Shura
FreeBSD говно jail Каждый раз, когда у меня возникают мысли обновить софт в jail, начинаются пляски с бубном. У меня нет дополнительного внешнего IP адреса для Jail, каждый раз пытаюсь вспомнить как ему дать доступ во внешний мир, чтобы скачать пакеты... Похоже надо вообще от этого jail отказываться... Звучит красиво а по факту один сплошной гемор. Не удивлён, что docker выстрелил, а jail так и остался в жопе
schors
FreeBSD IPv6 jail Это из серии вопросов, толкающих меня к Linux. А как, простите, мне отфильтровать некий порт по IPv6, так чтобы с ним можно было работать только внутри jail? Ну что, прошу прощения, за эпидерсия
schors
FreeBSD jail Вот без этого net.inet6.ip6.dad_count=0 в sysctl ваши сервисы на старте jail не найдут IPv6 адресов. Всегда любил такие подводные камни. И ни слова нигде.
schors
jail По-хорошему, надо sendmail-submit (msp) повесить на выделенный внешний IPv6, закрыть 587 порт снаружи и радоваться. Но почему-то в голове вертится мысль на клоновом интерфейсе ::2 (::x) делать и вешать туда. Не могу понять почему меня на это тянет
schors
FreeBSD IPv6 jail Просто памятка. Если вы хотите на FreeBSD 10.1 (и я так понимаю 9.3) повесить jail на IPv6/IPv4 и при этом, чтобы все сервисы штатно запустились, то
1. Должен существовать loopback-интерфейс и никак иначе. В противном случае, например sendmail/unbound не сможет повиснуть на IPv6 искаропки.
2. На loopback должен быть повешен именно loopback-ipv6. Обычный работает в плане сети, но на него отказываются вешаться sendmail/unbound.
3. Хитрая багофича — в /etc/resolv.conf надо рисовать loopback-адрес на loopback-интерфейсе. Или внешний на внешнем. В противном случае gethostbyaddr() тупо не работает. При этом со стороны сети всё работает.
4. Вся эта байда в принципе лечится явным прописыванием конфигураций, тем более Ansible там и всё такое. Однако, зачастую требуется развесить контейнеры на приватные IPv4, одновременно имея IPv6. И вот тут вы сталкиваетесь с каким-нибудь костылем.
5. Где я напутал?
6. А как делаешь это ты, линуксоид?
schors
FreeBSD jail Запускаю jail (полную ОС) по мануалу через -c и с exec.start exec.stop без новомодного jail.conf). jail -r насмерть не хочет запускать exec.stop. А если в jail.conf прописать — всё ок. Это так и надо, типа он этот exec.stop нигде не запоминает? По мануалу не понятно.
schors
FreeBSD jail Хм... если повесить jail на lo1|127.0.0.2,etр0|внешний, и запустить local_unbound с 127.0.0.1 в resolve.conf, то всякие host/drill работают, а вот gethostbyaddr() внезапно нет. пинги там, сендмейлы. Это фишка или баг?
schors
FreeBSD jail Приперло меня на виртуализацию на FreeBSD. Дисклеймер — я плотно виртуализацией вообще в продакшене никогда не пользовался (сам) и не предоставлял другим. Не совсем понимаю, с чем столкнусь. Собственно — надо изолировать пару-тройку сайтов. Будет значит там 3-10 виртуалок. Посмотрел я всякие тулзы. CBSD горомоздко и он начал свой shell пилить, что меня немного напрягло. +99% функциональности мне вообще не нужно. BSDPloy — крутая штука. Но опять — много ненужного и вот тулза, коннектор, ansible... выглядит опять перебором. Собственно я тиражировать-то ничего не собираюсь пачками. ezjail — документация слабая и поддержка очень кислая. Пользовался poudriere :) Но он в стороне и часть задач не охватывает типа бэкапов. Понравился вот этот github.com . Или ну его — для бэкапов всё равно скрипт писать, а 10 абсолютно разных jail спокойно и штатными средствами делаются? Обновления наверное через ansible.
Shura
FreeBSD tips jail Работать с Jail во FreeBSD становится легко и приятно, если поставить qjail.
Сразу после установки qjail надо поставить мир, который будет использоваться в джейлах. В хендбуке описан трудный путь скачивания исходников и компиляции всего этого хозяйства, но с qjail ничего этого не надо, достаточно дать команду
`qjail install`
Мир скачивается и тут же готов к использованию

Дальше можно создавать джейлы:
`qjail create -4 <ip адрес> <имя>`

И запускать их:
`qjail start <имя>`

И останавливать
`qjail stop <имя>`

А после остановки делать бекап!
`qjail archive <имя>`

В /etc/jail.conf лазить не надо, всё делается автоматом, достотачно только в /etc/rc.conf добавить строчку
`qjail_enable="YES"`