Virtualisierung

  • Hallo zusammen,


    ich ueberlege momentan ne gewisse nested virtualisierung auf netcup server zu realisieren und schwanke zwischen lxc und xen pv.


    zunächst die "einfache" frage: beides sollte doch problemlos und ohne weitere flags laufen oder?


    dann beschàftigen mich weitere dinge, zu denen ich hier fachkundige leute zu finden hoffe :)


    1. performance xen vs lxc

    2. security

    3. usability/softarware compatibility


    (muss man in lxc unprivileged immernoch viel anpassen damit software dort làuft?)


    ich hoffe mir kann jemand helfen, google liefert meist nur 5-6 jahre alte ergebnisse.

  • Ich sage es einfach mal so direkt: Xen ist tot. Das fängt man lieber gar nicht mehr an. LXC ist ja eine Container Engine. Das ist so nicht direkt mit Xen vergleichbar. Das was dem am nächsten käme, wäre eher KVM/qemu.


    Security lässt sich so pauschal nicht sagen. Kommt immer auf deine Umsetzung an und was du darauf eigentlich betreibst. Ähnlich sieht es mit der Usability aus. Es findest sich fast für alles ein entsprechendes Szenario, worauf es passen könnte.

  • 1. performance xen vs lxc

    2. security

    3. usability/softarware compatibility


    (muss man in lxc unprivileged immernoch viel anpassen damit software dort làuft?)

    Zu Xen kann ich nichts sagen.

    Aber ich habe lxc im Einsatz, bzw inzwischen verwende ich lieber lxd


    Performance ist "fast" nativ, da es ja "nur" ein paar Abstraktionen im Kernel sind.


    Solange man nicht den lxd-Port im Internet frei Zugänglich macht :D sollte security auch kein Problem sein.


    unprivileged ist (mit ganz wenigen Ausnahmen) kein Problem. Dein Linux im lxd merkt davon ja eh nichts. Nur z.B. beim "mounten" von Pfaden von außen nach innen muss man aufpassen, da hier die IDs angepasst werden müssen. Wobei lxd sich ständig verbessert. z.B. arbeiten sie mit an einem Kernel Patch, um das zu verbessern. Ich sollte mal checken, ob ich den inzwischen verwenden kann, sprich mein Kernel neu genug ist.


    "usability/softarware compatibility": ich hatte bisher nur einen Fall, wo etwas nicht im lxd lief. Leider hab ich vergessen was es war :/

    Für alles "normale" merkst Du, vom verwenden her, keinen unterschied ob das Linux im lxd oder z.B. in einer VM läuft.

    z.B. Debian und dann Nextcloud installiert.


    Selbst Docker innerhalb eines lxd soll inzwischen gut laufen. Hab ich aber noch nicht probiert.


    Soviel ich weiß haben hier auch ein paar User Proxmox mit lxc am laufen und sind zufrieden.


    Kurzum: lxd kann ich wirklich empfehlen !!! <3


    Hat noch viele Vorteile. Hab gerade nur keine Zeit mehr zu schreiben.

  • LXC sind Container - du hast damit immer den Linux Kernel im Gast. Wenn du andere Möglichkeiten suchst, z.B. andere Betriebssysteme zu fahren, kann LXD auch KVM ansteuern.


    Für eine KVM oder XEN Virtualisierung musst du bei Netcup aber 2€ pro Kern zusätzlich zahlen, das ist eine Kulanzleistung und läuft nicht immer Einwandfrei, wie man das auf Blech erwarten könnte.


    Zu welchem Zweck möchtest du denn solche Konstrukte fahren?


    ====


    Thema unprivileged: kommt auf die Capabilities an.

    Grundsätzlich funktioniert aber alles im Umprivileged Modus, Kernel Nodes kannst du auch im Host erstellen und durchreichen (z.B. tun / tap Devices).

    MariaDB läuft unter LXD unter Ubuntu prima, unter Proxmox musst du bei systemd etwas anpassen.


    Ansonsten hatte ich keine Probleme mit LXC / LXD

  • Nun ich schiele son bisschen auf Hosting Anbieter die tatsächlich LXC Container als VPS anbieten. Und fände das ganz spannend besonders wenn es perfromant(er) läuft. Hatte da bisher aber nur mit Docker Containern und Proxmox LXC eigene kleine Projekte deployed was ganz gut lief, nur halt bspw quota probleme damals noch mit imscp gehabt und generell im bereich security einige negative berichte bei lxc gelesen aber ist halt schon auch teils ne weile her. deswegen wollte ich mal die frage in den raum stellen.


    zum thema xen: eig müssten doch XEN PV also Paravirtualization durchaus auch ohne Anpassungen seitens Netcup funktionieren

  • Selbst Docker innerhalb eines lxd soll inzwischen gut laufen. Hab ich aber noch nicht probiert.

    Funktioniert nach anfänglichen Startschwierigkeiten prima. Wobei wir unsere Container mit Docker glaube ich als privileged laufen lassen müssen. Und das Docker Storage Backend habe ich auf overlay2 geändert. Standardmäßig wollte er das nutzen, was nativ darunter liegt (BTRFS), aber dann kann ich das Container-Filesystem nicht mehr "am Stück" exportieren, womit unsere aktuelle Backup-Lösung hinfällig wäre.


    Insgesamt bin ich mit LXD auch schon seit längerer Zeit sehr zufrieden. Ziemlich straightforward, keine komischen Sonderlocken, Portforwarding und co. ist schnell gemacht, alles funktioniert wie es soll. Performance-Nachteile habe ich noch keine gesehen. Migrationen zwischen Hosts sind auch ein Kinderspiel.