Mehrere BSDJails mit Webservern aber nur eine IP

[miker]

Hallo,

ich spiele seit gestern zuhause mit FreeBSD, da ich mir die Jails mal etwas genauer ansehen wollte. Nun habe ich mir folgendes Szenario überlegt:

Ein Jail mit DB-Server
Ein Jail mit Mailserver
Pro Webapplikation jeweils ein Jail mit Webserver + Scriptsprache.

Intention dürfte klar sein, ich würd gern Dinge wie PHPBB von dem restlichen Webzeugs trennen, falls ich mal nen Patch vergesse. :)
Für mich entsteht nun das Problem, dass ich alle Webserver über Port 80 erreichen möchte. Natürlich könnte ich entsprechend viele IP-Adressen besorgen und jedem Jail eine Eigene geben, aber das kann ja irgendwie nicht das Optimum sein. Wenn ich nun aber interne IP-Adressen verwende, bräuchte ich natürlich etwas, dass es mir erlaubt zu erkennen: Benutzer hat Domain1 aufgerufen, dafür ist der Webserver in Jail1 zuständig. Benutzer hat Domain2 aufgerufen, da weiß Jail2 bescheid, etc. Das Prinzip sollte klar sein. :)
Nun zum Einen die Frage, was kann ich an diese Stelle setzen, um diese Aufgabe zu erledigen?
Und optional als zweite Frage: Macht mein Setup so in irgendeiner Weise Sinn, oder gibt es einen Weg das Gewollte wesentlich einfacher zu erreichen?

[Joe User]

Die Jail-Lösung ist grundsätzlich nicht falsch, IMHO sogar zu bevorzugen. Was Dein Problem angeht, so lässt sich dieses am Einfachsten per HTTP-Proxy lösen.

[mattiass]

Die Jail-Lösung ist grundsätzlich nicht falsch, IMHO sogar zu bevorzugen. Was Dein Problem angeht, so lässt sich dieses am Einfachsten per HTTP-Proxy lösen.

Ja, das dachte ich auch. Einfach ein paar 172.16.16er-Adressen nehmen. Aber vorgher mit dem Hoster abklären, dass die nicht zufällig für interne RZ-Zwecke genutzt werden...

[daemotron]

Einfach ein paar 172.16.16er-Adressen nehmen

Ich würde noch einen Schritt weiter gehen und die Webserver in den Jails alle an 127.0.0.1 binden (dann natürlich auf jeweils unterschiedlichen Ports) und den Proxy entsprechend auf diese Ports zugreifen lassen...

Besonders elegant wäre es natürlich, wenn man das über Unix-Sockets lösen könnte. Dummerweise unterstützt AFAIK kein Webserver eine Verbindung über Sockets...

[Roger Wilco]

Ich würde noch einen Schritt weiter gehen und die Webserver in den Jails alle an 127.0.0.1 binden (dann natürlich auf jeweils unterschiedlichen Ports) und den Proxy entsprechend auf diese Ports zugreifen lassen...

Warum so sparsam? Du hast doch das ganze 127.0.0.0/8 zur Verfügung. Jedes Jail kann also ruhig an eine eigene IP-Adresse gebunden werden.

Besonders elegant wäre es natürlich, wenn man das über Unix-Sockets lösen könnte. Dummerweise unterstützt AFAIK kein Webserver eine Verbindung über Sockets...

lighttpd kann das. ;)
Leider kann mod_proxy bis jetzt nur auf TCP/IP-Sockets konnektieren. :(

[daemotron]

lighttpd kann das.

Schick - man lernt ja nie aus... und was den Proxy angeht - das müsste sich doch über einen Socks Proxy hinbekommen lassen, oder? (Hintergedanke: Die Sockets würden natürlich in den Jails liegen, so dass man vom Inneren eines Jails aus nicht auf die Verbindungen anderer Kunden zugreifen kann - was sich bei TCP/IP leider nicht 100% unterbinden lässt...)