A kiválasztott változat és az aktuális verzió közötti különbségek a következők.
migrating_to_openvz [2009-04-24 22:06] erno@rigo.info létrehozva |
migrating_to_openvz [2009-04-24 22:29] erno@rigo.info |
||
---|---|---|---|
Sor 22: | Sor 22: | ||
===== Mit ===== | ===== Mit ===== | ||
- | Az elkészíteni kívánt rendszer elsődleges operációs rendszere ("Hardware Node" - //HN//((ezen kívül még //HW//, //VE0// és //CT0// néven is nevezik))) csak a virtuális gépek futtatását és az alapvető rendszergazdai felületet nyújtó SSH szolgáltatást végzi, a HN által futtatott virtuális környezet az alábbi részekből áll (minden egyes pont egy külön virtuális gépet ("Virtual Environment" - //VE//((nevezik még a "Container" szó alapján //CT//-nek is))) jelöl): | + | Az elkészíteni kívánt rendszer elsődleges operációs rendszere ("Hardware Node" - //HN//((ezen kívül még //HW//, //VE0// és //CT0// néven is nevezik))) csak a virtuális gépek futtatását és az alapvető rendszergazdai felületet nyújtó SSH szolgáltatást végzi, a HN által futtatott virtuális környezet az alábbi részekből áll (minden egyes pont egy külön virtuális gépet ("Virtual Environment" - //VE//((nevezik még a "Container" szó alapján //CT//-nek is))) jelöl) - a felsorolás egyben a VE-k standard indítási sorrendjét is megadja: |
- LDAP felhasználói adatbázis - feladata a rendszerben ismert felhasználók központi tárolása és adminisztrációja. Erre azért van szükség, mert az egyes VE-k karbantartása meglehetősen nehéz lenne, ha egy konkrét személyez tartozó nevet és jelszót az összes szolgáltatás esetében külön kellene felvenni és módosítani. Az LDAP segítségével hálózati azonosítási szolgáltatást nyújtunk a VE-ken futtató helyi - virtuális - hálózaton. Ez későbbiekben lehetővé teszi az egy darab HN-ről a több párhuzamosan futó HN-re való könnyebb áttérést is (vö: terheléselosztás). | - LDAP felhasználói adatbázis - feladata a rendszerben ismert felhasználók központi tárolása és adminisztrációja. Erre azért van szükség, mert az egyes VE-k karbantartása meglehetősen nehéz lenne, ha egy konkrét személyez tartozó nevet és jelszót az összes szolgáltatás esetében külön kellene felvenni és módosítani. Az LDAP segítségével hálózati azonosítási szolgáltatást nyújtunk a VE-ken futtató helyi - virtuális - hálózaton. Ez későbbiekben lehetővé teszi az egy darab HN-ről a több párhuzamosan futó HN-re való könnyebb áttérést is (vö: terheléselosztás). | ||
- DNS szolgáltatás - elkülönítése azért is célszerű, mert általában nem igényel a központi adminisztrátoron kívül más felhasználók (pl. ügyfelek) számára hozzáférést. | - DNS szolgáltatás - elkülönítése azért is célszerű, mert általában nem igényel a központi adminisztrátoron kívül más felhasználók (pl. ügyfelek) számára hozzáférést. | ||
- | - MySQL (és más SQL szerverek) - | + | - SMTP szolgáltatás - egybekötve a SPAM- és vírusszűréssel, valamint a felhasználói mailboxok POP3 és IMAP protokollon való szolgáltatásával. A levelek fogadását (Dovecot) és küldését (TLS + SASL auth) LDAP alapú azonosítás előzi meg. |
+ | - MySQL (és más SQL szerverek) - Linux operációs rendszer szinten - a DNS-hez hasonlóan - ez sem igényel külön felhasználói hozzáférést, hiszen az SQL szerver saját felhasználó-adminisztrációval rendelkezik. A MySQL sajnos jelenleg nem támogat semmilyen más (pl. LDAP) azonosítást, ezért ezen a ponton mindenképp kettős felhasználó-adminisztrációra kell számítani (ahogy egyébként "normál" esetben is). | ||
+ | - HTTP - az előző VE-k szolgáltatásaira építve ezen a ponton megkezdődhet a weblapok kiszolgálása. Ebben a VE-ben fut az Apache és a PHP, biztonsági okokból célszerűen kiegészítve az [[http://mpm-itk.sesse.net/|ITK MPM workerrel]]. Az esetleges WebDAV elérés az LDAP szolgáltatás segítségével valósítható meg. | ||
+ | - FTP - a céges tartalomfelelősök számára nyújtott fájlátviteli szolgáltatás célszerűen egy újabb VE-be kerül. A jogosultságkezelésről az FTP szerver az LDAP alapján gondoskodik. | ||
===== Hogyan ===== | ===== Hogyan ===== | ||
+ | |||
+ | <note>A dokumentumnak ez a része még fejlesztés alatt áll. Az itteni változtatások feltehetőleg visszahatnak majd a fenti szövegrészekre is!</note> | ||
==== Előkészület ==== | ==== Előkészület ==== | ||
Sor 34: | Sor 38: | ||
A rendszer előkészítésének első lépése az OpenVZ virtualizációs technológia telepítése. Ehhez legalább a kernel lecserélésére és a szükséges adminisztrációs eszközök (vzctl, stb...) feltelepítésére van szükség. | A rendszer előkészítésének első lépése az OpenVZ virtualizációs technológia telepítése. Ehhez legalább a kernel lecserélésére és a szükséges adminisztrációs eszközök (vzctl, stb...) feltelepítésére van szükség. | ||
- | Ezt követően szükség van a tervezett virtualizált rendszer alapjainak lefektetésére. | + | Ezt követően szükség van a tervezett virtualizált rendszer alapjainak lefektetésére. Első feladat az LDAP VE létrehozása és a rendszer felhasználóinak átemelése az LDAP adatbázisba. Ezt a virtualizált rendszer építése során még többször meg kell tenni, hogy az eredeti felhasználói adatbázis változásait követni lehessen, ezért ehhez egy migrációs script megírására lesz szükség. |
+ | A következő lépés a DNS szerver külön VE-be való költöztetése, mely nem okozhat elvileg különösebb problémát, mivel egy elég zárt konfigurációval rendelkező, önálló szolgáltatásról van szó. A DNS szerver konfigurációját ki kell egészíteni a helyi VE-k privát IP címeit tartalmazó forward és reverse címeket tartalmazó segédzónával, mely segítségével a VE-k egymás közti kommunikációja függetleníthető azok IP címétől. | ||