В настоящее время я мигрирую на новый сервер. Старый работал 10.04 в качестве хост-системы и еще несколько 10.04 и Debian 6 в качестве гостей KVM. Это было хорошо, потому что процессор имел поддержку виртуализации. Производительность была приемлемой. Память была узким местом для этого случая.
На новом сервере у меня больше оперативной памяти, больше дисков, лучший процессор, и я думаю, что не будет проблемой справиться с нагрузкой (нагрузка, которую старый мог бы принять без проблем). Однако теперь я хотел бы разделить гостей на некоторых с мелкой тюрьмой lxc
и некоторых с полной виртуализацией под KVM / libvirt
, что обеспечивает мне большую уверенность (в плане безопасности), чем chroot
, но большую производительность чем libvirt
/ kvm
за счет недостатков безопасности.
Некоторые из гостей получат свои IP-адреса (v4 и v6) «напрямую» через Интернет (как минимум, два веб-сервера), в то время как другие будут предоставлять услуги только «внутренней сети». Также будет один nginx
экземпляр, который действует как веб-интерфейс для нескольких веб-серверов, которые не становятся доступными напрямую. Должен ли это быть руководящим фактором, хотя? Факт, являются ли гости "веб-лицом"?
Моя главная забота - безопасность, сопровождаемая работой.
Вопрос: Какие аспекты следует учитывать при принятии решения, какой из них попадает в тюрьму LXC, а какой становится полным гостем KVM?