Re: lxc и public bridge
9 июня 2014 г., 22:58 пользователь Mikhail A Antonov написал: > 09.06.2014 22:48, Dmitry A. Zhiglov пишет: >> Не моё хозяйтсво. :) Но в принципе идея имеет право на существование. >> >> lxc все же не чиствая виртуалка (так как она не использует VT-x), а >> контейнер-окружение с "виртуализацией" (в кавычках) на уровне >> операционной системы, и даже на одном ядре. Так что, по большому счету >> тут одна честная виртуалка под hyper-v и lxc-контейнеры на ней. >> >> Какой тут плюс. >> >> Hyper-v не позволяет (а может уже позволяет) работать со всякими >> вкусностями типа Hyper-V Dynamic Memory. Держать стопку виртуалок >> оказывается накладно под hyper-v, а одну виртуалку с контейнерами >> более гибко и дешевле. > А зачем вообще использовать hyper-v если можно установить дебиан на > голое железо? > Я обычно ставлю debian на железку, затем сверху ставлю proxmox. Нужна > винда - ок, kvm её умеет. Нужна лёгкая линуксовая виртуалка - ок, ovz. > Нужна потяжелее или ovz не хочется - всё тот же kvm и линукс отлично > запускает. Или там всё-всё на винде и тут вдруг захотелось поиграть с > линуксами? Да, там всё-всё на винде. Вот только нормальную сеть выстроить между офисами оказалось проще на линуксе, затем сайты появились, обвязка для сайтов и так далее... так что потихонечку завоевываем "мир" =)
Re: lxc и public bridge
09.06.2014 22:48, Dmitry A. Zhiglov пишет: > Не моё хозяйтсво. :) Но в принципе идея имеет право на существование. > > lxc все же не чиствая виртуалка (так как она не использует VT-x), а > контейнер-окружение с "виртуализацией" (в кавычках) на уровне > операционной системы, и даже на одном ядре. Так что, по большому счету > тут одна честная виртуалка под hyper-v и lxc-контейнеры на ней. > > Какой тут плюс. > > Hyper-v не позволяет (а может уже позволяет) работать со всякими > вкусностями типа Hyper-V Dynamic Memory. Держать стопку виртуалок > оказывается накладно под hyper-v, а одну виртуалку с контейнерами > более гибко и дешевле. А зачем вообще использовать hyper-v если можно установить дебиан на голое железо? Я обычно ставлю debian на железку, затем сверху ставлю proxmox. Нужна винда - ок, kvm её умеет. Нужна лёгкая линуксовая виртуалка - ок, ovz. Нужна потяжелее или ovz не хочется - всё тот же kvm и линукс отлично запускает. Или там всё-всё на винде и тут вдруг захотелось поиграть с линуксами? -- Best regards, Mikhail - WWW: http://www.antmix.ru/ XMPP: ant...@stopicq.ru signature.asc Description: OpenPGP digital signature
Re: lxc и public bridge
9 июня 2014 г., 22:29 пользователь Mikhail A Antonov написал: > 09.06.2014 22:22, Dmitry A. Zhiglov пишет: >> 9 июня 2014 г., 16:49 пользователь Mikhail A Antonov >> написал: >>> 09.06.2014 16:40, Dmitry A. Zhiglov пишет: 9 июня 2014 г., 15:42 пользователь Dmitry A. Zhiglov написал: > Остается уповать tcpdump? Это какая-то беда в бридже, но черт побери не понятно какая. tcdump показал, что от гостя наружу уходя arp запросы, но назад ничего не возвращается => потому пинга нет ebtables чистный. Изучаю >>> А доходят они до получателя? Отвечает ли получатель? А если получатель >>> пробует пинговать виртуалку? >> Решено! >> >> Ответ неожиданный. Эта lxc-виртуалка работает под управлением hyper-v >> 2012 и вот у него был выключен "МAC spoofing", со всеми вытекающими >> проблемами. >> >> Спасибо за наводку и помощь. > Виртуалка lxc внутри виртуалки hyper-v? А hyper-v случаем не внутри > vmware запущен? :) Не моё хозяйтсво. :) Но в принципе идея имеет право на существование. lxc все же не чиствая виртуалка (так как она не использует VT-x), а контейнер-окружение с "виртуализацией" (в кавычках) на уровне операционной системы, и даже на одном ядре. Так что, по большому счету тут одна честная виртуалка под hyper-v и lxc-контейнеры на ней. Какой тут плюс. Hyper-v не позволяет (а может уже позволяет) работать со всякими вкусностями типа Hyper-V Dynamic Memory. Держать стопку виртуалок оказывается накладно под hyper-v, а одну виртуалку с контейнерами более гибко и дешевле.
Re: lxc и public bridge
09.06.2014 22:22, Dmitry A. Zhiglov пишет: > 9 июня 2014 г., 16:49 пользователь Mikhail A Antonov > написал: >> 09.06.2014 16:40, Dmitry A. Zhiglov пишет: >>> 9 июня 2014 г., 15:42 пользователь Dmitry A. Zhiglov >>> написал: Остается уповать tcpdump? >>> Это какая-то беда в бридже, но черт побери не понятно какая. >>> tcdump показал, что от гостя наружу уходя arp запросы, но назад ничего >>> не возвращается => потому пинга нет >>> ebtables чистный. Изучаю >> А доходят они до получателя? Отвечает ли получатель? А если получатель >> пробует пинговать виртуалку? > Решено! > > Ответ неожиданный. Эта lxc-виртуалка работает под управлением hyper-v > 2012 и вот у него был выключен "МAC spoofing", со всеми вытекающими > проблемами. > > Спасибо за наводку и помощь. Виртуалка lxc внутри виртуалки hyper-v? А hyper-v случаем не внутри vmware запущен? :) -- Best regards, Mikhail - WWW: http://www.antmix.ru/ XMPP: ant...@stopicq.ru signature.asc Description: OpenPGP digital signature
Re: lxc и public bridge
9 июня 2014 г., 16:49 пользователь Mikhail A Antonov написал: > 09.06.2014 16:40, Dmitry A. Zhiglov пишет: >> 9 июня 2014 г., 15:42 пользователь Dmitry A. Zhiglov >> написал: >>> Остается уповать tcpdump? >> Это какая-то беда в бридже, но черт побери не понятно какая. >> tcdump показал, что от гостя наружу уходя arp запросы, но назад ничего >> не возвращается => потому пинга нет >> ebtables чистный. Изучаю > А доходят они до получателя? Отвечает ли получатель? А если получатель > пробует пинговать виртуалку? Решено! Ответ неожиданный. Эта lxc-виртуалка работает под управлением hyper-v 2012 и вот у него был выключен "МAC spoofing", со всеми вытекающими проблемами. Спасибо за наводку и помощь.
Re: lxc и public bridge
09.06.2014 16:40, Dmitry A. Zhiglov пишет: > 9 июня 2014 г., 15:42 пользователь Dmitry A. Zhiglov > написал: >> Остается уповать tcpdump? > > Это какая-то беда в бридже, но черт побери не понятно какая. > tcdump показал, что от гостя наружу уходя arp запросы, но назад ничего > не возвращается => потому пинга нет > ebtables чистный. Изучаю Запросы до другой стороны доходят? она отвечает? А если arp статикой прописать? -- С уважением, Космач Максим -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/5395ae1b.1020...@tcen.ru
Re: lxc и public bridge
09.06.2014 16:40, Dmitry A. Zhiglov пишет: > 9 июня 2014 г., 15:42 пользователь Dmitry A. Zhiglov > написал: >> Остается уповать tcpdump? > Это какая-то беда в бридже, но черт побери не понятно какая. > tcdump показал, что от гостя наружу уходя arp запросы, но назад ничего > не возвращается => потому пинга нет > ebtables чистный. Изучаю А доходят они до получателя? Отвечает ли получатель? А если получатель пробует пинговать виртуалку? -- Best regards, Mikhail - WWW: http://www.antmix.ru/ XMPP: ant...@stopicq.ru signature.asc Description: OpenPGP digital signature
Re: lxc и public bridge
9 июня 2014 г., 15:42 пользователь Dmitry A. Zhiglov написал: > Остается уповать tcpdump? Это какая-то беда в бридже, но черт побери не понятно какая. tcdump показал, что от гостя наружу уходя arp запросы, но назад ничего не возвращается => потому пинга нет ebtables чистный. Изучаю
Re: lxc и public bridge
>> 9 июня 2014 г., 14:05 пользователь Mikhail A Antonov >> написал: >>> 09.06.2014 14:01, Dmitry A. Zhiglov пишет: И вот сделал бридж, и контейнер. Захожу в контейнер, пингую гипервизор, а вот соседние физические сервера не пингуются. С гипервизора могу пиновать, а вот из контейнера не могу. Какой-то затык на гипервизоре и не понимаю где. Подскажите куда копать? Какие конфиги выкатывать? >>> Для начала проверить разрешён ли вообще форвардинг, потом в фаерволе. >>> Форвардинг влияет не только на маршрутизируемые пакеты, но и на бриджи. 9 июня 2014 г., 14:42 пользователь Mikhail A Antonov написал: > 09.06.2014 14:32, Dmitry A. Zhiglov пишет: >> раз >> >> sudo sysctl -a | grep net.ipv4.conf.all.forwarding >> net.ipv4.conf.all.forwarding = 1 >> >> два >> >> sudo iptables -L >> Chain INPUT (policy ACCEPT) >> target prot opt source destination >> >> Chain FORWARD (policy ACCEPT) >> target prot opt source destination >> >> Chain OUTPUT (policy ACCEPT) >> target prot opt source destination >> >> >> Просто уже нет мыслей куда смотреть... > ip a l > Адрес на бридже или на сетевой карте, что смотрит к другим серверам? > iptables-save надёжнее посмотреть чем iptables -L > sysctl -a | grep "net.ipv4.conf.*\.forwarding" везде 1 ? > Маска сети правильная? > Проверить конфиги на прдмет изменения дефолтных значений sysctl. > Довольно часто их меняют по советам каких-то статей в интернетах, не > особо разобравшись зачем. > Ну и на крайний случай - tcpdump и смотреть где пакет ещё есть, а где > уже нет. на бридже указано 2 адреса. Один внешний и второй как внутренний br0 и br0:1 => бридж смотрит наружу двумя адресами 2: eth0: mtu 1500 qdisc pfifo_fast master br0 state UP group default qlen 1000 link/ether 00:15:5d:77:c7:1e brd ff:ff:ff:ff:ff:ff 3: br0: mtu 1500 qdisc noqueue state UP group default link/ether 00:15:5d:77:c7:1e brd ff:ff:ff:ff:ff:ff inet xxx.xxx.xxx.xxx/27 brd xxx.xxx.xxx.xxx scope global br0 valid_lft forever preferred_lft forever inet 192.168.9.33/24 brd 192.168.9.255 scope global br0:1 valid_lft forever preferred_lft forever brctl show bridge name bridge id STP enabled interfaces br0 8000.00155d77c71e no eth0 vethW4J3M7 vethW4J3M7 - вставляет lxc когда запускается контейнер прописан вот так lxc.network.type = veth lxc.network.flags = up lxc.network.link = br0 lxc.network.name = eth0 192.168.9.19 - железный роутер который роутит группу гипервизоров куда и этот гипервизор воткнут одним хвостом с гипервизора пинг есть (см ниже) а с гостя нет пингов и только до гипервизора пакеты ходят lxc:~# ping 192.168.9.19 PING 192.168.9.19 (192.168.9.19) 56(84) bytes of data. 64 bytes from 192.168.9.19: icmp_seq=1 ttl=64 time=0.528 ms Установка гипервизора с нуля была (не я делал). lxc:~# iptables-save # Generated by iptables-save v1.4.21 on Mon Jun 9 14:55:19 2014 *filter :INPUT ACCEPT [3091:680505] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [1249:194661] COMMIT # Completed on Mon Jun 9 14:55:19 2014 "1" везде стоит lxc:~# sysctl -a | grep "net.ipv4.conf.*\.forwarding" net.ipv4.conf.all.forwarding = 1 net.ipv4.conf.br0.forwarding = 1 net.ipv4.conf.default.forwarding = 1 net.ipv4.conf.eth0.forwarding = 1 net.ipv4.conf.eth1.forwarding = 1 net.ipv4.conf.eth2.forwarding = 1 net.ipv4.conf.eth3.forwarding = 1 net.ipv4.conf.eth4.forwarding = 1 net.ipv4.conf.lo.forwarding = 1 net.ipv4.conf.vethW4J3M7.forwarding = 1 Остается уповать tcpdump?
Re: lxc и public bridge
09.06.2014 14:32, Dmitry A. Zhiglov пишет: > раз > > sudo sysctl -a | grep net.ipv4.conf.all.forwarding > net.ipv4.conf.all.forwarding = 1 > > два > > sudo iptables -L > Chain INPUT (policy ACCEPT) > target prot opt source destination > > Chain FORWARD (policy ACCEPT) > target prot opt source destination > > Chain OUTPUT (policy ACCEPT) > target prot opt source destination > > > Просто уже нем мыслей куда смотреть... ip a l Адрес на бридже или на сетевой карте, что смотрит к другим серверам? iptables-save надёжнее посмотреть чем iptables -L sysctl -a | grep "net.ipv4.conf.*\.forwarding" везде 1 ? Маска сети правильная? Проверить конфиги на прдмет изменения дефолтных значений sysctl. Довольно часто их меняют по советам каких-то статей в интернетах, не особо разобравшись зачем. Ну и на крайний случай - tcpdump и смотреть где пакет ещё есть, а где уже нет. > 9 июня 2014 г., 14:05 пользователь Mikhail A Antonov > написал: >> 09.06.2014 14:01, Dmitry A. Zhiglov пишет: >>> И вот сделал бридж, и контейнер. Захожу в контейнер, пингую >>> гипервизор, а вот соседние физические сервера не пингуются. С >>> гипервизора могу пиновать, а вот из контейнера не могу. Какой-то затык >>> на гипервизоре и не понимаю где. >>> >>> Подскажите куда копать? Какие конфиги выкатывать? >> Для начала проверить разрешён ли вообще форвардинг, потом в фаерволе. >> Форвардинг влияет не только на маршрутизируемые пакеты, но и на бриджи. >> >> -- >> Best regards, >> Mikhail >> - >> WWW: http://www.antmix.ru/ >> XMPP: ant...@stopicq.ru >> > > -- Best regards, Mikhail - WWW: http://www.antmix.ru/ XMPP: ant...@stopicq.ru signature.asc Description: OpenPGP digital signature
Re: lxc и public bridge
раз sudo sysctl -a | grep net.ipv4.conf.all.forwarding net.ipv4.conf.all.forwarding = 1 два sudo iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Просто уже нем мыслей куда смотреть... 9 июня 2014 г., 14:05 пользователь Mikhail A Antonov написал: > 09.06.2014 14:01, Dmitry A. Zhiglov пишет: >> И вот сделал бридж, и контейнер. Захожу в контейнер, пингую >> гипервизор, а вот соседние физические сервера не пингуются. С >> гипервизора могу пиновать, а вот из контейнера не могу. Какой-то затык >> на гипервизоре и не понимаю где. >> >> Подскажите куда копать? Какие конфиги выкатывать? > Для начала проверить разрешён ли вообще форвардинг, потом в фаерволе. > Форвардинг влияет не только на маршрутизируемые пакеты, но и на бриджи. > > -- > Best regards, > Mikhail > - > WWW: http://www.antmix.ru/ > XMPP: ant...@stopicq.ru > -- С уважением, Дмитрий А. Жиглов cell phone: +7 (909) 635-9700 private email: dmitry.zhig...@gmail.com fido-netmail: 2:5022/63.21
Re: lxc и public bridge
09.06.2014 14:01, Dmitry A. Zhiglov пишет: > И вот сделал бридж, и контейнер. Захожу в контейнер, пингую > гипервизор, а вот соседние физические сервера не пингуются. С > гипервизора могу пиновать, а вот из контейнера не могу. Какой-то затык > на гипервизоре и не понимаю где. > > Подскажите куда копать? Какие конфиги выкатывать? Для начала проверить разрешён ли вообще форвардинг, потом в фаерволе. Форвардинг влияет не только на маршрутизируемые пакеты, но и на бриджи. -- Best regards, Mikhail - WWW: http://www.antmix.ru/ XMPP: ant...@stopicq.ru signature.asc Description: OpenPGP digital signature
lxc и public bridge
И вот сделал бридж, и контейнер. Захожу в контейнер, пингую гипервизор, а вот соседние физические сервера не пингуются. С гипервизора могу пиновать, а вот из контейнера не могу. Какой-то затык на гипервизоре и не понимаю где. Подскажите куда копать? Какие конфиги выкатывать?