ניט לאַנג צוריק איך איז געווען פייסט מיט אַ זייער ומגעוויינטלעך אַרבעט פון באַשטעטיקן רוטינג פֿאַר MetalLB. אַלץ וואָלט זיין גוט, ווייַל ... יוזשאַוואַלי MetalLB טוט נישט דאַרפן נאָך אַקשאַנז, אָבער אין אונדזער פאַל מיר האָבן אַ גאַנץ גרויס קנויל מיט אַ זייער פּשוט נעץ קאַנפיגיעריישאַן.

אין דעם אַרטיקל איך וועט זאָגן איר ווי צו קאַנפיגיער מקור-באזירט און פּאָליטיק-באזירט רוטינג פֿאַר די פונדרויסנדיק נעץ פון דיין קנויל.

איך וועל נישט גיין אין דעטאַל וועגן ינסטאָלינג און קאַנפיגיערינג MetalLB, ווייַל איך יבערנעמען אַז איר שוין האָבן עטלעכע דערפאַרונג. איך פֿאָרשלאָגן גיין גלייך צו די פונט, ניימלי באַשטעטיקן רוטינג. אַזוי מיר האָבן פיר קאַסעס:

פאַל 1: ווען קיין קאַנפיגיעריישאַן איז פארלאנגט

זאל ס קוק בייַ אַ פּשוט פאַל.

נאָך רוטינג קאַנפיגיעריישאַן איז ניט פארלאנגט ווען די אַדרעסעס ארויס דורך MetalLB זענען אין דער זעלביקער סובנעט ווי די אַדרעסעס פון דיין נאָודז.

פֿאַר בייַשפּיל, איר האָבן אַ סובנעט 192.168.1.0/24, עס האט אַ ראַוטער 192.168.1.1, און דיין נאָודז באַקומען אַדרעסעס: 192.168.1.10-30, דעמאָלט פֿאַר MetalLB איר קענען סטרויערן די קייט 192.168.1.100-120 און זיין זיכער אַז זיי וועלן אַרבעטן אָן קיין נאָך קאַנפיגיעריישאַן.

פארוואס איז דאָס? ווייַל דיין נאָודז האָבן שוין קאַנפיגיערד רוץ:

# ip route
default via 192.168.1.1 dev eth0 onlink 
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.10

און אַדרעסעס פון דער זעלביקער קייט וועט רייוז זיי אָן קיין נאָך אַקשאַנז.

פאַל 2: ווען נאָך קוסטאָמיזאַטיאָן איז פארלאנגט

איר זאָל קאַנפיגיער נאָך רוץ ווען דיין נאָודז טאָן ניט האָבן אַ קאַנפיגיערד IP אַדרעס אָדער מאַרשרוט צו די סובנעט פֿאַר וואָס MetalLB ישוז אַדרעסז.

איך וועט דערקלערן אין אַ ביסל מער דעטאַל. ווען MetalLB אַוטפּוץ אַן אַדרעס, עס קענען זיין קאַמפּערד מיט אַ פּשוט אַסיינמאַנט ווי:

ip addr add 10.9.8.7/32 dev lo

באַצאָלן ופמערקזאַמקייַט צו:

• a) די אַדרעס איז אַסיינד מיט אַ פּרעפיקס /32 דאָס איז, אַ מאַרשרוט וועט נישט זיין אויטאָמאַטיש צוגעגעבן צו די סובנעט (עס איז נאָר אַן אַדרעס)
• b) די אַדרעס איז אַטאַטשט צו קיין נאָדע צובינד (למשל לופּבאַקק). עס איז ווערט דערמאָנען דאָ די פֿעיִקייטן פון די לינוקס נעץ אָנלייגן. ניט קיין ענין וואָס צובינד איר לייגן די אַדרעס צו, דער קערן וועט שטענדיק פּראָצעס אַרפּ ריקוועס און שיקן אַרפּ רעספּאָנסעס צו קיין פון זיי, דעם נאַטור איז געהאלטן ריכטיק און, דערצו, איז גאַנץ וויידלי געניצט אין אַזאַ אַ דינאַמיש סוויווע ווי Kubernetes.

דעם אָפּפירונג קענען זיין קאַסטאַמייזד, למשל דורך ענייבאַלינג שטרענג אַרפּ:

echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore
echo 2 > /proc/sys/net/ipv4/conf/all/arp_announce

אין דעם פאַל, אַרפּ רעספּאָנסעס וועט זיין געשיקט בלויז אויב די צובינד בפירוש כּולל אַ ספּעציפיש IP אַדרעס. די באַשטעטיקן איז פארלאנגט אויב איר פּלאַן צו נוצן MetalLB און דיין קובע-פּראָקסי איז פליסנדיק אין IPVS מאָדע.

אָבער, MetalLB ניצט נישט דעם קערן צו פּראָצעס אַרפּ ריקוועס, אָבער עס זיך אין באַניצער-פּלאַץ, אַזוי די אָפּציע וועט נישט ווירקן די אָפּעראַציע פון ​​MetalLB.

לאָמיר זיך אומקערן צו אונדזער אַרבעט. אויב דער מאַרשרוט פֿאַר די ארויס אַדרעסעס איז נישט עקסיסטירט אויף דיין נאָודז, לייגן עס אין שטייַגן צו אַלע נאָודז:

ip route add 10.9.8.0/24 dev eth1

פאַל 3: ווען איר דאַרפֿן מקור-באזירט רוטינג

איר וועט דאַרפֿן צו קאַנפיגיער מקור-באזירט רוטינג ווען איר באַקומען פּאַקיץ דורך אַ באַזונדער גייטוויי, נישט די קאַנפיגיערד דורך פעליקייַט, דעריבער ענטפער פּאַקיץ זאָל אויך גיין דורך די זעלבע גייטוויי.

פֿאַר בייַשפּיל, איר האָבן די זעלבע סובנעט 192.168.1.0/24 דעדאַקייטאַד צו דיין נאָודז, אָבער איר ווילן צו אַרויסגעבן פונדרויסנדיק אַדרעסעס ניצן MetalLB. זאל ס יבערנעמען איר האָבן קייפל ווענדט פון אַ סובנעט 1.2.3.0/24 ליגן אין VLAN 100 און איר ווילן צו נוצן זיי צו אַקסעס Kubernetes באַדינונגס ויסווייניק.

ווען קאָנטאַקט 1.2.3.4 איר וועט מאַכן ריקוועס פֿון אַ אַנדערש סובנעט ווי 1.2.3.0/24 און ווארט אויף אן ענטפער. דער נאָדע וואָס איז דערווייַל דער בעל פֿאַר די MetalLB-ארויס אַדרעס 1.2.3.4, וועט באַקומען די פּאַקאַט פון די ראַוטער 1.2.3.1, אבע ר דע ר ענטפע ר אי ם מו ז דװק א גײ ן דע ם זעלביק ן װעג , דורכ 1.2.3.1.

זינט אונדזער נאָדע האט שוין אַ קאַנפיגיערד פעליקייַט גייטוויי 192.168.1.1, דעמאָלט דורך פעליקייַט דער ענטפער וועט גיין צו אים, און נישט צו 1.2.3.1, דור ך װעלכע ר מי ר האב ן באקומע ן דע ם פעקל .

ווי צו קאָפּע מיט דעם סיטואַציע?

אין דעם פאַל, איר דאַרפֿן צו צוגרייטן אַלע דיין נאָודז אַזוי אַז זיי זענען גרייט צו דינען פונדרויסנדיק ווענדט אָן נאָך קאַנפיגיעריישאַן. אַז איז, פֿאַר די אויבן בייַשפּיל, איר דאַרפֿן צו שאַפֿן אַ וולאַן צובינד אויף די נאָדע אין שטייַגן:

ip link add link eth0 name eth0.100 type vlan id 100
ip link set eth0.100 up

און דעריבער לייגן רוץ:

ip route add 1.2.3.0/24 dev eth0.100 table 100
ip route add default via 1.2.3.1 table 100

ביטע טאָן אַז מיר לייגן רוץ צו אַ באַזונדער רוטינג טיש 100 עס וועט אַנטהאַלטן בלויז צוויי רוץ נייטיק צו שיקן אַ ענטפער פּאַקאַט דורך די גייטוויי 1.2.3.1, ליגן הינטער די צובינד eth0.100.

איצט מיר דאַרפֿן צו לייגן אַ פּשוט הערשן:

ip rule add from 1.2.3.0/24 lookup 100

וואָס בפירוש זאגט: אויב די מקור אַדרעס פון די פּאַקאַט איז אין 1.2.3.0/24, דעמאָלט איר דאַרפֿן צו נוצן די רוטינג טיש 100. אין עס מיר האָבן שוין דיסקרייבד די מאַרשרוט וואָס וועט שיקן אים דורך 1.2.3.1

פאַל 4: ווען איר דאַרפֿן פּאָליטיק-באזירט רוטינג

די נעץ טאַפּאַלאַדזשי איז די זעלבע ווי אין די פריערדיקע בייַשפּיל, אָבער לאָזן ס זאָגן איר אויך ווילן צו אַקסעס פונדרויסנדיק בעקן אַדרעסעס 1.2.3.0/24 פון דיין פּאָדס:

די פּיקיוליעראַטי איז אַז ווען אַקסעסינג קיין אַדרעס אין 1.2.3.0/24, דער ענטפער פּאַקאַט היץ די נאָדע און האט אַ מקור אַדרעס אין די קייט 1.2.3.0/24 װע ט געהײם ן פארשיק ט װערן eth0.100, אָבער מיר וועלן Kubernetes צו רידערעקט עס צו אונדזער ערשטער פּאָד, וואָס דזשענערייטאַד די אָריגינעל בעטן.

סאַלווינג דעם פּראָבלעם איז געווען שווער, אָבער עס איז געווארן מעגלעך דאַנק צו פּאָליטיק-באזירט רוטינג:

פֿאַר אַ בעסער פארשטאנד פון דעם פּראָצעס, דאָ איז אַ נעטפילטער בלאָק דיאַגראַמע:

ערשטער, ווי אין די פריערדיקע בייַשפּיל, לאָזן אונדז מאַכן אַן נאָך רוטינג טיש:

ip route add 1.2.3.0/24 dev eth0.100 table 100
ip route add default via 1.2.3.1 table 100

איצט לאָזן אונדז לייגן עטלעכע כּללים צו iptables:

iptables -t mangle -A PREROUTING -i eth0.100 -j CONNMARK --set-mark 0x100
iptables -t mangle -A PREROUTING  -j CONNMARK --restore-mark
iptables -t mangle -A PREROUTING -m mark ! --mark 0 -j RETURN
iptables -t mangle -A POSTROUTING -j CONNMARK --save-mark

די כּללים וועט צייכן ינקאַמינג קאַנעקשאַנז צו די צובינד eth0.100, מאַרקינג אַלע פּאַקיץ מיט די קוויטל 0x100, רעספּאָנסעס אין דער זעלביקער קשר וועט אויך זיין אנגעצייכנט מיט די זעלבע קוויטל.

איצט מיר קענען לייגן אַ רוטינג הערשן:

ip rule add from 1.2.3.0/24 fwmark 0x100 lookup 100

דאָס איז, אַלע פּאַקיץ מיט אַ מקור אַדרעס 1.2.3.0/24 און קוויטל 0x100 מוזן זיין ראַוטיד ניצן אַ טיש 100.

אזוי, אנדערע פּאַקיץ באקומען אויף אן אנדער צובינד זענען נישט אונטערטעניק צו דעם הערשן, וואָס וועט לאָזן זיי צו זיין ראַוטיד מיט נאָרמאַל Kubernetes מכשירים.

עס איז נאָך איין זאַך, אין לינוקס עס איז אַ אַזוי-גערופן פאַרקערט פּאַט פילטער, וואָס קאַליע די גאנצע זאַך; עס פּערפאָרמז אַ פּשוט טשעק: פֿאַר אַלע ינקאַמינג פּאַקיץ, עס ענדערונגען די מקור אַדרעס פון די פּאַקאַט מיט די אָפּשיקער אַדרעס און טשעקס צי די פּאַקאַט קענען לאָזן דורך דער זעלביקער צובינד אויף וואָס עס איז באקומען, אויב נישט, עס וועט פילטער עס.

די פּראָבלעם איז אַז אין אונדזער פאַל עס וועט נישט אַרבעטן ריכטיק, אָבער מיר קענען דיסייבאַל עס:

echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/eth0.100/rp_filter

ביטע טאָן אַז דער ערשטער באַפֿעל קאָנטראָלס די גלאבאלע נאַטור פון rp_filter; אויב עס איז נישט פאַרקריפּלט, די רגע באַפֿעל וועט האָבן קיין ווירקונג. אָבער, די רוען ינטערפייסיז וועט בלייבן מיט rp_filter ענייבאַלד.

אין סדר נישט צו גאָר באַגרענעצן די אָפּעראַציע פון ​​די פילטער, מיר קענען נוצן די rp_filter ימפּלאַמענטיישאַן פֿאַר נעטפילטער. ניצן rpfilter ווי אַ iptables מאָדולע, איר קענען קאַנפיגיער גאַנץ פלעקסאַבאַל כּללים, למשל:

iptables -t raw -A PREROUTING -i eth0.100 -d 1.2.3.0/24 -j RETURN
iptables -t raw -A PREROUTING -i eth0.100 -m rpfilter --invert -j DROP

געבן rp_filter אויף די צובינד eth0.100 פֿאַר אַלע אַדרעסעס אַחוץ 1.2.3.0/24.

מקור: www.habr.com