Forum Debian Users Gang

Zarówno Xen jak i jak i KVM obsługują PCI-passtrought (KVM od wersji 1.3 również GPU z PCIex) - potrzebne jest vt-d w prockach Intela albo podobna funkcja (IOMMU) w AMD.

Najbardziej bezproblemowy jest KVM (moduły w każdym jaju, userspace w repo), albo Virtualbox - teraz ma moduł vboxpci -o ile mi wiadomo, też do tego, szczegółami nt vboxpci nie dysponuję.

KVM:
http://www.linux-kvm.org/page/How_to_assign_devices_with_VT-d_in_KVM
Xen:
http://wiki.xensource.com/xenwiki/VTdHowTo

KVM wolę dlatego, że chyba prędzej zjem własne kapcie, niż zmuszę Hypervisor Xena do podniesienia jajka z grsec/paxem.
Na razie mam tylko XX różnych komunikatów kernel-panic. :D
Za to KVM chodzi bez problemu.

W powyższych systemach nie ma problemów fakturowo/licencyjnych, jest jeszcze VMWARE ze sporą sektą wyznawców. ;)

Napisz może, co to za serwer faxowy, może w ogóle nie trzeba żadnych wirtualek, Asterisk i Freeswitch bezproblemowo działąją razem z MTA na jednym systemie, a moją dość wypasione moduły faxowe.
Np Freeswitch (u mnie na Gentoo działa, podobnie jak Asterisk):
http://wiki.freeswitch.org/wiki/Mod_spandsp


Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2012-12-30 16:51:11)

We Freeswitch trochę rzeźbienia w dialplanie, w Asterisku skrypt AGI, jedno i drugie chodzi tez  z hylafaxem w miarę bezproblemowo, samym hylafaxem nigdy się nie bawiłem, ale z tym MTA to nie jest jakiś straszny problem.

Jak rozumiem, masz 2 fizyczne maszyny?
Ja bym na każdej wętolił tego hylafaxa i MTA i gotowe, be żadnej super wirtualki, trochę to oskrypcił.

Jeśli natomiast masz wsio na jednej maszynie, to możesz się bawić w wirtualki, ale moim zdaniem, jak oberwie serwer,  i klęknie cały, to Ci te wirtualki się przydadzą, jak łysemu grzebień, chyba że na prawdę pobawisz sie i w cgroup, i diabli wiedzą co jeszcze, żeby wirtualka nie mogła przyblokować serwera głównego.
Wykonalne, ale troszkę to wygląda, jakbyś strzelał z armaty do wróbla.
Na moje oko, wsio, co potrzebujesz, to zapiąć mutta do hylafaxa, i będzie mógł ten mutt brykać z każdym MTA, choćby i Gmailem, niezależnie, czy ma MTA na localhoście, czy na Marsie.
Chyba, ze hylafax działa bezpośrednio z MTA, np używa polecenia sendmail do wysyłania.
Wtedy byłoby to jeszcze prostsze.

Na razie moja ślepota nie widzi tu natomiast zastosowania dla wirtualizacji - jako niezbędnej konieczności, raczej "można, ale nie trzeba".

2 lustrzane serwerki, ucarp, i KVM na 100% zda egzamin, choć ja bym zainstalował na systemie MTA, hylafaxa, i wirtualizacja głowy sobie nie zaprzątał, postawił tylko porządny ACL, żeby się coś nieporządanego nie wydarzyło.

Moim zdaniem ucarp sprawę rozwiąże lepiej niż HeartBeat, w ucarpie masz wirtualny IP, na który odpowiadają wszystkie maszyny, w czasie padu jednego serwera nie tracisz nawet jednego pinga.

Wbrew pozorom wirtualizacja oficjalnie przed czymś chroni, ale dziur, pozwalających uderzyć z poziomu maszyny wirtualnej na roota Dom0 zarówno w Xenie jak i KVM nie brakowało, łatane natomiast są wolniej (zwłaszcza przy Xenie), niż zabezpieczenia chroota w grsecurity.
Ale jak ktoś lubi, wirtualizację, to ok.

Gdybym był złośliwy, to poradziłbym cloud-computing - modne słowo, nieźle wygląda w ofertach  lepiej niż wirtualizacja :D

W każdym razie maszyna wirtualna jest taką samą częścią systemu, jak demon sieciowy, i to system główny musi wszystko wytrzymać, co mu się przytrafi.

2xMTA na 3 różnych maszynach + 2xhylafax na tych maszynach spełnia nieźle zasadę HA, podobnie, jak wirtualki na każdą usługę.
Obawiam się tylko, że w przypadku mapowania portu PCI dla ISDN, na systemie wirtualnym, będzie bardziej podatny na zakłócenia, niż ten sam demon działającym na  głównym systemie.

O ile sama wirtualizacja ma swoje lata, i wszystko, co się w niej może wydarzyć, jest doskonale znane, o tyle mapowanie portu PCI do gościa jest dość świeżą sprawą, młodszą od samej wirtualizacji o kilka dobrych lat, i stosowaną znacznie rzadziej, niż rozmaite serwery VPS za kilkanaście  złotych.

Dlatego mam sceptyczny pogląd na pakowanie samego hylafaxa na wirtualną maszynę.
Z MTA kłopotu nie ma, wirtualki chodzą na interfejsach TAP i podobnych, z siecią problemów brak, czy z kartą ISDN to mapowanie PCI do gościa spełni swoje zadanie?
Teoretycznie powinno, formalnie powinno, praktycznie nic pewnego.
Zwłaszcza, jeśli karta byłaby dużo starsza, od technologii vt-d, która takie zabawy umożliwia, albo z innego powodu kiepsko znosiła takie zabawy.
Sprzęt czasami ma conieco do powiedzenia, i zazwyczaj powoduje bardzo zdziwione miny adminów.

Natomiast Freesswitch z pewnością ma w sobie conieco z Hylafaxa, ale gra w tej lidze, co Asterisk, czyli pełnokrwisty serwer VOIP, do tego ma moduły do GSM (bramki na modemach Huaweia po ~79), skypa, jabbera, jiingle, gtalka, i cholera wie, czego jeszcze.
Pod paroma względami jest nawet lepszy od Asteriska.

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2012-12-31 01:26:00)

Mogę go przerzucić na jeden konkretny adres IP.

Po to właśnie w ucarpie masz dodatkowy IP, reprezentujący wszystkie maszyny biorące udział we spisku.
Ucarp, to następca vrrrd, o którym pewnie czytałeś taki fragment:

# vrrpd -i eth0 -v 50 10.0.0.22

I już działa! 10.0.0.22 jest teraz obsługiwany przez jeden z twoich serwerów, prawdopodobnie pierwszy na którym uruchomiono demona vrrp. Odłącz ten komputer od sieci i zobaczysz, że bardzo szybko drugi komputer przyjmie adres 10.0.0.22 jak również adres MAC.

Próbowałem tego u siebie i miałem działającą konfigurację w ciągu minuty. Z jakiegoś dziwnego powodu implementacja postanowiła odrzucić moją domyślną bramę, ale flaga `-n' temu zapobiegła.

Poniżej `na żywo' symulacja awarii jednej z maszyn:

64 bytes from 10.0.0.22: icmp_seq=3 ttl=255 time=0.2 ms
64 bytes from 10.0.0.22: icmp_seq=4 ttl=255 time=0.2 ms
64 bytes from 10.0.0.22: icmp_seq=5 ttl=255 time=16.8 ms
64 bytes from 10.0.0.22: icmp_seq=6 ttl=255 time=1.8 ms
64 bytes from 10.0.0.22: icmp_seq=7 ttl=255 time=1.7 ms

Nie straciliśmy nawet jednego pinga!

Sznurek, pewnie znasz ;)
http://bromirski.net/docs/translations/lartc-pl.html
Myślę, że pisząc o Lotusie miałeś dokładnie coś takiego na myśli.
Ino dalej nie widzę, w kontekście klastra, jakie jest ograniczenie w liczbie MTA na jednym IP, przy użyciu ucarpa/vrrrd.
Mając 2 maszyny, masz na nich 2 Postfixy, i potrzebują wspólny IP dla Lotusa?
W porządku, zrobione.  ;)

Pozdrawiam
;-)

Ucarp zastąpił vrrrd.
Jest przeportowany z BSD, gdzie funkcjonuje jako CARP.

Różnica między ucarpem a vrrrd? Vrrrd powstał po to, żeby kilka routerów wisiiało na jednym IP, co zapewniało wysoką dostępność.
Działało to równocześnie jako failover i loadbalancing w jednym.
Jest bardzie konfigurowalny od vrrrd, przykład vrrrd masz dwa posty wyżej.
Crash jednej maszyny, ile pingów się zgubiło? Ani jeden.
jeżeli takie rozwiązanie nie wyczerpuje cechy wysokiej dostępności, to chyba nic jej nie wyczerpuje.
W dodatku cały proces przełączania maszyn jest wykonywany w czasie maks 20ms, czyli w przypadku Lotusa czy maili praktycznie niezauważalnym.
Nawet w nadawaniu radia internetowego nie byłby to problem, w video taki czas oznaczałby zgubienie 1 klatki filmu.

W vrrrd domyślna akcja polegała na tym, ze wszystkie spięte maszyny działały jak jeden serwer.
W Ucarpie jest więcej parametrów, i trzeba go skonfigurować, w każdym razie to raczej mądrzejszy loadballancing, który automatycznie odpina zdechłe maszyny, dzieląc zadania między aktualnie działające.
Jak to w routerach ;)

Jeśli miałbym 2 działające graty, to właśnie tak bym to ustawił, trochę kombinowania byłoby  ze skrzynkami pocztowymi na obu maszynach, gdyby tam był również dovecot i imap.
W każdym razie wykonalne, na poziomie samego Postfixa, żeby  kopię każdego maila  wysyłał na drugi serwer.
Gorzej byłoby z imapem, i kasowaniem poczty, ale Dovecot też ma jakieś opcje klastra, nie nurkowałem w tym na razie.
Tu jest ogólny opis opcji z NFS lub z SSH.
http://blog.dovecot.org/2012/02/dovecot-clustering- … nc-based.html

Masz na myśli że obydwie maszyny są kontrolerami MTA, dodatkowo MTA + hylafax. I każda z nich w konfiguracji kontrolera ma ukierunkowanie na siebie lub drugą maszynę

mniej więcej tak to widzę.

Pytanie, jaka jest rola MTA+hylafax, że stawiasz na każdym osobno MTA i osobno MTA+hylafax,czyli 2 MTA na jednej maszynie.
Jeden nie starczy? - Względy bezpieczeństwa, czy może co innego?

W dodatku popełniłem w życiu kilka serwerków pocztowych, zazwyczaj niezbyt ogromnych, i nigdy nie musiałem kombinować 2 MTA na jednej maszynie, za to nigdy nie stawiałem samotnego MTA bez całego bajzlu antyspamowego i serwera POP3/IMAP.

Dobra bo się chyba trochę nie rozumiemy :)
Jest sobie bardzo duże odizolowane środowisko intranetowe (nie ma bezpośrednich styków transmisji po protokołach przesyłu danych z innymi sieciami) - stąd nie muszę się obawiać o atak.
Do tego systemu zostana dopięta dwa serwery (Dell R520) z jednej strony będą wpięta w ów intranet (VLAN izolujący), a z drugiej w wewnętrzną sieć ISDN (od strony centrali dostępny na trunk będzie tylko protokół faksowy dodatko serwer będzie miał tylko sterowniki protokołu faksowego na kartach Eicon Diva).
Liczę że tutaj jest to zrozumiałe.
Teraz schemat przebiegu dla poczty która ma wyjść jako faks.



Poczta utworzona w Lotus Notes leci do klastra Lotus Domino obsługującego danego użytkownika. Aby system wiedział że jest to "faks" stosuje się wirtualny domenę z przekierowaniem (taki Smart Host), przykład adresu:
- 2853@fax, gdzie 2853 to numer na który faks ma zostać wysłany (w tym wypadku wew.), @fax wirtualna domena do przekierowania

Następnym punktem jest kontroler klastra postfix (nie mogę zrobić klastra na bazie DNS) który zdecyduję na który z dwóch dostępnych serwerów faksowych przesłać mail. W razie awarii kontrolera jest drugi zapasowy w systemie fail over. (na tym się kończy rola MTA na kontrolerze klastra)
Mail dociera do serwera faksowego. MTA odbiera go, następnie jeśli jest to mail w domenie innej niż @fax leci do /dev/null. Dla poprawnych maili wykonywany jest skrypt hylafax'a gdzie argumentem jest nadawca, skrzynka docelowa (czyli numer faksu zewnętrznego), adres mail nadawcy (w celu przesłania raportu).
Hylafax łapie mail'a, wyodrębnia pdf'y, potem dokonuje konwersji PDF->tiff->fax. Wysyła powstały fax na wskazany numer, na podstawie nadawcy generuje nagłówek wraz z numerem zwrotnym przypisanym dla nadawcy. Ten sam numer zwrotny przypisuje linii używanej do transmisji tego faksu.
Po zakończeniu transmisji (pomyślnie bądź nie) generowany jest raport który wysyłany jest do nadawcy oraz jeśli to konieczne na adres nadzoru nad system faksowym.

Najważniejsze to musi być klaster a nie system tylko fail over, ponieważ w klastrze mam do dyspozycji łącznie dwa trakty T1, czyli 60 kanałów teletransmisji. W przypadku fail over byłby to jeden trakt T1 (30 kanałów).

Chyba teraz jest jasno :]
Wydaje się że ucarp sprawdzi się o ile dwie instancje Postfixa ruszą prawidłowo.

:D
No widzisz, ale w końcu doszliśmy do tego. Początkowo tak trochę zamieszałeś z ucarpem że wyglądał tylko jak zwykły FO ( w sumie na stronie projektu tez tak pisze).I wyszło na to, że wirtualizacja jest zbędna - w sumie i dobrze.
Jest jakiś dobry manual do Ucarpa?


W wymianie pomiędzy niektórymi instytucjami jest niezbędny (prokuratura, sąd, policja, straż graniczna, straż pożarna, wojsko).

---
No to trzeba będzie się pobawić, ale najpierw muszę zmusić kontroler PERC H710 do pracy z debianem bo jak na razie to nie chce pracować.

Ostatnio edytowany przez qluk (2013-01-02 14:22:37)