• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Xen Server einrichten

coogor

Hacker
Morsche Leute,

ich will mich über den Feiertag mal über den Heimserver hermachen und ihn neu aufsetzen. Dabei möchte ich einen Teil der Serverfunktionen in virtuelle Maschinen auslagern, ungefähr so:

Dom0: Controller mit Samba und Faxserver für das interne Netz, X11 und ggf. auch für das Arbeiten am Bildschirm.

Dom1: DHCP/DNS/Firewall. Hier soll die eine Netzkarte (ext) über die Firewall den Zugang zum W3 bereitstellen. DHCP und DNS sollen auf die 2. Netzkarte gehen und die interne Benamung vornehmen. (Kann ich die Netzkarten direkt an die Dom1 'binden'?)

Macht die Aufteilung Sinn? Irgendwas besonderes zu beachten?

Thx!
Ax
 

pft

Advanced Hacker
Hi,

ich denke seit einiger Zeit über etwas ähliches nach, komme aber leider zu wenig dazu etwas zu tun - bin aber an der Diskussion interessiert.

Zur grundsätzlichen Aufteilung beiten die ct Artikel zum ct-server eine gute Grundlage.

In deinem Fall vermisse ich eine klare Definition von roter, grüner und gelber Zone, also extern, intern und DMZ, und wie die aufgesetzt und miteinander verbunden werden.

Meiner Meinung nach sollten DHCP und DNS in gelb wenn sie direkten Ugang zum Internet brauchen oder in grün.
Die Firewall in die rote Zone, ob das Dom0 oder eine eigene DomU seinn sollte weiß ich auch nicht. Wenn dom0 dan erübrigt sich ein explizites Zuweisen der Netzkarte zum Internet.

Generell kannst kannst Du die IP-Netzseite gut mit den Xen mitteln lösen (virt. Interfaces, bridging, routing etc.). Direkte Zuweisung der PCI-Karten brauchst Du wohl nur bei ISDN (Fax!), viedokarten und sowas.

Wosu brauchst Du X11 bei einem Server? Wenn Du nicht nur über vnc arbeiten willst blockiert dir das die dom0.

Habe neulich einige Diskussionen mit netten Bildchen zur Netzorganisation gesehen. Falls ich sie wieder finde melde ich mich.
 
OP
coogor

coogor

Hacker
Mein Verständnis war daß man die DMZ nutzt wenn man die Server auch vor Angriffen von innen schützen will. Ist in dem Falle nicht notwendig.

Firewall in Dom0 halte ich für keine gute Idee, da Dom0 ja der 'Master' ist. Konsequent könnte das aber heissen daß man die FW in eine separate VM auslagert, oder?

Wozu braucht man X11 in Dom0? Nun, auf dem PC wird auch gearbeitet, und nebenbei versorgt er auch noch den Rest des Netzes...was eher sporadisch genutzt wird.
 

pft

Advanced Hacker
Mein Verständnis war daß man die DMZ nutzt wenn man die Server auch vor Angriffen von innen schützen will.

Nein ganz und gar nicht. Es geht darum die internen Applikationen und Daten zu schützen vor Angriffen von draussen. Dienste die ovn draussen erreichbar sein müssen sollten eben nicht in der gleichen Zone liegen wie rein interne.

Firewall in Dom0 halte ich für keine gute Idee, da Dom0 ja der 'Master' ist. Konsequent könnte das aber heissen daß man die FW in eine separate VM auslagert, oder?

Da hast Du wohl recht.

Nun, auf dem PC wird auch gearbeitet, und nebenbei versorgt er auch noch den Rest des Netzes
Dan würde ich die eigeentlichen Serverdienste aber von diesen "Workstation-diensten" trennen. Allein schon wegen reboot etc.

"Workstation" in der dom0 ist wahrscheinlich das einzig machbare aber für mich nicht ideal, da genau die es ist, die am häufigsten Probleme macht. Und die dom0 sollte man eher selten rebooten müssen.
 
OP
coogor

coogor

Hacker
pft schrieb:
Mein Verständnis war daß man die DMZ nutzt wenn man die Server auch vor Angriffen von innen schützen will.

Nein ganz und gar nicht. Es geht darum die internen Applikationen und Daten zu schützen vor Angriffen von draussen. Dienste die ovn draussen erreichbar sein müssen sollten eben nicht in der gleichen Zone liegen wie rein interne.

Das würde heissen, wenn als einzige Dienste von außen die FW und ssh erreichbar sein sollten ware das eine Dom, und den ganzen anderen Krempel (DHCP, DNS, SMB, Fax) packt man in eine weitere Dom.

Nun, auf dem PC wird auch gearbeitet, und nebenbei versorgt er auch noch den Rest des Netzes
Dan würde ich die eigeentlichen Serverdienste aber von diesen "Workstation-diensten" trennen. Allein schon wegen reboot etc.

"Workstation" in der dom0 ist wahrscheinlich das einzig machbare aber für mich nicht ideal, da genau die es ist, die am häufigsten Probleme macht. Und die dom0 sollte man eher selten rebooten müssen.
..das wäre ja der Neustart des PC in diesem Falle. geschieht auch jetzt schon recht selten *g*

So lange ich keine guten Hinweise auf ein anderes Konzept kriege würde ich mal daran festhalten....
 

pft

Advanced Hacker
Hi,

ich habe mal gesucht und den Link gefunden: schau Dir das mal an. Scheint mir interessant für dieses Thema
http://lists.xensource.com/archives/html/xen-users/2005-08/msg00315.html

siehe z.B. das Problem mit der Uhr-Synchronisierung

Ansonsten weichst Du von Deiner sinnvollen Regel ab die FW zu isolieren. FW ist kein Dienst! Warum den sshd in die gleiche dom und warum überhaupt ssh von aussen. Brauchst Du das und ist es Dir das Riskio wert? Hast Du eine fixe IP bzw. dynIP?

DHCP, DNS, SMB ist klar - wird wohl nur intern gebraucht;

Fax ist mit Vorsicht zu geniessen; wie bekommst Du das in die domU bzw. wie faxt Du (ser. Modem, ISDN oder was?)?
serielle Schnittstelle kriegst Du meines Wissens nicht in die domU; eine PCI-ISDN Karte evtl. schon. Ich verwende derzeit zwischen Linux server und Win-client eine remote capi. Falls es da einen linux client gibt wäre das ein möglicher Ansatz.
 
OP
coogor

coogor

Hacker
pft schrieb:
Hi,

ich habe mal gesucht und den Link gefunden: schau Dir das mal an. Scheint mir interessant für dieses Thema
http://lists.xensource.com/archives/html/xen-users/2005-08/msg00315.html

Ein Megathread...sehr interessant. Bin 3/4 durch, die finale Lösung kann ich aber noch nicht sehen.....

Ansonsten weichst Du von Deiner sinnvollen Regel ab die FW zu isolieren. FW ist kein Dienst! Warum den sshd in die gleiche dom und warum überhaupt ssh von aussen. Brauchst Du das und ist es Dir das Riskio wert? Hast Du eine fixe IP bzw. dynIP?

Doch, über ssh oder sftp muß ich öfter mal 'von draussen' rein, ist aber über hosts.deny/allow zusätzlich gesichert. Ich hab mal mit OpenVPN gespielt, aber wieso kompliziert, wenn es auch einfach geht.... 8)

DHCP, DNS, SMB ist klar - wird wohl nur intern gebraucht;

Fax ist mit Vorsicht zu geniessen; wie bekommst Du das in die domU bzw. wie faxt Du (ser. Modem, ISDN oder was?)?
serielle Schnittstelle kriegst Du meines Wissens nicht in die domU; eine PCI-ISDN Karte evtl. schon. Ich verwende derzeit zwischen Linux server und Win-client eine remote capi. Falls es da einen linux client gibt wäre das ein möglicher Ansatz.

Ich faxe über hylafax und ein serielles Modem. Wenn das natürlich nur in dom0 geht...dann hab ich keine andere Chance als das da rein zu klemmen. Somit bliebe nur eine virtuelle Maschine mit den o.a. Diensten (DNS...).
Das ist zwar nicht ideal,aber besser als jetzt, wo ja alles in einer Umgebung läuft.

Was mir dabei noch einfällt: Läßt sich eine domU direkt beim Systemstart mit hochfahren?
 

pft

Advanced Hacker
Hi hab mich schon länger nicht mehr gemeldet.

ZU deiner Frage zum direkten Hochfahren beim Systemstart:
Ja, indem Du die config-datei nach /etc/xen/auto kopierst bzw. dort einen Link anlegst

Ich bin bei meinen test beim Update der DomUs hängen gebleiben.
Das ganze ist etwas tricky, da der Kernel der domU ja aus der dom0 gestartet wird. Ein Update des kernels der domU führt also default mäßig zu Problemen, da der richtige kernel in der dom0 ja nicht zugänglich ist. Bei kernel updates mußt Du vorher den neuen kernel und die ramdisk an die richtige Stelle in der dom0 kopieren.

Mein Problem ist nun dass, nach diesem Trick ich einen kernel panic bekomme - keine Ahnung warum. Erst wenn ich das gelöst habe, kann ich weiter basteln. Nächster Schritt wäre die ISDN /DSL Karte mal in eine domU zu verschieben und sehen wie das geht.
 
OP
coogor

coogor

Hacker
pft schrieb:
Ich bin bei meinen test beim Update der DomUs hängen gebleiben.
Das ganze ist etwas tricky, da der Kernel der domU ja aus der dom0 gestartet wird. Ein Update des kernels der domU führt also default mäßig zu Problemen, da der richtige kernel in der dom0 ja nicht zugänglich ist. Bei kernel updates mußt Du vorher den neuen kernel und die ramdisk an die richtige Stelle in der dom0 kopieren.
Na das klingt ja ganz wunderbar, und muß eigentlich jedem passiert sein bisher. Gibts es da noch keine FAQ wie man das angeht?
Mein Problem ist nun dass, nach diesem Trick ich einen kernel panic bekomme - keine Ahnung warum. Erst wenn ich das gelöst habe, kann ich weiter basteln. Nächster Schritt wäre die ISDN /DSL Karte mal in eine domU zu verschieben und sehen wie das geht.
Wird auf jeden Fall spannend zuhören wie es weitergeht......
 
Oben