IPVS (LVS/NAT) とiptables DNAT targetの共存について調べた - ntoofu
2019-05-02 TL;DR IPVSはデフォルトでconntrack(標準のconnection tracking)を利用しない そのせいでIPVSに処理させるパケットをNATしたりすると期待通り動かないことがある 必要があれば /proc/sys/net/ipv4/vs/conntrack (net.ipv4.vs.conntrack) を設定しよう 背景 iptablesの DNAT targetと IPVS(LVS/NAT構成)を共存させると上手く行かない PREROUTING chainにおいて REDIRECT target によりポート番号をIPVSのvirtual serviceのものに変換するように設定した場合, REDIRECTされるポートに対し接続すると, 戻り通信(SYNに対するSYN+ACK)の送信元ポートがvirtual serviceのものになる(期待され
iptablesの仕組みを図解 - Carpe Diem
概要 ネットワーク周りでたまに触るiptablesですが、たまになせいで度々忘れてググり直すことが多いので理解しやすいよう図を作ってみました。 iptablesの仕組みを図解 iptablesの構成図 iptablesは以下のように iptables -> Tables -> Chains -> Rules という構成をとっています。 なのでCLIの書き方も # iptables -t {テーブル名} -コマンド {チェーン名} {ルール} といった形で順に指定するフォーマットで書きます。 テーブル テーブルには以下の4つ種類があります。 filterテーブル natテーブル mangleテーブル rawテーブル 各テーブルでは図のようにそれぞれがチェインを持っています。チェインはユーザが独自に定義することも可能です。 それぞれのチェインは初期状態では特にルールを持っておらず、基本ポリシー
iptablesとiproute2を使ってマルチホーム環境でNAT内のサーバーをうまく公開する方法
「普段はISP1を使いつつ、サーバ用には固定IPを貰える(i-revoなどの)ISP0を使いたい」といった、よくあるPPPoEマルチセッション環境におけるNATとポートフォワーディングの問題を解決する。 ネットワーク構成 まずは前提条件を。 構成図 ルータLinuxマシン 物理IF WAN側: eth0 LAN側: eth1 ppp ppp0: ISP0(サーバ用固定IP) ppp1: ISP1(外出用動的IP) IP WAN側: X.X.X.X (ppp0), Y.Y.Y.Y (ppp1) LAN側: 192.168.0.1 (eth1) LAN内ウェブサーバー IP: 192.168.0.2 ウェブサーバーにアクセスしてくる外部のクライアント IP: 192.0.2.4 設定手順 iptablesのパケットフロー図を見ながら読んで欲しい。 まず、内部ホストからの外向きの通信(通常の外出
Understanding How Envoy Sidecar Intercept and Route Traffic in Istio Service Mesh
This article uses Istio's official bookinfo example to explain how Envoy performs routing forwarding after the traffic entering the Pod and forwarded to Envoy sidecar by iptables, detailing the inbound and outbound processing. For a detailed analysis of traffic interception, see Understanding Envoy Sidecar Proxy Injection and Traffic Interception in Istio Service Mesh. NOTE: This blog is mostly tr
Ciliumのkube-proxy置き換えをGKEで試してみた | GRIPHONE ENGINEER'S BLOG
SREの徳田です。 今回はCiliumのv1.7からGAになったKubernetes without kube-proxyのタイトルで出てる、Ciliumによるkube-proxyの置き換えの機能をGKE上で試してみようと思います。 Ciliumとは こちら の記事の後半を見てみると若干書いてあります😌 要はBPFを使いこなし、Blazing Performanceで処理するぞ💪というProductです。 概要についてはこの記事からそれるのでリンクだけおいておきます。 https://cilium.io/ クラスタの準備 それではGKEのクラスタの準備をしましょう。 google-cloud-sdk とGCPに対しての認証とプロジェクトの指定は終わらせているものとします。 CLUSTER_NAME=cilium-cluster CLUSTER_ZONE=asia-northeast1-
iptablesを置き換えるBPFをコンテナネットワークに使うCilium | Think IT(シンクイット)
iptablesの課題を解消し、高速で安全な通信を実現するCiliumとはなにか? KubeConでのプレゼンテーションをベースに解説する。 コンテナを用いたクラウドネイティブなシステムに移行しようとすると、従来の仮想マシンベースのシステムよりも粒度の細かいコンテナワークロードをオーケストレーションする必要がある。昨今Kubernetesが注目されているのは、そのためだ。その際にコンテナ間のネットワークをどのように構成するのか? は、インフラストラクチャーエンジニア、ネットワークエンジニア双方にとって頭が痛い問題である。特に多くのコンテナが連携するシステムであれば、コンテナ間のトラフィックを遅延なく通信させることが重要になる。 またIstioのように、サービスメッシュとしてPodの中にProxyをサイドカーモードで構成する場合、コンテナとProxyの間にも通信が発生し、ますますオーバーヘッ
iptablesで特定のポートを別のホストへ転送する方法
諸般の事情でネットワークセグメントを分けたのだけど、どうしてもあるポートだけ疎通させたいと思ったので、iptablesのNAT機能を使って実現してみた。 ルールの書き方はiptables本来のfilterとは少し違うのと、他のサイトでは解説が不足している点があるな、と思ったのでしっかり書き留めておく。 やろうとしていること この図の通り。 今回、iptablesを使ってNATさせる箱は、192.168.1.30と10.0.2.40と二つのサブネットのIPを持っていなければならない。 しかしクライアント(192.168.1.20)とサーバ(10.0.2.50)となる2ホストに、スタティックルートを書く必要はない所がポイント。 なぜならNAT箱でアドレスを変換するので、クライアントは192.168.1.30さえ到達可能であればよい。同様にサーバも10.0.2.40には到達可能なので、実現できる
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Istio traffic hijacking process
iptables: log connection after SNAT/MASQUERADE command | Linux.org
iptables