
jmt
Reply all
Reply to author
Forward
0 new messages