Technisch sind die virtuellen Server fast ausschließlich mit Containervirtualisierung realisiert. Die Hoster verwenden meist Virtuozzo von Marktführer Parallels. Das bedeutet, dass alle virtuellen Maschinen eines Hostservers auf demselben Windows- oder Linux-Kernel aufsetzen müssen. Das heißt, verschiedene Betriebssysteme auf einem Host sind nicht möglich. Demgegenüber steht der Vorteil, dass Containervirtualisierung im Gegensatz zur Vollvirtualisierung so gut wie keinen Leistungsverlust aufweist.
Für den Nutzer eines virtuellen Containers gibt es allerdings einige wenige Einschränkungen, die beachtet werden müssen. Ist man von einer Einschränkung betroffen, kann das ein Ausschlusskriterium für die Nutzung eines virtuellen Servers sein. Die Einschränkungen sind im einzelnen:
- Es können keine Kernel-Module oder Treiber eingebunden werden. Das mag im ersten Moment wie eine Kleinigkeit erscheinen, jedoch gibt es oft praktische Probleme. Die Telefonanlage Asterisk beispielsweise benötigt für ihr Konferenzmodul einen Kernel-Mode-Treiber für das Timing. Das ist zwar mehr als überflüssig, kommt aber historisch daher, dass ursprünglich ohnehin Treiber für Hardware vom Hersteller Digium benötigt wurden. Da der Treiber aber nicht geladen werden kann, kann man Asterisk nur ohne die Telefonkonferenzfunktion nutzen.
- Nicht alle Containervirtualisierungen unterstützen das Tunnel-Device /dev/net/tun. VPN-Lösungen wie OpenVPN und Hamachi kommen ohne dieses Device nicht aus. In vielen Szenarien verwendet man eine VPN-Lösung, so dass bestimmte Administrationsaufgaben nur zugänglich sind, wenn man aus einem virtuellen Intranet kommt. Hier ist anzumerken, dass Virtuozzo keine Probleme macht, genauso wenig wie sein Open-Source-Pendant openVZ. Andere Lösungen wie VServer unterstützen das Tunnel-Device nicht. Man sollte bei der Auswahl des Hosters unbedingt darauf achten, dass das Tunnel-Device verfügbar ist.
- Viele Filesystemtreiber sind in den virtuellen Containern nicht nutzbar. So kann man beispielsweise NFS weder als Client noch als Server nutzen. Samba lässt sich jedoch installieren, da es sich um eine reine Usermode-Implementierung eines Fileservers handelt. Virtuelle Kernel-Mode-Filesystemtreiber gibt es zwar in der Open-Source-Container-Lösung openVZ. Sie gelten jedoch als nicht hundertprozentig stabil und werden bei der kommerziellen Variante Virtuozzo meist abgeschaltet.
- Die Nutzung von iptables ist eingeschränkt. Wer Netfilter-Regeln mittels iptables oder einer Firewall erstellt, muss darauf achten, dass sie im Container unterstützt werden. Standard-Regeln zum Abweisen von Verbindungen auf bestimmten Ports oder von bestimmten IP-Adressen funktionieren allerdings meist ohne Einschränkungen.
- Bestimmte Kernel-Variablen, darunter auch Datum und Uhrzeit, sind im Container schreibgeschützt. Alle Container übernehmen die Uhrzeit vom Hostsystem. Der Hoster sorgt in der Regel dafür, dass die Zeit per NTP synchronisiert wird. Wer zu Testzwecken eine andere Uhrzeit einstellen möchte, kann dies allerdings nicht bewerkstelligen.
Wer beispielsweise auf NFS angewiesen ist, braucht über Containervirtualisierung nicht weiter nachdenken. Einige wenige Hoster, etwa VPSLink, bieten alternativ zur Containervirtualisierung auch Paravirtualisierung mit einem Xen-Kernel an. Obwohl in einem Xen-Kernel natürlich Kernel-Module geladen werden können, gilt dies nicht für alle Module. Der Asterisk-Treiber dahdi_dummy (vormals ztdummy) verweigert die Installation wegen mangelnder Real-Time-Clock-Unterstützung, siehe Bild 1. NFS ist unter Xen ohne Einschränkung nutzbar.
Obwohl die Liste der Einschränkungen auf den ersten Blick recht umfangreich aussieht, wird sie in den meisten Fällen gar nicht relevant. Neben den Einschränkungen gibt es auch eine Reihe von Vorteilen, die sich aus der Virtualisierung ergeben. Bei den meisten Hostern gibt es eine komfortable Backup-Möglichkeit, die manche Dinge gegenüber einem FTP-Backup, das bei dedizierten Servern üblich ist, vereinfacht. Strato sichert jeden Server automatisch einmal am Tag. Man hat die Möglichkeit, einen Snapshot bis zu zehn Tagen in der Vergangenheit wiederherzustellen, siehe Bild 2.
Anders geht Host Europe vor. Beim kleinsten virtuellen Server gibt es nur zwei Backups. Allerdings kann man den Zeitpunkt, wann die Backups erstellt werden sollen, selbst bestimmen und so auch Snapshots, die älter als zehn Tage sind, wiederherstellen, siehe Bild 3.
Auch beim Upgrade kann ein virtueller Server hilfreich sein. Oft gibt es die Möglichkeit auf leistungsfähigere virtuelle Hardware umzusteigen, ohne dass Daten migriert werden müssen, siehe Bild 4. Allerdings gilt, wie bei den dedizierten Servern auch, dass die Hoster aus Kostengründen nach Möglichkeit freie Linux-Distributionen verwenden. Je nach Distribution läuft der Update-Support mehr oder weniger schnell aus. Bei openSUSE kann man maximal nach zwei bis drei Jahren damit rechnen, dass man auf eine neue Version upgraden muss. Das bedeutet in der Regel ein Backup und eine komplette Neuinstallation.
Neueste Kommentare
2 Kommentare zu Echte Server statt Webspace: Anwendungen sicher betreiben
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
leider nur and er Oberfläche gekratzt
Um sich einen Überblick zu verschaffen ist der Artikel ganz nett, aber mir fehlt der Tiefgang bei den wichtigen sicherheitskritischen Aspekten.
Warum kann man hier nicht ein paar beschreibende Worte darüber verlieren, wie z.B. ein VPN installiert wird. Oder wie man den sftp Zugang nutzt. Nein, man muss diesen Artikel wieder benutzen und googlen um sich weitere tiefere Infos zu beschaffen – irgendwie lästig. Klar findet man alles, aber Ihr hättet die Möglichkeit diese Infos für alle auf einen Blick/Klick verfügbar zu machen…
AW: leider nur and er Oberfläche gekratzt
Habe mir einen vserver bei servcity.org geholt läuft super!