Jails mit "privater" IP?

[-Nuke-]

Heyho.

Ich betreibe mit mehreren Leuten einen Root-Server bei Hetzner.

Wir haben momentan u.a. eine Jail für allen Webserverkram (PHP, Rails und Co.). Das ist alleine für das Aktualisieren der Pakete die reinste Hölle, da man dort einfach die Übersicht verliert.

Daher würde ich gerne die Jail aufteilen in mehrere kleinere. Also eine mit Rails, eine mit PHP+Apache eine mit Owncloud usw. Ich dachte daran dann mit "pound" Anfragen auf die entsprechenden Jails zu verteilen.

Kann ich nun der Netzwerkkarte vom Server eine weitere private IP wie 192.168.0.xxx zuweisen und dann den Jails entsprechend eine Adresse aus diesem Bereich? Oder würde das irgendwas extrem stören bzw. nicht funktionieren?

Wir haben bereits 3 IP-Adressen, die aber halt für Server,Mail und Web draufgehen.

 

[marmorkuchen]

Salve,

dagegen spricht eigentlich nichts. Sollen die Dienste vom Internet aus verfügbar sein, dann ist Dein Suchwort ReverseProxy, wenn nicht dann halt ein VPN zum RootServer.

Gruß

marmorkuchen

 

[nakal]

EIgentlich brauchst Du noch nicht einmal eine Netzwerkkarte und kannst eine Adresse aus dem 127.0.0.0/8-Block wählen, wie 127.0.0.2 etc. Das habe ich schon mal so installiert.

 

[Crest]

nakal: Vorsicht mit 127.0.0.0/8. Mehr als ein Stück Code da draußen macht lustige annahmen darüber wofür 127.0.0.0/8 benutzt werden kann und auf welche Interfaces es geroutet wird.

 

[-Nuke-]

Momentan sieht es halt so aus:

ifconfig_re0="inet xxx.xx.xx.xx netmask 255.255.255.192"
ifconfig_re0_alias1="inet xxx.xx.xx.yyy netmask 0xffffffff"
ifconfig_re0_alias2="inet xxx.xx.xx.zzz netmask 0xffffffff"

Meine Idee wäre jetzt einfach dort noch sowas wie

ifconfig_re0_alias3="inet 192.168.0.1 netmask 0xffffffff"

hinzuzufügen und dann dort Jails ebenso in den Bereich einzuordnen. Und dann von außen halt in die Jails "reinrouten".

 

[Nukama]

So sieht es bei mir aus:

# Loopback device
cloned_interfaces="lo1"
ifconfig_lo1_name="jail0"
ipv4_addrs_jail0="10.0.0.1/24 10.0.0.1-10/32"

Und ich leite die einzelnen Dienst mit pf auf die Adresse:Port der jeweiligen Jail.

Funktioniert bis jetzt tadellos. (inter-jail Kommunikation hab ich nicht getestet)

 

[crotchmaster]

Ich habe jahrelange so eine Config wie Nukama laufen, teilweise mit bis zu 8 lokalen IPs und es rennt prächtig. Bei entsprechender pf-Config ist auch eine Kommunikation zw. den Jails möglich.

 

[-Nuke-]

OK, danke. Das werde ich dann ausprobieren.

 

[-Nuke-]

Sooo, ich bin gerade dabei das ganze einzurichten. Bisher bin ich auch schon gut vorangeschritten. Ich habe aber noch ein paar Fragen. Und zwar habe ich jetzt meinen Host der im Prinzip dann nichts anderes macht, als Anfragen auf die Jails zu verteilen.

Dann habe ich eine Jail 10.0.0.1 wo der ReverseProxy pound installiert ist. Dieser lauscht auf 10.0.0.1 auf Port 80. pf leitet die Pakete von außen auch dahin. pound selbst leitet diese dann weiter auf die Jail 10.0.0.2 auf Port 80 wo dann Apache24 wartet und auch antwortet. "It works" erscheint im Browser.

Jetzt steht natürlich überall ListenAddress oder ServerName auf 10.0.0.x:80.

Macht das dann vllt. irgendwann Probleme wenn ich weiter mache? Mit geht's dann darum, wenn dann irgendwas serverseitig getan wird (ich weiß ja nicht wie die WebApps so ticken). Oder muss ich dann noch was zusätzlich machen, damit sich HauptIP mit DNS-Name nicht stört mit einem Server der in einem ganz anderen IP-Bereich läuft?

Oder sollte ich beim Server-Namen dann auch den DNS-Namen "von außen" vergeben, jedoch nur die IP auf eine andere stellen? Bin in dem ganzen Bereich noch nicht so bewandert. Darum kingt das jetzt vllt. auch so kompliziert.

Die Frage ggf. noch mal in kurz: DNS landet auf Haupt-IP, alles andere läuft in Jails. Wie verhält sich das mit Hostnamen in den Jails.

Danke.