[FUG-BR] jail com vimage carregando no boot
Marcelo Gondim
gondim em bsdinfo.com.br
Sexta Agosto 10 17:35:26 BRT 2012
Em 10/08/2012 10:46, vic escreveu:
> Em 2012-08-09 19:25, Marcelo Gondim escreveu:
>> Pessoal,
>>
>> Como muitos aqui sabem o vimage é a virtualização da interface de
>> rede
>> nas jails, sendo que carregar a jail usando o vimage e subir os
>> serviços
>> dentro da jail é um pouco ruim e ainda não é contemplado pelo script
>> /etc/rc.d/jail. Achei umas coisas na Internet e montei um artigo que
>> espero que seja útil pra alguém. :)
>>
>>
>> http://www.bsdinfo.com.br/2012/08/09/jail-com-vimage-carregando-automaticamente-no-boot/
>>
>> A única coisa estranha que encontrei foram os panics sempre que eu
>> dava
>> um stop nas jails. Mas acredito que ainda saia alguma correção pra
>> isso.
>> rsrsrs
>>
>> Grande abraço à todos,
>>
>> Gondim
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> Legal Gondim. Para não dar panic, basta não destruir as interfaces
> epairX
>
> O que eu faço é criar todas as interfaces epair com o cloned_interfaces
> no /etc/rc.conf.
>
> Daí nas jails, ao invés de criar de dar um create e destroy e dou um up
> e down.
>
> Uma outra alternativa que existe é utilizar interfaces do netgraph[1]
> no lugar do driver epair. Não testei elas no 9.0-RELEASE, só no 8.2 e
> até onde lembro davam menos panic que a epair.
>
> Seguem outras dicas que aprendi com o vimage:
>
> - Use ipfw. Antes o PF dava panic randômicos com o vimage. A partir do
> 9.0-RELEASE isso melhorou.
> - Não use o virtualbox, principalmente se for usar bridge. Se colocar
> uma VM do virtualbox na mesma bridge das jails é panic.
>
> Só falta uma coisa para esse setup ficar excelente e é algo que eu
> estou tentanto fazer: usar o / readonly e em comum à todas as jails, e
> deixar rw, apenas o /var, /etc, /dev, /root, /tmp, /usr/ports e
> /usr/local
vic estava matutando quanto à isso que você disse. Você pode tentar usar
chflags na estrutura da jail. Não testei ainda aqui mas acredito que
funcione e aí você poderia deixar algumas coisas imutáveis dando uma
proteção maior.
Você pensou nisso?
Mais detalhes sobre a lista de discussão freebsd