Bug 20143 - При создании OpenVZ контейнера не работает кнопка "Добавить IP-адрес"
Summary: При создании OpenVZ контейнера не работает кнопка "Добавить IP-адрес"
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: alterator-net-iptables (show other bugs)
Version: unstable
Hardware: all Linux
: P3 critical
Assignee: Mikhail Efremov
QA Contact: qa-sisyphus
URL:
Keywords: distro-blocker
Depends on:
Blocks: 19564
  Show dependency tree
 
Reported: 2009-05-22 19:19 MSD by Vitaly Kuznetsov
Modified: 2009-08-17 14:07 MSD (History)
6 users (show)

See Also:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Vitaly Kuznetsov 2009-05-22 19:19:24 MSD
При создании OpenVZ контейнера не работает кнопка "Добавить IP-адрес". Не делает вообще ничего.
Comment 1 Mikhail Gusarov 2009-05-22 19:21:13 MSD
major per BugSeverityPolicy. vz-контейнер-то создался, значит что-то всё-таки работает :)
Comment 2 Vitaly Kuznetsov 2009-05-22 19:24:03 MSD
(В ответ на комментарий №1)
> major per BugSeverityPolicy. vz-контейнер-то создался, значит что-то всё-таки
> работает :)

А какой смысл от такого контейнера без адресов? 

P.S. 2aspsk: кнопка "На главную страницу" тоже ничего не делает
Comment 3 Vitaly Kuznetsov 2009-05-22 19:26:15 MSD
Действительно major. Если после создания вернуться на главную, запустить машину а потом зайти в настройки, то добавить ip-адрес можно.
Comment 4 Vitaly Kuznetsov 2009-05-22 19:30:02 MSD
(В ответ на комментарий №3)
> добавить ip-адрес можно.

Добавить-то можно, но это ни на что не влияет. Даже после перезапуска машина этот адрес не получила (не пингуется).
Comment 5 aspsk 2009-05-25 12:34:27 MSD
Баг на alterator-mkve не подтверждается: на ham1 все работает.

Однако, выданный адрес действительно не пингуется снаружи хоста.
Так что это проблема чисто vz-шная. Предлагаю перевесить этот
баг на правильный продукт.
Comment 6 aspsk 2009-05-25 12:48:44 MSD
Виновник найден. Его зовут alterator-net-iptables.
Открывашка портов не открывает порты на адреса,
выданные vz-машинам.
Comment 7 AEN 2009-05-25 19:22:06 MSD
(В ответ на комментарий №6)
> Виновник найден. Его зовут alterator-net-iptables.
> Открывашка портов не открывает порты на адреса,
> выданные vz-машинам.

Повесьте на него багу, пожалуйста, блокирующую #19564
Comment 8 AEN 2009-08-05 15:29:36 MSD
актуально?
Comment 9 AEN 2009-08-10 03:54:17 MSD
Прошу комментарий от заявителя.
Comment 10 Vitaly Kuznetsov 2009-08-10 13:46:40 MSD
Актуально. Попасть в свежеустановленный контейнер невозможно.
Comment 11 Vladislav Zavjalov 2009-08-13 14:38:03 MSD
Попробую сформулировать проблему с точки зрения altertor-net-iptables. Вероятно, я не вполне все понимаю с vz-контейнерами, так что поправляйте, если что...

У нас на машине есть внутренние и внешние интерфейсы. Под контейнер создается некоторый новый странный интерфейс (по умолчанию - внутренний). При обращении из внешней сети к контейнеру мы натыкается на то, что FORWARD с внешних интерфейсов у нас всегда закрыт.

Проблема в том, что непонятно, как запихать разные сложные случаи в простой интерфейс (который все еще хочется сохранить простым).

Например, можно было бы открыть FORWARD с внешних интерфейсов на внутренние для указанных в интерфейсе "открытых" сервисов. Но это будет означать, что в интерфейсе мы открываем доступ к некоторому одинаковому списку портов не только самого сервера, но и всех его внутренних подсетей, всех контейнеров. Кажется, что это неправильно. А разделять открытые порты для разных интерфейсов - это радикальное изменение (и усложнение) всей идеологии alterator-net-iptables.

Еще вариант -- при создании и настройки контейнера сделать тривиальные правила DNAT (как обычно, через alterator-net-iptables) на те порты, которые этому контейнеру нужно открыть. Но их придется как-то определять - автоматически или через специальный интерфейс, для каждого контейнера отдельно...
Comment 12 Vladislav Zavjalov 2009-08-13 16:50:44 MSD
Обсудив с vitty и george, решили сделать следующюю схему:

* Если у контейнера имеется никому не известный ip - то мы, как и раньше, вынуждены делать вручную те правила DNAT, которые нам нужны. (То есть контейнер получается спрятанным за нашим файерволом, а мы открываем то, что нужно.)

* Если у контейнера есть интерфейс из внешней сети, то мы полностью разрешаем доступ на этот контейнер из этой (только этой) внешней сети. 

(технически: для каждого внешнего интерфейса находим сеть; разрешаем форвардинг с этого интерфейса в эту сеть)
Comment 13 Repository Robot 2009-08-13 23:48:47 MSD
alterator-net-iptables-3.2-alt1 -> sisyphus:

* Thu Aug 13 2009 Vladislav Zavjalov <slazav@altlinux> 3.2-alt1

- Allow forwarding from each external iface to its networks (closes: #20143)
- net-tc: some fixes
Comment 14 AEN 2009-08-14 00:00:00 MSD
Нужели наконец?
2cas: проверьте, пожалуйста. Пока боюсь поздравлять.
Comment 15 Andrey Cherepanov 2009-08-17 14:07:25 MSD
Работает.