| Re: Один внешний ip и множество контейнеров [message #38928 is a reply to message #38919] |
Sat, 20 February 2010 11:36  |
sHaggY_caT
Messages: 144
Registered: August 2008
Location: Moscow, Russian Federatio...
|
Senior Member |
|
|
| Zend wrote on Fri, 19 February 2010 15:46 | Я так понимаю, там PRE\POST-ROUTING не используется вообще?
Т.е., принцип работы немножко другой, чем в http://wiki.openvz.org/NAT ?
Я прошу прощения, опыт работы с Linux и iptables небольшой (работал раньше только с FreeBSD\ipfw), поэтому вопрос может глуповат чуть.. 
|
Если честно, для меня то, как на самом деле работает сеть в OpenVZ, остается, во многом, загадкой.
Если использовать venet, а не veth (venet более предпочтителен при работах на больших нагрузках, veth поддерживает mac-адреса), то можно увидеть вот такие интересности:
[root@vemail03 /]# ip r ls
192.0.2.0/24 dev venet0 scope host
169.254.0.0/16 dev venet0 scope link
default via 192.0.2.1 dev venet0
[root@vemail03 /]#
При этом, конечно, 192.0.2.1 нет где-либо (ни на venet-интерфейсе в VE0, ни в контейнере)
venet он как-бы точка-точка, но выглядит чуть по-другому.
Для того, что бы из контейнера был доступен внешний мир через venet, не нужно вообще ничего, кроме разрешенных, через ядро, форвардов (разумеется, на ноде должны быть прописаны роуты, и все подряд форварды из секьюрности разрешать нельзя, см. статью в wiki quick start)
Вот veth выглядит немного более по-человечески  Он цепляется в обычный бридж с настоящим интерфейсом и себе подобными в VE0, и настраивается один-в-один как Xen, qemu(KVM) виртуалки и вообще linux-bridge
Но, повторюсь, для высоких нагрузок лучше venet
Для ограничения доступа к контейнеру с ноды я использую FORWARD цепочку и соотвествующие правила. Работает. Есть ли способы лучше, не знаю, хотя хотела бы узнать, но в исходниках ковыряться лень.
IT-outsource for UNIX servers,
http://ha-systems.ru
|
|
|
|
OpenVZ Forum
Members
Search
Help
Register
Login
Home
