# ISP3 im OpenVZ Gast



## Quest (11. Feb. 2011)

Hallo zusammen, 

ich habe jetzt den ersten Schritt der Virtualisierung meiner Serverumgebung hinter mir und eine funktionierende Multiserverumgebung in OpenVZ aufgesetzt. Momentan nur mit 1 Panel+DNS und 1 alles-andere, aber klappt soweit schon mal ganz gut.
Beide sind mit dem Debian-Squeeze HowTo auf howtoforge.com aufgesetzt.
Der Host wurde vor einer ganzen Weile mal nach ISP3 Debian Lenny aufgesetzt.

3 Fragen bleiben noch:


 ich bekomme bei beiden Servern immer noch recht hohen failcnt bei der  Kernel Memory Size, jeder von beiden bekommt hier bereits 20% der  verfügbaren Ressourcen. Wo sollte ich bei der Optimierung ansetzen um  diesen failcnt nach unten zu bekommen?
Wie bereite ich das Dateisystem der VM auf die Verwendung von Quota vor?  Die Einträge in der /etc/fstab werden ja hier nicht funktionieren 
Wie bringe ich der Bastille Firewall auf dem Host bei, dass sie  IP_FORWARD erlauben soll? Sobald auf dem Host die Firewall oben ist,  sind die Gäste von der Außenwelt abgeschnitten
Ist sonst auf dem Gast noch etwas wichtiges anzupassen, das hier anders läuft als vorher auf der phys. Maschine?


----------



## Till (11. Feb. 2011)

> ich bekomme bei beiden Servern immer noch recht hohen failcnt bei der Kernel Memory Size, jeder von beiden bekommt hier bereits 20% der verfügbaren Ressourcen. Wo sollte ich bei der Optimierung ansetzen um diesen failcnt nach unten zu bekommen?


Schau am besten mal ins opnevz wiki. Die einzelnen Limit Werte sollten in bestimmten Verhältnissen zueinannder stehen. das ist dort recht ausführlich beschrieben.



> Wie bereite ich das Dateisystem der VM auf die Verwendung von Quota vor? Die Einträge in der /etc/fstab werden ja hier nicht funktionieren


Quota wird über openvz zur Verfügiung gestellt. Du musst nur die quotatools in der VM installieren.



> Wie bringe ich der Bastille Firewall auf dem Host bei, dass sie IP_FORWARD erlauben soll? Sobald auf dem Host die Firewall oben ist, sind die Gäste von der Außenwelt abgeschnitten


Der Host sollte ja ein minimal Debian ohne irgendwelche weiteren Dienste sein. Da dort dann nur SSH läuft, brauchst Du dort keine Firewall und auf dem Host sollte auch keine Firewall installiert ein.


----------



## Quest (11. Feb. 2011)

1) Werde ich machen, danke.

2) Echt? Quota ist da automatisch aktiv und muss auch auf dem Host nicht erst eingerichtet werden? Im Vergleich zu dem HickHack mit der Netzwerkconfig ist das ja fast schon zu einfach 

3) Der Host ist noch mein bestehender, alter isp3 Server.
Ich bereite gerade die virtualisierte Umgebung vor und werde dann meine Kunden auf die virtuellen Server umziehen.
Danach ziehe ich die VMs auf einen neuen Host um, der dann definitiv nur debian-min bekommt. In der Zwischenzeit werde ich die Bastille dann wohl unten lassen müssen.


----------



## Quest (16. Feb. 2011)

Ich muss noch mal auf die Bastille Firewall zurückkommen.
Der Gast ist ja nach Perfect Server ISPC3 Squeeze installiert und hat damit eine Bastille-Firewall.
Sobald diese aktiv ist kommen keine DNS-Anfragen mehr vom Server nach draußen.
Sonst kann ich keine Probleme feststellen, nur Outbound DNS.
Ist für einen Produktivserver natürlich etwas ungünstig.
Hast du eine Idee wie ich dieses Problemchen lösen könnte?


----------



## Quest (16. Feb. 2011)

Ich habe das Problem gefunden. Wie ich das im Netz gesehen habe bin ich nicht der einzige, der dieses Problem hatte, deshalb hier die Lösung:
Auf dem Host /etc/vz/vz.conf öffnen und dem Eintrag IPTABLES folgendes hinzufügen:
iptable_nat

Danach den Dienst und alle VMs per /etc/init.d/vz restart neu starten und ende.


----------



## Quest (17. Feb. 2011)

Leider bin ich auf noch ein (hoffentlich letztes) Problem gestoßen:
Timeouts beim Aufbau einer FTP-Verbindung.
Muss am FTP-Daemon beim Betrieb in einem OpenVZ-Gast etwas angepasst werden?


----------



## F4RR3LL (17. Feb. 2011)

Hast Du eine passive Portrange beim FTP definiert und in der Firewall freigegeben ?


----------



## Till (17. Feb. 2011)

Und läuft der FTP Daemon überhaupt? Check mal mit:

netstat -tap


----------



## Quest (17. Feb. 2011)

Ja, er läuft.
Auszug von netstat -tap

```
tcp        0      0 *:ftp                   *:*                     LISTEN      1218/pure-ftpd (SER
```
Auch noch mal per Restart des Daemon überprüft ob er ohne Fehlermeldung hochfährt, tut er.

Der Wink mit der Portrange hat mich aber weitergebracht.
Manchmal sollte man halt doch mal FAQForge zu Rate ziehen, wozu schreibt Till das schließlich alles dort auf (an dieser Stelle vielen Dank dafür )

Jetzt folgt schon das nächste Problem:
Der Login funktioniert nicht: Login authentication failed
Irgendwelche bekannten Probleme bei Betrieb in OpenVZ?


----------



## Till (17. Feb. 2011)

> Irgendwelche bekannten Probleme bei Betrieb in OpenVZ?


Außer dass er gernicht erst startet. Aber das ist bei Dir ja nicht der Fall.

Auf faqforge findest Du auch einen Artikel, wie Du das Logging bei pure-ftpd aktivierst. In dem Log findest Du dann möglicherweise den Hinweis, warum es nicht geht.


----------



## Quest (18. Feb. 2011)

... hatte wohl etwas mit der noch nicht ganz optimalen Konfiguration der vz-limits zu tun.
Während ich versucht habe mich einzuloggen ist der failcount von kmemsize gestiegen.
Ich habe die VM neu gestartet und siehe da, es funktioniert!

Danke auf jeden Fall für die Hilfe.

Dann werd ich wohl mal weiter an der Config des Containers knobeln.
Bin mal gespannt wann der endlich läuft ohne überall an die Limits zu stoßen.

Hat hier zufällig schon jemand einen produktiven ISP3-Server in einem openVZ-Gast ohne regelmäßige fails laufen?


----------



## F4RR3LL (23. Feb. 2011)

Ich betreibe ISP3 seit 1,5 Jahren nur noch im OpenVZ Container. 
Gibt für mich nichts besseres. Serverumzüge, Snapshots etc sind alles kein Problem dadurch.


----------

