Ik heb hier al meerdere topics overgelezen, maar of de onderwerpen werden niet afgemaakt of er was geen conclusie, stel dit is de situatie:

Kale installatie zonder poespas van Linux (Debian of Suse) als host.
Vmware als virutalistatie host.

Maar is het ook slim om voor de host ook een firewall te installeren en te configureren, zo ja zijn er nog puntne waar je rekening mee moet houden? ik heb wel is gelezen dat sommige firewalls adviteren met de tekst dat ze uiterst geschikt zijn om vmware hosts mee door te laten... maar wat is er zo speciaal aan?

Wat is jullie mening/ervaring hierover?

Ik zie een VPS gewoon als een echte "losse" machine. Ik installeer dus ook op elke VPS gewoon standaard iptables firewall/APF e.d.

Ik zie niet in waarom hier twijfel over is, waarom zou je het NIET doen? Het is toch veiligheid, ook voor de klant op de VPS?

Je moet er wel rekening mee houden dat om op een VPS iptables te kunnen gebruiken, de benodigde modules van iptables wel in de kernel gecompileerd moeten zijn. Dit was voorheen voor sommige hosts die Virtuozzo draaien nogal een struikelblok. Ik weet niet precies hoe dit bij VMware zit, maar ik zou er in ieder geval even naar kijken.

Je kan je hoster vragen om een zipje met de modules, als ze niet in de kernel zitten.
Het host systeem zou ik zo kaal mogelijk houden, dus zonder firewall, de meeste services, als die er zijn naast ssh, zal je toch op een intern netwerk draaien i.p.v. toegankelijk van buitenaf. De guests krijgen natuurlijk wel een firewall.

Ik weet niet precies hoe dit bij VMware zit, maar ik zou er in ieder geval even naar kijken.
Bij VMware is dit geen probleem.
Wij hebben een paar VMware's als test servers
en daar kunnen wij perfect onze eigen kernel op zetten.

Bij VMware is dit geen probleem.
Wij hebben een paar VMware's als test servers
en daar kunnen wij perfect onze eigen kernel op zetten.

Dat is ook niet wat ik zeg, ik zeg alleen dat je even moet controleren OF de modules voor iptables standaard zijn inbegrepen. Zo niet, dan kun je ze altijd compileren, maar je moet het wel even nakijken.

Bij VMware is dit geen probleem.
Wij hebben een paar VMware's als test servers
en daar kunnen wij perfect onze eigen kernel op zetten.


VMware is totaal anders dan Xen etc etc..
Vmware emuleert een complete machine hierdoor werken de meeste dingen gewoon goed alleen kost het iets meer resources.

Wij hebben zelf stuk of 5 Vmware servers draaien sinds dat Vmware Server gratis is en je geen dure licentie nodig heb is dit heel goed te doen :)

Wij hebben zelf stuk of 5 Vmware servers draaien sinds dat Vmware Server gratis is en je geen dure licentie nodig heb is dit heel goed te doen :)

Ok, klinkt relax en in de richting dat ik ook heen wil werken :-) maar hoe heb je dit klaargespeeld? met een linux ondergrond en dan hoe verder? met of zonderfirewall?

Ok, klinkt relax en in de richting dat ik ook heen wil werken :-) maar hoe heb je dit klaargespeeld? met een linux ondergrond en dan hoe verder? met of zonderfirewall?

Installer vmware server (installatie is redelijk simpel, download de tarball en de inbegrepen perl scripts doen de rest) Daarna kan je via vmware console je servers doodleuk vanaf je desktop managen.

Wat de firewall betreft, gewoon altijd doen. schrijf gewoon 1 keer je firewall rules goed uit en je zou in principe er niet meer naar om te hoeven kijken.

Ok een firewall is dus wel aan te raden, zijn er nog dingen waarbij ik de keuze van een firewall rekening mee moet houden? moet hij speciale dingen ondersteunen ofzo?

Wat genoemd word van eenmalig configureren, zijn er nog dingen waarin ik daar rekening mee moet houden?

Ik heb ook net een server opgetuigd: kale debian, vmware erop en iptables.

Enige punt waar je tegenaan loopt is dat wanneer je je host ook de firewall voor je vm's wil laten zijn, dat je vmware bridging buiten je iptables om gaat.

De workaround die ik daarvoor gebruik is dat ik een dummy0 heb gemaakt en dat m'n vmware bridges aan dummy0 hangen.

Verder heb ik dan een bridge tussen eth0 en dummy0. Nu kan ik de iptables van de host ook voor m'n vmware bridge interfaces gebruiken. Bij het starten van de bridge wordt gecontroleerd of de firewall rules geladen zijn. Is dat niet het geval, dan komt de bridge niet up en zijn je virtual machines niet bereikbaar.

Maar op zich ben ik van mening dat het draaien van iptables in de host genoeg is, dat er dan geen aparte firewall nodig is.

Ik heb nu VMware server 1.03 op Ubuntu Feisty draaien op een dual Xeon 2.8 met 6GB ram. De installatie van VMware server had toch nog wat gehack nodig om het goed werkend te krijgen. Tot op heden werkt het super :) Wat mij opvalt is dat een guest OS als Win2k en WinXP sneller virtueel draaien :). Voorbeeld: Op het moment dat ik WinXP (alle updates, behalve .NET frameworks) aanzet totdat ik kan inloggen ongeveer 25 seconden.

Ik zit inderdaad nog te twijfelen over een firewall op de host. Infeite staan er maar vier poorten open 22, 902, 8222 en 8333. Er zijn dan twee kansen aanwezig: SSH of VMWare server is lek. Je wilt voorkomen dat ze bash toegang krijgen tot je server dus blokkeer je uitgaande poorten zodat ze geen callback kunnen maken. Maar als ze toch via een van de vier poorten toegang krijgen tot je shell kunnen ze de firewall aanpassen dus hardware firewall is dan de enigste mogelijkheid mijns inziens.

Nog wel een tip: Houd de versie van VMware-server, VMware-mui en VMware-console gelijk anders krijg je conflicten ;)

Wat mij opvalt is dat een guest OS als Win2k en WinXP sneller virtueel draaien :)

Dit heb ik ook ondervonden, na wat testjes met everest.
De conclusie van everest was dat RAM sneller was op virtual guest.

Cpu daarintegen weer stuk trager.

Ik heb het ook draaien, zonder firewall. Windows xp is inderdaad snel met opstarten op een vm, dit komt volgens mijn omdat de hdd al draaid. Ik zoek zelf nog een manier om het dataverkeer van de vps'en te meten iemand:)?

Snmp

.

Inderdaad, goede vraag. Misschien ticket bij VMware inschieten? Ik zal dinsdag even kijken of het op de ESX-servers wel kan.

Snmp

.

Als je snmp installeert op de linux vps en het is voor een klant is dit toch te cracken door de klant? Zodat hij zijn dataverkeer reset naar 1gb ofzo?

misschien via de switch waar je de server op aansluit op IP basis :?

Volgens mijn gaat dat niet lukken op IP basis.

Mja, dat zie je terug in de statistieken, als het voor je gebruikers maar duidelijk is dat ze met hun vingers daar af moeten bijven anders krijgen ze klappen, nouja, of een boete. ;)

Mja, dat zie je terug in de statistieken, als het voor je gebruikers maar duidelijk is dat ze met hun vingers daar af moeten bijven anders krijgen ze klappen, nouja, of een boete. ;)

Het kan natuurlijk wel, alleen het is niet de meest handige manier.

Het kan natuurlijk wel, alleen het is niet de meest handige manier.

Zolang er geen alternatief genoemd wordt is het automatisch de handigste manier ;)