Метод оптимизации задач создания и поддержки однотипных Xen VM

от автора

Цель

У меня, как и у многих жителей хабра есть домашний «балконный» сервер, на котором крутится множество сервисов, как личных, так и публичных — начиная от архива фотографий и Gitolite, и заканчивая несколькими веб-сайтами. Однажды я озадачился вопросом отделения личного от публичного с целью наведения порядка и усиления безопасности системы. Было решено публичные сервисы вынести в отдельные виртуальные машины, которые если даже подвергнутся взлому, то остальные данные не пострадают, а VM может быть легко восстановлена из резервной копии.
При этом я не люблю избыточность в каких бы то ни было проявлениях, и завести по виртуальной машине на каждый сервис хотелось с минимальными затратами таких ресурсов, как мое время и дисковое пространство. В качестве дополнительной «хотелки» выступала возможность обновлять однотипное ПО на всех виртуальных машинах одновременно, а не по отдельности.

Исследование возможных вариантов

Сначала я исследовал возможность применения OpenVZ, однако с ним у меня отношения не сложились по нескольким причинам. Во-первых, необходимость использовать специальное ядро, а моя система — это Gentoo с hardened-профилем и системой Grsecurity, от которых не хотелось отказываться. Во-вторых, OpenVZ у меня вызвал антипатию после того, как внутри гостевой системы (контейнера), ограниченного по количеству максимально доступной ему памяти, я попытался занять всю эту память, что привело в итоге к «убийству» по OOM процесса, работающего в основной (!) системе, а не в контейнере. Я был весьма удивлен таким поведением, так как свободной памяти в основной системе было навалом, и снес OpenVZ от греха подальше.

К счастью, все необходимое для работы Xen уже включено в стандартное ядро Linux, и, забегая вперед, скажу, что как Dom0, так и DomU успешно работают с моим hardened-ядром (с небольшим изменением).

Реализация

Делаем образ эталонной виртуальной машины (AMI)

Как я уже упомянул выше, моя основная система — это Gentoo Linux amd64 3.8.6-hardened SMP, поэтому для виртуальных машин я буду использовать точно такую же систему и точно такое же ядро. Ядро я не пересобирал специально для domU, и оно у меня содержит как backend, так и frontend-драйверы гипервизора Xen.

Для «шаблона» виртуальной машины, на базе которой затем будут создаваться «инстансы» (можно провести аналогию с AMI и инстансами в Amazon EC2) я создал отдельный логический раздел LVM и назвал его vmtemplate. На этот раздел установил Gentoo (шаги по установке аналогичны шагам в стандартном руководстве Gentoo Handbook), а также дополнительный софт, который я выбирал исходя из того, какие сервисы будут в итоге работать внутри виртуальных машин (чтобы «разница» между ними была минимальной). В итоге у меня получился такой список дополнительного софта:

  • dev-lang/php
  • dev-lang/v8
  • dev-lang/erlang
  • dev-python/django
  • dev-ruby/rails
  • www-apache/passenger
  • www-apps/wordpress
  • www-servers/nginx

Для экономии места, при установке пакетов в виртуальных машинах удаляется вся документация (флаги noman nodoc noinfo в make.conf). Чтобы удобно было обновлять софт, я написал простой скрипт, позволяющий быстро входить в окружение нашей эталонной виртуальной машины и выходить из него:

#!/bin/sh  ROOT=/mnt/gentoo DEV=/dev/xenguests/vm-template-gentoo  echo "Mounting filesystems" mount $DEV $ROOT mount -t proc none $ROOT/proc mount --bind /dev $ROOT/dev mount --bind /usr/portage $ROOT/usr/portage cp /etc/resolv.conf $ROOT/etc/resolv.conf chroot $ROOT /bin/bash  echo "Unmounting filesystems" umount $ROOT/dev $ROOT/proc $ROOT/usr/portage umount $ROOT 

Процесс установки самого гипервизора Xen не отличается оригинальностью, и для этого можно воспользоваться любой инструкцией, которые в изобилии присутствуют на просторах Интернета. Однако, если вы, как и я, хотите использовать hardened-ядро, то обращаю ваше внимание на то, что у меня ядро под Xen категорически отказывалось загружаться на самых ранних стадиях (когда еще даже ничего не выводится на экран), так что я даже сначала думал, что до загрузки ядра дело не доходит.

Путем сопоставления адреса исключения, которое выдавал гипервизор перед смертью, с содержимым файла System.map, удалось выяснить, что причина кроется в функции, оперирующей со стеком ядра, и заработало все тогда, когда я отключил в ядре функцию CONFIG_PAX_RANDKSTACK (Randomize kernel stack base), относящуюся к PAX.

Создаем виртуальную машину на базе эталонной

Сначала небольшое отступление: для решения этой задачи я попробовал использовать LVM-слепки, однако это оказалось плохим решением, так как свободное место, выделенное в слепке для изменений (copy on write), заполняется довольно быстро, и, что логично, если внутри виртуальной машины дважды записать один и тот же файл, то и объем занятого места в слепке вырастет на два размера записанного файла. Плохая оптимизация. Для решения задачи оптимизации использования дискового пространства я решил использовать aufs, и теперь мы, наконец, займемся тем, что, собственно, было заявлено в заголовке статьи.

  • Для виртуальной машины создаем еще один логический раздел LVM — назовем его vm-site1. Размер этого раздела в моем случае составляет 1 Гб (размер раздела с эталонной VM — 8 Гб). ФС на обоих разделах — ext4.
  • Собираем модуль sys-fs/aufs3 на основной системе — он нам вскоре понадобится.

Для того, чтобы виртуальная машина загрузилась с этой экзотической конфигурацией, потребуется специальный ramdisk, который смонтирует правильно разделы в aufs. Для начала, в файле /etc/genkernel.conf раскомментируем строчку: ALLRAMDISKMODULES="1" — это нужно для того, чтобы недавно установленный модуль aufs скопировался в ramdisk, который мы будем создавать с помощью genkernel. Более элегантного способа сделать это я не нашел, а править системные файлы в /usr/share/genkernel не хотелось.

В рабочей директории создаем папку overlay, внутри нее файл с именем init, который делаем исполняемым:

#!/bin/busybox sh  mount -t proc -o noexec,nosuid,nodev proc /proc >/dev/null 2>&1 mount -o remount,rw / >/dev/null 2>&1  /bin/busybox --install -s  if [ "$0" = '/init' ] then         [ -e /linuxrc ] && rm /linuxrc fi  modprobe xen-blkfront  RO=/dev/xvda1 RW=/dev/xvda2  mknod /dev/xvda1 b 202 1 mknod /dev/xvda2 b 202 2  modprobe aufs  mkdir /aufs mkdir /rw mkdir /ro  mount $RO /ro mount $RW /rw mount -t aufs -o dirs=/rw:/ro=ro aufs /aufs  [ -d /aufs/ro ] || mkdir /aufs/ro [ -d /aufs/rw ] || mkdir /aufs/rw  mount --move /ro /aufs/ro mount --move /rw /aufs/rw  cat /aufs/ro/etc/fstab | grep -v ' / ' | grep -v swap >> /aufs/etc/fstab  ROTYPE=$(cat /proc/mounts | grep $RO | cut -d' ' -f3) ROOPTIONS=$(cat /proc/mounts | grep $RO | cut -d' ' -f4)  RWTYPE=$(cat /proc/mounts | grep $RW | cut -d' ' -f3) RWOPTIONS=$(cat /proc/mounts | grep $RW | cut -d' ' -f4)  echo $RO /ro $ROTYPE $ROOPTIONS 0 0 >  /aufs/etc/fstab echo $RW /rw $RWTYPE $RWOPTIONS 0 0 >> /aufs/etc/fstab  echo "cp /proc/mounts /etc/mtab" > /aufs/etc/local.d/mtab.start chmod a+x /aufs/etc/local.d/mtab.start  echo "sysctl -w kernel.grsecurity.grsec_lock=1" > /aufs/etc/local.d/grsec.start chmod a+x /aufs/etc/local.d/grsec.start  exec /sbin/switch_root -c "/dev/console" /aufs /sbin/init 

После этого создаем модифицированный ramdisk с помощью скрипта наподобие представленного ниже:

#!/bin/sh  VERSION=`uname -r` MODULE=`modprobe -nv aufs | cut -d' ' -f2`  if [ ! -f $MODULE ]; then         echo "aufs module not found on your system" fi  genkernel initramfs --no-install --no-postclear --initramfs-overlay=/home/xen/overlay cp -v /var/tmp/genkernel/initramfs-${VERSION} /boot/initramfs-domU 

Теперь виртуальная машина сможет загрузиться с корневой ФС на aufs, при этом все изменения будут записываться на раздел /dev/xvda2, а /dev/xvda1 — это наш эталонный образ, файлы в котором мы тоже при желании можем обновлять, и обновления «подцепятся» всеми виртуальными машинами (на время обновления эталонного образа машины следует остановить). Раздел с данными конкретной виртуальной машины (в нашем случае — LVM-раздел vm-site1, содержит только отличия от эталонной ФС, его также можно свободно примонтировать на хостовой системе, вносить изменения в файлы, делать резервные копии и т.д.

Осталось создать виртуальную машину. Для этого я использую такой конфиг:

kernel = "/boot/vmlinuz" ramdisk = "/boot/initramfs-domU" memory = 128 name = "site1" vcpus = 1 disk = [         "phy:/dev/xenguests/vm-template,xvda1,r",         "phy:/dev/xenguests/vm-site1,xvda2,w"         ] root = "/dev/xvda1 ro" extra = "xencons=tty" on_poweroff = "destroy" on_reboot = "restart" on_crash = "destroy" vif = [ "mac=0a:11:10:24:14:20,bridge=br1" ] dhcp = "dhcp" 

Разным виртуальным машинам на базе их уникальных MAC-адресов выдаются статические IP-адреса через DHCP-сервер на host-системе, а также происходит обновление записей в DNS, так чтобы на веб-сервер nginx внутри VM можно было легко пробрасывать соединения с nginx-а на host-системе, а также фильтровать трафик. Кроме того, host-nginx используется для терминирования SSL-трафика.

Итог

Достигнутые цели:

  • Данные индивидуальных виртуальных машин теперь занимают ровно столько места, сколько занимает разница между эталонной системой того, что есть внутри виртуалки. Для сайта с WordPress эта разница составляет у меня 45 Мб.
  • Используя скрипт входа в «эталонное» окружение, можно обновлять однотипный софт сразу на всех VM одновременно.

ссылка на оригинал статьи http://habrahabr.ru/post/183686/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *