| Re: Unknown iptable module: xt_state, skipped [message #24735 is a reply to message #24663] |
Sat, 08 December 2007 20:59   |
vaverin
Messages: 708
Registered: September 2005
|
Senior Member |
|
|
(пролог)
внутри VE доступны модули, загруженные на HWnode.
(первая серия)
Так как я не знаю подробносетй Вашей ситуации то далее я могу заблуждаться. Однако насколько я понимаю, В Вашем случае модуль изначально не был загружен на ноде, и внутри VE его использовать не полуяалось. После того как Вы добавили модуль в vz.conf он стал грузиться во время запуска старта сервиса vz и стал доступен внутри VE. (happy end, конец первой серии)
(вторая серия)
однако злобный vzctl на старте VE ругается нехорошими словами на новодобавленный модуль. В чем тут причина?
(экскурс в древнюю историю)
У vzctl set опция --iptables (и в конфиге VE может быть прописан список неких модулей). С помощью этих механизмов можно _ограничить_ доступность iptables модулей внутри VE. В старых ядрах (2.6.9) ограничение было жестким -- доступны были только явно указанные модули, использование остальных было запрещено. Каждый iptables модуль имел бит в маске доступных модулей, и ядро при старте VE по этой маске инициализировало эти модули.
А на не виртуализованные модули vzctl научили ругался нехорошими
словами.
(экскурс в несколько менее древнюю историю)
Но практика однако показала что этим механизмом никто не пользуется. А вот добавление новых модулий сильно усложнялось -- в добавок к собственно виртуализации модулей, надо было новый бит в маску добавлять, vzctl править, чтобы он этот бит устанавливал.
поэтому в новых ядрах порешили от маску урезать до более-менее разумных пределов (tables для ipv4, tables для ipv6, коннтраки и еще что-то осталось по-мелочи или недоразумению). Про остальные модули vzctl больше ничего знать не должен -- поскольку теперь они автоматом будут доступны внутри VE если они загружены на HW node.
(наше время)
И вот мы очередной раз видим, что vzctl грубо ругает какой-то модуль. Что тут происходит? По всей вероятности этот модуль оказался прописан в <ve>.conf. поэтому он постоянно попадается на глаза vzctl и тот при старте в очередной раз посылает бедного родственника.
(эпилог)
проверьте конфиг файл VE и уберите оттуда список iptables модулей совсем.
(полный happy end, зановес)
....
(на бис)
А вот если в VE-шном конфиге этого модуля нет -- то обращайтесь еще раз, надо булет разобраться каким образом vzctl пронюхивает про этот модуль.
С уважением,
Василий Аверин
|
|
|
|
OpenVZ Forum
Members
Search
Help
Register
Login
Home
