А решилось как-то уже?)
нет, завтра будем досматривать
Eugene
J
нет, завтра будем досматривать
А, ну ты тогда спрашивай если будет подозрение на инфраструктуру.
Вдруг все-таки чо подскажем.
Mikhail
А чего хорошие курсы?
Mikhail
Доки да, на их курсах никогда не был. Помню в своё время мне курсы icnd1-2 по кайфу были
Serhii
Здравствуйте. Подскажите, как правильно настроить публичные IP
у меня есть одна сеть /24
Я ее анонсировал на маршрутизаторе настроил все и добавил эту сеть в опенстек как екстернал
она работает замечательно, вм получают публичный ип, теперь с той же сети я выдаю флоатинг ип и хочу использовать его как доп ип на сервере, ну и когда я его подключаю к серверу флоатинг ип не работает, до тех под пока я не положу свой публичный интерфейс
Илья | 😶☮️🐸
Здравствуйте. Подскажите, как правильно настроить публичные IP
у меня есть одна сеть /24
Я ее анонсировал на маршрутизаторе настроил все и добавил эту сеть в опенстек как екстернал
она работает замечательно, вм получают публичный ип, теперь с той же сети я выдаю флоатинг ип и хочу использовать его как доп ип на сервере, ну и когда я его подключаю к серверу флоатинг ип не работает, до тех под пока я не положу свой публичный интерфейс
отдельный интерфейс в паблик на гипере отдавайте
J
Здравствуйте. Подскажите, как правильно настроить публичные IP
у меня есть одна сеть /24
Я ее анонсировал на маршрутизаторе настроил все и добавил эту сеть в опенстек как екстернал
она работает замечательно, вм получают публичный ип, теперь с той же сети я выдаю флоатинг ип и хочу использовать его как доп ип на сервере, ну и когда я его подключаю к серверу флоатинг ип не работает, до тех под пока я не положу свой публичный интерфейс
А как ты подключаешь к серверу?
У тебя на сервере один интерфейс из self-service сети?
Serhii
отдельный интерфейс в паблик на гипере отдавайте
Можете немного подробней, пожалуйста, я просто с этой сетью бьюсь уже который час и не могу понять, как это все строить правильно, на сколько я понял опенстек больше заточен под приватный клауд, и вот если тебе нужно доступ в инет подключай флоатинг а все остальное через VPC
Serhii
А как ты подключаешь к серверу?
У тебя на сервере один интерфейс из self-service сети?
один инт который имеет пуб адрес второй self-service
J
один инт который имеет пуб адрес второй self-service
Ну так у тебя в таблице маршрутизации дефолт гейтвей через публичный интерфейс.
А плавающий адрес это по сути двусторонний nat 1-to-1 внутри виртуального роутера. Чтоб плавающий ip заработал тебе нужно чтобы виртуалка трафик отправляла с self-service интерфейса.
Serhii
там получается конфликт маршрутов вот оно и не работает
когда подключаю только self-service и потом флоитнг все ок
J
Можешь добавить, например, еще одну таблицу маршрутизации и через pbr правило по ней маршрутизировать трафик.
J
Чот типа
ip route add 0.0.0.0/0 via self-service_gw_ip table my_table
И потом
ip rule add from <self-service-ip> lookup my_table
Serhii
Это же на вм все верно?
Serhii
либо выделить сеть под floating
J
либо выделить сеть под floating
Вот это не понял.
Как ты ни выделяй, а когда у тебя вм с двумя интерфейсами и есть входящий трафик на этих интерфейсах из сетей, которые отличаются от сети сконфигуренной на интерфейсе, у тебя трафик пойдет всегда через один интерфейс, через который прописан дефолт гейтвей.
Serhii
Вот это не понял.
Как ты ни выделяй, а когда у тебя вм с двумя интерфейсами и есть входящий трафик на этих интерфейсах из сетей, которые отличаются от сети сконфигуренной на интерфейсе, у тебя трафик пойдет всегда через один интерфейс, через который прописан дефолт гейтвей.
Ну да ты прав, просто я не понимаю как это работает к примеру у DO у тебе и публичный адрес есть и ты можешь floating прикруть
J
Плавающие адреса задумывались ведь для того чтобы выставить наружу вм из self-service сети, при этом так чтоб она даже не знала что у нее есть плавающий адрес.
J
Ну да ты прав, просто я не понимаю как это работает к примеру у DO у тебе и публичный адрес есть и ты можешь floating прикруть
Я хз как у DO. Я колхозник и чужие облака никогда и не тестил толком и не смотрел как у них сделано)
Serhii
крч, суть я понял либо крутить роут в вм либо нужно как то хитро придумать чтобы оно работало точно так же как других провайдеров
Serhii
J
крч, суть я понял либо крутить роут в вм либо нужно как то хитро придумать чтобы оно работало точно так же как других провайдеров
Выглядит так как будто ничего магического они не делают и предлагают дефолт гейтвей менять)
https://docs.digitalocean.com/products/networking/reserved-ips/how-to/outbound-traffic/
J
У них не плавающий адрес, а заранее созданный порт с адресом, который потом цепляется к какой хочешь VM.
Илья | 😶☮️🐸
У них не плавающий адрес, а заранее созданный порт с адресом, который потом цепляется к какой хочешь VM.
Угу, он и с паблик адресом сразу
Serhii
Выглядит так как будто ничего магического они не делают и предлагают дефолт гейтвей менять)
https://docs.digitalocean.com/products/networking/reserved-ips/how-to/outbound-traffic/
Не, ну они говорят если ты хочешь исходящий трафик отправлять через флоатинг, а тут и входящий не работает когда пуб адрес есть)))
Serhii
У них не плавающий адрес, а заранее созданный порт с адресом, который потом цепляется к какой хочешь VM.
Блет блет)) крч у меня не правильное понимание флоатинг
Serhii
спасибо буду думать как сделать так чтобы эта шляпа работала))
Илья | 😶☮️🐸
И его подключай к инстансу
Serhii
Обычный порт создай
Если бы это я делал себе то я бы публичный адрес не цыплял бы) я готовлю под паблик клауд
Serhii
и там нужно чтобы работало через GUI
Serhii
и про такую сущность как порт не должны юзеры знать
Илья | 😶☮️🐸
?
«Паблик клауд» и «юзеры не должны знать про сущность порт» взаимоисключают друг друга
Serhii
J
Если бы это я делал себе то я бы публичный адрес не цыплял бы) я готовлю под паблик клауд
А почему не можешь как в тестах своих? Инстансы пользователей создавать сразу в публичной сети.
Serhii
А почему не можешь как в тестах своих? Инстансы пользователей создавать сразу в публичной сети.
Я так и создаю все работает, но через неверное понимание флоатинг ип, было реализовано так как, чтобы флоатинг использовались как доп ип если нужно клиенту
Mikhail
Я стесняюсь спросить, а зачем клиенту второй адрес из той же сети?
J
Я так и создаю все работает, но через неверное понимание флоатинг ип, было реализовано так как, чтобы флоатинг использовались как доп ип если нужно клиенту
Ну тут смотря чем твои клиенты пользоваться будут.
Если самописным каким-то веб интерфейсом или shim api, то можешь навертеть самостоятельно как хочешь.
А если opensatckcli, horizon и чистым опенстековским api, то возни с портами и сетями им не избежать.
J
Я стесняюсь спросить, а зачем клиенту второй адрес из той же сети?
Как)
"Здрасьте, я хочу взять у вас 500 мнимальных конфигов с белыми адресами. Мне надо для SEO."
J
Ну а такие же, но поумнее "Здрасьте, я хочу взять у вас минимальный конфиг с 500 адресами"
Mikhail
Как)
"Здрасьте, я хочу взять у вас 500 мнимальных конфигов с белыми адресами. Мне надо для SEO."
Ну так зачем для такого второй флоатинг?
Serhii
Ну например?
ну к примеру, я поднимал апку которая торговала акциями, и обращалась к бирже через апи потом по не понятным причинам она заблочила ип, и чтобы апка дальше общалась с биржей нужно было сменить ип на хетзнере я заказал флоатинг ип и добавил его в вм
J
Ну например?
Например, у тебя сервис который надо биндить строго на один какой-то TCP порт. И тебе надо два экземпляра запустить.
Mikhail
Mikhail
Mikhail
Например, у тебя сервис который надо биндить строго на один какой-то TCP порт. И тебе надо два экземпляра запустить.
Ну и тоже самое, тут не нужен флоатинг
J
Для этого не нужен флоатинг
Ты же спросил не про флотинг, а просто про второй адрес из той же сети.
J
Плавающий адрес эт ток для случаев когда self-service порт наружу выставить охота.
Serhii
Ситуаций когда нужно сменить IP 1000 и люди тебе навели пример в том числе и я
Mikhail
Да, мой косяк надо было дописать что не просто второй, а флоатинг
Serhii
Просто моя проблема в том, что я думалm, что floating работает как у Hetzner к примеру, а там, скорее все, оно работает как то по другому чем в опенстеке
Mikhail
Ну я к тому и веду, что задача другая решается. Просто иметь второй айпи задача, а не флоатинг как второй адрес.
Serhii
Serhii
Всем спасибо за помощь
Serhii
Ну я к тому и веду, что задача другая решается. Просто иметь второй айпи задача, а не флоатинг как второй адрес.
Вот к примеру OVH они дают тебе паблик клауд + туда ты можешь подключить floating значит для чего то это нужно
https://help.ovhcloud.com/csm/en-public-cloud-network-attach-floating-ip-to-instance?id=kb_article_view&sysparm_article=KB0050225
Илья | 😶☮️🐸
Serhii
Failover/load balancing
Да, кстати если тебе нужно настроить keeplived вот и здесь нужен floating
Serhii
как еще один пример
J
Пацаны, а кто расскажет как это работает у digitalocean?
Вот приходит на anchor ip трафик, который снатился с плавающего адреса.
Там они в свои образы тоже пихают pbr правило чтоб ответный трафик шел так же с anchor и натился потом в плавающий?
Или какая-то другая магия?
Serhii
Кст у меня есть там вм я только что посмотрел и их reserved IP это не просто порт и он не подключается к вм, а работает как port-forwarding мне так кажется
J
Кст у меня есть там вм я только что посмотрел и их reserved IP это не просто порт и он не подключается к вм, а работает как port-forwarding мне так кажется
О, класс.
Давай посмотрим, если тебе не трудно)
ip rule show
ip route show
и
cat /etc/iproute2/rt_tables
Serhii
Serhii
щас сек
J
Если там белый айпишник, его можно замазать\зацензурить)
Mikhail
Вот к примеру OVH они дают тебе паблик клауд + туда ты можешь подключить floating значит для чего то это нужно
https://help.ovhcloud.com/csm/en-public-cloud-network-attach-floating-ip-to-instance?id=kb_article_view&sysparm_article=KB0050225
Там в примере private сетка и флоатинг. Это как раз классическая схема, сиречь обычный нат.
Serhii
и здесь нет никакой ифны про floating
J
Там в примере private сетка и флоатинг. Это как раз классическая схема, сиречь обычный нат.
Там они пишут что два варианта)
Старые дроплеты, созданные до 2015 года и созданные из кастомных образов не получают anchor ip и там нат из плавающего адреса прям в белый идет.
А те что после 2015 и из их образов получают anchor ip и нат происходит из\в него.
J
