标签: virtualization

我有一个有两个域的服务器。我收到标题中提到的警告：

不要在 mydestination 和 virtual_alias 中列出域 example.com

虽然我收到了上述警告，但它运行良好，没有问题。但我想知道如何解决它。

在这两个地方都拥有域的原因是因为我想实现 catchall - 所有发送到 @domain.tld 的电子邮件都应该转到该域的邮件帐户。

现在，如果我不将该域放在 mydestination 中，服务器将拒绝接受该域的电子邮件，因为它不想成为开放中继。如果我不将 catchall 别名放入虚拟别名表中，则 catchall 不起作用（显然）。

那么正确的解决方法是什么呢？我试图阅读http://www.postfix.org/VIRTUAL_README.html#virtual_alias 上的内容，但我似乎无法让我的设置以任何其他方式工作。

（PS：我使用 webmin/virtualmin 来管理我的网站，当我尝试使用内置配置工具对其进行配置时，它提供了与我手动使用的相同的解决方案。所以似乎连 webmin 都不知道更好这样做的方法......）

我正在为非营利组织构建虚拟化服务器。我计划免费使用 VMware ESXI，但我再次猜测我的计划，因为 vSphere Client 似乎不太支持较新的 ESXI，并且应该使用的 Web 界面不是免费的。

在硬件上，我们现在仅限于一台服务器。它可能是 Supermicro X10SRH-CLN4F-O 上的 Xeon E5-1650 v3（6x 3.5 Ghz），配备 32 GB RAM、2 个 256 GB SSD 和 2 个 1TB HDD 用于存储。该板有一个板载 LSI SAS 3008 控制器，应该与 ESXI 一起使用。

我们计划使用服务器进行会计 (WS 2012 R2)、pfsense (vpn / 路由) 和大约两个 linux VM 用于我们的内部数据库应用程序、邮件 (zarafa)、活动目录 (samba 4) 以及文件和打印机服务器。

使用 XenServer 还是 KVM 会更好吗？XenServer 的好处是它对我来说是完全免费的（与 KVM 相同），但有一个非常好的管理界面，这是 KVM 所缺乏的。但不利的一面是缺乏对本地存储的良好支持。我想为我的虚拟机提供原始 SSD 存储以用于数据库（会计和内部工具 - 使用最频繁的工具），但 XenServer 似乎不支持。另一边的 KVM 似乎支持它，但我对 KVM 和 Windows Server 的性能非常糟糕有不好的回忆。

对我很重要的点

• 表现
• 易于使用（例如用于基本任务的体面用户界面、手册和一个可以提问的良好社区）
• 备份设施（因为目前只有一台服务器没有迁移，但需要虚拟机的快照和备份以手动将它们转移到新服务器上）
• 可靠性 …

虚拟化有一些很大的好处，但有时虚拟化服务器需要更高的性能并且应该移到物理服务器上。

我的问题是，你怎么知道这些时间是什么时候？我正在寻找可衡量的数据和指标，这些数据和指标表明将服务器移至其自己的物理设备会对性能产生重大影响。我个人对 Windows 感兴趣，但大概所有平台的基本要素都是相同的。

是否可以在 XEN 主机上安装 Mac OS X 来宾？

如果是，如何？

Mac OS X Server 有区别吗？

特别是我对在 XEN domU 内安装测试 Mac OS X 服务器感兴趣，在这种情况下作为 Debian linux 服务器的主机很重要。

提前致谢

我正在尝试通过 VPN 连接使用桥接适配器配置虚拟机（运行 Backtrack 4 的 VirtualBox 来宾）。VPN 由我大学的网络安全俱乐部托管，并连接到沙盒 LAN，该 LAN 专为针对俱乐部构建的各种服务器进行渗透测试而设计。

我的主机（Windows 7 Ultimate）可以很好地连接到 VPN，并通过 DHCP 分配了一个 IP，但是由于某种原因，VM 不能做同样的事情，我不确定为什么。这就像 OpenVPN 正在从它无法识别的 MAC 地址中过滤掉数据包。

我希望虚拟机通过 VPN 连接桥接，因为我们的 IT 办公室对您在网络上可以做什么和不能做什么有非常严格的政策。我希望能够在沙盒环境中运行主动攻击（ARP 欺骗、nmap、Nessus 扫描），而不会冒流量意外通过大学网络并取消我的互联网访问的风险。桥接 VPN 连接并从 VM 内部运行所有攻击将解决该问题。

知道为什么主机可以使用这个接口，而虚拟机不能吗？

这里有没有人通过虚拟机运行他们的路由，将虚拟机设置为主路由器/逃跑等？如果是，有多少客户在使用这种设置？

对于那些想知道我为什么要问这个的人。我的实习任务是在一个“盒子”中创建所有内容，该盒子可以一次性完成路由并成为 IP PBX（只能使用开源解决方案，除了 RouterOS）。路由部分目前是通过 RouterOS 完成的，对于 VoIP，他们希望使用 sipXecs。RouterOS 支持通过 KVM 进行虚拟化，但 RouterOS 本身仅支持 2GB 内存（并且在不久的将来不会支持更多）。sipXecs 需要分配超过 2GB 的空间。我告诉他们我们可以通过把RouterOS作为虚拟机放到64位hostOS（例如CentOS）上来解决这个问题，其他虚拟机运行sipXecs。这样我们就可以使用整个内存。但他们告诉我，这样做是有风险的，他们需要具有“企业稳定性/可靠性”的东西。我告诉他们我们可以为每个虚拟机制作冗余映像，如果一个虚拟机停止工作，它会自动启动，但我被告知同样的事情。所以这就是我问上面这些问题的原因，看看我是否真的建议了一些不好做的事情，或者这可能是完全正常的事情，可以通过“企业稳定性/可靠性”来完成:)

谢谢你的回答，克里斯蒂安

编辑#@Zoredache~我向他们建议，但他们也不喜欢：/

我是虚拟化派对的相对较晚的人，所以如果这似乎是一个显而易见的问题，你必须原谅我。

如果我的服务器有 12 个可用内核，那么每个 KVM 来宾都可以访问所有 12 个内核吗？我知道 KVM 使用了 Linux 调度程序，但这就是我对“接下来会发生什么”的理解结束的地方。

我提出这个问题的原因是，我们打算在 KVM 来宾中运行的 10 个左右不同的任务（为了隔离以促进升级）不会在 100% 的时间内使用单个核心，因此在此基础上似乎很浪费必须为每个来宾分配 1 个虚拟 CPU - 我们将从一开始就用完内核，并使用“完整”的空闲服务器来显示它。

换句话说，假设我上面的描述，就处理能力而言，1 个虚拟 CPU 是否实际上等同于 12 个物理内核？或者这不是它的工作原理？

非常感谢

史蒂夫

问题：

• 如果 VM 损坏（被黑客入侵），我对运行在同一物理机上的其他 VM 有何风险？
• 运行在同一物理主机上的虚拟机之间存在什么样的安全问题？
• 是否有（你能列出）那些（潜在的）弱点和/或问题的清单？

警告：

我知道存在许多虚拟化类型/解决方案，并且可能有不同的弱点。但是，我主要是在寻找有关虚拟化技术的一般安全问题，而不是特定的供应商错误。

请提供真实的事实、（严肃的）研究、经历过的问题或技术解释。请明确点。不要（仅）发表您的意见。

• 例子：

两年前，我听说可能存在与MMU相关的安全问题（我认为访问其他机器的主内存），但我不知道这是否是今天的实际威胁，或者只是一项理论研究主题。

编辑：我还发现这种“刷新+重新加载”攻击能够通过利用 L3 CPU 缓存在同一台物理机器上检索 GnuPG 密钥，即使 GnuPG 运行在另一个VM 上。从那以后，GnuPG 就被打上了补丁。

我在用 ZeroVM包头时遇到了一些麻烦。

假设我想运行 Wordpress。一种选择是租用托管虚拟服务器，运行 VMWare、Virtualbox、Xen、CoreOS 或类似的东西。在这种情况下，虚拟化的是服务器及其硬件。一旦配置了虚拟服务器，我就可以通过 SSH 连接到它，启动和停止服务，重新启动机器等。

我在网上读到的东西说 ZeroVM 虚拟化了应用程序，但我不明白这意味着什么。 ZeroVM 是否提供类似于Docker的容器？

继续我上面的例子，我将如何使用 ZeroVM 来运行 Wordpress？这样做会带来什么好处？

让我们将我的 Wordpress 示例扩展到共享托管环境。

ZeroVM 主页说：

对 ZeroVM 应用程序或 zapp 的每个请求都会导致产生一个独立的实例。每个实例都是隔离且安全的，在 5 毫秒内启动，并在完成请求后销毁。ZeroVM 的速度来自每个实例仅虚拟化运行单个进程所需的内容。

这是否意味着对 ZeroVM 应用程序的每个请求都会产生一个新进程？如果您在一台服务器上运行多个 ZeroVM 应用程序会发生什么？请求如何路由到正确的应用程序？

我刚开始使用虚拟化，所以请耐心等待。

在虚拟环境中，应用程序在管理程序层中运行。因此，一台物理机上可以有许多运行多个应用程序的虚拟机。

到现在为止还挺好？

那么当物理机出现故障时会发生什么？这不会使许多应用程序全部从一台机器上失败吗？

我正在寻找使用OpenStack开发私有云，但我想首先完全了解虚拟化。