[sisyphus] Q: OpenVZ и VPS'ы с одинаковыми IP

[sisyphus] Q: OpenVZ и VPS'ы с одинаковыми IP

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 543 bytes --]

С ntpd разобрался, хочу на каждом хосте воткнуть его в отдельный
VPS примерно в такой конфигурации:

VEID 101
hostname = ntpd.`hostname`
ip = 192.168.255.123

И порт 123/UDP NAT'ится внутрь.

Проблема в том, что при старте оно шлёт arp запрос на этот адрес
и в процессе работы на него отвечает.  Т.е. будет ругань.  Можно
от этого как-то избавиться?

-- 
Regards, Alexey I. Froloff
AIF5-RIPN, AIF5-RIPE
-------------------------------------------
  Inform-Mobil, Ltd. System Administrator
       http://www.inform-mobil.ru/

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] Q: OpenVZ и VPS'ы с одинаковыми IP

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 653 bytes --]

On Tue, Sep 19, 2006 at 02:45:35PM +0400, Alexey I. Froloff wrote:
> С ntpd разобрался, хочу на каждом хосте воткнуть его в отдельный
> VPS примерно в такой конфигурации:
> 
> VEID 101
> hostname = ntpd.`hostname`
> ip = 192.168.255.123

Почему 123, не спрашиваю.  А почему 255?

> И порт 123/UDP NAT'ится внутрь.

SNAT?

> Проблема в том, что при старте оно шлёт arp запрос на этот адрес
> и в процессе работы на него отвечает.  Т.е. будет ругань.  Можно
> от этого как-то избавиться?

Я тоже обратил на это внимание, мне это не нравится.
Думаю, как лучше исправить.  Идеи приветствуются.
Upstream ещё не озадачивал.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] Q: OpenVZ и VPS'ы с одинаковыми IP

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 1538 bytes --]

* Dmitry V. Levin <ldv@> [060919 20:56]:
> > VEID 101
> > hostname = ntpd.`hostname`
> > ip = 192.168.255.123
> Почему 123, не спрашиваю.  А почему 255?
А почему нет? ;-)  Можно взять любое другое число, главное чтобы
одинаковое было.  ntpd.conf я правлю при создании темплейта.

> > И порт 123/UDP NAT'ится внутрь.
> SNAT?
DNAT.  И SNAT тоже.  У меня ntpd ещё и как сервер работает,
nagios проверяет [рас]синхронизацию времени на серверах.

И кстати вылезла проблема с "listen on *".  Адрес 127.0.0.1 есть
и на интерфейсе lo и на venet0:

# vzctl exec 101 ip a
1: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
3: venet0: <BROADCAST,POINTOPOINT,NOARP,UP> mtu 1500 qdisc noqueue 
    link/void 
    inet 127.0.0.1/32 scope host venet0
    inet 192.168.255.123/32 scope global venet0:1

Поэтому ntpd не может к нему второй раз прибиндится.

> > Проблема в том, что при старте оно шлёт arp запрос на этот адрес
> > и в процессе работы на него отвечает.  Т.е. будет ругань.  Можно
> > от этого как-то избавиться?
> Я тоже обратил на это внимание, мне это не нравится.
> Думаю, как лучше исправить.  Идеи приветствуются.
В iptables я таких средств не нашёл...

-- 
Regards, Alexey I. Froloff
AIF5-RIPN, AIF5-RIPE
-------------------------------------------
  Inform-Mobil, Ltd. System Administrator
       http://www.inform-mobil.ru/

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] Q: OpenVZ и VPS'ы с одинаковыми IP

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 854 bytes --]

* Dmitry V. Levin <ldv@> [060919 20:56]:
> > Проблема в том, что при старте оно шлёт arp запрос на этот адрес
> > и в процессе работы на него отвечает.  Т.е. будет ругань.  Можно
> > от этого как-то избавиться?
> Я тоже обратил на это внимание, мне это не нравится.
> Думаю, как лучше исправить.  Идеи приветствуются.
vzctl имеет (недокументированную) опцию --skip_arpdetect.  В
результате переменная $SKIP_ARPDETECT принимает значение "yes" и
проверяется в vps-functions:vzarpipdetect().

Добавляем опцию --skip_arpannounce или параметр SKIP_ARPANNOUCE,
и проверяем это в vps-functions:vzarpipset() и может в
vps-functions:vzarp().

Лучше конечно параметр.

-- 
Regards, Alexey I. Froloff
AIF5-RIPN, AIF5-RIPE
-------------------------------------------
  Inform-Mobil, Ltd. System Administrator
       http://www.inform-mobil.ru/

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] Q: OpenVZ и VPS'ы с одинаковыми IP

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1105 bytes --]

On Wed, Sep 20, 2006 at 05:08:51PM +0400, Alexey I. Froloff wrote:
> * Dmitry V. Levin <ldv@> [060919 20:56]:
> > > Проблема в том, что при старте оно шлёт arp запрос на этот адрес
> > > и в процессе работы на него отвечает.  Т.е. будет ругань.  Можно
> > > от этого как-то избавиться?
> > Я тоже обратил на это внимание, мне это не нравится.
> > Думаю, как лучше исправить.  Идеи приветствуются.
> vzctl имеет (недокументированную) опцию --skip_arpdetect.

Потому что это хак.

> В результате переменная $SKIP_ARPDETECT принимает значение "yes" и
> проверяется в vps-functions:vzarpipdetect().
> 
> Добавляем опцию --skip_arpannounce или параметр SKIP_ARPANNOUCE,
> и проверяем это в vps-functions:vzarpipset() и может в
> vps-functions:vzarp().
> 
> Лучше конечно параметр.

Можно, конечно, но на месте upstream'а я бы завёл список ip-адресов,
которые не нужно проверять vzarpipdetect'ом, и список ip-адресов, которые
не нужно анонсировать vzarpipset'ом и vzarp'ом.

Это для того, чтобы в одном контейнере могли мирно сосуществовать
публичные и приватные адреса.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] Q: OpenVZ и VPS'ы с одинаковыми IP

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 757 bytes --]

* Dmitry V. Levin <ldv@> [060920 20:37]:
> Можно, конечно, но на месте upstream'а я бы завёл список ip-адресов,
> которые не нужно проверять vzarpipdetect'ом, и список ip-адресов, которые
> не нужно анонсировать vzarpipset'ом и vzarp'ом.
А где держать этот список и в каком виде?  Что-то типа
ARP_SKIP_DETECT/ARP_SKIP_ANNOUNCE со списком подсетей в
/etc/sysconfig/vz ?

> Это для того, чтобы в одном контейнере могли мирно сосуществовать
> публичные и приватные адреса.
Некоторые приватные адреса могут быть вполне публичными.
Например локалка, где стоят сервера.

-- 
Regards, Alexey I. Froloff
AIF5-RIPN, AIF5-RIPE
-------------------------------------------
  Inform-Mobil, Ltd. System Administrator
       http://www.inform-mobil.ru/

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [sisyphus] Q: OpenVZ и VPS'ы с одинаковыми IP

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 757 bytes --]

On Thu, Sep 21, 2006 at 10:07:37AM +0400, Alexey I. Froloff wrote:
> * Dmitry V. Levin <ldv@> [060920 20:37]:
> > Можно, конечно, но на месте upstream'а я бы завёл список ip-адресов,
> > которые не нужно проверять vzarpipdetect'ом, и список ip-адресов, которые
> > не нужно анонсировать vzarpipset'ом и vzarp'ом.
> А где держать этот список и в каком виде?  Что-то типа
> ARP_SKIP_DETECT/ARP_SKIP_ANNOUNCE со списком подсетей в
> /etc/sysconfig/vz ?

Да, я думаю предложить им такое.

> > Это для того, чтобы в одном контейнере могли мирно сосуществовать
> > публичные и приватные адреса.
> Некоторые приватные адреса могут быть вполне публичными.
> Например локалка, где стоят сервера.

Приватные в узком смысле этого слова.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]