Posts Tagged ‘iptables’

OpenVZ unter CentOS 5.4 installieren und konfigurieren

Samstag, Januar 30th, 2010

Dieser Artikel beschreibt wie man openVZ auf CentOS 5.x installiert (bei mir war es 5.4) sowie Container erstellt, einstellt und verwaltet und auch iptables konfiguriert damit private sowie externe IP Adressen funktionieren.

OpenVZ bietet die Möglichekeit auf einem Server mehrer virtuelle Contrainer aufzusetzten, die alle verschiedene Linux Distribution beinhalten können soch aber einen gemeinsamen Kernel teilen. Die Container sind völlig voneinder abgeschottet und erscheinen wie pysikalische Server.

Ich bin nach der Anleitung von PlanetAmon vorgegangen und werde diese hier um eineige Details erweitern. Aber auch der Quick Installation Guide von openVZ ist sehr hilfreich und detailiert.

Installieren von OpenVZ

Als ersters müssen wir die openVZ Repos zu zu unseren Quellen hinzufügen.

cd /etc/yum.repos.d
wget http://download.openvz.org/openvz.repo
rpm --import http://download.openvz.org/RPM-GPG-Key-OpenVZ

Es gibt verschiedene Arten von openVZ Kernel (dessen volle bedeutung mir nicht ganz klar ist), wichtig ist jedoch den richtigen Kernel für ein 32bit oder ein 64bit System auszuwählen.

yum install ovzkernel

Bei einem 64bit System werden beide Kernel angeboten deshalb hängen wir die genaue bezeichnung an unser Paket:

yum install ovzkernel.x86_64

Der Kernel ist nun installiert und kann gebootet werden. Dazu muss die Datei /boot/grub/grub.conf editiert werden. Falls nano nocht nicht installiert ist, hilft: yum install nano

nano /boot/grub/grub.conf

Der Kernel mit der Bezeichnung “CentOS (2.6.8-022stab029.1)” oder einer anderen Versionsnummer ist der von openVZ (müsste als erster Eintrag stehen). Wir editieren nun die Konfig Datei um die openVZ Kernels gleich zu erkennen, ersetzen wir den Namen CentOS mit openVZ. Falls ein Fehler beim Booten auftritt (kernel Panic) soll der alte Kernel gebootet werden (hilfreich bei Servern auf die man keinen physikalischen Zugriff hat).

timeout 5
default saved # von 0 auf saved geändert
fallback 1 # hinzugefügt

title OpenVZ (2.6.18-164.10.1.el5.028stab067.4) # von CentOS auf OpenVZ geändert
root (hd0,1)
kernel /vmlinuz-2.6.18-164.10.1.el5.028stab067.4 ro root=/dev/md2 vga=0x317 panic=5 # panic=5 hinzugefügt
initrd /initrd-2.6.18-164.10.1.el5.028stab067.4.img
savedefault fallback # hinzugefügt

title CentOS (2.6.18-164.11.1.el5)
root (hd0,1)
kernel /vmlinuz-2.6.18-164.11.1.el5 ro root=/dev/md2 vga=0x317 panic=5
initrd /initrd-2.6.18-164.11.1.el5.img
savedefault # hinzugefügt

Hiermit wird der Eintrag 0 defaultmäßig gebootet und bei einer Kernelpanic wird auf den Eintrag 1 umgeschalten, damit das System automatisch wieder bootet. Das wird auch duch den Parameter panic=5 bewirkt der nach 5 Sekungen den Computer neustartet.

Damit das System nach einem erfolgreichen Boot wieder den Defaulteintrag 0 nimmt, wird in die Datei /etc/rc.local die Zeile “echo “savedefault –default=0 –once” | /sbin/grub –batch” hinzugefügt.

Konfiguration

Zuerst brauchen wir einige Admin Tools:

yum install vzctl vzquota

Damit das Netzwerk richtig funktioniert brauchen wir zusätzliche Zeilen in der Datei /etc/sysctl.conf

nano /etc/sysctl.conf

net.ipv4.ip_forward = 1
net.ipv4.conf.default.proxy_arp = 0
net.ipv4.conf.all.rp_filter = 1
kernel.sysrq = 1
net.ipv4.conf.default.send_redirects = 1
net.ipv4.conf.all.send_redirects = 0
net.ipv4.icmp_echo_ignore_broadcasts=1
net.ipv4.conf.default.forwarding=1

Nun starten wir unser System neu (mit reboot) und loggen uns wider ein. Um zu kontrollieren ob der richtige Kernel geladen wurde verwenen wir den Befehl:

uname -r
2.6.18-164.10.1.el5.028stab067.4

Anlegen eines Containers

Zuerst brauchen wir ein Template für einseren Container, das ist ein fertiges System, dass anschließend im Container ausgeführt wird und mit dem wir artbeiten können.

OpenVZ stellt einige Templates auf ihrer Seite zur verfügung. Das CentOS 5 Template laden wir mit folgenden Befehlen herunter.

cd /vz/template/cache
wget http://download.openvz.org/template/precreated/contrib/centos-5-i386-default.tar.gz

Um unsreren Container nun mit diesem Template zu erszeugen geben wir folgenden Befehl ein:

vzctl create 101 --ostemplate centos-5-i386-default --config vps.basic

Die Nummer 101 ist der Name unter der unser Container nun konfiguriert werden kann.

Um den Container nun zu konfiguriern wird das Programm vzctl benutzt:

vzctl set 101 --hostname webspace.die-lega.org --save

Damit wird der Hostname unseres Containers gesetzt

vzctl set 101 --diskspace $(( 1048576*50 )):$(( 1153434*50 )) --save

Hiermit stellen wir unsere Festplattengröße auf 50GB (Soft,Hardlimit)

vzctl set 101 --ipadd 192.168.11.101 --save

Damit setzten wir die IP Adresse (entweder eine öffentliche oder eine Private (nur interne), die dann mit iptables und NAT auf die öffentliche vom Server umgesetzt werden muss

vzctl set 101 --onboot yes --save

Soll der Container beim start mitgestartet werden

vzctl set 101 --nameserver 213.133.99.99 --nameserver 213.133.100.100 --nameserver 213.133.98.98 --save

Die Nameserver setzen

vzctl exec 101 passwd

Das root Passwort unseres Containers setzen

vzctl set 101 --vmguarpages $((256 * 512)) --save

Den Garantierten RAM setzen (mindestgröße)

vzctl set 101 --privvmpages $((256 * 2048)) --save

Den Maximalen RAM setzen (könnte bis auf mindesgröße verkleiner werden)

vzctl start 101

Hiermit starten wir die Maschine

Betrieb & Überwachung eines Containers

Hier einiege Befehle die für den Betrieb eines Containers wichtig sind:

Öffnen eines Containers:

/usr/sbin/vzctl enter 101

Verlassen eines Containers:

exit

Speicherverbrauch anzeigen:

vzcalc -v vpsid

Festplattenverbeuacht:

vzquota stat vpsid

Einschalten:

/usr/sbin/vzctl start 101

Ausschalten:

/usr/sbin/vzctl stop 101

Netzwerk konfiguration

Standardmäßig ist bei CentOS netfilter (iptables) aktiviert und lässt nur eingehende Verbindung auf bestimmten Ports zu (zB ssh).

Es wird auch empfohlen sich über iptables zu informieren, damit man weiß was man hier tut, sonst sperrt man sich sehr schnell aus seinem eigenen Server aus.

Um nun unseren Containern den Zugang zum Netz zu gewähren müssen einige Regeln hinzugefügt werden:

Wenn wir private IP auf unseren Container verwenden zB.: das Netz 192.168.11.0/24 also alle Adressen von 192.168.11.1 – 192.168.11.254 müssen wir NAT konfigurieren:

iptables -I POSTROUTING -s 192.168.11.0/255.255.255.0 -o eth0 -j SNAT --to-source X.X.X.X

Damit werden alle Pakete vom Netz 192.168.11.0/24 auf die Adresse x.x.x.x (die öffentliche Adresse des Servers) umgesetzt. Sollte der Server keine fixe IP Adresse haben, dann sollte statt SNAT MASQUERATE verwendet werden.

iptables -I POSTROUTING -s 192.168.11.0/255.255.255.0 -o eth0 -j MASQUERATE

Zusätzlich müssen aber noch die Pakete erlaubt werden:

iptables -I FORWARD -s 192.168.11.0/255.255.255.0 -j ACCEPT
iptables -I FORWARD -d 192.168.11.0/255.255.255.0 -j ACCEPT

Damit werden alle Pakte von und zu unserem Netz die geroutet werden (nicht zu unserem Server gehen) erlaubt.

Hat der Container eine öffentliche IP Adresse müssen nur die Paket von und zu dieser Adresse erlaubt werden:

iptables -I FORWARD -s X.X.X.X -j ACCEPT
iptables -I FORWARD -d X.X.X.X -j ACCEPT

Es können so auch in einem Container eine öffentliche Adresse und in anderen private Adressen verwendet werden.

Um die Konfiguration von iptables dauerthauft zu speichern führen wir folgenden Befehl aus:

/sbin/iptables-save > /etc/sysconfig/iptables

Damit sollte alles funktionieren und es können eine beligebe Anzahl von weiteren Containern angelegt werden.