« Linux-VServer » : différence entre les versions

Contenu supprimé Contenu ajouté
Tavernierbot (discussion | contributions)
m Bot : - espace après les signes ouvrants et avant les signes fermants
Tavernierbot (discussion | contributions)
m Bot : - espace après les signes ouvrants et avant les signes fermants
Ligne 1 :
Bonjour !<br />
{{Fusionner|Vserver}}
Je vous propose dans cet article d'étudier la solution de virtualisation Linux VServer, tant en terme de théorie que de pratique ! N'hésitez pas à me corriger si je me trompe ou à me compléter, puisque ceci ne saurait être un contenu exhaustif --de part le fait même que le projet VServer est encore en cours de réalisation.<br /><P>
 
Je vous propose dans cet article d'étudier la [[wikt:solution|solution]] de virtualisation Linux VServer, tant en terme de théorie que de pratique ! N'hésitez pas à me corriger si je me trompe ou à me compléter, puisque ceci ne saurait être un contenu exhaustif --de part le fait même que le projet VServer est encore en cours de réalisation.<br /><P>
 
Cet article se jouera en 2 temps principaux : Concepts et Mise en oeuvre.<br />
Ligne 21 ⟶ 20 :
- Bibliographie<br /><br />
 
Here we go !!! :3 <br /><br />
 
'''Linux Vserver'''
<P>
 
'''Application à Debian Sarge 2.6.14-vs2.0'''
 
== Introduction ==
'''Linux Vserver'''<br /><br />
'''Application à Debian Sarge 2.6.14-vs2.0'''<br /><br />
'''Introduction'''<br /><br />
 
Ce document a pour objectif d'étudier tous les aspects de la solution Linux Vserver, de sa description à sa mise en oeuvre, en passant par la comparaison avec d'autres outils de virtualisation comme Xen, UML ou encore QEMU. <br />
 
Dans un premier temps, nous nous contenterons de décrire les concepts de serveur virtuel, et les techniques mises en oeuvre pour gérer ce type d'instance. Ensuite, nous nous attacherons aux caractéristiques propres à la solution Linux Vserver de manière générale, puis nous passerons à la partie pratique, en créant « from scratch » une machine capable de faire tourner plusieurs Vserver de manière totalement sécurisée.<br /><P>
Dans un premier temps, nous nous contenterons de décrire les concepts de serveur virtuel, et les techniques mises en oeuvre pour gérer ce type d'instance. Ensuite, nous nous attacherons aux caractéristiques propres à la solution Linux Vserver de manière générale, puis nous passerons à la partie pratique, en créant « from scratch » une machine capable de faire tourner plusieurs Vserver de manière totalement sécurisée.
 
== Concepts ==
 
'''Concepts'''
<br />
« Serveur virtuel : serveur n'existant pas vraiment, étant hébergé par un autre serveur. Techniquement, il n'y a qu'une seule machine, mais de l'extérieur, on en voit plusieurs. Cela permet d'économiser sur le matériel, car un site web moyen, par exemple, est bien loin de consommer toutes les ressources d'un ordinateur personnel actuel. » <br />
(http://www.linux-france.org/prj/jargonf/S/serveur_virtuel.html)<br />
Ligne 42 ⟶ 41 :
Comment faire en sorte qu'un hôte ait la capacité de faire tourner plusieurs serveurs virtuels ? Comme dit précédemment, il existe des techniques permettant d'émuler un serveur virtuel. Ce sont les techniques de virtualisation.<br /><P>
 
'''== Techniques de virtualisation'''<br />==
D'elles dépendent en grande partie les performances des serveurs virtuel, elles constituent aussi les principales différences entre les solutions existantes sur le marché et qui permettent de gérer des serveurs virtuels.<br />
La virtualisation peut intervenir sur différents niveaux, et c'est là toute la différence avec d'autres systèmes de virtualisation tels que Xen, UML ou OPENVZ.<br />
 
<P>
'''''=== Niveau Emulateur'''''<br />===
 
La virtualisation peut être faite via un émulateur, c'est à dire une application qui simule un processeur ou une machine complète. L'émulateur s'occupe entre autre de la traduction dynamique et complète du code. L'émulateur QEMU par exemple, est capable d'utiliser un «accélérateur», qui est actuellement non open source. Avec cet accélérateur, l'émulation peut tourner à une vitesse respectable (50% d'une vitesse native en théorie). PearPC est lui un émulateur PowerPC, capable de faire fonctionner Mac OS X. Cependant, il reste lent, en effet, une émulation émule la totalité d'une machine, y compris ses composants internes et le processeur. Les émulations sont ainsi généralement lentes (en prenant des machines hôtes et cibles de même génération) ; leur intérêt est essentiellement pour mener des tests. <P>
 
 
'''''=== Niveau Machine'''''<br />===
 
La virtualisation de machine, elle, fonctionne sur le même type de matériel. Il n'y a plus de ce fait d'étape d'émulation de processeur, ce qui permet d'obtenir des performances proches, sinon celles de la machine originale dans les phases de calcul. Néanmoins, un certain nombre de composants ou pilotes de matériel sont virtualisés, dégradant généralement les entrées/sorties, parfois de façon très significative. Cette technologie existe depuis fort longtemps sur de nombreuses architectures. IBM avait déjà introduit ces concepts au milieu des années 1960 et existe toujours dans leurs systèmes actuels (AIX 5L 5.2, OS400). Cette technologie est par contre récente sur les PC, car l'architecture IA-32 n'a pas été prévue pour cela. Des astuces techniques ont du être trouvées. <P>
 
 
'''''=== Niveau Application'''''<br />===
 
Elle peut avoir lieu au niveau application, l'application fait alors croire qu'il y a plusieurs services (Hôtes virtuels Apache, domaines virtuels Postfix...). Les performances sont en générale excellentes, du fait que l'application fonctionne tout à fait en tant que telle, il n'y a aucune traduction de code, et aucune virtualisation des composants.<P>
 
=== Niveau Kernel ===
 
 
'''''Niveau Kernel'''''<br />
 
Il s'agit d'un partitionnement logique, ou serveur virtuel. Dans ce cas, il n'y a plus aucune émulation. C'est le noyau du système d'exploitation qui fait une isolation entre des machines logiques, tout comme il isole déjà les processus entre eux. Des exemples existent au moins sur FreeBSD (jails) et Solaris 10 (zones). Sous Linux, le projet Linux-vserver représente cette catégorie.<P>
 
== Linux Vserver ==
 
=== Introduction ===
'''Linux Vserver'''<P>
 
Cette technologie open source est assez récente sous Linux. La version 0.0 date d'octobre 2001. Jacques Gélinas, canadien à l'origine de plusieurs projets bien connus sous Linux (linuxconf, umsdos) a démarré le projet. Cette solution est spécifique à Linux, mais non liée à la plateforme IA-32. Le développement des versions s'est ralenti fin 2002. De nombreuses modifications ont alors fait leur apparition, et le projet s'est transformé en un projet communautaire. Le leader de ce projet est devenu Herbert Poetzl à partir d'octobre 2003. Depuis ce moment de nombreuses évolutions ont vu le jour. La version 1.0 est sortie le 1er novembre 2003, suivie de la version 1.2 le 5 décembre 2003. Cette branche est toujours active pour le noyau Linux 2.4 (version 1.2.10 pour noyau 2.4.29). La version 2.0 est sortie le 7 août 2005 pour le noyau 2.6.12. Cette version apporte de nombreux perfectionnements.
'''Introduction'''<br />
 
=== Fonctionnement ===
Cette technologie open source est assez récente sous Linux. La version 0.0 date d'octobre 2001. Jacques Gélinas, canadien à l'origine de plusieurs projets bien connus sous Linux (linuxconf, umsdos) a démarré le projet. Cette solution est spécifique à Linux, mais non liée à la plateforme IA-32. Le développement des versions s'est ralenti fin 2002. De nombreuses modifications ont alors fait leur apparition, et le projet s'est transformé en un projet communautaire. Le leader de ce projet est devenu Herbert Poetzl à partir d'octobre 2003. Depuis ce moment de nombreuses évolutions ont vu le jour. La version 1.0 est sortie le 1er novembre 2003, suivie de la version 1.2 le 5 décembre 2003. Cette branche est toujours active pour le noyau Linux 2.4 (version 1.2.10 pour noyau 2.4.29). La version 2.0 est sortie le 7 août 2005 pour le noyau 2.6.12. Cette version apporte de nombreux perfectionnements.
<P>
'''Fonctionnement'''<br />
 
Il s'agit d'une modification du noyau Linux (sous la forme d'un patch, le code n'étant pas actuellement intégré dans le noyau officiel). Ce patch est accompagné d'utilitaires pour configurer le système. Debian intègre depuis la version Sarge les utilitaires de gestion des vservers. L'intégration est donc assez simple. Concrètement, un vserver fonctionne par un système de contexte supplémentaire ajouté à chaque processus. C'est un système de virtualisation léger et peu intrusif.
 
<br />
La machine physique démarre le noyau Linux. Tous les processus lancés par ce noyau (à partir d'init) le sont avec un contexte 0, celui dédié à la machine hôte. Jusque là, tout se comporte strictement comme d'habitude.
 
<br /><br />
 
Le lancement d'un vserver se fait via la commande vserver nom_du_vserver start . Cette commande va lire un fichier de configuration correspondant au serveur virtuel à démarrer. Elle crée un contexte (un numéro dit xid), qui est unique à la machine physique. Ensuite, le processus change de racine (chroot). Les adresses IPv4 du vserver sont créées en tant qu'adresses secondaires de l'interface réseau de la machine physique, puis liées au contexte actuel par des règles de routage internes au noyau Linux. Ensuite la commande vserver se remplace par un processus unique (le programme init , qui est le processus standard de démarrage des UNIX). Ainsi démarre le serveur virtuel.
 
<br /><br />Tous les processus ensuite démarrés par init sont dans le même contexte, et héritent de ses caractéristiques. Le contexte s'applique donc aux processus et aux adresses IP, qui sont ainsi isolés de tout ce qui n'appartient pas au contexte local. Ce sont les seuls éléments virtualisés. Il n'y a pas de virtualisation des couches réseaux ou de stockage. Le vserver se base sur la gestion de “capabilities” du noyau Linux, qui permet de descendre les privilèges d'une tâche (et des tâches héritées), et de limiter les appels systèmes possibles. Et ainsi sécuriser l'ensemble.
 
Tous les processus ensuite démarrés par init sont dans le même contexte, et héritent de ses caractéristiques. Le contexte s'applique donc aux processus et aux adresses IP, qui sont ainsi isolés de tout ce qui n'appartient pas au contexte local. Ce sont les seuls éléments virtualisés. Il n'y a pas de virtualisation des couches réseaux ou de stockage. Le vserver se base sur la gestion de “capabilities” du noyau Linux, qui permet de descendre les privilèges d'une tâche (et des tâches héritées), et de limiter les appels systèmes possibles. Et ainsi sécuriser l'ensemble.
<br /><br />A l'intérieur d'un vserver, il est par exemple impossible de manipuler les adresses IP de l'interface, de manipuler iptables , ou encore d'utiliser mknod. Comme un vserver hérite d'une tâche unique, il est possible au lancement du serveur virtuel, de le limiter en nombre de processus, de lui donner une priorité (nice)... Cela est implémenté en interne via la commande ulimit. Il est facile de voir l'état des serveurs sur la machine hôte via la commande vserver-stat
 
 
À l'intérieur d'un vserver, il est par exemple impossible de manipuler les adresses IP de l'interface, de manipuler iptables , ou encore d'utiliser mknod. Comme un vserver hérite d'une tâche unique, il est possible au lancement du serveur virtuel, de le limiter en nombre de processus, de lui donner une priorité (nice)... Cela est implémenté en interne via la commande ulimit. Il est facile de voir l'état des serveurs sur la machine hôte via la commande vserver-stat
 
La version 2.0 des vservers (disponible sur noyau 2.6 uniquement) permet de limiter plus nettement les ressources entre vservers au niveau du noyau, par exemple l'utilisation processeur (système de seau à jeton).
 
 
<br />La version 2.0 des vservers (disponible sur noyau 2.6 uniquement) permet de limiter plus nettement les ressources entre vservers au niveau du noyau, par exemple l'utilisation processeur (système de seau à jeton).
<br /><br />
Le pseudo système de fichiers /proc est monté dans les vservers mais masque toute les entrées hors contexte, évitant ainsi des problèmes de sécurité possibles.
 
<br /><br />
 
Le pseudo système de fichiers /sys n'est par contre pas monté. Il n'est disponible que sur le serveur hôte. La principale limite est qu'il est impossible d'héberger un système autre que Linux puisque le noyau est partagé entre serveur hôte et ses vservers.
 
<br /><br />
 
Les processus d'un vserver ne sont que des processus standards, juste isolés et bridés sur les appels systèmes qu'ils peuvent utiliser. Les disques ainsi que la mémoire sont également partagés, ce qui permet une forte montée en charge, mais peut aussi compromettre la stabilité de l'intégralité du système, si on n'y prend garde.
 
<br /><br />
 
La racine d'un vserver se trouve dans un sous-répertoire du serveur maître
/var/lib/vservers/nom_du_vserver.
 
<br /><br />
 
Pour éviter tout débordement et tout effet de bord, il est souhaitable d'utiliser une partition dédiée pour chaque vserver (voire plusieurs). De cette façon, un vserver ne peut saturer le disque du serveur hôte.
 
<br /><br />
 
La création de nouveaux vservers peut se faire via une commande vserver build , qui est capable de gérer un certain nombre de distributions, dont DEBIAN (utilisation de la commande deboostrap pour installer un système de base DEBIAN). Quelques corrections sont ensuite apportées au serveur fraîchement installé (essentiellement un /dev quasiment vide), afin de fonctionner au mieux dans un vserver.
 
<br /><br />
 
Une fois cette commande terminée, un vserver de base est installé. Il peut être sauvegardé pour ensuite servir de patron (sous la forme d'un fichier tar.gz, qu'il suffit de décompresser ensuite, au besoin). Cela permet des déploiements « minute ».
 
<br /><br />
 
Pour information, un serveur Debian Sarge de base « pèse » environ 180 Mo. Puisque l'objectif est de n'avoir qu'un seul service par serveur virtuel, de très nombreux vservers ne nécessitent réellement jamais plus de 1 à 2 Go de disque. Il est possible d'utiliser des distributions Linux différentes, serveur hôte DEBIAN et vserver Fedora, par exemple. En effet, les librairies ne sont pas partagées, chaque vserver aura son propre jeu de librairies.
 
<P>
 
'''Particularité'''
=== Particularité ===
<br /><br />
 
C'est la performance qui rend les vservers si attractifs. Puisqu'il ne s'agit pas d'un PC virtuel, mais plutôt de "serveurs Linux" virtuels. Cela peut simplement être vu comme un chroot amélioré. Les avantages sont des performances natives (pas de perte mesurable). A part la gestion du contexte, un processus dans un vserver a les mêmes caractéristiques qu'un processus d'une machine Linux standard. La consommation mémoire est légère (la mémoire est mutualisée entre le serveur hôte et les vservers et la mémoire demandée à l'hôte est celle réellement utilisée par les processus du vserver). La possibilité de mutualisation est donc ici très importante ; il est possible de déployer plusieurs dizaines de vservers sur un serveur actuel correctement taillé.
 
<P>
'''=== Sécurité''' ===
 
<br /><br />
De part les restrictions des appels systèmes que peut utiliser un vserver, un processus en son sein a moins de possibilités que celui d'un serveur standard. S'il y a intrusion dans un vserver, par une faille de sécurité d'un logiciel quelconque, le pirate ne pourra pas écouter les interfaces réseau, ou lancer des commandes comme nmap.
 
<br />
Seul l'hôte à la possibilité de manipuler iptables. Les règles sont très restrictives, et correspondent strictement aux services déployés sur le vserver. Ceux-ci ne peuvent initier des connexions, hors celles nécessaires pour assurer le service. Ainsi un pirate, même root sur un vserver, restera enfermé car il ne pourra pas lancer de connexions vers l'extérieur.
 
<br />Un démon ssh installé sur un port non standard verra ses paquets refusés par le firewall de l'hôte. Il n'est pas possible d'accéder aux disques physiques de la machine (il est par contre possible d'effacer le volume du serveur virtuel).
Un démon ssh installé sur un port non standard verra ses paquets refusés par le firewall de l'hôte. Il n'est pas possible d'accéder aux disques physiques de la machine (il est par contre possible d'effacer le volume du serveur virtuel).
<br /><br />
 
 
Un risque est constitué par l'escalade de privilège d'un vserver vers le serveur hôte. En effet, les vservers sont basés sur une couche de virtualisation logique assez fine. Par le passé, elle a été contournée une fois. Cet unique bug a été rapidement corrigé (chroot barrier), mais prouve que le concept n'est pas à l'épreuve des balles. Si l'escalade arrive jusqu'à l'hôte, en tant que root, (ou si l'hôte fait tourner des services exploitables), alors la sécurité est mise à mal, puisque le serveur hôte a une vision complète de tous les fichiers des vservers, et peut accéder à chacun des processus de ceux-ci, ainsi que de s'y logguer en tant que root... Il ne s'agit plus cette fois d'un seul serveur piraté, mais de la totalité des vservers hébergés sur cet hôte. Il n'y a cependant actuellement pas de faille de ce type connue.
 
<br /><br />
 
Enfin, un seul noyau est partagé entre l'hôte et les vservers. Si un bug noyau existe, il peut être utilisé dans ou via un vserver, et provoquer un déni de service pour la machine hôte – et par ricochet – celui des autre vservers hébergés. Cela amène à un autre risque, qui est celui de la panne matérielle ; si la machine est en panne, ce sont tous ses vservers qui le sont. Déployer un vserver est dangereux si des services redondants ne sont pas prévus.
 
<br />
Les précautions conseillées sont les suivantes : Tous les service importants déployés sur des vservers sont redondés. Les vservers co-hébergés sur une même machine hôte sont, autant que possible, avec des catégories d'usage et des contraintes de sécurité proches. Et bien sur, la règle primordiale est de ne faire tourner AUCUN service sur l'hôte à part SSH et les iptables.
 
<P>
'''=== Limitations''' ===
 
<br /><br />
Chaque médaille a son revers... Vserver a l'inconvénient de ses avantages, c'est à dire sa légèreté. Dans un grand nombre de cas, son fonctionnement est tout à fait satisfaisant. Cependant, le noyau est partagé par toutes les instances de serveurs, et tous les drivers et couches de communication ne sont pas virtualisés ; les conséquences sont multiples :
 
<br /><br />
 
Certains programmes nécessitant des privilèges élevés, ou manipulant directement le matériel ne pourront fonctionner correctement. Par exemple, le déploiement d'un serveur NFS kernel ne peut se faire qu'au niveau de l'hôte principal. Pas plus que démarrer un serveur X window n'est possible simplement... Dans un hôte il est possible de démarrer un démon NFS en privilège utilisateur5, mais les performances sont moins bonnes.
 
<br /><br />
 
La mutualisation de la couche réseau peut aussi entraîner des problèmes de routage complexes (un cas est exposé en annexe) et empêche IPv6 de fonctionner.
 
<br /><br />
 
Dans les déploiements envisagés, certaines de ces limitations sont gênantes. Il a donc été considéré que pour certaines applications, un système de virtualisation plus complet devait être déployé.
 
== Mise en œuvre ==
<P>
 
=== Introduction ===
 
'''Mise en Oeuvre '''
<P>
'''Introduction'''
<br /><br />
Pour mettre en place la solution Linux Vserver, il nous faut d'abord rendre une machine hôte capable de faire tourner plusieurs vservers. Nous allons donc détailler la préparation de l'hôte, de la mise en place du patch au status opérationnel de la machine.
<P>
'''=== Préparation du noyau''' ===
 
<br /><br />
On commence par la préparation du kernel. Nous travaillons avec une Debian Sarge.<br />
 
Première étape : updater la apt database avant l'installation et upgrader les packages installés.
<br />
> apt-get update && apt-get upgrade <br />
<br />
Seconde étape, il nous faut plusieurs outils, qui sont les suivants : <br />
 
> apt-get update && apt-get upgrade
# util-vserver, pour gérer les vservers <br />
# ssh <br />
# ncurses-base et libncurses5-dev, pour pouvoir faire un « make menuconfig » lors de la compilation du noyau.<br />
 
> apt-get install util-vserver ssh ncurses-base libncurses5-dev <br />
<br />
On se retrouve avec les fichiers suivants : <br />
/var/lib/vservers, qui est le répertoire principal pour les fichiers des vservers <br />
/etc/vservers, qui est le répertoire par défaut des fichiers des vservers<br />
/etc/vservers.conf, le fichier de configuration basique de l'outil util-vserver<br />
/usr/sbin/vserver, l'executable pour interagir, démarrer, stopper, construire, ..., entrer dans un vserver <br />
 
Seconde étape, il nous faut plusieurs outils, qui sont les suivants :
/bin/vshelper, un descripteur des fonctions de l'outil<br />
 
/usr/lib/util-vserver, les scripts, fonctions principales.<br />
# util-vserver, pour gérer les vservers
<P>
# ssh
'''Le kernel'''
# ncurses-base et libncurses5-dev, pour pouvoir faire un « make menuconfig » lors de la compilation du noyau.<br />
<br /><br />
 
Nous allons maintenant nous attaquer à la partie noyau.<br />
> apt-get install util-vserver ssh ncurses-base libncurses5-dev
 
On se retrouve avec les fichiers suivants :
*/var/lib/vservers, qui est le répertoire principal pour les fichiers des vservers
*/etc/vservers, qui est le répertoire par défaut des fichiers des vservers
*/etc/vservers.conf, le fichier de configuration basique de l'outil util-vserver
*/usr/sbin/vserver, l'exécutable pour interagir, démarrer, stopper, construire, ..., entrer dans un vserver
<br/>
*/bin/vshelper, un descripteur des fonctions de l'outil
*/usr/lib/util-vserver, les scripts, fonctions principales.
 
=== Le kernel ===
 
Nous allons maintenant nous attaquer à la partie noyau.
Tout d'abord rapatrier le dernier noyau Debian stable compatible vserver (2.6.12.4) via la commande suivante : <br /><br />
 
> cd /usr/src<br />
> wget http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.12.4.tar.gz <br />
<br /><br />
Ensuite, le dernier patch stable de http://linux-vserver.org ou de www.13thfloor.at<br />
<br />
> wget http://www.13thfloor.at/vserver/s_rel26/v2.0/patch-2.6.12.4-vs2.0.diff.gz<br />
> gzip -d linux-2.6.12.4.tar.gz <br />
> tar -zxvf linux-2.6.12.4.tar<br />
> gzip -d patch-2.6.12.4-vs2.0.diff.gz<br />
> mv patch-2.6.12.4-vs2.0.diff /usr/src/linux-2.6.12.4<br />
<P>
 
Ensuite, le dernier patch stable de http://linux-vserver.org ou de www.13thfloor.at
'''Patcher le noyau'''
<br /><br />
> cd /usr/src/linux-2.6.12.4<br />
> cat patch-2.6.12.4-vs2.0.diff | patch -p1 <br />
<br /><br />
Si vous êtes déjà sous une version similaire du noyau (2.6.x), il est préférable de copier la configuration actuelle avant de compiler le noyau. Votre configuration devrait se trouver vers "/boot/config-2.6.x" <br /><br />
 
> cpwget http:/boot/config-2www.613thfloor.X at/usrvserver/srcs_rel26/linuxv2.0/patch-2.6.12.4/-vs2.config <br />0.diff.gz
> gzip -d linux-2.6.12.4.tar.gz
> tar -zxvf linux-2.6.12.4.tar
> gzip -d patch-2.6.12.4-vs2.0.diff.gz
> mv patch-2.6.12.4-vs2.0.diff /usr/src/linux-2.6.12.4
 
C'est parti. Vous devez d'abord inclure quelques choses pendant la compilation. Première chose, vous devez être en mesure de compiler sous votre système... Je conseille http://www.howtoforge.com/forums/showthread.php?t=21 si vous n'êtes pas très à l'aise avec cette histoire de compilation.<br /><br />
 
=== Patcher le noyau ===
> make menuconfig <br />
 
Vous pouvez voir une catégorie pour «Linux VServer ». Si elles ne sont pas sélectionnées, activez<br />
> cd /usr/src/linux-2.6.12.4<br />
Enable Legacy kernel API<br />
> cat patch-2.6.12.4-vs2.0.diff | patch -p1
Enable Proc Security<br />
 
Enable Hard CPU Limits <br />
 
 
Si vous êtes déjà sous une version similaire du noyau (2.6.x), il est préférable de copier la configuration actuelle avant de compiler le noyau. Votre configuration devrait se trouver vers "/boot/config-2.6.x"
 
 
> cp /boot/config-2.6.X /usr/src/linux-2.6.12.4/.config
 
C'est parti. Vous devez d'abord inclure quelques choses pendant la compilation. Première chose, vous devez être en mesure de compiler sous votre système... Je conseille http://www.howtoforge.com/forums/showthread.php?t=21 si vous n'êtes pas très à l'aise avec cette histoire de compilation.
 
> make menuconfig
 
Vous pouvez voir une catégorie pour «Linux VServer ». Si elles ne sont pas sélectionnées, activez :
*Enable Legacy kernel API
*Enable Proc Security
*Enable Hard CPU Limits
 
La configuration est prête. Il ne reste plus qu'à compiler le kernel.
 
<pre>
> make
> make modules_install
> cp .config /boot/config-2.6.12.4-vs2.0
> cp System.map /boot/System.map-2.6.12.4-vs2.0
> cp arch/i386/boot/bzImage /boot/vmlinuz-2.6.12.4-vs2.0
> mkinitrd -o /boot/initrd.img-2.6.12.4-vs2.0 2.6.12.4-vs2.0
</pre>
 
La configuration est prête. Il ne reste plus qu'à compiler le kernel.<br />
> make<br />
> make modules_install<br />
> cp .config /boot/config-2.6.12.4-vs2.0<br />
> cp System.map /boot/System.map-2.6.12.4-vs2.0<br />
> cp arch/i386/boot/bzImage /boot/vmlinuz-2.6.12.4-vs2.0<br />
> mkinitrd -o /boot/initrd.img-2.6.12.4-vs2.0 2.6.12.4-vs2.0 <br />
<br /><br />
Il faut mettre à jour le menu grub. Editez (pico, nano, vi...) le fichier /boot/grub/menu.lst et ajoutez les lignes suivantes avant les autres entrées. Assurez vous que la ligne "default" est mise à 0
 
<P>
title Vanilla 2.6.12.4-vs2.0<br />
root (hd0,0)<br />
kernel /vmlinuz-2.6.12.4-vs2.0 root=/dev/hda2 ro<br />
initrd /initrd.img-2.6.12.4-vs2.0<br />
savedefault<br />
boot <br />
 
<P>
 
L'hôte est prêt. Il ne reste plus qu'à rebooter pour avoir notre noyau prêt pour supporter vserver.<br />
L'hôte est prêt. Il ne reste plus qu'à rebooter pour avoir notre noyau prêt pour supporter vserver.
> reboot <br />
> reboot
> uname -r<br />
> uname -r
2.6.12.4-vs2.0 <br />
2.6.12.4-vs2.0
C'est le bon kernel !
<P>
'''Créer un Virtual Server'''<br /><br />
 
'''Créer un Virtual Server'''
La création d'un server virtuel Debian sur un hôte Debian est simple. Voici la syntaxe de la comande :<br />
 
<br />
 
> vserver <VSERVER_NAME> build <br />
La création d'un server virtuel Debian sur un hôte Debian est simple. Voici la syntaxe de la comande :
-n <VSERVER_NAME> <br />
 
--hostname <FQDN> <br />
<pre>
--interface <NET_DEVICE>:<IP>/<CIDR> <br />
> vserver <VSERVER_NAME> build
-m debootstrap -- -d <DEBIAN_DISTRO> <br />
-n <VSERVER_NAME>
--hostname <FQDN>
--interface <NET_DEVICE>:<IP>/<CIDR>
-m debootstrap -- -d <DEBIAN_DISTRO>
</pre>
 
Ici, notre vserver a les informations suivantes :
 
<pre>
Ici, notre vserver a les informations suivantes : <br />
VSERVER_NAME viu <br />
FQDN viu.bux.com <br />
NET_DEVICE eth0 <br />
IP 192.168.1.50 <br />
CIDR 24 (255.255.255.0) <br />
DEBIAN_DISTRO sarge<br />
</pre>
 
On aura donc :
<br /pre>
> vserver viu build <br />
-n viu <br />
--hostname viu.bux.com <br />
--interface eth0:192.168.1.50/24 <br />
-m debootstrap -- -d sarge <br />
</pre>
 
On obtient <br />:
 
<pre>
> ls -lah /var/lib/vservers/viu<br />
> ls -lah /var/lib/vservers/viu
total 80K<br />
total 80K
drwxr-xr-x 20 root root 4.0K Nov 10 08:17 .<br />
drwxr-xr-x 420 root root 4.0K Nov 10 08:1317 ..<br />
drwxr-xr-x 24 root root 4.0K Nov 10 08:1713 bin<br />..
drwxr-xr-x 2 root root 4.0K DecNov 1510 200408:17 boot<br />bin
drwxr-xr-x 32 root root 4.0K NovDec 1015 08:132004 dev<br />boot
drwxr-xr-x 373 root root 4.0K Nov 10 08:1713 etc<br />dev
drwxrwsrdrwxr-xr-x 237 root staffroot 4.0K Dec 15Nov 200410 home<br08:17 />etc
drwxr-xrdrwxrwsr-x 2 root rootstaff 4.0K Nov 10Dec 08:1615 initrd<br2004 />home
drwxr-xr-x 72 root root 4.0K Nov 10 08:1716 lib<br />initrd
drwxr-xr-x 27 root root 4.0K Nov 10 08:1617 media<br />lib
drwxr-xr-x 2 root root 4.0K DecNov 1510 200408:16 mnt<br />media
drwxr-xr-x 2 root root 4.0K NovDec 1015 08:162004 opt<br />mnt
drwxr-xr-x 2 root root 4.0K DecNov 1510 200408:16 proc<br />opt
drwxr-xr-x 2 root root 4.0K NovDec 1015 08:162004 root<br />proc
drwxr-xr-x 2 root root 4.0K Nov 10 08:1716 sbin<br />root
drwxr-xr-x 2 root root 4.0K Nov 10 08:1617 srv<br />sbin
drwxr-xr-x 2 root root 4.0K MayNov 10 200508:16 sys<br />srv
drwxrwxrwtdrwxr-xr-x 2 root root 4.0K NovMay 10 08:172005 tmp<br />sys
drwxr-xr-xdrwxrwxrwt 112 root root 4.0K Nov 10 08:1617 usr<br />tmp
drwxr-xr-x 1311 root root 4.0K Nov 10 08:16 var<br />usr
drwxr-xr-x 13 root root 4.0K Nov 10 08:16 var
 
> ls -lah /etc/vservers/viu<br />
total 28K<br />
drwxr-xr-x 5 root root 4.0K Nov 10 08:13 .<br />
drwxr-xr-x 6 root root 4.0K Nov 10 08:13 ..<br />
drwxr-xr-x 4 root root 4.0K Nov 10 08:13 apps<br />
-rw-r--r-- 1 root root 112 Nov 10 08:13 fstab<br />
drwxr-xr-x 3 root root 4.0K Nov 10 08:13 interfaces<br />
-rw-r--r-- 1 root root 5 Nov 10 08:13 name<br />
lrwxrwxrwx 1 root root 22 Nov 10 08:13 run -> /var/run/vservers/viu<br />
drwxr-xr-x 2 root root 4.0K Nov 10 08:13 uts<br />
lrwxrwxrwx 1 root root 37 Nov 10 08:13 vdir -> /etc/vservers/.defaults/vdirbase/viu<br />
</pre>
 
'''Tips''' : Notez que si vous ommettez la ligne –interface, tout n'est pas perdu, il suffit juste, ultérieurement, de rajouter à la main le répertoire /etc/vservers/viu/interfaces/ et d'y stocker <br /><br />
Ligne 418 ⟶ 448 :
<P>
Attention : en mettant sched_pause, il devient alors impossible de stopper, d'interagir, de killer le vserver, il faut donc rebooter. Ce flag est donc déconseillé. Il existe aussi 5 autres flags qui n'ont pas été effectifs : hide_netif, namespace, state_setup, state_init, * (state change helper).
<P>
'''''/etc/vservers/viu/bcapabilities'''''
<br /><br />
Ce fichier liste les capacités du vserver viu, et accepte une capacité par ligne. Il est de la forme : <br />
 
> cat==== /etc/vservers/viu/bcapabilities<br />====
 
CAP_NET_RAW<br />
Ce fichier liste les capacités du vserver viu, et accepte une capacité par ligne. Il est de la forme :
CAP_NET_BIND_SERVICE<br />
 
CAP_NET_BROADCAST<br />
<pre>
<br /><br />
> cat /etc/vservers/viu/bcapabilities
CAP_NET_RAW
CAP_NET_BIND_SERVICE
CAP_NET_BROADCAST
</pre>
 
Il permet de définir ce que le vserver peut faire, en terme de privilège. Il existe un certain nombre de CAPS, et les reproches qui leur sont souvent adressés sont qu'ils sont trop grossièrement définis. <br />
Il serait donc un « plus » si un outil pouvait être intégré dans la solution Linux Vserver qui soit capable de créer des CAPS sur mesure sans toucher à la librairie capability.h. En attendant, pour l'ensemble des possibilités de valeur de bcapabilities actuelle : <br />
/usr/include/linux/capability.h <br /><br />
 
BCAP<br />
 
<pre>
CAP_CHOWN Pouvoir changer la propriété des fichiers et du group<br />
BCAP
CAP_DAC_OVERRIDE <br />
 
CAP_DAC_READ_SEARCH <br />
CAP_CHOWN Pouvoir changer la propriété des fichiers et du group
CAP_FOWNER <br />
CAP_DAC_OVERRIDE
CAP_FSETID <br />
CAP_DAC_READ_SEARCH
CAP_KILL Envoie un signal à un processus avec un userID réel ou effectif différent<br />
CAP_FOWNER
CAP_SETGID permet setgid(2), setgroups(2), et gids forgés sur socket credentials passing <br />
CAP_FSETID
CAP_SETUID permet set*uid(2), and uids forgés sur socket credentials passing <br />
CAP_KILL Envoie un signal à un processus avec un userID réel ou effectif différent
CAP_SETPCAP transfert/enlève n'importe quelle capacité de n'importe quel pid <br />
CAP_SETGID permet setgid(2), setgroups(2), et gids forgés sur socket credentials passing
CAP_LINUX_IMMUTABLE Permet la modification de S_IMMUTABLE et de S_APPEND en attribut de fichier<br />
CAP_SETUID permet set*uid(2), and uids forgés sur socket credentials passing
CAP_NET_BIND_SERVICE <br />
CAP_SETPCAP transfert/enlève n'importe quelle capacité de n'importe quel pid
CAP_NET_BROADCAST Permet le broadcast et l'écoute multicast <br />
CAP_LINUX_IMMUTABLE Permet la modification de S_IMMUTABLE et de S_APPEND en attribut de fichier
CAP_NET_BIND_SERVICE
CAP_NET_BROADCAST Permet le broadcast et l'écoute multicast
CAP_NET_ADMIN permet la configuration des interfaces, IP firewall, masquerading, accounting,
socket debugging, routing tables, bind to any address, enter promiscuous mode,
multicasting, ... <br />
 
CAP_NET_RAW permet l'usage de RAW et PACKET sockets <br />
CAP_IPC_LOCK <br />
CAP_IPC_OWNER <br />
CAP_SYS_MODULE insert et enlève les modules du kernel <br />
CAP_SYS_RAWIO <br />
CAP_SYS_CHROOT Permet le chroot(2) <br />
CAP_SYS_PTRACE permet ptrace() de n'importe quel processus <br />
CAP_SYS_PACCT <br />
 
CAP_SYS_ADMIN La liste serait trop longue, ça permet basiquement de faire tout le reste, qui <br />
n'est pas mentionné dans les capabicités. <br />
CAP_SYS_BOOT permet le reboot(2) <br />
CAP_SYS_NICE Permet de soulever une priorité et de paramétrer une priorité sur d'autres <br />
processus, modifiant le scheduling <br />
 
CAP_SYS_RESOURCE Permet de dépasser les resource limits, quota, reserved space on fs, ... <br />
(/etc/vservers/viu/rlimits/)<br />
CAP_SYS_TIME <br />
CAP_SYS_TTY_CONFIG <br />
CAP_MKNOD permet d'utiliser les avantages de mknod(2) <br />
CAP_LEASE <br />
CAP_QUOTACTL
<br /pre>
<P>
 
'''''==== /etc/vservers/viu/ccapabilities''''' ====
 
<br /><br />
 
Basiquement, cela permettrait, tout comme /etc/vservers/viu/bcapabilities, d'activer un certain nombre de paramètres, comme rlimit. Il existe théoriquement 8 ccaps qui sont : <br />
Basiquement, cela permettrait, tout comme /etc/vservers/viu/bcapabilities, d'activer un certain nombre de paramètres, comme rlimit. Il existe théoriquement 8 ccaps qui sont :
<br />
 
utsname<br />
*utsname
raw_icmp<br />
*raw_icmp
syslog<br />
*syslog
secure_mount<br />
*secure_mount
secure_remount<br />
*secure_remount
binary_mount<br />
*binary_mount
quota_ctl<br />
*quota_ctl
rlimit<br /><br />
*rlimit
 
Cependant, après les avoir testé un par un, je me suis aperçue qu'un seul était reconnu et appliqué par le kernel : rlimit. En effet cette fonctionnalité, bien que présente et exploitée sur le site officiel, n'est pour le moment (06/2006) qu'à l'état de prototype, et n'a donc pas été développée ni mise en place sur le noyau Vserver 2.6.12.4-vs2.0. Il faudra donc sûrement repatcher le kernel avec un patch vserver Expérimental qui permettra d'exploiter la totalité des ccaps définie, et d'en définir à notre tour. <br />
Cependant, je ne compte repatcher le noyau avec cette catégorie de patch puisque le stade expérimental ne convient pas au contexte de solution stable pour l'entreprise qui a été définie dans mon cahier des charges.<br />
 
<br /><br />
 
 
Voici, pour la documentation, à quoi correspondraient les différents ccapabilities.
<P>
 
 
<pre>
Context Caps (vs2.0) <br />
Context Caps (vs2.0)
Bit Mask Capability config Description <br />
Bit Mask Capability config Description
0 0x00000001 SET_UTSNAME utsname Permet de changer les utsnames <br />
10 0x000000020x00000001 SET_RLIMITSET_UTSNAME rlimitutsname Permet de changer les resource limits <br />utsnames
81 0x000001000x00000002 RAW_ICMPSET_RLIMIT raw_icmprlimit Permet l'ouverture de socketchanger icmples <brresource />limits
8 0x00000100 RAW_ICMP raw_icmp Permet l'ouverture de socket icmp
12 0x00001000 SYSLOG syslog permet l'utilisation de commandes syslog <br />
12 0x00001000 SYSLOG syslog permet l'utilisation de commandes syslog
16 0x00010000 SECURE_MOUNT secure_mount Permet le secure mount (loop, ...) <br />
1716 0x000200000x00010000 SECURE_REMOUNTSECURE_MOUNT secure_remountsecure_mount Permet le secure remountmount <br(loop, />...)
17 0x00020000 SECURE_REMOUNT secure_remount Permet le secure remount
18 0x00040000 BINARY_MOUNT binary_mount Permet les mounts de données binaires/réseau<br />
18 0x00040000 BINARY_MOUNT binary_mount Permet les mounts de données binaires/réseau
20 0x00100000 QUOTA_CTL quota_ctl Permet quota ioctls dans le contexte du vserver<br />
20 0x00100000 QUOTA_CTL quota_ctl Permet quota ioctls dans le contexte du vserver
</pre>
 
==== /etc/vservers/viu/rlimits/ ====
 
 
<P>
'''''/etc/vservers/viu/rlimits/'''''
<br /><br />
Le répertoire qui contient les limitations de ressource. /etc/vservers/viu/rlimits/ peut contenir plusieurs fichiers, comme as, rss, memlock, nproc, data... où est définie la limite de la ressource en question pour le vserver. Voici les différents fichiers et leur unité.
 
<br />
 
(la colonne de gauche définit pour chacune des limites l'option à mettre dans la commande de création de vserver dans le cas où l'on veut tout définir d'un coup. Malheureusement, cette commande ne met l'architecture rlimits correctement en place.)
<P>
 
Limit ProcFS config Unit Description <br />
-t CPU cpu s Quantité de temps cpu en seconde <br />
-f FSIZE fsize kb Taille des fichiers crées par le shell <br />
-d DATA data kb Taille d'un segment de donnée d'un processus<br />
-s STACK stack kb Taille de la pile<br />
-c CORE core kb Taille des fichiers crées par le noyau<br />
-m RSS rss page resident set size <br />
-u NPROC nproc int nombre de processus <br />
-n NOFILE nofile int nombre de file handles <br />
-l MEMLOCK memlock page Pages lockées en mémoire<br />
-v AS/VM as page Page de mémoire virtuelle<br />
-? LOCKS locks int Verrous du système de fichier<br />
-? SIGPENDING int pending signals <br />
-p MSGQUEUE MSGQ 512b message queue size <br />
-? NICE int minimum nice level <br />
-? RTPRIO int maximum realtime prio <br />
VLimit <br />
-- NSOCK (16) SOCK int nombre de sockets <br />
-- OPENFD (17) OFD int nombre de file descriptors <br />
-- ANON (18) ANON page anonymous memory pages <br />
-- SHMEM (19) SHM page shared memory pages <br />
 
<br /pre>
Limit ProcFS config Unit Description
Un exemple : <br />
-t CPU cpu s Quantité de temps cpu en seconde
-f FSIZE fsize kb Taille des fichiers crées par le shell
-d DATA data kb Taille d'un segment de donnée d'un processus
-s STACK stack kb Taille de la pile
-c CORE core kb Taille des fichiers crées par le noyau
-m RSS rss page resident set size
-u NPROC nproc int nombre de processus
-n NOFILE nofile int nombre de file handles
-l MEMLOCK memlock page Pages lockées en mémoire
-v AS/VM as page Page de mémoire virtuelle
-? LOCKS locks int Verrous du système de fichier
-? SIGPENDING int pending signals
-p MSGQUEUE MSGQ 512b message queue size
-? NICE int minimum nice level
-? RTPRIO int maximum realtime prio
VLimit
-- NSOCK (16) SOCK int nombre de sockets
-- OPENFD (17) OFD int nombre de file descriptors
-- ANON (18) ANON page anonymous memory pages
-- SHMEM (19) SHM page shared memory pages
</pre>
 
Un exemple :
 
> cat /etc/vservers/viu/rss
100000
 
Notez ici aussi que pas mal de paramètres manquent à l'appel, comme le nombre de socket ou encore la taille de la queue de message. Ici aussi, la cause se trouve dans le fait que Linux Vserver est un projet relativement récent, et donc en plein développement. La priorité à la sécurité a été notamment donnée sur ce projet puisque les récentes mises à jour concernent le problème chroot et la mise en oeuvre de la solution chroot barrier (barrière chroot).
 
 
 
> cat /etc/vservers/viu/rss<br />
100000<br />
<br />
Notez ici aussi que pas mal de paramètres manquent à l'appel, comme le nombre de socket ou encore la taille de la queue de message. Ici aussi, la cause se trouve dans le fait que Linux Vserver est un projet relativement récent, et donc en plein développement. La priorité à la sécurité a été notamment donnée sur ce projet puisque les récentes mises à jour concernent le problème chroot et la mise en oeuvre de la solution chroot barrier (barrière chroot).<br /><br />
<P>
'''''/etc/vservers/viu/dlimits/0/'''''
 
<br />
Nous en arrivons aux limitations d'espace disque. Le répertoire est composé de 7 éléments :
 
<br /><br />
*le répertoire /etc/vservers/viu/dlimits/0/<br />
*le fichier /etc/vservers/viu/dlimits/0/directory<br />
*le fichier /etc/vservers/viu/dlimits/0/space_total<br />
*le fichier /etc/vservers/viu/dlimits/0/space_used<br />
*le fichier /etc/vservers/viu/dlimits/0/inodes_total<br />
*le fichier /etc/vservers/viu/dlimits/0/inodes_used<br />
*le fichier /etc/vservers/viu/dlimits/0/reserved<br />
 
<br /><br />
 
Remarquez le répertoire /0/. Sans lui, les disk limits sont ignorés (dans le cas de la distribution Debian Sarge). Ces fichiers contiennent des entiers, mais on peut aussi les remplir via echo par des équations du genre : > echo $((5*1024*1024))>/etc/vservers/viu/dlimits/0/space_total
<br /><br />
Un exemple : <br />
 
Un exemple :
> cat /etc/vservers/viu/dlimit/0/directory <br />
/etc/vservers/viu<br /><br />
 
> cat /etc/vservers/viu/dlimit/0/space_total <br />directory
/etc/vservers/viu
5000000<br /><br />
 
> cat /etc/vservers/viu/dlimit/0/inodes_total<br />space_total
5000000
100000<br /><br />
 
> cat /etc/vservers/viu/dlimit/0/reservedinodes_total<br />
100000
5<br /><br />
 
<P>
> cat /etc/vservers/viu/dlimit/0/reserved
5
 
=== /etc/vservers/viu/schedule ===
 
'''''/etc/vservers/viu/schedule'''''
<br /><br />
Le fichier schedule permet de paramètrer l'occupation cpu liée au vserver viu. Il doit contenir au maximum 6 lignes de nombres qui représentent respectivement :
<br /><br />
fill rate<br />
interval<br />
Amount of tokens on start<br />
Minimal number of token in token bucket<br />
Maximal number of token in token bucket<br />
dummy line <br />
 
fill rate
<br /><br />
interval
Ceci devient très intéressant. En fait le scheduler marche de la manière suivante : <br />
Amount of tokens on start
Chaque <fill rate> jiffies, <fill rate> tokens sont mis dans le sceau à token. Lorsque <Maximal number of token in token bucket> est atteint, tout autre token est rejeté.<br />
Les processus sont mis en attente tant que le sceau à token ne sera pas rempli avec < Minimal number of token in token bucket> tokens.<br />
Maximal number of token in token bucket
Il faut bien sûr prendre en compte que la somme de <fill rate> /<fill interval> s'ajoute au nombre de processus de votre système.<br />
dummy line
 
 
 
Ceci devient très intéressant. En fait le scheduler marche de la manière suivante :
 
Chaque <fill rate> jiffies, <fill rate> tokens sont mis dans le sceau à token. Lorsque <Maximal number of token in token bucket> est atteint, tout autre token est rejeté.
 
Les processus sont mis en attente tant que le sceau à token ne sera pas rempli avec <Minimal number of token in token bucket> tokens.
 
Il faut bien sûr prendre en compte que la somme de <fill rate> /<fill interval> s'ajoute au nombre de processus de votre système.
 
Si l'intervalle de remplissage <fill rate / interval> est trop long, cela peut être désastreux pour les perfomances. Le mettre à une petite valeur telle que 1 ou 2 ne posera aucun gros problème, puisque en fait cel recalcule la quantité quand c'est nécessaire. Seulement avec une aussi petite valeur, vous exploserez pas mal de chunks du système. Il vaut mieux donc essayer plus vers 10-20.
 
<br /><br />
 
Les valeurs par défaut sont les suivantes :<br />
Les valeurs par défaut sont les suivantes :
default fill rate 1<br />
*default intervalfill 4<brrate />1
no *default Amount of token on start<brinterval />4
*no default Minimal amountAmount of token in token bucket 15<bron />start
*default MaximalMinimal amount of token in token bucket 125<br />15
*default Maximal amount of token in token bucket 125
dummy line<br />
*dummy line
<br /><br />
 
 
''Tip'' : Le jiffies est une variable système interne maintenue par le noyau, qui stocke le nombre de ticks d'horloge depuis la mise sous tension (démarrage) du système. Elle est définie dans <linux/schedule.h>. Cependant, bien qu'elle soit définie comme volatile et longue, elle peut déborder en raison d'un temps utilisable continu (environ un an et demi). <br />
Sur une machine classique, il y a 100 jiffies dans une seconde.<br />
Sur une machine 32 bits, 497 jours s'avère être la valeur maximum que l'on peut stocker dans un entier non signé. Au delà, l'uptime revient à 0.<br />
 
A noter que depuis le kernel 2.6, les jiffies sont des intervalles de temps plus court puisqu'ils valent 0.001s ! Je vous renvoie à la librairie en charge : /usr/include/linux/jiffies.h
À noter que depuis le kernel 2.6, les jiffies sont des intervalles de temps plus court puisqu'ils valent 0.001s ! Je vous renvoie à la librairie en charge : /usr/include/linux/jiffies.h
<br /><br />
 
Pour notre /etc/vservers/viu/schedule, nous avons à peu près ça :<br />
 
> cat /etc/vservers/viu/schedule<br />
Pour notre /etc/vservers/viu/schedule, nous avons à peu près ça :
7<br />
> cat /etc/vservers/viu/schedule<br />
32<br />
7
500<br />
32
200<br />
500
1000<br />
200
dummy<br />
1000
dummy
 
== Conclusion ==
 
<br /><br /><P>
'''''Conclusion'''''
<br /><br />
La mise en oeuvre de la solution Linux Vserver est assez facile, intuitive, et ne demande pas trop de ressources, ce qui en fait une solution tout à fait convenable. Cependant, il existe plusieurs points noirs à ce projet : <br /><br />
 
-* une documentation officielle pas toujours facile à comprendre (il faut lire les log IRC pour trouver une aide quelconque), et ce, malgré le fourmillement d'étude et de patch crées pour prolonger l'outil,<br /><br />
 
-* des aspects pas encore implémentés (les CCAPS par exemple : le fichier est pris en compte par l'hôte, mais il ne reconnaît aucun des ccaps qui y sont)<br /><br />
 
* une solution qui passe par le patchage/recompilation du noyau (on pourrait envisager de l'intégrer directement dans un noyau)
 
- une solution qui passe par le patchage/recompilation du noyau (on pourrait envisager de l'intégrer directement dans un noyau)<br /><br />
 
<br /><br /><br /><br />
Si l'on devait comparer Linux Vserver à UML et Xen, il en résulterait les résultats suivants :
<br /><br />
« Nous avons donc été en mesure, grâce à ces méthodes, de comparer trois systèmes de virtualisation : Vserver, UML et Xen. Il s’est révélé que Vserver était le plus léger mais qu’il souffrait de quelques lacunes au niveau de l’équité. Xen, quant à lui, s’est montré assez ”lourd” à l’utilisation : le fait de lancer un noyau par machine virtuelle consomme trop de mémoire. En revanche, il est très complet grâce à un grand nombre de configurations possibles, et très fiable au niveau des performances (linéarité, équité, surcoût du système). Pour finir, UML s’est révélé avoir le même défaut que Xen, sans toutefois posséder les qualités de ce dernier. »<br /><br />
 
« Nous avons donc été en mesure, grâce à ces méthodes, de comparer trois systèmes de virtualisation : Vserver, UML et Xen. Il s’est révélé que Vserver était le plus léger mais qu’il souffrait de quelques lacunes au niveau de l’équité. Xen, quant à lui, s’est montré assez ”lourd” à l’utilisation : le fait de lancer un noyau par machine virtuelle consomme trop de mémoire. En revanche, il est très complet grâce à un grand nombre de configurations possibles, et très fiable au niveau des performances (linéarité, équité, surcoût du système). Pour finir, UML s’est révélé avoir le même défaut que Xen, sans toutefois posséder les qualités de ce dernier. »
Pour plus de renseignements, jetez un coup d'oeil à <br />http://www.lri.fr/~quetier/papiers/renpar2005_vmeter.pdf<br /><br />
 
 
Pour plus de renseignements, jetez un coup d'oeil à <br/> http://www.lri.fr/~quetier/papiers/renpar2005_vmeter.pdf
 
 
--Kyan, Mai-Juin 2006
<P>
'''''Bibliographie '''''
<br /><br />
http://linux-vserver.org/ Le site officiel<br />
http://irc.13thfloor.at/LOG/ Les LOGS IRC<br />
http://www.lri.fr/~quetier/papiers/renpar2005_vmeter.pdf L'étude Vserver / Xen / UML<br />
http://lena.franken.de/linux/debian_and_vserver/vserver.html Tutorial / HowTo Vserver<br />
 
== Bibliographie ==
 
*http://linux-vserver.org/ Le site officiel
*http://irc.13thfloor.at/LOG/ Les LOGS IRC
*http://www.lri.fr/~quetier/papiers/renpar2005_vmeter.pdf L'étude Vserver / Xen / UML
*http://lena.franken.de/linux/debian_and_vserver/vserver.html Tutorial / HowTo Vserver
 
http://linuxfr.org/ Complément pour Linux<br />
http://www.solucorp.qc.ca/ Quick explanation<br />
http://www.linuxjournal.com/node/5737/print Linux CAPS : lcap<br />
<P>
 
*http://linuxfr.org/ Complément pour Linux
[[Catégorie:GNU Linux]]
*http://www.solucorp.qc.ca/ Quick explanation
*http://www.linuxjournal.com/node/5737/print Linux CAPS : lcap