AB
Сейчас все вендоры идут в софт ради облаков и в х86 соответственно, а вы всё заливаете про асики и что софтроутеры говно
Лол
Size: a a a
2020 May 13
AP
Сейчас все вендоры идут в софт ради облаков и в х86 соответственно, а вы всё заливаете про асики и что софтроутеры говно
Я такого не говорил, наоборот выше предложил chr. Да и вообще тот же csr1000v любит современный проц с AES-NI, ипсекс кому нужно)
AP
Я похоже путаю людей с оранжевыми никами
Вы у меня салатовый)
AB
Я такого не говорил, наоборот выше предложил chr. Да и вообще тот же csr1000v любит современный проц с AES-NI, ипсекс кому нужно)
Давай больше 10gbs прогони на csr1000v с udp 172 byte
VK
Давай больше 10gbs прогони на csr1000v с udp 172 byte
совершенно стандартный паттерн трафика. у меня с детства так )
AB
совершенно стандартный паттерн трафика. у меня с детства так )
Щито поделать
AP
Давай больше 10gbs прогони на csr1000v с udp 172 byte
Были бы карты овер 10Г и потребность-любые тесты, а так неочем мне спорить беспредметно
AB
Никто тут кстати att vrouter не юзал?
AB
Были бы карты овер 10Г и потребность-любые тесты, а так неочем мне спорить беспредметно
Да даже 5g не будет
k
Есть несколько интерфейсов и IPVS, скажем:
eth0 (10.10.0.0/16) - внутренняя сетка
kube-dummy-if - dummy интерфейс для IPVS, сюда вешаются все сервисные IP из куба (как внешние так и cluster IP)
kube-bridge - бридж с контейнерами на ноде
есть также vlan интерфейс с внешней сеткой
eth0.100 (1.2.3.0/24)
задача:
1. настроить чтобы ответ с source ip 1.2.3.0/24 уходил через eth0.100
2. нужно сделать возможность обращаться с контейнеров к айпишникам 1.2.3.0/24
если перая проблема может быть легко решена дополнительной таблицей маршрутизации со своим gateway и правилом типа:
то со второй задачей возникает проблема:
когда контейнеры генерируют пакеты к 1.2.3.4 они уходят через eth0.100, а должны попадать на dummy интерфейс чтобы быть перенаправленными через IPVS
eth0 (10.10.0.0/16) - внутренняя сетка
kube-dummy-if - dummy интерфейс для IPVS, сюда вешаются все сервисные IP из куба (как внешние так и cluster IP)
kube-bridge - бридж с контейнерами на ноде
есть также vlan интерфейс с внешней сеткой
eth0.100 (1.2.3.0/24)
задача:
1. настроить чтобы ответ с source ip 1.2.3.0/24 уходил через eth0.100
2. нужно сделать возможность обращаться с контейнеров к айпишникам 1.2.3.0/24
если перая проблема может быть легко решена дополнительной таблицей маршрутизации со своим gateway и правилом типа:
ip rule add from 1.2.3.0/24 lookup 100и это работает даже без переключения rp_filter
то со второй задачей возникает проблема:
когда контейнеры генерируют пакеты к 1.2.3.4 они уходят через eth0.100, а должны попадать на dummy интерфейс чтобы быть перенаправленными через IPVS
В общем если кому интересно, то решилось таким образом:
спасибо, всем кто помогал
# Setup custom routing table
ip route add 1.2.3.0/24 dev eth0.100 table 100
ip route add default via 1.2.3.1 table 100
# Replace kernel rp_filter to netfilter module
iptables -t raw -A PREROUTING -i eth0.100 -d 1.2.3.0/24 -j RETURN
iptables -t raw -A PREROUTING -i eth0.100 -m rpfilter --invert -j DROP
echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/eth0.100/rp_filter
# Setup policy based routing
iptables -t mangle -A PREROUTING -i eth0.100 -j CONNMARK --set-mark 0x100
iptables -t mangle -A PREROUTING -j CONNMARK --restore-mark
iptables -t mangle -A PREROUTING -m mark ! --mark 0 -j RETURN
iptables -t mangle -A POSTROUTING -j CONNMARK --save-mark
ip rule add from 1.2.3.0/24 fwmark 0x100 lookup 100
спасибо, всем кто помогал
VK
В общем если кому интересно, то решилось таким образом:
спасибо, всем кто помогал
# Setup custom routing table
ip route add 1.2.3.0/24 dev eth0.100 table 100
ip route add default via 1.2.3.1 table 100
# Replace kernel rp_filter to netfilter module
iptables -t raw -A PREROUTING -i eth0.100 -d 1.2.3.0/24 -j RETURN
iptables -t raw -A PREROUTING -i eth0.100 -m rpfilter --invert -j DROP
echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/eth0.100/rp_filter
# Setup policy based routing
iptables -t mangle -A PREROUTING -i eth0.100 -j CONNMARK --set-mark 0x100
iptables -t mangle -A PREROUTING -j CONNMARK --restore-mark
iptables -t mangle -A PREROUTING -m mark ! --mark 0 -j RETURN
iptables -t mangle -A POSTROUTING -j CONNMARK --save-mark
ip rule add from 1.2.3.0/24 fwmark 0x100 lookup 100
спасибо, всем кто помогал
то есть сделал, как мы говорили )
VK
отлично. Но спасибо, что пришел и поделился. (без шуток)
AV
Давай больше 10gbs прогони на csr1000v с udp 172 byte
При условии, что у нее максимальная лицензия 10Gbps...
k
то есть сделал, как мы говорили )
Не совсем, во первых
Второй момент что маркировка пакетов в OUTPUT действительно не работает, таким образом мне пришлось марикровать всё соединение и добавить from правило iproute
rp_filter 2 не заработал в моём случае, но я нашёл что для более сложных случаев ядерный rp_filter можно заменить на модуль к iptables, что я собственно и сделал.Второй момент что маркировка пакетов в OUTPUT действительно не работает, таким образом мне пришлось марикровать всё соединение и добавить from правило iproute
AB
Alexander Vorobyev
При условии, что у нее максимальная лицензия 10Gbps...
да я говорю что там и 10 не будет
AP
Alexander Vorobyev
При условии, что у нее максимальная лицензия 10Gbps...
Те надо таки попробовать пиписькомерку стенд замутить?)
AV
В общем если кому интересно, то решилось таким образом:
спасибо, всем кто помогал
# Setup custom routing table
ip route add 1.2.3.0/24 dev eth0.100 table 100
ip route add default via 1.2.3.1 table 100
# Replace kernel rp_filter to netfilter module
iptables -t raw -A PREROUTING -i eth0.100 -d 1.2.3.0/24 -j RETURN
iptables -t raw -A PREROUTING -i eth0.100 -m rpfilter --invert -j DROP
echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/eth0.100/rp_filter
# Setup policy based routing
iptables -t mangle -A PREROUTING -i eth0.100 -j CONNMARK --set-mark 0x100
iptables -t mangle -A PREROUTING -j CONNMARK --restore-mark
iptables -t mangle -A PREROUTING -m mark ! --mark 0 -j RETURN
iptables -t mangle -A POSTROUTING -j CONNMARK --save-mark
ip rule add from 1.2.3.0/24 fwmark 0x100 lookup 100
спасибо, всем кто помогал
>>echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter
>>echo 0 > /proc/sys/net/ipv4/conf/eth0.100/rp_filter
Слегка неожиданная часть решения: в плане синтаксиса...
>>echo 0 > /proc/sys/net/ipv4/conf/eth0.100/rp_filter
Слегка неожиданная часть решения: в плане синтаксиса...