একটি ভিন্ন শারীরিক নেটওয়ার্ক ইন্টারফেস এবং ডিফল্ট গেটওয়ে ব্যবহার করে ডকার পাত্রগুলি থেকে রাউটিং

পেছনের তথ্য

আমার কাছে দুটি নেটওয়ার্ক ইন্টারফেসের সাথে একটি সার্ভার রয়েছে যা ডকার চলছে। কিছু ভার্চুয়ালাইজেশন সরঞ্জামের মতো ডকার একটি লিনাক্স ব্রিজ ইন্টারফেস তৈরি করে docker0। এই ইন্টারফেসটি একটি আইপি দিয়ে ডিফল্টরূপে কনফিগার করা হয় 172.17.42.1এবং সমস্ত ডকার পাত্রে তাদের গেটওয়ে হিসাবে এই ইন্টারফেসের সাথে যোগাযোগ করে এবং একই /16পরিসরে আইপি ঠিকানা বরাদ্দ করা হয় । আমি এটি বুঝতে পেরেছি, ধারকগুলিতে / থেকে সমস্ত নেটওয়ার্ক ট্র্যাফিক একটি NAT এর মধ্য দিয়ে যায়, সুতরাং বহির্মুখী এটি আসে বলে মনে হয় 172.17.42.1এবং অভ্যন্তরে এটি প্রেরণ হয়ে যায় 172.17.42.1।

আমার সেটআপটি দেখতে এমন দেখাচ্ছে:

                                          +------------+        /
                                          |            |       |
                            +-------------+ Gateway 1  +-------
                            |             | 10.1.1.1   |     /
                     +------+-------+     +------------+    |
                     |     eth0     |                      /
                     |   10.1.1.2   |                      |
                     |              |                      |
                     | DOCKER HOST  |                      |
                     |              |                      | Internet
                     |   docker0    |                      |
                     |   (bridge)   |                      |
                     |  172.17.42.1 |                      |
                     |              |                      |
                     |     eth1     |                      |
                     |  192.168.1.2 |                      \
                     +------+-------+     +------------+    |
                            |             |            |     \
                            +-------------+ Gateway 2  +-------
                                          | 192.168.1.1|       |
                                          +------------+            

সমস্যাটি

আমি রুট থেকে / সেকেন্ডের যে কোনো Docker পাত্রে সব ট্রাফিক চান eth1 192.168.1.2একটি ডিফল্ট গেটওয়ে ইন্টারফেস 192.168.1.1, যখন হোস্ট মেশিনের থেকে / সমস্ত ট্রাফিক থাকার বাইরে যেতে eth0 10.1.1.2একটি ডিফল্ট গেটওয়ে ইন্টারফেস 10.1.1.1। আমি এখন পর্যন্ত বিভিন্ন জিনিস চেষ্টা করেও লাভ করতে পারি নি তবে একটি জিনিস যা আমি মনে করি এটি সংশোধন করা সবচেয়ে নিকটতম তা iproute2 এর মতো ব্যবহার করা:

# Create a new routing table just for docker
echo "1 docker" >> /etc/iproute2/rt_tables

# Add a rule stating any traffic from the docker0 bridge interface should use 
# the newly added docker routing table
ip rule add from 172.17.42.1 table docker

# Add a route to the newly added docker routing table that dictates all traffic
# go out the 192.168.1.2 interface on eth1
ip route add default via 192.168.1.2 dev eth1 table docker

# Flush the route cache
ip route flush cache

# Restart the Docker daemon so it uses the correct network settings
# Note, I do this as I found Docker containers often won't be able
# to connect out if any changes to the network are made while it's     
# running
/etc/init.d/docker restart

আমি যখন কোনও ধারক নিয়ে আসি আমি এগুলি করার পরে একেবারে পিন করতে পারি না। এই ধরণের রাউটিংয়ের জন্য শারীরিক ইন্টারফেসগুলি ঠিক সেভাবেই ব্রিজ ইন্টারফেসগুলি পরিচালনা করা হয় কিনা তা আমি অনিশ্চিত এবং কেবল একটি স্যানিটি পরীক্ষার পাশাপাশি আমি কীভাবে এই আপাতদৃষ্টিতে সহজ কাজটি সম্পাদন করতে পারি তার কোনও টিপস চাই।

আপনাকে iptables সেটআপে আরও দেখতে হবে। ডকার কনটেইনার সাবনেট থেকে উত্পন্ন সমস্ত ট্র্যাফিককে মাস্ক্রেড করে, 172.17.0.0/16 বলুন, 0.0.0.0 এ। আপনি যদি চালান iptables -L -n -t nat, আপনি নাট টেবিলের নীচে পোষ্ট্রুটিং চেইন দেখতে পাবেন যা এটি করে -

চেইন পোষ্ট্রোটিং (নীতিমালা গ্রহণ)
লক্ষ্য সুরক্ষা অপ্ট উত্স গন্তব্য
সমস্ত মাস্ক্রেড করুন - 172.17.0.0/16 0.0.0.0/0

এখন, আপনি এই নিয়মটি সরাতে পারেন এবং এটি এমন একটি নিয়মের সাথে প্রতিস্থাপন করতে পারেন যা আপনার দ্বিতীয় ইন্টারফেসের আইপি - 192.168.1.2 এর ধারকগুলির সাবনেট থেকে উত্পন্ন সমস্ত ট্র্যাফিককে ম্যাসেজ করে। মোছার বিধিটি হবে, ধরেই নেওয়া যে এটি পোষ্ট্রোটিং চেইনের অধীনে প্রথম নিয়ম -

iptables -t nat -D পোষ্ট্রোটিং 1

তারপরে আপনি এই কাস্টম বিধি যুক্ত করুন -

iptables -t nat -A POSTROUTING -s 172.17.0.0/16 -j SNAT - থেকে উত্স 192.168.1.2

একটি বন্ধু এবং আমি এই সঠিক সমস্যার দিকে ছুটে এসেছি যেখানে আমরা ডকারের সমর্থনটি একাধিক নেটওয়ার্ক ইন্টারফেসের সার্ভিসিংয়ের অনুরোধ করতে চাইছিলাম। আমরা বিশেষত এডাব্লুএস ইসি 2 পরিষেবা নিয়ে কাজ করছিলাম যেখানে আমরা অতিরিক্ত ইন্টারফেসগুলি সংযুক্ত / কনফিগারেশন / আনতে যাচ্ছিলাম। এই প্রকল্পে , আপনার যা প্রয়োজন তার চেয়েও অনেক বেশি তাই আমি আপনার এখানে যা প্রয়োজন কেবল তা অন্তর্ভুক্ত করার চেষ্টা করব।

প্রথমত, আমরা যা করেছি তা হল এর জন্য একটি পৃথক রুট টেবিল তৈরি করা eth1:

ip route add default via 192.168.1.2 dev eth1 table 1001

এর পরে আমরা কিছু সংযোগ চিহ্নগুলি আসার জন্য মঙ্গলের টেবিলটি কনফিগার করেছি eth1:

iptables -t mangle -A PREROUTING -i eth1 -j MARK --set-xmark 0x1001/0xffffffff
iptables -t mangle -A PREROUTING -i eth1 -j CONNMARK --save-mark --nfmask 0xffffffff --ctmask 0xffffffff

পরিশেষে আমরা fwmarkআমাদের তৈরি নতুন টেবিলটি ব্যবহার করার জন্য সকলের জন্য এই নিয়মটি যুক্ত করি।

ip rule add from all fwmark 0x1001 lookup 1001

নীচের iptablesকমান্ডটি সংযোগ চিহ্নটি পুনরুদ্ধার করবে এবং তারপরে রাউটিং বিধিটিকে সঠিক রাউটিং টেবিলটি ব্যবহার করার অনুমতি দেবে।

iptables -w -t mangle -A PREROUTING -i docker0 -m conntrack --ctstate RELATED,ESTABLISHED -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff

আমি বিশ্বাস করি যে এটি আমাদের জটিল জটিল উদাহরণগুলির থেকে প্রয়োজনীয় যেখানে (যেমন আমি বলেছিলাম) eth1বুট করার সময় আমাদের প্রকল্পটি সংযুক্তি / কনফিগারেশন / ইন্টারফেসটি আনছিল।

এখন এই উদাহরণটির eth0মাধ্যমে সংযোগগুলি পরিষেবা দেওয়ার থেকে সংযোগগুলি থামিয়ে দেবে না docker0তবে আমি বিশ্বাস করি এটি প্রতিরোধের জন্য আপনি কোনও রাউটিং বিধি যুক্ত করতে পারেন।

মাস্ক্রেড 172.17.42.1 এর পরিবর্তে নয়

 -A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE

যার অর্থ এই বিধিটি সঠিকভাবে কাজ করবে না।

ip rule add from 172.17.42.1 table docker

পরিবর্তে চেষ্টা করুন

ip rule add from 172.17.0.0/16 table docker