Welche Distribution für Xen

VirtualBox, VMWare, KVM, XEN, OpenVZ, Virtuozzo, etc.
nycoon
Posts: 22
Joined: 2004-05-20 11:27

Welche Distribution für Xen

Post by nycoon » 2007-04-25 09:28

Hola,

ich bin einmal neugierig und hoffe auf eine nette Diskusion :).
Was wäre euer Favorit für Xen? Fedora? Debian? Suse? Und warum?

Gruss Nycoon

felixs
Posts: 119
Joined: 2003-06-01 20:57

Re: Welche Distribution für Xen

Post by felixs » 2007-04-25 09:54

RHEL 5/CentOS 5: Wegen den 7 Jahren Support und weil CentOS einfach gut ist :-)

fs

PS: Ich nutze Xen unter Fedora 6 und seit den Updates im Dezember/Januar läuft es (mit Linux-DomUs) auch ziemlich rund.

User avatar
daemotron
Administrator
Administrator
Posts: 2800
Joined: 2004-01-21 17:44

Re: Welche Distribution für Xen

Post by daemotron » 2007-04-25 09:57

Davon ausgehend dass Du die Dom0 meinst: Debian lässt sich xenifizieren, und bei SUSE wird sogar ein eigenes Yast-Modul dafür mitgeliefert. Wie's bei Fedora mit Xen-Unterstützung aussieht, weiß ich nicht. Letztlich ist es aber wahrscheinlich wurscht, nimm doch das, womit Du bisher die besten Erfahrungen gemacht hast. In der Dom0 würden ja außer xend und sshd eh keine Dienste laufen, ergo spielt das Paketangebot der Distributionen da kaum ein Rolle. Und in den DomUs kannst Du das laufen lassen, was Du möchtest (vorausgesetzt, Du hast eine CPU mit Blue Pill Unterstützung *SCNR* 8)) oder Du backst einen Xen-tauglichen DomU-Kernel.

Noch eine Anmerkung: Bei Debian müsstest Du zu Etch greifen, um Xen in Version 3 zu bekommen (oder mit Backports rumbasteln). Allerdings gibt es Berichten hier im Forum zufolge noch einige Problemchen mit Etch...

nycoon
Posts: 22
Joined: 2004-05-20 11:27

Re: Welche Distribution für Xen

Post by nycoon » 2007-04-25 10:00

Hallo jfreund,

hehe, danke aber ich wollte mal eure Meinung wissen und suche keine Empfehlung :) Ich reihe mich mal ein:
Ich habe vor kurzem Xen 3 unter Debian Etch eingerichtet und muss sagen, ich bin sehr zufrieden. Mit Hilfe der Xen-Tools isset ja auch nun wirklich keine große Arbeit mehr ;).

Gruss Rene

User avatar
daemotron
Administrator
Administrator
Posts: 2800
Joined: 2004-01-21 17:44

Re: Welche Distribution für Xen

Post by daemotron » 2007-04-25 10:24

OK, wenn Du nur meine Meinung haben wills, bitteschön :lol:: Gentoo (mit hardened-Profil und natürlich mit xen-sources) für die Dom0, und in den DomUs FreeBSD für Webserver, MySQL und Mailserver. Eventuell noch eine DomU mit Zorp (oder OpenBSD mit pf) als Firewall vor das virtuelle Netz, und fertig ist die Laube. Wenn kein VT oder Pacifica CPU verfügbar, dann eben in den DomUs nur modifizierte FreeBSD-Kerne und ansonsten halt auch Gentoo :wink:

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Welche Distribution für Xen

Post by captaincrunch » 2007-04-25 10:53

Eventuell noch eine DomU mit Zorp (oder OpenBSD mit pf) als Firewall vor das virtuelle Netz
Einspruch (wenn auch eher "philisophisch")! Wenn schon Wert auf Sicherheit gelegt wird, dann auch bitteschön richtig: Was nutzt dir der tollste Paketfilter in einer virtuellen Maschine, wenn der Payload eh erst durch den Kernel des Hosts muss?
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

User avatar
daemotron
Administrator
Administrator
Posts: 2800
Joined: 2004-01-21 17:44

Re: Welche Distribution für Xen

Post by daemotron » 2007-04-25 14:06

Hmm Zorp hätte ich eher wegen der Application Layer Filter eingesetzt und nicht als Paket-Dropper... Wie hoch schätzt Du denn das Risiko für den Host-Kernel ein, wenn das Host-System nur als Bridge zum virtuellen Interface des FW-Gastes fungiert? Bzw. wie würdest Du das Setup für so ein virtuelles Netz gestalten?

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Welche Distribution für Xen

Post by captaincrunch » 2007-04-25 14:47

Wie gesagt: Die Diskussion um die Sicherheit von Firewalls innerhalb virtueller Setups ist nicht allzu alt und teilweise sehr theoretisch hochtrabend.

Ich persönlich stehe dabei auf dem Standpunkt, dass die NIC der Hosts eben nicht "nur" als Bridge zu den virtuellen Kisten arbeitet: Immerhin durchläuft das Paket trotzdem ohne Filterung (fast) den gesamten Netzwerkstack des Hosts.
Zwar mag man argumentieren, dass diese meist recht unempfindlich für Angriffe sind (dabei möchte ich an mehrere Lücken im Linux-Stack oder an die vor ein paar Tagen aufgekommene Lücke im IPv6-Protokoll erinnern), dem Sinn eines Paketfilters / einer ALG steht diese Tatsache in meinen Augen trotz allem entgegen.

Mein Setup für ein solches Szenario sähe (je nach Schutzbedürfnis) daher vollkommen klassisch aus: mit "echtem" davorgeschaltetem Filterwerkzeug.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc