Re: Consulta Container 2 Nic OpenVz
- To: Lista Debian <debian-user-spanish@lists.debian.org>
- Subject: Re: Consulta Container 2 Nic OpenVz
- From: "debian@mstaaravin.com.ar" <debian@mstaaravin.com.ar>
- Date: Tue, 2 Mar 2010 00:48:41 -0300
- Message-id: <[🔎] 161e92c31003011948ua3b439fi75c408cca74153fe@mail.gmail.com>
- In-reply-to: <ee5163b51002260409l3538de95oa10bf6c6c1983d2e@mail.gmail.com>
- References: <2aea819d1002241133t751f13b5wdccc90ee2fe87f19@mail.gmail.com> <ee5163b51002250344n47fa69ddu8add9a9b68ac3c79@mail.gmail.com> <161e92c31002251345p390173f9hcf19fa0e93a9e1c9@mail.gmail.com> <ee5163b51002251535o23a052b3g4a32db813cb03d82@mail.gmail.com> <161e92c31002251635j2c5ae267x9eeaad13d9fd682@mail.gmail.com> <2aea819d1002251905m2e0fe2d4v91eb0f0fee5b8f03@mail.gmail.com> <161e92c31002251957p6ec927d6g16b6e11f45271ea6@mail.gmail.com> <2aea819d1002252019n62121db9jd148809c174dce25@mail.gmail.com> <161e92c31002252156t25408baehaedeb6494b2407d4@mail.gmail.com> <ee5163b51002260409l3538de95oa10bf6c6c1983d2e@mail.gmail.com>
2010/2/26 Marc Aymerich <glicerinu@gmail.com>:
> Que quieres decir con discriminar trafico? Yo tengo varios containers
> conectados a multiples redes (NIC por red) y el trafico de la red X
> sale por la interficie fisica de red X' y el trafico de la red Y sale
> por la interficie fisica de red Y'. Para asegurarse de que se comporta
> de esta manera no está de más usar un par de reglas de enrrutado
> dentro del container. Algo como:
>
> ip r add 10.0.0.0/24 dev venet0 src 10.0.0.21
> ip r add 77.206.129.0/24 dev venet0 src 77.206.129.81
>
> De esta forma te aseguras que al passar pro el bridge interno se
> mantienen las ips origen y cuando el HN las encamine lo hará por la
> interficie asociada a cada red.
>
> Encuento al rendimiento, pués no, no lo digo por lo que hay en el wiki
> de openvz. En su dia realizé varias pruevas de performance ya que mis
> servidores tienen mucho trafico y el rendimiento era algo a tener en
> cuenta. Lo que hice fué hacer varios ping -f a través de venet i veth.
> Al analizar los datos pude concluir que las venet tenian entre un
> 10-15% más de desempeño, osea que en el mismo tiempo recivia un 10-15%
> más de paquetes.
Te voy a explicar porque con esa solucion te quedas a medias nada mas.
1ro: Solo te sirve para el trafico saliente de la VM, eso a su vez me
lleva al segundo punto.
2do: Que al pasar todo el trafico por el "bridge interno" siempre la
IP que tengas en los logs sera la de ese "bridge interno".
No te sirve para llevar un control correcto de los logs, ni tampoco si
quiere especificar reglas de acceso en base a MACs/IPs ya que veras
las IPs externas, sino la del "bridge interno".
Si por ejemplo yo quisiera poner un MTA (justo como el que estoy
necesitando ahora) no puedo asignar a mi red local el envio sin
autentificar (por mas que ninca hago eso) y menos que menos poner
restricciones de acceso si quiero que se conecte a mi ssh el host
micasa.no-ip.org y no mioficina.no-ip.org.
Se entiende...?
Si quiere mantener las redes separadas, no hay mas opcion que usar veth.
Y sobre el ping te voy a decir algo al respecto...
ICMP lo entre los pocos resultados que te puede dar es la latencia, NO
el bandwith que por ahi viene la confusion.
Ademas no es lo mismo hacer las pruebas en un ambiente pristino y con
tarjetas/placas de red confiables (para servidores) que con una
Realtek8139/69.
Saludos
--
"La Voluntad es el unico motor de nuestros logros"
<Mstaaravin />
http://mstaaravin.blogspot.com/
Reply to: