LXC и net.ipv4_forward

0

2

Добрый день!
Подскажите, позможно ли настроить форвардинг внутри контейнера, чтоб не делать этого на хосте??

При создание файлов (в контейнере) в папке /proc/sys/net/ipv4/ ругается, что недостаточно прав.

Умеет ли LXC так делать??

Ссылка

←	Траблы с длинными именами в кириллице

tun/tap в systemd-nspawn

→

Да, умеет. Файл там создавать не надо, там он уже должен быть если ядро в хосте правильно настроено. И даже если ты настроишь форвардинг на хосте, в контейнере его не будет.

anonymous
(14.05.17 16:19:07 MSK)

Ответ на: комментарий от anonymous 14.05.17 16:19:07 MSK

Предположим, у меня есть сетевой интерфейс, который я пробросил в контейнер, он смотрит в интернет. Так же туда подключен виртуальный интерфейс, который идет на виртуальный коммутатор в локальную сеть. Мне нужно, чтобы можно было настроить форвардинг пакетов и задать различные параметры для сетевых соединений ( поменть значение net.ipv4.tcp_keepalive_time, ip_local_port_range к примеру).

Менять эти значения на хосте не хочется. Я так понял, что данные параметры будут одни для всех контейнеров.

Или их можно поменять?

telepuz
(14.05.17 16:48:46 MSK) автор топика

Ответ на: комментарий от telepuz 14.05.17 16:48:46 MSK

Нет. В каждом контейнере свой отдельный /proc, в нём свои значения, которые не зависят от хоста или других контейнеров.

anonymous
(14.05.17 17:29:51 MSK)

Ссылка

используй lxc.hook.start

vel ★★★★★
(14.05.17 17:34:04 MSK)

Ответ на: комментарий от vel 14.05.17 17:34:04 MSK

Я бы предложил стандартный метод настройки sysctl в дистрибутиве, который внутри контейнера.

anonymous
(14.05.17 17:36:11 MSK)

Зависит от ядра. В старых версиях не все параметры можно было делать per namespace.

post-factum ★★★★★
(14.05.17 17:56:17 MSK)

Ссылка

Ответ на: комментарий от anonymous 14.05.17 17:36:11 MSK

Это зависит от того, что запускатся в контейнере.

Если там система, то да, sysctl более правильное решение.

А если там запускается непривилегированный сервис, то hook более правильный вариант.

vel ★★★★★
(14.05.17 18:17:34 MSK)

Ответ на: комментарий от vel 14.05.17 18:17:34 MSK

Спасибо за ответы.
Попробовал выставить настройки на лету (внутри контейнера):
sysctl -w net.ipv4.tcp_keepalive_time=600
sysctl -w net.ipv4.ip_forward=1
Получаю ошибку: sysctl: cannot stat /proc/sys/net/ipv4/tcp_keepalive_time: Нет такого файла или каталога
и для форвардинга похожее

Отредактировал sysctl.conf, форвардинг заработал, а вот время жизни пакетов нет. Хуками по идее тоже самое получится.

В принципе время жизни пакетов не так критично, но если будут ответы или кто-нибудь знает ресурс где контейнеризацию на LXC описывают на более глубоком уровне - буду рад)

telepuz
(14.05.17 18:41:20 MSK) автор топика

Ответ на: комментарий от telepuz 14.05.17 18:41:20 MSK

гм. а что за ~~ведро~~ ядро и версия lxc ?

«lxc.mount.auto = proc sys cgroup» в конфиге есть ?

vel ★★★★★
(14.05.17 20:43:49 MSK)

Ответ на: комментарий от vel 14.05.17 20:43:49 MSK

Стоит дебиан стабильный.
Ядро 3.16
Lxc 1.0.6

telepuz
(15.05.17 00:17:01 MSK) автор топика

Ответ на: комментарий от telepuz 15.05.17 00:17:01 MSK

Дебиан стабильный - это говно мамонта. Для lxc лучше что-нибудь поновее.

anonymous
(15.05.17 09:07:13 MSK)

Ссылка

Ответ на: комментарий от telepuz 15.05.17 00:17:01 MSK

Lxc 1.0.6

Все понятно.

Вменяемая версия LXC - 2.x

vel ★★★★★
(15.05.17 10:09:27 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Траблы с длинными именами в кириллице

Admin

tun/tap в systemd-nspawn

→

Похожие темы