В XCP 1.6 есть официальный антиспуфинг
Параметры vif locking-mode, ipv4-allowed, ipv6-allowed
Есть одно "но" - оно сломано в XCP 1.6, патч заслан в апстрим и принят.
03.04.2013 16:00, Dmitrij Nemirskij пишет:
Приветствую!
Возникла необходимость запретить менять клиентам IP и MAC адреса на виртуальных машинах. Чувствую, что это можно сделать при помощи OVS, но как вижу, документировано все это очень плохо.
Возможно ктото пнет в нужном направление?
--
Вы получили это сообщение, поскольку подписаны на группу xen-hosting.
Чтобы отказаться от подписки на эту группу и перестать получать из нее сообщения, отправьте электронное письмо на адрес xen-hosting+unsubscribe@googlegroups.com.
Подробнее о функциях можно узнать на странице https://groups.google.com/groups/opt_out.
--
Вы получили это сообщение, поскольку подписаны на группу xen-hosting.
Чтобы отказаться от подписки на эту группу и перестать получать из нее сообщения, отправьте электронное письмо на адрес xen-hosting+unsubscribe@googlegroups.com.
Подробнее о функциях можно узнать на странице https://groups.google.com/groups/opt_out.
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫и locking-mode locked О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫о ipv4-allowed О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫.
3 О©╫О©╫О©╫О©╫О©╫О©╫ 2013 О©╫., 16:09 О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ George Shuklin <george....@gmail.com> О©╫О©╫О©╫О©╫О©╫О©╫О©╫:
О©╫ XCP 1.6 О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ vif locking-mode, ipv4-allowed, ipv6-allowed
О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫ "О©╫О©╫" - О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ XCP 1.6, О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫.
03.04.2013 16:00, Dmitrij Nemirskij О©╫О©╫О©╫О©╫О©╫:
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫!
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ IP О©╫ MAC О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫. О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ OVS, О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫.
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫?
--
О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ xen-hosting.
О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ xen-hosting...@googlegroups.com.
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ https://groups.google.com/groups/opt_out.
--
О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ xen-hosting.
О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ xen-hosting...@googlegroups.com.
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ https://groups.google.com/groups/opt_out.
--
О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ xen-hosting.
О©╫
О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ xen-hosting...@googlegroups.com.
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ https://groups.google.com/groups/opt_out.
О©╫
О©╫
Работает. Глюки могут быть на xenbr1, 2 и т.д. и vif старше первого.
03.04.2013 17:06, Dmitrij Nemirskij пишет:
Действительно, если locking-mode locked от смены мака, защищает, то ipv4-allowed не работает.
3 апреля 2013 г., 16:09 пользователь George Shuklin <george....@gmail.com> написал:
В XCP 1.6 есть официальный антиспуфинг
Параметры vif locking-mode, ipv4-allowed, ipv6-allowed
Есть одно "но" - оно сломано в XCP 1.6, патч заслан в апстрим и принят.
03.04.2013 16:00, Dmitrij Nemirskij пишет:
Приветствую!
Возникла необходимость запретить менять клиентам IP и MAC адреса на виртуальных машинах. Чувствую, что это можно сделать при помощи OVS, но как вижу, документировано все это очень плохо.
Возможно ктото пнет в нужном направление?
--
Вы получили это сообщение, поскольку подписаны на группу xen-hosting.
Чтобы отказаться от подписки на эту группу и перестать получать из нее сообщения, отправьте электронное письмо на адрес xen-hosting...@googlegroups.com.
Подробнее о функциях можно узнать на странице https://groups.google.com/groups/opt_out.
--
Вы получили это сообщение, поскольку подписаны на группу xen-hosting.
Чтобы отказаться от подписки на эту группу и перестать получать из нее сообщения, отправьте электронное письмо на адрес xen-hosting...@googlegroups.com.
Подробнее о функциях можно узнать на странице https://groups.google.com/groups/opt_out.
--
Вы получили это сообщение, поскольку подписаны на группу xen-hosting.
Чтобы отказаться от подписки на эту группу и перестать получать из нее сообщения, отправьте электронное письмо на адрес xen-hosting...@googlegroups.com.
Подробнее о функциях можно узнать на странице https://groups.google.com/groups/opt_out.
--
Вы получили это сообщение, поскольку подписаны на группу xen-hosting.
Чтобы отказаться от подписки на эту группу и перестать получать из нее сообщения, отправьте электронное письмо на адрес xen-hosting...@googlegroups.com.
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫?
[root@h08-g01 ~]# xe vif-param-list uuid=ab9e8400-ca4d-3b6f-6dba-5d355e165459
uuid ( RO) О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫: ab9e8400-ca4d-3b6f-6dba-5d355e165459О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫vm-uuid ( RO): 477cdfae-fcb2-05d7-e56f-fa8334486d13О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫vm-name-label ( RO): CentOS 6 (64-bit) (1)О©╫ О©╫ О©╫ О©╫ О©╫ allowed-operations (SRO): attach; unplugО©╫ О©╫ О©╫ О©╫ О©╫ current-operations (SRO):О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ device ( RO): 0О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫MAC ( RO): 0e:2c:0a:06:d3:56О©╫ О©╫ О©╫ О©╫ О©╫ О©╫MAC-autogenerated ( RO): trueО©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫MTU ( RO): 1500О©╫ О©╫ О©╫ О©╫ О©╫ currently-attached ( RO): trueО©╫ О©╫ О©╫ О©╫ О©╫ qos_algorithm_type ( RW):О©╫ О©╫ О©╫ О©╫ qos_algorithm_params (MRW):О©╫ О©╫ qos_supported_algorithms (SRO):О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ other-config (MRW):О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ network-uuid ( RO): 952f0dce-724e-de35-5d8a-ed2d5494b345О©╫ О©╫ О©╫ О©╫ О©╫ network-name-label ( RO): bondО©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫io_read_kbs ( RO): 0.293О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ io_write_kbs ( RO): 0.071О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ locking-mode ( RW): lockedО©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ ipv4-allowed (SRW): 185.11.104.17О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ О©╫ ipv6-allowed (SRW):О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫ ip, О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫.
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫, vif, О©╫О©╫, О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫.
3 О©╫О©╫О©╫О©╫О©╫О©╫ 2013 О©╫., 17:10 О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ George Shuklin <george....@gmail.com> О©╫О©╫О©╫О©╫О©╫О©╫О©╫:
Дефолтный XCP работает только с vif0 и xenbr0 (глюк в скрипте).
Если условия выполнены, покажи ovs-ofctl dump-flows xenbr0.
03.04.2013 17:17, Dmitrij Nemirskij пишет:
Работает в смысле с патчем?
[root@h08-g01 ~]# xe vif-param-list uuid=ab9e8400-ca4d-3b6f-6dba-5d355e165459
uuid ( RO) : ab9e8400-ca4d-3b6f-6dba-5d355e165459vm-uuid ( RO): 477cdfae-fcb2-05d7-e56f-fa8334486d13
vm-name-label ( RO): CentOS 6 (64-bit) (1)
allowed-operations (SRO): attach; unplugcurrent-operations (SRO):device ( RO): 0
MAC ( RO): 0e:2c:0a:06:d3:56
О©╫ О©╫О©╫О©╫ О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫, О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫т xenbr0, О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫.
3 О©╫О©╫О©╫О©╫О©╫О©╫ 2013 О©╫., 17:25 О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ George Shuklin <george....@gmail.com> О©╫О©╫О©╫О©╫О©╫О©╫О©╫:
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ XCP О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ vif0 О©╫ xenbr0 (О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫).
О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫О©╫ ovs-ofctl dump-flows xenbr0.
03.04.2013 17:17, Dmitrij Nemirskij О©╫О©╫О©╫О©╫О©╫:
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫?
[root@h08-g01 ~]# xe vif-param-list uuid=ab9e8400-ca4d-3b6f-6dba-5d355e165459
тогда накладывать патч. Там умники перепутали bridge number и device number.
https://github.com/xen-org/xen-api/pull/953
Кстати, на бондинге не проверял, интересно будет узнать.
03.04.2013 17:34, Dmitrij Nemirskij пишет:
В том то и дело, что у меня нет xenbr0, два интерфейса в бондинге.
3 апреля 2013 г., 17:25 пользователь George Shuklin <george....@gmail.com> написал:
Дефолтный XCP работает только с vif0 и xenbr0 (глюк в скрипте).
Если условия выполнены, покажи ovs-ofctl dump-flows xenbr0.
03.04.2013 17:17, Dmitrij Nemirskij пишет:
Работает в смысле с патчем?
[root@h08-g01 ~]# xe vif-param-list uuid=ab9e8400-ca4d-3b6f-6dba-5d355e165459
uuid ( RO) : ab9e8400-ca4d-3b6f-6dba-5d355e165459vm-uuid ( RO): 477cdfae-fcb2-05d7-e56f-fa8334486d13
vm-name-label ( RO): CentOS 6 (64-bit) (1)
allowed-operations (SRO): attach; unplugcurrent-operations (SRO):device ( RO): 0
MAC ( RO): 0e:2c:0a:06:d3:56
О©╫О©╫О©╫О©╫О©╫, О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ DHCP?О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ windows.
4 О©╫О©╫О©╫О©╫О©╫О©╫ 2013 О©╫., 15:49 О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ Dmitrij Nemirskij <dmitrij.v...@gmail.com> О©╫О©╫О©╫О©╫О©╫О©╫О©╫:
О©╫О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫, О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫.
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫ MAC, О©╫О©╫О©╫ О©╫ О©╫О©╫ IP, О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫.
3 О©╫О©╫О©╫О©╫О©╫О©╫ 2013 О©╫., 18:21 О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ Dmitrij Nemirskij <dmitrij.v...@gmail.com> О©╫О©╫О©╫О©╫О©╫О©╫О©╫:
О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫.
3 О©╫О©╫О©╫О©╫О©╫О©╫ 2013 О©╫., 17:41 О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ George Shuklin <george....@gmail.com> О©╫О©╫О©╫О©╫О©╫О©╫О©╫:
О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫. О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ bridge number О©╫ device number.
https://github.com/xen-org/xen-api/pull/953
О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫.
03.04.2013 17:34, Dmitrij Nemirskij О©╫О©╫О©╫О©╫О©╫:
О©╫ О©╫О©╫О©╫ О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫, О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫т xenbr0, О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫.
3 О©╫О©╫О©╫О©╫О©╫О©╫ 2013 О©╫., 17:25 О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ George Shuklin <george....@gmail.com> О©╫О©╫О©╫О©╫О©╫О©╫О©╫:
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ XCP О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ vif0 О©╫ xenbr0 (О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫).
О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫О©╫ ovs-ofctl dump-flows xenbr0.
03.04.2013 17:17, Dmitrij Nemirskij О©╫О©╫О©╫О©╫О©╫:
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫?
[root@h08-g01 ~]# xe vif-param-list uuid=ab9e8400-ca4d-3b6f-6dba-5d355e165459
У нас статика. И я долгое время думаю о реализации некоей разновидности xenstore-dhcp, но всё руки не дойдут реализовать его по-человечески.
Основная идея: пакет заменяет dhclient и ведёт себя аналогично, но адрес читает из xenstore. И вместо аренды он подписан на изменения в xenstore и при первом чихе (смене адреса) меняет его на VM.
Прелесть подобного подхода - в случае с неожиданной реакцией софта на смену IP она будет полностью аналогична ситуации с dhcp, плюс становится очень лёгкой миграция между бареметалл и xen'ом.
Основная проблема: расковырять все особенности работы CLI dhcplient. Надо сесть и разобраться, но руки не доходят. Если кто-то готов скооперироваться - вместе будет веселее.
(планирую в опенсорс).
04.04.2013 17:10, Dmitrij Nemirskij пишет:
Ребят, а подскажите, кто так конфигурирует сеть, может я изобретаю велосипед с DHCP?
Тот же вопрос с учетными данными в новом контейнере, особенно на windows.
4 апреля 2013 г., 15:49 пользователь Dmitrij Nemirskij <dmitrij.v...@gmail.com> написал:
На двух нодах, с бондингом, работает.
Работает как по MAC, так и по IP, которых можно задать несколько.
3 апреля 2013 г., 18:21 пользователь Dmitrij Nemirskij <dmitrij.v...@gmail.com> написал:
Уже поднял тестовую платформу, по результатам отпишусь.
3 апреля 2013 г., 17:41 пользователь George Shuklin <george....@gmail.com> написал:
тогда накладывать патч. Там умники перепутали bridge number и device number.
https://github.com/xen-org/xen-api/pull/953
Кстати, на бондинге не проверял, интересно будет узнать.
03.04.2013 17:34, Dmitrij Nemirskij пишет:
В том то и дело, что у меня нет xenbr0, два интерфейса в бондинге.
3 апреля 2013 г., 17:25 пользователь George Shuklin <george....@gmail.com> написал:
Дефолтный XCP работает только с vif0 и xenbr0 (глюк в скрипте).
Если условия выполнены, покажи ovs-ofctl dump-flows xenbr0.
03.04.2013 17:17, Dmitrij Nemirskij пишет:
Работает в смысле с патчем?
[root@h08-g01 ~]# xe vif-param-list uuid=ab9e8400-ca4d-3b6f-6dba-5d355e165459
uuid ( RO) : ab9e8400-ca4d-3b6f-6dba-5d355e165459vm-uuid ( RO): 477cdfae-fcb2-05d7-e56f-fa8334486d13
vm-name-label ( RO): CentOS 6 (64-bit) (1)
allowed-operations (SRO): attach; unplugcurrent-operations (SRO):device ( RO): 0
MAC ( RO): 0e:2c:0a:06:d3:56
У нас третий месяц в продакте крутится реализация автоматической конфигурации серверов, за исключением нескольких факапов с внутренним DNS полёт нормальный.
Сделано на интеграции chef c внешними системами.
С точки зрения клиентского linux-шаблона, dhclient получает порцию расширенных параметров и отдаёт systemd, который скармливает всё sh-скриптам. Сетевые настройки, пароль прокси, ключик итд автоматически раздаются и все счастливы.
Едиенственное, это не xcp, чистый xen 4.2 + глубокая chef-интеграция.
--
Best regards,
Eugene Istomin
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫-О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫. О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫.
О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫ dhcp, О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫. О©╫О©╫О©╫О©╫О©╫О©╫, dhcp О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ python, О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫.
О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫. О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ xenstore-dhcp, О©╫О©╫ О©╫сё О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫-О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫.
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫: О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ dhclient О©╫ О©╫О©╫дёО©╫ О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ xenstore. О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ xenstore О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫ (О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫) О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫ VM.
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ - О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ IP О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ dhcp, О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ лёО©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ xen'О©╫О©╫.
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫: О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ CLI dhcplient. О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫. О©╫О©╫О©╫О©╫ О©╫О©╫О©╫-О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ - О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫.
(О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫).
04.04.2013 17:10, Dmitrij Nemirskij О©╫О©╫О©╫О©╫О©╫:
О©╫О©╫О©╫О©╫О©╫, О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ DHCP?
О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ windows.
4 О©╫О©╫О©╫О©╫О©╫О©╫ 2013 О©╫., 15:49 О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ Dmitrij Nemirskij <dmitrij.v...@gmail.com> О©╫О©╫О©╫О©╫О©╫О©╫О©╫:
О©╫О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫, О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫.
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫ О©╫О©╫ MAC, О©╫О©╫О©╫ О©╫ О©╫О©╫ IP, О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫.
3 О©╫О©╫О©╫О©╫О©╫О©╫ 2013 О©╫., 18:21 О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ Dmitrij Nemirskij <dmitrij.v...@gmail.com> О©╫О©╫О©╫О©╫О©╫О©╫О©╫:
О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫.
3 О©╫О©╫О©╫О©╫О©╫О©╫ 2013 О©╫., 17:41 О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ George Shuklin <george....@gmail.com> О©╫О©╫О©╫О©╫О©╫О©╫О©╫:
О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫. О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ bridge number О©╫ device number.
https://github.com/xen-org/xen-api/pull/953
О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫.
03.04.2013 17:34, Dmitrij Nemirskij О©╫О©╫О©╫О©╫О©╫:
О©╫ О©╫О©╫О©╫ О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫, О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫ О©╫О©╫т xenbr0, О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫.
3 О©╫О©╫О©╫О©╫О©╫О©╫ 2013 О©╫., 17:25 О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ George Shuklin <george....@gmail.com> О©╫О©╫О©╫О©╫О©╫О©╫О©╫:
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ XCP О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ vif0 О©╫ xenbr0 (О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫).
О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫, О©╫О©╫О©╫О©╫О©╫О©╫ ovs-ofctl dump-flows xenbr0.
03.04.2013 17:17, Dmitrij Nemirskij О©╫О©╫О©╫О©╫О©╫:
О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫ О©╫ О©╫О©╫О©╫О©╫О©╫О©╫?
[root@h08-g01 ~]# xe vif-param-list uuid=ab9e8400-ca4d-3b6f-6dba-5d355e165459
--
О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫О©╫,
О©╫О©╫О©╫О©╫О©╫О©╫ О©╫О©╫О©╫О©╫О©╫О©╫О©╫
Основные проблемы с DHCP:
до исчерпания срока аренды без нарушения RFC вы не можете выдать адрес другой машине
вам надо безумно тщательно следить за тем, чтобы в сети не оказалось другого DHCP-сервера.
антиспуфинг тяжело настраивать - нужно пропускать бродкасты от неправильных IP.
Если сети по какой-то причине нет, машина загрузится в нерабочем состоянии (в случае со статикой - в рабочем).
Лаги от DHCP при загрузке.
Необходимость вести базу MAC-IP, а т.к. маки прописываются в конфиге VM (или в базе xapi), то это, фактически, синхронизация двух БД. Не есть быть гут.
Я надеюсь всё-таки сделать его (xenstore-dhcp) так, чтобы он брал адрес отткуда же, откуда берутся IP для правил антиспуфинга.
04.04.2013 22:19, Sergey Abramyan пишет:
[root@h08-g01 ~]# xe vif-param-list uuid=ab9e8400-ca4d-3b6f-6dba-5d355e165459
uuid ( RO) : ab9e8400-ca4d-3b6f-6dba-5d355e165459vm-uuid ( RO): 477cdfae-fcb2-05d7-e56f-fa8334486d13
vm-name-label ( RO): CentOS 6 (64-bit) (1)
allowed-operations (SRO): attach; unplugcurrent-operations (SRO):device ( RO): 0
MAC ( RO): 0e:2c:0a:06:d3:56