i
kubernetes не нужон
Size: a a a
2020 November 07
S
За одно спрошу тогда: Подняты сервисы в компоузе, в /etc/docker/daemon.json ключ iptables стоит false, все порты закрыты, к 5432 порту доступ дан с определенного ip, все работает как надо, в постгре которая в контейнере попадаю только с нужного ip, порты реально закрыты. Происходит ребут сервера (по любой причине) и после загрузки, контейнеры поднимаются, но из самих контейнеров нет доступа к внешней сети. Делаем docker-compose stop, затем меняем iptables на true, перезапускаем демон и docker.service, затем docker-compose start. Все поднимается и доступ наружу из контейнеров работает. Но 5432 светится наружу. Далее меняем iptables опять на false, опять демон рестарт и docker.service и все норм, доступ к 5432 только с нужного ip. И это только на некоторых серверах. Не пойму в чем проблема, мож кто сталкивался..
тут удивительно другое, почему это только на НЕКОТОРЫХ серверах. Естественно у тебя не будет доступа к внешней сети из контейнеров без iptables, который при старте выставляет все правила SNAT. Когда ты рестартишь докер и меняешь iptables на false, он эти правила назад не убирает, они остаются до следующего ребута.
i
За одно спрошу тогда: Подняты сервисы в компоузе, в /etc/docker/daemon.json ключ iptables стоит false, все порты закрыты, к 5432 порту доступ дан с определенного ip, все работает как надо, в постгре которая в контейнере попадаю только с нужного ip, порты реально закрыты. Происходит ребут сервера (по любой причине) и после загрузки, контейнеры поднимаются, но из самих контейнеров нет доступа к внешней сети. Делаем docker-compose stop, затем меняем iptables на true, перезапускаем демон и docker.service, затем docker-compose start. Все поднимается и доступ наружу из контейнеров работает. Но 5432 светится наружу. Далее меняем iptables опять на false, опять демон рестарт и docker.service и все норм, доступ к 5432 только с нужного ip. И это только на некоторых серверах. Не пойму в чем проблема, мож кто сталкивался..
iptables в нерабочем виде как выглядит?
i
Похоже что персистентности нет
S
В этом можно легко убедиться запустив команду iptables-save и изучив правила которые добавляет докер, там нет никакой магии. Удачи
SZ
Спасибо за помощь. Ни каких изменений не вносилось, deny incoming, allow outgoing by default и потом отдельные доступы к портам с ip прописывались. У меня есть подозрение что проблема в ufw обертке, судя по issues которые есть на тему docker+ufw
i
В этом можно легко убедиться запустив команду iptables-save и изучив правила которые добавляет докер, там нет никакой магии. Удачи
Так может он свой персистент сделал
S
Спасибо за помощь. Ни каких изменений не вносилось, deny incoming, allow outgoing by default и потом отдельные доступы к портам с ip прописывались. У меня есть подозрение что проблема в ufw обертке, судя по issues которые есть на тему docker+ufw
ufw это такая же недоделанная хренота, как и netplan.
S
Шатл-в-рот в своём стиле.
D
Report on spam message was send to admins. Please be patient.
ms
Добрый вечр. Настроил KVM виртуализацию(CentOs гипервизор и внутри вирт машины). Дальше задался вопросом безопасности.
Цель - вынести комутацию из вирт машин за пределы хост машины.
Большинство инструкций предполагают использование коммутатора и маршрутизатора.
Вопрос - можно ли создать, условно Гипервизор 1-ого уровня, который будет играть роль коммутатора и маршрутизатора, внутри которого будет гипервизор 2-ого уровня в классическом виде, внутри которого будет уже стандартные гостевые ОС.
Все это нужно, т.к. арендуется один мощный сервер (без коммутатора и маршрутизатра, просто юнит в стойке у провайдера), который бьется на кусочки под разные проекты и хочется чтобы эти проекты никак не взаимодействовали друг с другом.
Т.е. условно кривые ручки сделали дыру в безопасности, которую гений хакер нашел, и завладел ресурсами одной гостевой машины, но чтобы он в ней не делал, на другие это никак не влияло бы.
Заранее извиняюсь, если вопрос банальный или отличается от стандартной парадигмы создания серверов. Новичок в этом деле. а хочется сразу грамотно все сделать.
Цель - вынести комутацию из вирт машин за пределы хост машины.
Большинство инструкций предполагают использование коммутатора и маршрутизатора.
Вопрос - можно ли создать, условно Гипервизор 1-ого уровня, который будет играть роль коммутатора и маршрутизатора, внутри которого будет гипервизор 2-ого уровня в классическом виде, внутри которого будет уже стандартные гостевые ОС.
Все это нужно, т.к. арендуется один мощный сервер (без коммутатора и маршрутизатра, просто юнит в стойке у провайдера), который бьется на кусочки под разные проекты и хочется чтобы эти проекты никак не взаимодействовали друг с другом.
Т.е. условно кривые ручки сделали дыру в безопасности, которую гений хакер нашел, и завладел ресурсами одной гостевой машины, но чтобы он в ней не делал, на другие это никак не влияло бы.
Заранее извиняюсь, если вопрос банальный или отличается от стандартной парадигмы создания серверов. Новичок в этом деле. а хочется сразу грамотно все сделать.
DK
Добрый вечр. Настроил KVM виртуализацию(CentOs гипервизор и внутри вирт машины). Дальше задался вопросом безопасности.
Цель - вынести комутацию из вирт машин за пределы хост машины.
Большинство инструкций предполагают использование коммутатора и маршрутизатора.
Вопрос - можно ли создать, условно Гипервизор 1-ого уровня, который будет играть роль коммутатора и маршрутизатора, внутри которого будет гипервизор 2-ого уровня в классическом виде, внутри которого будет уже стандартные гостевые ОС.
Все это нужно, т.к. арендуется один мощный сервер (без коммутатора и маршрутизатра, просто юнит в стойке у провайдера), который бьется на кусочки под разные проекты и хочется чтобы эти проекты никак не взаимодействовали друг с другом.
Т.е. условно кривые ручки сделали дыру в безопасности, которую гений хакер нашел, и завладел ресурсами одной гостевой машины, но чтобы он в ней не делал, на другие это никак не влияло бы.
Заранее извиняюсь, если вопрос банальный или отличается от стандартной парадигмы создания серверов. Новичок в этом деле. а хочется сразу грамотно все сделать.
Цель - вынести комутацию из вирт машин за пределы хост машины.
Большинство инструкций предполагают использование коммутатора и маршрутизатора.
Вопрос - можно ли создать, условно Гипервизор 1-ого уровня, который будет играть роль коммутатора и маршрутизатора, внутри которого будет гипервизор 2-ого уровня в классическом виде, внутри которого будет уже стандартные гостевые ОС.
Все это нужно, т.к. арендуется один мощный сервер (без коммутатора и маршрутизатра, просто юнит в стойке у провайдера), который бьется на кусочки под разные проекты и хочется чтобы эти проекты никак не взаимодействовали друг с другом.
Т.е. условно кривые ручки сделали дыру в безопасности, которую гений хакер нашел, и завладел ресурсами одной гостевой машины, но чтобы он в ней не делал, на другие это никак не влияло бы.
Заранее извиняюсь, если вопрос банальный или отличается от стандартной парадигмы создания серверов. Новичок в этом деле. а хочется сразу грамотно все сделать.
А что за гипервизор?
i
Добрый вечр. Настроил KVM виртуализацию(CentOs гипервизор и внутри вирт машины). Дальше задался вопросом безопасности.
Цель - вынести комутацию из вирт машин за пределы хост машины.
Большинство инструкций предполагают использование коммутатора и маршрутизатора.
Вопрос - можно ли создать, условно Гипервизор 1-ого уровня, который будет играть роль коммутатора и маршрутизатора, внутри которого будет гипервизор 2-ого уровня в классическом виде, внутри которого будет уже стандартные гостевые ОС.
Все это нужно, т.к. арендуется один мощный сервер (без коммутатора и маршрутизатра, просто юнит в стойке у провайдера), который бьется на кусочки под разные проекты и хочется чтобы эти проекты никак не взаимодействовали друг с другом.
Т.е. условно кривые ручки сделали дыру в безопасности, которую гений хакер нашел, и завладел ресурсами одной гостевой машины, но чтобы он в ней не делал, на другие это никак не влияло бы.
Заранее извиняюсь, если вопрос банальный или отличается от стандартной парадигмы создания серверов. Новичок в этом деле. а хочется сразу грамотно все сделать.
Цель - вынести комутацию из вирт машин за пределы хост машины.
Большинство инструкций предполагают использование коммутатора и маршрутизатора.
Вопрос - можно ли создать, условно Гипервизор 1-ого уровня, который будет играть роль коммутатора и маршрутизатора, внутри которого будет гипервизор 2-ого уровня в классическом виде, внутри которого будет уже стандартные гостевые ОС.
Все это нужно, т.к. арендуется один мощный сервер (без коммутатора и маршрутизатра, просто юнит в стойке у провайдера), который бьется на кусочки под разные проекты и хочется чтобы эти проекты никак не взаимодействовали друг с другом.
Т.е. условно кривые ручки сделали дыру в безопасности, которую гений хакер нашел, и завладел ресурсами одной гостевой машины, но чтобы он в ней не делал, на другие это никак не влияло бы.
Заранее извиняюсь, если вопрос банальный или отличается от стандартной парадигмы создания серверов. Новичок в этом деле. а хочется сразу грамотно все сделать.
Эм вынести маршрутизацию или коммутацию?
i
Полностью от коммутации ты не избавиться
DK
у тебя там бриджи?
ms
А что за гипервизор?
Условно арендован сервер, на нем установлена CentOs 8, далее веб-консоли Cockpit, затем KVM виртуализация (Пакет virt-install). Уже после создаются 4 вирт машины Ubuntu, Windows, CentOs 7, CentOs 7
В этом случае гипервизором называю CentOs 8 с cockpit
В этом случае гипервизором называю CentOs 8 с cockpit
AB
Товарищи, дарова. Решил тут подтянуть Питон. Сейчас подбираю материал для изучения и все такое. И вот что-то не могу нагуглить нормально следующий вопрос: Для чего частенько пригождается питон в девопсинге? Интересен настоящий опыт в работе
ms
Эм вынести маршрутизацию или коммутацию?
В терминологии слабо ориентируюсь, сужу по единственному толковому видео, из множества просмотренных https://youtu.be/DuAHpkek_RM?t=451
Вот он говорит словом комутация, трафик от вирт машин, которые будут выходить на коммутатор, и потом на маршрутизатор
Вот он говорит словом комутация, трафик от вирт машин, которые будут выходить на коммутатор, и потом на маршрутизатор
DK
Покажи ip a