我现在正在迁移到一台新服务器。旧服务器运行 10.04 作为主机系统,还有一些 10.04 和 Debian 6 作为 KVM 客户机。这没问题,因为处理器支持虚拟化。性能可以接受。内存是本例的瓶颈资源。
在新服务器上,我拥有更多 RAM、更大磁盘、更好的 CPU,我认为处理负载不会有问题(旧服务器可以轻松承受的负载)。但是,我现在想将客户机分成一些浅层监狱lxc和一些在 KVM/ 下完全虚拟化的客户机libvirt,这比 更可靠(安全方面) ,但比/chroot性能更好,但安全缺陷是代价。libvirtkvm
一些访客的 IP(v4 和 v6)将“直接”暴露给互联网(至少两个 Web 服务器),而其他访客仅向“内部网”提供服务。还将有一个nginx实例充当几个不直接暴露的 Web 服务器的前端。但这应该是指导因素吗?访客是否“面向 Web”的事实?
我主要关心的是安全性,其次是性能。
问题:在决定哪一个进入 LXC jail、哪一个成为完整的 KVM 客户机时,需要考虑哪些方面?