Настройка OpenVZ VETH соединения

0

2

Встала задача по настройке сервера с OpenVZ виртуалками. Имеем: физический сервер (CentOS 6), несколько IPv4 адресов, создано два контейнера.

Необходимо второму контейнеру выдать внешний IP адрес (допустим, 1.1.2.2).
Раньше настройкой виртуализации не занимался, но насколько понял из различной документации, для получения контейнером внешнего IP необходимо подключить его при помощи VETH соединения. Выполнил действия, описанные во многих инструкциях. В итоге хост-сервер работает через bridge (vmbr0), для контейнера создан персональный интерфейс (veth200.0):

eth0      Link encap:Ethernet  HWaddr 00:30:48:F1:7F:E6  
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1210 errors:0 dropped:0 overruns:0 frame:0
          TX packets:480 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:105064 (102.6 KiB)  TX bytes:67279 (65.7 KiB)
          Interrupt:16 Memory:fbce0000-fbd00000 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:4 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:433 (433.0 b)  TX bytes:433 (433.0 b)

venet0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:6 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

veth200.0 Link encap:Ethernet  HWaddr 00:18:51:E6:A1:DB  
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:10 errors:0 dropped:0 overruns:0 frame:0
          TX packets:318 errors:0 dropped:4 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:496 (496.0 b)  TX bytes:14678 (14.3 KiB)

vmbr0     Link encap:Ethernet  HWaddr 00:18:51:E6:A1:DB  
          inet addr:1.1.2.1  Bcast:1.1.1.1  Mask:255.255.255.248
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1221 errors:0 dropped:0 overruns:0 frame:0
          TX packets:483 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:83772 (81.8 KiB)  TX bytes:66023 (64.4 KiB)

(Внешний IP адрес сервера заменён, строка inet6 из интерфейсов убрана)

Однако назначить на контейнер адрес не выходит:

# vzlist -a
      CTID      NPROC STATUS    IP_ADDR         HOSTNAME
       110         49 running   192.168.1.110   container1.com
       200         38 running   -               container2.com

При использовании VENET соединения адрес был установлен в 192.168.1.200. Конфиг контейнера выглядит следующим образом:

NETFILTER="stateless"
VE_ROOT="/vz/root/$VEID"
VE_PRIVATE="/vz/private/$VEID"
OSTEMPLATE="centos-6-x86_64-minimal"
ORIGIN_SAMPLE="vswap-2g"
ONBOOT="yes"
NAMESERVER="8.8.8.8 8.8.4.4"
HOSTNAME="container2.com"
NETIF="ifname=eth0,mac=00:18:51:DF:00:52,host_ifname=veth200.0,host_mac=00:18:51:E6:A1:DB,vmbr0"
IPADDR=192.168.1.200

Из самого контейнера сеть недоступна, хотя вроде бы IP адрес присвоен (хоть и не внешний):

eth0      Link encap:Ethernet  HWaddr 00:18:51:DF:00:52  
          inet addr:192.168.1.200  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:41 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:1936 (1.8 KiB)  TX bytes:496 (496.0 b)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

Различные forwarding`и и proxy_arp установил.
Подскажите, пожалуйста, что я забыл сделать?

Ссылка

←	apache 2.4.7 и virtualHost, как теперь Document Roots настраивать?

Несовместимые с линуксом DVRы

→

Какова причина выбора именно VETH, а не VENET?

~~Amet13~~ ★★★★★
(19.01.15 21:09:02 MSK)

Ответ на: комментарий от Amet13 19.01.15 21:09:02 MSK

Обрывочные данные из многочисленных инструкций, лишённых информации для понимания ситуации, связали в моей голове термины «VETH» и «Внешний адрес» во что-то единое.

MacDeveloper
(19.01.15 21:12:42 MSK) автор топика

Ссылка

Используйте venet

vzctl set 101 --ipadd x.x.x.x --save

poiuty ★
(19.01.15 21:39:25 MSK)

Ответ на: комментарий от poiuty 19.01.15 21:39:25 MSK

Закомментировал блок NETIF в конфиге, назначил внешний адрес. В vzlist теперь отображается всё верно, но при попытке сделать пинг из контейнера возникает ошибка «Destination Host Prohibited». iptables в контейнере отключен, форвардинг включён. Что ещё поправить надо?

MacDeveloper
(19.01.15 22:01:30 MSK) автор топика

Ответ на: комментарий от MacDeveloper 19.01.15 22:01:30 MSK

Для того чтобы veth работал как предполагается:

1. На хосте должено быть разрешено прохождение трафика через цепочку FORWARDING внезависимости от того включено ли ip_forward.

2. host_mac в конфигурации VE должен быть

fe:ff:ff:ff:ff:ff

в противном случае у вас будет отваливаться сеть на хосте после останова последнего контейнера.

3. При использовании veth ip-адреса назначаются изнутри контейнера штатными средствами того дистрибутива который работает внутри контейнера.

--ipadd

 работатет только с venet.

trancefer ★★
(19.01.15 23:12:55 MSK)

Ответ на: комментарий от trancefer 19.01.15 23:12:55 MSK

К сожалению, я не особо силён в администрировании серверов с такого аспекта. Можно чуть подробнее насчёт первого пункта?

MacDeveloper
(20.01.15 01:08:29 MSK) автор топика

Ответ на: комментарий от MacDeveloper 20.01.15 01:08:29 MSK

В большинстве случаев хватает запуска:

# iptables -P FORWARDING ACCEPT
# service iptables save

trancefer ★★
(20.01.15 10:35:47 MSK)

Ответ на: комментарий от trancefer 19.01.15 23:12:55 MSK

Не нужно ему форвардинг. Пусть пихает железный интерфейс и свои veth'ы в мост на нулевой ноде, а дальше работает с этим всем так, как будто у него просто несколько компьютеров в общий свич воткнуты.

YAR ★★★★★
(20.01.15 12:43:16 MSK)

Ответ на: комментарий от trancefer 20.01.15 10:35:47 MSK

Ошибка, конечно же, цепочка называется FORWARD:

iptables -P FORWARD ACCEPT

trancefer ★★
(20.01.15 14:25:59 MSK)

Ссылка

Ответ на: комментарий от YAR 20.01.15 12:43:16 MSK

Я просто процитирую это здесь: http://openvz.org/Virtual_Ethernet_device#Automating_the_bridge

Note that as discussed in the troubleshooting section below, bridged packets by default pass through the FORWARD iptables chain. Take care when adding rules to that table that bridged packets are not mistakenly blocked.

trancefer ★★
(20.01.15 14:28:39 MSK)

Ответ на: комментарий от trancefer 20.01.15 14:28:39 MSK

Гм. А ведь не должно, это другой уровень.

YAR ★★★★★
(20.01.15 15:36:53 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	apache 2.4.7 и virtualHost, как теперь Document Roots настраивать?

Admin

Несовместимые с линуксом DVRы

→

Похожие темы