n
пришла мне пора пересобрать бакапопомоечку для образов виртуалок, на zfs. проебал и собрал пул raidz2 из 6 4тб жеских с ashift=12, с 8k volblocksize проябывается дополнительно примерно столько же, сколько zvol занимает, лол
Size: a a a
2020 November 29
t
Dockerfile для сборки образа и docker run строчка интересует
FROM cgs/base as base
FROM fedora:31
LABEL version=0.0.1
LABEL cgs_commit=e887be5
COPY --from=base /cg/requirements.txt /cg/requirements.txt
# make directory structure
RUN \
mkdir -p /cg/callbacks ; \
mkdir -p /cg/logs ; \
mkdir -p /cg/tools ; \
mkdir -p /cg/radius ; \
mkdir -p /cg/l2tp ; \
mkdir -p /cg/firewall ; \
dnf update -y ; \
dnf install -y python3-pip iputils bind-utils iproute iproute-tc wireshark-cli procps nginx nginx-mod-stream xl2tpd nc ppp radcli nftables python3-pyroute2 python3-bcc supervisor python3-redis redis jq dnsdist tdb-tools; \
pip3 install -r /cg/requirements.txt ;\
dnf clean all --enablerepo=\* ;\
rm -rf /usr/src/kernels/* ;\
rm -rf /lib/modules/*
# copy configuration
COPY resources /cg/
COPY tools /cg/tools/
COPY cge_provider.json /cg/cge_provider.json
COPY run.sh /cg/run.sh
CMD ["bash", "/cg/run.sh"]
FROM fedora:31
LABEL version=0.0.1
LABEL cgs_commit=e887be5
COPY --from=base /cg/requirements.txt /cg/requirements.txt
# make directory structure
RUN \
mkdir -p /cg/callbacks ; \
mkdir -p /cg/logs ; \
mkdir -p /cg/tools ; \
mkdir -p /cg/radius ; \
mkdir -p /cg/l2tp ; \
mkdir -p /cg/firewall ; \
dnf update -y ; \
dnf install -y python3-pip iputils bind-utils iproute iproute-tc wireshark-cli procps nginx nginx-mod-stream xl2tpd nc ppp radcli nftables python3-pyroute2 python3-bcc supervisor python3-redis redis jq dnsdist tdb-tools; \
pip3 install -r /cg/requirements.txt ;\
dnf clean all --enablerepo=\* ;\
rm -rf /usr/src/kernels/* ;\
rm -rf /lib/modules/*
# copy configuration
COPY resources /cg/
COPY tools /cg/tools/
COPY cge_provider.json /cg/cge_provider.json
COPY run.sh /cg/run.sh
CMD ["bash", "/cg/run.sh"]
n
1701/udp порт надо пробрасывать в контейнер, если я не забыл какой там l2tp порт
t
1701/udp порт надо пробрасывать в контейнер, если я не забыл какой там l2tp порт
так у меня около 100 л2тп контейнеров на каждой докер ноде
n
docker run -p 1.2.3.4:${this_l2tp_port}:1701/udp —name ${this_l2tp_instance_name} l2tpserver:local ?
n
или у тебя там swarm ?
t
или у тебя там swarm ?
да, swarm
t
└──╼ #docker network inspect access-test_tsla
[
{
"Name": "access-test_tsla",
"Id": "w59scl4y8ctd7x31f8gyxeie9",
"Created": "2020-09-05T02:13:50.631569146+06:00",
"Scope": "swarm",
"Driver": "overlay",
"EnableIPv6": false,
"IPAM": {
"Driver": "default",
"Options": null,
"Config": [
{
"Subnet": "10.0.9.0/24",
"Gateway": "10.0.9.1"
}
]
},
"Internal": false,
"Attachable": true,
"Ingress": false,
"ConfigFrom": {
"Network": ""
},
"ConfigOnly": false,
"Containers": {
"95120ea724f6b5a9f87396f7fdfbd030a89288f279a891ce4838c70be59cd7ff": {
"Name": "access-l2tp-test_tsla",
"EndpointID": "69e64ccdedc03cd5c0685544e3d2174aec0ca912b15a6f909800796f407607db",
"MacAddress": "02:42:0a:00:09:61",
"IPv4Address": "10.0.9.97/24",
"IPv6Address": ""
},
"9e85e1f6b1d7c8b92dfe75a8e92ee26d23cca4496364cb413966cca246059f32": {
"Name": "security-test_tsla",
"EndpointID": "84b2774ba4c50b01dd84d1f14d6ddadf1ec6bc669bbdb8c8ca033c4e4a64de90",
"MacAddress": "02:42:0a:00:09:64",
"IPv4Address": "10.0.9.100/24",
"IPv6Address": ""
},
"lb-access-test_tsla": {
"Name": "access-test_tsla-endpoint",
"EndpointID": "aa4338af1de88ae41ed09c4b09a5e1f351d25fa9355fda35e0aa056e84c37902",
"MacAddress": "02:42:0a:00:09:67",
"IPv4Address": "10.0.9.103/24",
"IPv6Address": ""
}
},
"Options": {
"com.docker.network.driver.mtu": "1440",
"com.docker.network.driver.overlay.vxlanid_list": "4106"
},
"Labels": {
"cge_device_access_network": "10.121.0.0/17",
"cge_id": "411",
"cge_image": "10.189.82.151/cgs/mantu",
"cge_name": "TEST_CG",
"cge_operator": "VirtMobile",
"cge_provider_type": "Security",
"cge_uuid": "BF06A866B9F5413EACCEAD1A836CBE39"
},
"Peers": [
{
"Name": "ab15400f5c7b",
"IP": "10.77.1.44"
},
{
"Name": "bb5cd8364306",
"IP": "10.77.1.46"
},
{
"Name": "fc8ef99159c7",
"IP": "10.77.1.45"
},
{
"Name": "3ebeb177a14a",
"IP": "10.77.1.43"
}
]
}
[
{
"Name": "access-test_tsla",
"Id": "w59scl4y8ctd7x31f8gyxeie9",
"Created": "2020-09-05T02:13:50.631569146+06:00",
"Scope": "swarm",
"Driver": "overlay",
"EnableIPv6": false,
"IPAM": {
"Driver": "default",
"Options": null,
"Config": [
{
"Subnet": "10.0.9.0/24",
"Gateway": "10.0.9.1"
}
]
},
"Internal": false,
"Attachable": true,
"Ingress": false,
"ConfigFrom": {
"Network": ""
},
"ConfigOnly": false,
"Containers": {
"95120ea724f6b5a9f87396f7fdfbd030a89288f279a891ce4838c70be59cd7ff": {
"Name": "access-l2tp-test_tsla",
"EndpointID": "69e64ccdedc03cd5c0685544e3d2174aec0ca912b15a6f909800796f407607db",
"MacAddress": "02:42:0a:00:09:61",
"IPv4Address": "10.0.9.97/24",
"IPv6Address": ""
},
"9e85e1f6b1d7c8b92dfe75a8e92ee26d23cca4496364cb413966cca246059f32": {
"Name": "security-test_tsla",
"EndpointID": "84b2774ba4c50b01dd84d1f14d6ddadf1ec6bc669bbdb8c8ca033c4e4a64de90",
"MacAddress": "02:42:0a:00:09:64",
"IPv4Address": "10.0.9.100/24",
"IPv6Address": ""
},
"lb-access-test_tsla": {
"Name": "access-test_tsla-endpoint",
"EndpointID": "aa4338af1de88ae41ed09c4b09a5e1f351d25fa9355fda35e0aa056e84c37902",
"MacAddress": "02:42:0a:00:09:67",
"IPv4Address": "10.0.9.103/24",
"IPv6Address": ""
}
},
"Options": {
"com.docker.network.driver.mtu": "1440",
"com.docker.network.driver.overlay.vxlanid_list": "4106"
},
"Labels": {
"cge_device_access_network": "10.121.0.0/17",
"cge_id": "411",
"cge_image": "10.189.82.151/cgs/mantu",
"cge_name": "TEST_CG",
"cge_operator": "VirtMobile",
"cge_provider_type": "Security",
"cge_uuid": "BF06A866B9F5413EACCEAD1A836CBE39"
},
"Peers": [
{
"Name": "ab15400f5c7b",
"IP": "10.77.1.44"
},
{
"Name": "bb5cd8364306",
"IP": "10.77.1.46"
},
{
"Name": "fc8ef99159c7",
"IP": "10.77.1.45"
},
{
"Name": "3ebeb177a14a",
"IP": "10.77.1.43"
}
]
}
t
1701/udp порт надо пробрасывать в контейнер, если я не забыл какой там l2tp порт
но кажись я допёр, докер нода не знает куда роутить пакеты пришедшие с 192,168,0,0/24
верно?
верно?
n
если у тебя публичный порт сервиса не объявлен оно ничего не будет делать
n
если только не macvlan сеть
t
если у тебя публичный порт сервиса не объявлен оно ничего не будет делать
сейчас 4г устройства таки работают , вот говнище именнов роутинге за этими устройствами
t
если только не macvlan сеть
неее, у меня там overlay
n
порт-то публикуется?
A
FROM cgs/base as base
FROM fedora:31
LABEL version=0.0.1
LABEL cgs_commit=e887be5
COPY --from=base /cg/requirements.txt /cg/requirements.txt
# make directory structure
RUN \
mkdir -p /cg/callbacks ; \
mkdir -p /cg/logs ; \
mkdir -p /cg/tools ; \
mkdir -p /cg/radius ; \
mkdir -p /cg/l2tp ; \
mkdir -p /cg/firewall ; \
dnf update -y ; \
dnf install -y python3-pip iputils bind-utils iproute iproute-tc wireshark-cli procps nginx nginx-mod-stream xl2tpd nc ppp radcli nftables python3-pyroute2 python3-bcc supervisor python3-redis redis jq dnsdist tdb-tools; \
pip3 install -r /cg/requirements.txt ;\
dnf clean all --enablerepo=\* ;\
rm -rf /usr/src/kernels/* ;\
rm -rf /lib/modules/*
# copy configuration
COPY resources /cg/
COPY tools /cg/tools/
COPY cge_provider.json /cg/cge_provider.json
COPY run.sh /cg/run.sh
CMD ["bash", "/cg/run.sh"]
FROM fedora:31
LABEL version=0.0.1
LABEL cgs_commit=e887be5
COPY --from=base /cg/requirements.txt /cg/requirements.txt
# make directory structure
RUN \
mkdir -p /cg/callbacks ; \
mkdir -p /cg/logs ; \
mkdir -p /cg/tools ; \
mkdir -p /cg/radius ; \
mkdir -p /cg/l2tp ; \
mkdir -p /cg/firewall ; \
dnf update -y ; \
dnf install -y python3-pip iputils bind-utils iproute iproute-tc wireshark-cli procps nginx nginx-mod-stream xl2tpd nc ppp radcli nftables python3-pyroute2 python3-bcc supervisor python3-redis redis jq dnsdist tdb-tools; \
pip3 install -r /cg/requirements.txt ;\
dnf clean all --enablerepo=\* ;\
rm -rf /usr/src/kernels/* ;\
rm -rf /lib/modules/*
# copy configuration
COPY resources /cg/
COPY tools /cg/tools/
COPY cge_provider.json /cg/cge_provider.json
COPY run.sh /cg/run.sh
CMD ["bash", "/cg/run.sh"]
Я бы не принял такой докерфайл)
k
k
Да как же они затрахали с этим неудаляемым мусором.
t
порт-то публикуется?
неа
└──╼ #docker inspect access-l2tp-test_tsla| grep -i port
"PortBindings": null,
"PublishAllPorts": false,
"CGE_BROKER_PORT=6379",
"Ports": {},
└──╼ #docker inspect access-l2tp-test_tsla| grep -i port
"PortBindings": null,
"PublishAllPorts": false,
"CGE_BROKER_PORT=6379",
"Ports": {},
n
я вчера слушал стрим на подхрюкивающем канале newsaider там был некий айтишник из США по фамилии ТАЛАН, тот что говорил, что в РФ функционируют левые корневые сертификаты, которые гебуха как-то выморозила у CA, и что ребят, вам в девайсы фактически кейлоггер будут устанавливать, план хуесоса, который сейчас РКН возглавляет именно такой. И скорее всего у вас будут свои собственные магазины приложений так что эту залупу не выпилить. Или гугл с эпплом пошлют этот рыночек нахуй. Гугл же послал китай.
n
скорее бы плешивая залупа сдохла