Два виртуальных сервера на одном физическом - best practice
 

Имею дома сейчас два сервера: один (P4 3 GHz / 1536 Mb / RAID1) исполняет роль DC, роутера (KWF 6.7.1), терминального сервера 1С и принт-сервера, другой (Core 2 Duo 4400 / 1024 Mb) - DC, файл-сервера и торрент-клиента. Существующая схема не нравится:

• две постоянно включенных машины нехило жрут электроэнергию;
• роутер и DC в одном флаконе - плохо с т. зр. сетевой безопасности (вариант "раздавать Интернет аппаратным роутером за 40 баксов" по ряду причин не рассматривается).

Возникла идея сделать один физический сервер, который будет выполнять роль роутера и на котором будут крутиться оба существующих сервера в виде виртуальных. Для физического планирую такую конфигурацию: Asus P5B-Plus / Core 2 Duo 4400 (со второго существующего сервера) / RAM 4096 Mb / RAID1 + отдельные диски для торрент-клиента.
Возник ряд вопросов:

1. Какую ОС ставить на физический сервер? Есть ли реальные преимущества у Win2k8 перед привычной Win2k3?
2. Какую разрядность системы выбрать? Не исключаю, что памяти будет больше 4 Гбайт. С другой стороны, Enterprise Edition 32-bit тоже ведь умеет видеть более 4 Гбайт памяти.
3. Физический сервер потенциально все равно останется уязвим для атак извне. Если в установленной на нем ОС смонтировать только нужный логический раздел, а остальные напрямую подключать к виртуальным машинам, добавит ли это надежности?
4. Какой продукт выбрать для организации виртуальных машин - бесплатный VMware Server или более "взрослый" вариант? Какие преимущества у более продвинутых продуктов? Изначально торрент-клиент у меня крутился на первом сервере, и причиной организации второго сервера была постоянная 30% загрузка CPU uTorrent'ом - более 3000 торрентов в списке давали о себе знать. Убережет ли VMware Server от этой проблемы?
5. Какого размера должен быть своп-файл на физическом сервере при 4, 6, 8 Гбайт памяти?

P. S. Вопрос цены программных решений - за рамками обсуждения.

Если вы планируете сделать оба КД на виртуальных машинах то это плохая идея, при выходе из строя физического сервера вы потеряете оба КД.
Если best practice - то используйте виртуализацию на основе гипервизора. Для использования гипервизора необходима поддержка процессором технолигии виртуализации (Intel® Virtualization Technology (VT-x) ), я так понимаю что у вас процессор E4400 - он не поддерживает данную технологию.

Ну, хочется сделать все по-взрослому - с регулярными бекапами и тренировочным восстановлением в учебных условиях. Все-таки это дом, не офис, здесь простой в несколько часов не будет сильно критичен. К тому же возьмем, к примеру, SBS - он вообще не поддерживает (не поддерживал?) несколько DC, т. е. зависимость от надежности аппаратных средств заложена у него изначально и выше, чем в планируемом мною варианте - при выходе из строя любых компонентов, кроме обоих HDD (которые, напомню, будут в RAID1), восстановить работоспособность виртуальных серверов будет относительно несложно.
Да, я в курсе, что E4400 не поддерживает IntelVT. Есть вариант выдрать E6300 из собственной рабочей станции, хотя и жалко. А для VMware Server / ESX Server поддержка процессором IntelVT тоже критична, или только для Hyper-V? Помнится, VMware Workstation на E4600 работала без проблем.
В чем преимущество Hyper-V перед ESX Server? Прочитал, что у Hyper-V есть проблемы с видимостью USB-устройств в гостевых ОС, - это по-прежнему верно? Принтеры-то USB'шные... Умеет ли Hyper-V монтировать физические разделы напрямую к гостевым машинам? Возможна ли организация программного роутера на основе виртуальной машины?

Поддерживает. Просто он должен быть единственным SBS-контроллером. Ну, и FSMO на него нужно перенести.

поддерживал и поддерживает.
для Vmware Server 2.0 - нет, не критична.
да, проброса всё ещё нет.
но если вы не рассматриваете варианта с гипервизором, а рассматриваете вариант ОС+программа виртуализации - то проблем нет.
умеет.
да возможна.
нет не убережёт, как и от огромных дисковых очередей.
есть, но в вашем случае, для использования под vmware server - нет.
думаю что без разницы.
это, извините как? с чего бы он становился уязвимым если у вас роутер гостевой?
RAM * 1.5, при условии что свап и виртуалки и контейнер с торрентами на разных носителях.

Я пока рассматриваю все варианты. В USB и IntelVT все окончательно не упирается - принт-сервером можно сделать физический сервер, и процессор с IntelVT достать можно.
Что же, виртуализация не позволяет эффективно управлять нагрузкой на процессор? uTorrent отжирает 30% и на E4400, и на P4 3000. А все торренты у меня на отдельных физических дисках.
Вроде как 32-битные системы видят больше 4 Гбайт памяти только в страничном режиме, разве это не влияет отрицательно на производительность?
Роутер пока планируется на физическом сервере, про возможность организации на виртуальном я только поинтересовался. Есть ли преимущества организации его на виртуальном? Физически ведь внешний интерфейс никуда в этом случае не девается, атаки все равно будут направлены на физический сервер.
Своп и виртуальные машины будут на одном RAID.

в таком случае можно рассматривать варианты Hyper-V/ESXi - это полноценные гипервизоры.
давайте зайдём с другого конца:
что в вашем понимании есть "эффективное управление нагрузкой на процессор"?
не вижу, пока что, задач которые потребуют выделения гостям больше 1024Мб памяти. (per guest)
VLAN/Switch и внешнего интерфейса у физического сервера нет.
и торренты там же?
с учётом того что RAID1 то у вас прироста производительности на запись не будет, а прирост на чтение будет мизерным.
итоговое быстродействие такой схемы будет ужасающим.

Ограничение загрузки процессора конкретной виртуальной машиной. Раз uTorrent грузит любой процессор на 30%, то дать виртуальной машине с ним, скажем, 10% максимальной загрузки физического процессора. Если подобных механизмов не существует, не означает ли это, что при некорректном поведении (отжирании 100% CPU) одной программы в одной виртуальной машине это катастрофически отражается на всех остальных виртуальных машинах?
Терминальный сервер 1С в сочетании с DC?
А можно подробнее?
Торренты (скачиваемое и отдаваемое) на отдельных физических дисках.

Есть ли смысл поднимать два DC на виртуальных серверах, хостящихся на одном физическом?

лимитирование и резервации существуют.
нет не означает.
в вашей схеме катастрофически будут отражаться только сата диски в райд1 бортового контроллера.
мало того что это сильно не рекомендуемая конфигурация, скажу вам по секрету:
- Терминалы с 1С это вообще отдельная тема рассчётов, в вашем случае - не нужно маньячить, либо берите i7 + 6-8-12Gb DDR3 + 4-6-8шт WD Raptors в RAID0.
давайте объясню проще:
у вас наверняка один внешний IP адрес. так вот если вы его укажите на физической машинке, то как вы поднимите гостевой роутер без этого IP? или NAT за NAT? это перебор. (и да, виртуальные интерфейсы не управляются RRAS'ом в случае hyper-v, а ESXi в свою очередь не имеет встроенных механизмов NAT'а.)
это уже лучше.
я не вижу никакого.

P.S. как и вообще в том что вы хотите замутить на этом железе.

По поводу файла подкачки для родительского раздела. Сам Hyper-V его (файл подкачки не использует), поэтому все будет зависеть от зарезервированной памяти для родительского раздела, которое путем правки реестра стоит делать в том случае, если на хосте есть что-то помимо роли виртуализации.

http://forum.oszone.net/attachment.p...1&d=1316678016
вы не могли бы тогда объяснить разницу?

Нерекомендуемая, потому что с DC вообще не рекомендуется что-либо совмещать? У меня не тот масштаб задач. В этом терминале работают максимум 3 пользователя, а обычно - 1. Поднимать третий виртуальный сервер под DC? По-моему, овчинка выделки не стоит.
Я вообще-то не ставлю себе целью сделать все на "правильном" железе. Это же моя личная домашняя сеть. Затраты должны соответствовать решаемым задачам. Но наличествующее железо хочется использовать с максимально возможной эффективностью.
Я поэтому и попросил подробнее разъяснить этот вопрос. Как сделать так, чтобы внешний IP-адрес был виден у интерфейса в виртуалке? Как скрыть внешний интерфейс на физическом сервере? Чем здесь поможет VLAN/Switch? Если можно, дайте, пожалуйста, полезные ссылки.
Меня как раз это и интересовало. Увеличивать родительский раздел на 10-15 Гбайт под файл подкачки как-то не улыбается.

в таком случае какой профит от Терминального режима работы 1С? расшарьте - экономия ресурсов на лицо.
2 простых свитча, 2 интерфейса на физисечком хосте.
1 свитч с поддержкой VLAN, 1 сетевая на физическом хосте с поддержкой VLAN.

Нужна возможность перехода с одной рабочей станции на другую без прерывания сеанса работы в 1С. Также возможно обойтись одним UPS'ом на сервер, а не несколькими на каждую рабочую станцию.
WAN-кабель подключается в свитч с поддержкой VLAN, к нему же подключается интерфейс с поддержкой VLAN. Второй свитч и второй интерфейс - для подключения к внутренней сети. Я правильно понял?

да, только слово VLAN уберите.
если у вас сетевушка и свитч поддерживают VLAN - вы обойдётесь 1 свитчом и 1 сетевой.

Это каунтеры двух разных хостов?

да, это два Hyper-V server R2, оба Sp1.

на них разное кол-во виртуальных машин и разное количество физической памяти.

Могу попытаться предположить, чем вызваны такие показания счетчиков.

В связи с разным количеством памяти на хостах автоматический механизм подсчета резерва памяти по разному выделил родительскому разделу определенную планку памяти. Соответственной, у родительской ОС на хосте с большим кол-вом физической памяти файл подкачки будет больше.

Помимо виртуализации, у Вас на Hyper-V Server что-то еще установлено?

получается не так.

первый хост (цифра 1) - 24Гб физической памяти.
свободно 5,5Гб
свап есть.
второй хост (цифра 3) - 48Гб физической памяти.
свободно 35,6Гб.
свапа нет.
CoreConfigurator, BACS, BackupExec Agent.
управляются через SCVMM, оба.

Попробуйте жестко зарезервировать память для родительского раздела в реестре.

вы не могли бы дать линк на KB по этой теме?
что-то я не могу ничего найти :(

В таком случае, думаю, Вам будут полезны эти две статьи: первая, в конце вкратце Кибкало упомянул об MemoryReserve, и вторая, более развернутая, о файлах подкачки для хоста.

Denis Dyagilev,
спасибо

Хотелось бы продолжить... спустя три месяца. ESXi поразила своими возможностями, но - увы: все уперлось в невозможность подключения физических дисков (обычных SATA) напрямую к виртуальной машине. Буду пробовать HyperV.

Правильно ли я понял про VLAN: если и сетевая на хосте, и свитч поддерживают VLAN, то в этот свитч подключаем и WAN-соединение и все LAN-соединения. На физическом соединении с хостом (единственном - второе не нужно) создаем два виртуальных. Создаем две VLAN, в одну из которых (VLAN1) включаем WAN-соединение и одно виртуальное соединение с хостом, в другую (VLAN2) - другое виртуальное соединение и все остальные LAN-соединения. VLAN1 подключаем к виртуальной машине с KWF, VLAN2 - к остальным виртуальным машинам.
Если понял правильно, тогда вопрос: проброска портов в такой конфигурации - работает? Нужно, чтобы одна виртуальная машина была видна извне.

Можно ли что-то сделать, если VLAN железо не поддерживает (мое, как уже можно догадаться, именно таково)? Вторую сетевую подключаем к дополнительному свитчу, в который подключаем и WAN? Это дает что-то с т. зр. безопасности? Будет ли работать проброска портов (как я понимаю, в этом отношении ситуация идентична вышеописанной)?

А может, есть все-таки смысл сделать NAT за NAT - WAN-интерфейс подключать к тому самому роутеру за 40$, а к нему уже подключать внешний интерфейс хоста (в порт LAN)?