Verschiedenen Dienste auf einem Server getrennt betreiben

[mmrd22]

Hallo liebes Forum(welches mir schon so oft geholfen hat),

ich benutze schon länger Server Systeme mit Debian und habe Mailserver, Webserver, Git, Tor Relay, etc. betrieben. Ich rümple gerade etwas um und habe eine Frage:

Ich würde gerne weiterhin mehrere Dienste auf EINEM Server betreiben, allerdings würde ich diese gerne von einander virtuell trennen. Ist es möglich z.B. meinen Mailserver(Exim, Dovecot, etc..) virtuell von meinem Webserver(Apache) zu trennen. Netzwerktechnisch oder in Containern. Ich habe das Prinzip von Docker irgendwie nicht so richtig verstanden, jedenfalls nicht im Bezug auf das, was ich gerne hätte. Kann man sich das so vorstellen, dass man lauter kleine virtuelle Maschinen bauen?

Oder soll ich das irgendwie mit VLans intern auf dem Server lösen?
Bin offen für Vorschläge und begierig nach Licht im Dunkeln

[pferdefreund]

Eventuell reicht da ja schon, jeden Server in einer chroot-Umgebung laufen zu lassen. Ist nur blöd bei Updates von Libs, die
von denen verwendet werden.

[uname]

Ich gebe dir mal den Tipp verschiedene Virtualisierungslösungen auf einer Test-Hardware auszuprobieren. Wirklich empfehlen kann ich aber keine Lösung, da ich mich damit weniger beschäftige. Aber Virtualisierung ist nicht gleich Virtualisierung und auch die Sicherheitsaspekte sind teilweise recht unterschiedlich.

[pferdefreund]

Was Virtualisierung angeht, habe ich bis jetzt (unter Windows) nur Virtualbox und VMWARE-Player ausprobiert, wobei der Vmware-Player wesentlich performanter ist (unter WIndows). Unter LInux habe ich in der Richtung noch nie eine Notwendigkeit gehabt, da was zu probieren.

[ThorstenS]

Ich habe viele Jahre (lenny-wheezy) produktiv mit virt-manager und KVM meine Maschinen im Unternehmen betrieben, davor mit XEN (sarge - etch). Aktuell benutze ich proxmox für die Virtualisierung.

docker scheint hier _deutlich_ ressourcenschonender zu sein als jeweils eine VM pro Dienst vorzuhalten. Dafür mußt du dich da eben auch einarbeiten und deine Umgebungen (idealerweise) selbst bauen.
Ich jedenfalls vertraue meine Daten nicht den von $IRGENDJEMANDEM gebauten Umgebungen an…
Dazu gibt es aber auch einen Haufen Doku - auch in den einschlägigen Zeitschriften (u.a. c`t, Linux Magazin, Admin Magazin etc.)

Wenn du die Dienste voneinander trennst, wirst du relativ flott Bedarf an einer netzwerktransparenten Benutzerdatenbank haben. Dafür empfehle ich dir einen Univention ucs Server aufzusetzen. Der ist in seiner core-Edition (die, die du herunterlädst) kostenfrei ohne Einschränkungen nutzbar - auch in der 4ma.
Damit hast du dann sowohl einen AD-kompatiblen Server im Netz, als auch einen LDAP-Server, den du für Authentifizierungen im Apachen oder beim Dovecot nutzen kannst.

Auf einer VM habe ich meine configs liegen, die ich mit ansible auf die entspr. Maschinen verteile. (sich da einzuarbeiten dauert, macht aber Spaß und bringt einen auch im Job weiter).

Für git betreibe ich auf einer VM die gitlab Community Edition - ein eigenes privates github (inkl. LDAP-Anbindung ans ucs).

Alles in allem ist es eine Frage wieviel Zeit du investieren willst und wieviel Spaß du an der Materie hast.

[tomi89]

Möglw. reicht Firejail aus.

Systemd soll auch container starten können, habe ich vor kurzem mal gelesen. Keine Ahnung ob das mit der Version von stable schon funktioniert.

[DeletedUserReAsG]

Systemd soll auch container starten können, habe ich vor kurzem mal gelesen. Keine Ahnung ob das mit der Version von stable schon funktioniert.

Funktioniert recht gut.