PV
ну да
а если не секрет, откуда инфа?
Size: a a a
2020 September 17
GG
я понял, теперь сомнений не осталось, что нужно ставить криптопро на самом линуксе и пытаться дёргать изнутри контейнера. ну или сам сервис ставить вне контейнера
А это легитимный сценарий вообще ?
GG
Там же сетевая версия вроде других денег стоит ?
PV
Там же сетевая версия вроде других денег стоит ?
Сетевая? А как называется такая версия?
a
Sergei
Имеется ввиду что-то вроде ?
iptables -t nat -D POSTROUTING -s <container_ip> -j SNAT --to-source <external_interface_ip>
iptables -t nat -D POSTROUTING -s <container_ip> -j SNAT --to-source <external_interface_ip>
Подскажите, а появился ли более нормальный способ указания исходящего ip, чем добавление правила вручную
?
Я вижу, что https://github.com/moby/moby/issues/30053 закрыт, но не понимаю, в какой версии докера поправлено и какой опцией конфигурировать?
iptables -t nat -D POSTROUTING -s <container_ip> -j SNAT --to-source <external_interface_ip>
?
Я вижу, что https://github.com/moby/moby/issues/30053 закрыт, но не понимаю, в какой версии докера поправлено и какой опцией конфигурировать?
AG
а если не секрет, откуда инфа?
какая разница
GG
allter
Подскажите, а появился ли более нормальный способ указания исходящего ip, чем добавление правила вручную
?
Я вижу, что https://github.com/moby/moby/issues/30053 закрыт, но не понимаю, в какой версии докера поправлено и какой опцией конфигурировать?
iptables -t nat -D POSTROUTING -s <container_ip> -j SNAT --to-source <external_interface_ip>
?
Я вижу, что https://github.com/moby/moby/issues/30053 закрыт, но не понимаю, в какой версии докера поправлено и какой опцией конфигурировать?
Это Линукс проблема в целом
GG
Не просто докеровская. Мы с астериском и множествественными сетевухами на это напарывались
GG
Так что - да, с файрволлом это вероятно самый норм метод
a
Это Линукс проблема в целом
В смысле? Если я заранее знаю нужный ip, почему я его не могу прописать в daemon.json, что бы докер за меня создал указанное правило на старте? Просто сейчас вот ребутнули сервер, который работал длительное время. И мало кто помнил про эту штуку. Потерял кучу времени.
Заранее я не могу её выполнить, т.к. нужно дождаться, пока докер создаст свои сети и интерфейсы.
Заранее я не могу её выполнить, т.к. нужно дождаться, пока докер создаст свои сети и интерфейсы.
GG
В прямом смысле. Выбор айпишника с которого уходит исходящий пакет - это ядерная история
GG
Насчёт лайфхака - можешь отказаться от докер сетей и гонять все в host network mode
GG
Или осилить macvlan
a
В прямом смысле. Выбор айпишника с которого уходит исходящий пакет - это ядерная история
Но вот я заранее знаю этот ip (в любом случае на него много что завязано) - он может доставляться на хост с докером с помощью ansible/puppet. Речь не про то, что бы докеровские бриджи на своём уровне догадывались про этот ip. А хотя бы он может просто создавать эту запись в iptables после того, как он создаёт свои интерфейсы/сети. Он же уже умеет создавать MASQUERADE правила.
GG
Вообще история с кучей айпи на одном интерфейсе или с куче айпи на разных интерфейсах и докером не такая частая на самом деле
GG
allter
Но вот я заранее знаю этот ip (в любом случае на него много что завязано) - он может доставляться на хост с докером с помощью ansible/puppet. Речь не про то, что бы докеровские бриджи на своём уровне догадывались про этот ip. А хотя бы он может просто создавать эту запись в iptables после того, как он создаёт свои интерфейсы/сети. Он же уже умеет создавать MASQUERADE правила.
Докер тупой глючный и все такое
GG
Короче, я тебе рекомендую подумать о судьбах мира и о необходимости докера в твоём окружении ) возможно, вы на ровном месте себе приключений придумали
GG
Насчёт лайфхака - можешь отказаться от докер сетей и гонять все в host network mode
Это ускоряет сетевой стек процентов на 5