[Sysadmins] openvz и несколько veth + учет трафика

Eugene Prokopiev =?iso-8859-1?q?prokopiev_=CE=C1_stc=2Edonpac=2Eru?=
Ср Окт 17 10:40:11 MSD 2007 

Aleksey Avdeev пишет:
> Чернов Евгений пишет:
>> Раз сюда послали то делаю форвард из community.
>>
>>    Разбираемся тут с openvz на сервере четвертом. Возникла проблема, даже
> ...
>> proxy_arp,forwarding). Запихнули все настройки хост-машины в
>> /etc/net/veth<xxx.0>. Сразу первый вопрос возник. Сеть поднимается
>> раньше openvz, следовательно veth интерфейс ещё не доступен и настроить
>> не получается(при restart хост-машины хана сети). Как по правильному
>> прописывать данное дело? Может скрипт какой есть для дергания veth после
>> поднятия openvz? И второй вопрос более общий после привязывания из
>> контейнера двух интерфейсов к внешним на хотс-машине и поднятия на всех
>> интерфейсах proxy_arp и forwarding не поплохеет серверу? Или правилами
>> задавить на хост-машине трафик между eth0<->eth1 ?
> 
>   Мне понравилось работать с veth через бриджи. Алгоритм примерно такой:
> 
> 1. Создаём бриджи (с IFUP_PARENTS=no, чтобы мог подниматься при
> отсутствии родителей), и все настройки делаем в них.
> 
> 2. veth загоняем в нужные бриджи.
> 
> 3. При поднятии VE -- реконфигурируем бриджи (дёргаем setup-bri)
> 
>   По идее, новые vzctl и etcnet должны быть обучены подобной
> функциональности.
> 
> PS: См.
> <http://lists.altlinux.org/pipermail/sysadmins/2007-September/011469.html>
> и
> <http://lists.altlinux.org/pipermail/sysadmins/2007-October/011959.html>,
> как пример использования.

Я делаю так - 
http://git.altlinux.ru/people/enp/packages/?p=docs-linux_ha_openvz-enp.git;a=blob;f=linux_ha_openvz/doc/had%2Bdrbd%2Bopenvz-final.tex;h=b84b48a24e9578a924039f578b9bb0d234806449;hb=e047be676947109d673f311b72391cbd7ebc54b0

Искать по слову vznet.conf

Описана более сложная схема с HA, но его можно игнорировать, для одного 
сервера все будет точно так же.

Кстати, есть такая проблема: если в VE будет жить роутер между LAN и 
WAN, и есть необходимость считать трафик по адресам LAN, то чем это 
делать? ULOG очень удобен, т.к. позволяет совместить учет с правилами 
firewall, но в VE он не работает, в bugzilla.openvz.org реакции пока 
нет, так что если это и появится, то не скоро.

Остаются pcap-based tools, с ними никогда дела не имел, поэтому вопросы:

1) что из них лучше?
2) есть ли такое, которое считает не только IP (раз уж мы спустились на 
уровень ниже)?
3) на каком интерфейсе правильнее считать (интерфейс в HN? сохранится ли 
на нем информация о серых внутренних адресах?)?

-- 
С уважением,
Прокопьев Евгений

Подробная информация о списке рассылки Sysadmins