Home » International » Russian » Сеть в OpenVZ
| Сеть в OpenVZ [message #21488] |
Tue, 09 October 2007 20:54  |
erain
Messages: 7
Registered: October 2007
Location: Moscow
|
Junior Member |
|
|
Здравствуйте. Кто-нибудь может объяснить реализацию сети в OpenVZ? Документацию прочитал, настроил veth. Работает, но принцип работы, так и не понял. Буду очень благодарен за объяснения, хочу понять как оно работает. 
Что продуктивней использовать venet или veth?
[Updated on: Fri, 12 October 2007 10:54] Report message to a moderator |
|
|
|
|
|
| Re: Сеть в OpenVZ [message #21621 is a reply to message #21488] |
Fri, 12 October 2007 10:44  |
erain
Messages: 7
Registered: October 2007
Location: Moscow
|
Junior Member |
|
|
Всетаки один вопрос остался без ответа (просто нет возможности проверить). Ситуация следующая: имеем маршрутизатор между домашней сетью и локалкой провайдера. На маршрутизаторе 3 интерфейса eth0 (локалка провайдера), eth1 (десктоп, компьютер подключен напрямую в сет. карту маршрутизатора), venet0 (виртуальная сеть OpenVZ). С eth1 (т.е. с десктопа) виден любой IP находящийся в venet0. Вопрос: видны ли эти самые IP из локалки провайдера eth0 (хотя бы из той подсети провайдера в которой находиться маршрутизатор)?
$ arp
172.16.0.1 * * MP eth0
172.16.0.1 * * MP eth1
$route
Destination Gateway Genmask Flags Metric Ref Use Iface
172.16.0.1 * 255.255.255.255 UH 0 0 0 venet0
Спасибо за внимание!
[Updated on: Fri, 12 October 2007 10:55] Report message to a moderator |
|
|
|
|
|
| Re: Сеть в OpenVZ [message #21629 is a reply to message #21624] |
Fri, 12 October 2007 12:07 |
erain
Messages: 7
Registered: October 2007
Location: Moscow
|
Junior Member |
|
|
Что-бы скрыть эти самые IP-адреса на eth0, достаточно из arp-таблицы удалить запись 172.16.0.1 * * MP eth0? Будет ли, после этого, маршрутизатор продолжать перехватывать бродкасты на интерфейсе eth0?
[Updated on: Fri, 12 October 2007 12:11] Report message to a moderator |
|
|
|
|
|
|
|
|
|
| Re: Сеть в OpenVZ [message #21648 is a reply to message #21644] |
Fri, 12 October 2007 14:34 |
maratrus
Messages: 1495
Registered: August 2007
Location: Moscow
|
Senior Member |
|
|
Здравствуйте,
1. Правильно ли я понимаю, что вы не хотите, чтобы информация о ваших VPS шла на хосты в eth0?
2. Скорее всего, дело обстоит так. arp запрос применяется для общения хостов в одной подсети, поэтому:
а) Если "десктоп на eth1" и VPS находятся в разных подсетях, то при удалении entry из arp таблицы, доступ к VPS будет возможен, если пакет дойдет до маршрутизатора (в данном случае, по-видимому, так), иными словами, все зависит от маршрутизации.
б) Если "десктоп на eth1" и VPS находятся в одной подсети, то при удалении entry из arp таблицы как на десктопе, так и на маршрутизаторе, доступ к VPS окажется невозможным, если не указать маршрут непостредственно.
3. Чтобы arpsend при старте/рестарте VPS не посылал пакеты наружу, посмотрите, пожалуйста, следующий скрипт
/usr/lib/vzctl/scripts/vps-functions.
В функциях vzarpipdetect() и vzarpipset(), быть может, Вам придется поправить так, чтобы arpsend рассылал пакеты не на все девайсы, а только на нужные.
4. Скорее всего, NAT нужно будет использовать, так как, как я понимаю, вы хотите иметь из VPS доступ к хостам eth0.
5. Нужно аккуратно назначать IP адреса для VPS. Пусть, например, ваша VPS застоплена, но вы пытаетесь достучаться до нее из "десктопа на eth1". Запрос дойдет до маршрутизатора, а дальше, по-видимому, уйдет наружу через eth0. И еще хуже, если кто-нибудь на него ответит.
|
|
|
|
| Re: Сеть в OpenVZ [message #21659 is a reply to message #21644] |
Fri, 12 October 2007 18:18 |
erain
Messages: 7
Registered: October 2007
Location: Moscow
|
Junior Member |
|
|
| vaverin wrote on Fri, 12 October 2007 17:34 |
| erain wrote on Fri, 12 October 2007 16:33 |
Я удалил arp entry, доступ с HN и eth1 к VE остался без изменений (остались ли видный IP VE на eth0, проверить немогу). NAT на HN поднят.
|
Внешние входящие ваш nat скорее всего режет? Поэтому доступа снаружи IMHO Вам волноваться не стоит. А вот Вы наружу лишнюю информацию вполне можете кидать: при рестарте VE и ARP entry на ноде обновится, и arpsend пошлет на оба интерфейса оповещение о появлении нового IP, и ARP с VE IP опять уйдет наружу.
NAT-ом это к сожалению не закрывается. нужно либо скрипты править или arptable настраивать.
С уважением,
Василий Аверин
|
Я не пробрасывал порты, поэтому, из eth0 за NAT никто попасть не сможет.
| maratrus wrote on Fri, 12 October 2007 18:34 |
Здравствуйте,
1. Правильно ли я понимаю, что вы не хотите, чтобы информация о ваших VPS шла на хосты в eth0?
2. Скорее всего, дело обстоит так. arp запрос применяется для общения хостов в одной подсети, поэтому:
а) Если "десктоп на eth1" и VPS находятся в разных подсетях, то при удалении entry из arp таблицы, доступ к VPS будет возможен, если пакет дойдет до маршрутизатора (в данном случае, по-видимому, так), иными словами, все зависит от маршрутизации.
б) Если "десктоп на eth1" и VPS находятся в одной подсети, то при удалении entry из arp таблицы как на десктопе, так и на маршрутизаторе, доступ к VPS окажется невозможным, если не указать маршрут непостредственно.
3. Чтобы arpsend при старте/рестарте VPS не посылал пакеты наружу, посмотрите, пожалуйста, следующий скрипт
/usr/lib/vzctl/scripts/vps-functions.
В функциях vzarpipdetect() и vzarpipset(), быть может, Вам придется поправить так, чтобы arpsend рассылал пакеты не на все девайсы, а только на нужные.
4. Скорее всего, NAT нужно будет использовать, так как, как я понимаю, вы хотите иметь из VPS доступ к хостам eth0.
5. Нужно аккуратно назначать IP адреса для VPS. Пусть, например, ваша VPS застоплена, но вы пытаетесь достучаться до нее из "десктопа на eth1". Запрос дойдет до маршрутизатора, а дальше, по-видимому, уйдет наружу через eth0. И еще хуже, если кто-нибудь на него ответит.
|
Здравствуйте.
1. Да, именно этого я и добиваюсь. Мне нужно, что бы VPS-ки видели внешний мир (eth0) только через NAT. Возможно, в данном случае, нужно использовать veth. Но на этом форуме проскакивало сообщение о том, что veth проигрывает venet по производительности.
2. После удаления entry в arp-таблице, маршрутизатор перестает перехватывать бродкасты и тем самым выдавать себя за 172.16.0.1, поэтому с eth1 становится недоступна VPS.
3. Спасибо за совет, посмотрю.
4. Да, из VPS нужен доступ к внешнему миру (eth0), но только обезательно через NAT (мне не нужно делать из маршрутизатора свитч, как получается с использованием venet).
5. Это и логично. Не получив ответа в своей подсети пакет пойдет через маршрутизатор.
|
|
|
|
Goto Forum:
Current Time: Sat Aug 17 20:15:07 GMT 2024
Total time taken to generate the page: 0.02897 seconds
|
OpenVZ Forum
Members
Search
Help
Register
Login
Home
