Tue, 04 Mar 2014 01:16:35 +0400 Artem Chuprina <r...@ran.pp.ru> wrote:
> Alexander GQ Gerasiov -> debian-russian@lists.debian.org @ Mon, 3 > Mar 2014 16:38:54 +0400: > > >> Ну и чтобы виртуальная сетевая подсистема работала в полный рост, > >> а не как у OpenVZ, или, не к ночи будь помянуты, LXC. На VLAN я > >> не настаиваю ;), все-таки виртуальная система, а вот необходимость > >> перезапускать весь OpenVZ на хосте, чтобы заработала еще одна > >> строка в конфигурации iptables (и иметь там для этого рута) - это > >> не дело. > > AGG> Артём, это ты о чем сейчас? Я сейчас на openvz как раз переполз > AGG> с xen, как раз столкнулся с iptables, так вроде ничего не > AGG> пришлось перезапускать на хосте. Добавлять модули ядра > AGG> iptablers в список автозагрузки openvz - да, но рестартовать > AGG> для этого openvz не надо, в рантайме их просто загрузить на > AGG> хосте, после чего в контейнере использовать. > > AGG> Модель сети в openvz - bridge. > > Я помню, что было надо. Я, правда, в последний раз это настраивал два > дистрибутива назад, ну так в текущем stable OpenVZ-ядра вообще > отсутствуют как класс. Там надо было не только модули загрузить, но и > OpenVZ объяснить, что этой машинке их можно. > > Ну вот, может, я вру про ВЕСЬ OpenVZ, но для какой-то настройки, > помнится, пришлось и ВЕСЬ перезапустить. А в норме - виртуалку после > правки конфига. Эти разрешения оно на ходу жрать не могло, а там > что-то про каждый потребный модуль приходилось объяснять. Вот всё что мне потребовалось сделать на днях, это поправить /etc/vz/vz.conf (две строчки) IPTABLES="ipt_REJECT ipt_tos ipt_limit ipt_multiport iptable_filter iptable_mangle ipt_TCPMSS ipt_tcpmss ipt_ttl ipt_length iptable_nat" IPTABLES_MODULES="$IPTABLES nf_conntrack xt_state" И после этого перезапустить _контейнер_, да. Всё. > > Короче, там, где у тебя нет рута на HN, нереально. Ну скажем так, там, где у тебя нет совсем никакого влияния на админа хоста =) > > И еще чего-то там, помнится, на ровном месте не работало даже при > этом. А, multiport. У меня до сих пор в конфиге iptables комментарий > на эту тему при нескольких почти одинаковых строках... > > А если я же и админ HN, то в общем, и OpenVZ хорош. Хотя тоже свои > тараканы. И главный, если вспомнить о тематике рассылки - что ядра в > дистрибутиве больше нет. Ну это особенности политики Debian и некоторой "нестабильности" OpenVZ. Ядро вполне можно использовать из репозитория openvz или pve. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/20140305191224.467a62c3@snail
