Re: и об облаках

To: debian-russian@lists.debian.org
Subject: Re: и об облаках
From: Alexander GQ Gerasiov <gq@cs.msu.su>
Date: Wed, 5 Mar 2014 19:12:24 +0400
Message-id: <[🔎] 20140305191224.467a62c3@snail>
In-reply-to: <[🔎] 8738izvv7w.fsf@wizzle.ran.pp.ru>
References: <[🔎] 871tykzdze.fsf@wizzle.ran.pp.ru> <[🔎] 20140303163854.0071aa1b@snail> <[🔎] 8738izvv7w.fsf@wizzle.ran.pp.ru>

Tue, 04 Mar 2014 01:16:35 +0400
Artem Chuprina <ran@ran.pp.ru> wrote:

> Alexander GQ Gerasiov -> debian-russian@lists.debian.org  @ Mon, 3
> Mar 2014 16:38:54 +0400:
> 
>  >> Ну и чтобы виртуальная сетевая подсистема работала в полный рост,
>  >> а не как у OpenVZ, или, не к ночи будь помянуты, LXC.  На VLAN я
>  >> не настаиваю ;), все-таки виртуальная система, а вот необходимость
>  >> перезапускать весь OpenVZ на хосте, чтобы заработала еще одна
>  >> строка в конфигурации iptables (и иметь там для этого рута) - это
>  >> не дело.
> 
>  AGG> Артём, это ты о чем сейчас? Я сейчас на openvz как раз переполз
>  AGG> с xen, как раз столкнулся с iptables, так вроде ничего не
>  AGG> пришлось перезапускать на хосте. Добавлять модули ядра
>  AGG> iptablers в список автозагрузки openvz - да, но рестартовать
>  AGG> для этого openvz не надо, в рантайме их просто загрузить на
>  AGG> хосте, после чего в контейнере использовать.
> 
>  AGG> Модель сети в openvz - bridge.
> 
> Я помню, что было надо.  Я, правда, в последний раз это настраивал два
> дистрибутива назад, ну так в текущем stable OpenVZ-ядра вообще
> отсутствуют как класс.  Там надо было не только модули загрузить, но и
> OpenVZ объяснить, что этой машинке их можно.
> 
> Ну вот, может, я вру про ВЕСЬ OpenVZ, но для какой-то настройки,
> помнится, пришлось и ВЕСЬ перезапустить.  А в норме - виртуалку после
> правки конфига.  Эти разрешения оно на ходу жрать не могло, а там
> что-то про каждый потребный модуль приходилось объяснять.
Вот всё что мне потребовалось сделать на днях, это поправить 
/etc/vz/vz.conf (две строчки)

IPTABLES="ipt_REJECT ipt_tos ipt_limit ipt_multiport iptable_filter
iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length iptable_nat"
IPTABLES_MODULES="$IPTABLES nf_conntrack xt_state"

И после этого перезапустить _контейнер_, да.

Всё.

> 
> Короче, там, где у тебя нет рута на HN, нереально.
Ну скажем так, там, где у тебя нет совсем никакого влияния на админа хоста =)

> 
> И еще чего-то там, помнится, на ровном месте не работало даже при
> этом. А, multiport.  У меня до сих пор в конфиге iptables комментарий
> на эту тему при нескольких почти одинаковых строках...
> 
> А если я же и админ HN, то в общем, и OpenVZ хорош.  Хотя тоже свои
> тараканы.  И главный, если вспомнить о тематике рассылки - что ядра в
> дистрибутиве больше нет.
Ну это особенности политики Debian и некоторой "нестабильности" OpenVZ.
Ядро вполне можно использовать из репозитория openvz или pve.

Reply to:

Follow-Ups:
- Re: и об облаках
  - From: Artem Chuprina <ran@ran.pp.ru>

References:
- и об облаках
  - From: Artem Chuprina <ran@ran.pp.ru>
- Re: и об облаках
  - From: Alexander GQ Gerasiov <gq@cs.msu.su>
- Re: и об облаках
  - From: Artem Chuprina <ran@ran.pp.ru>

Prev by Date: Re: и об облаках
Next by Date: Re: и об облаках
Previous by thread: Re: и об облаках
Next by thread: Re: и об облаках
Index(es):
- Date
- Thread