在centos 6节点上运行以下代码(运行openvz内核) ip6tables -F ip6tables -X ip6tables -P FORWARD DROP ip6tables -A FORWARD -p tcp -m multiport –dports 21,22,80,443 -j ACCEPT ip6tables -A FORWARD -p udp -m multiport –dports 21,22,80,443 -j ACCEPT ip6tables -A FORWARD -p ipv6-icmp -j ACCEPT 但是,这似乎禁用了从openvz VPS向外连接到节点或互联网的ipv6连接,而在端口扫描器上,它将所有端口显示为被防火墙过滤/阻止。 但是,从节点内的VPS ping到VPS工作正常。 我所要做的就是放弃所有转发,并接受上面显示的多个端口,并允许ipv6连接通过。 这绝对是ip6tables的问题,因为当我停止ip6tables,它运行良好,ping是绝对好的。 你的帮助表示赞赏。
我们正在使用Proxmox VE(OpenVZ + KVM)服务器进行虚拟化。 我们的防火墙计划是在主机上运行CSF( http://configserver.com/cp/csf.html ),因为我们过去已经有了合理的经验。 除此之外,我们在虚拟机上(主要是OpenVZ容器有相同的内核)规划简单的防火墙规则,也许有一些简单的特定规则。 我会感谢任何有类似经验的人的意见? 我知道所有的stream量都来自主机,所以在虚拟机上configuration特定防火墙的防火墙应该可以工作,但是一些iptables规则很难在OpenVZ容器上工作。
我有VPSnoc的VPS,它展示了一些奇怪的行为。 当我从“PS人造”中总计%MEM列时,我得到23%左右,但是当我自由运行时,我得到了419580/524288 = 80%的使用。 这是很多RAM被非进程使用,比任何其他我pipe理的盒子,甚至我的朋友的VPS与相同的提供者。 我已经通过电子邮件发送了几次VPSnoc支持,但是他们似乎甚至不能理解这是系统上发生的一件非常奇怪的事情。 我不会抱怨,除了偶尔会发生内存不足错误(例如,当我尝试将apache2工作者设置为> 7个线程或> 8个同时连接时),这些都不是很好。 有没有什么办法,这可能是一个configuration问题,我可以修复/解决,或任何方式,这可能是正常的? 我失去了希望VPSnoc甚至会承认这个问题。 他们使用OpenVZ,如果有帮助。 编辑:我调整了一些MySQL的设置,这使得什么ps报告的RAM使用率从7%到4%,但免费报告的RAM使用量下降了大约20%。 我不再是出现内存不足的错误,但仍希望更好地理解报告。 free -m的当前输出是: total used free shared buffers cached Mem: 512 320 191 0 0 0 -/+ buffers/cache: 320 191 Swap: 0 0 0 我现在明白可以存在的缓冲区/caching区别,但是这个输出没有显示任何缓冲区/caching区别(或者在此框中显示),并且不应该导致实际的内存不足错误。
我有一个托pipeOpenVZ容器的服务器。 在硬件节点(HN)上configuration一个IPsec隧道,我想使远程networking在容器(CT)中可用。 我怎样才能做到这一点? 目前的设置是这样的: HN在eth0上有公开地址 HN在别名eth0:0上有一个私有地址192.168.100.1 远程networking是192.168.200.0/24,HN能够ping通这个networking上的主机 CT在venet0上有一个公共地址,它可以从外部访问,并可以到达外部主机 CT有一个私人地址192.168.100.101。 它可以在专用地址192.168.100.1上ping其HN 没有configuration防火墙 CT无法到达远程192.168.200.0/24networking上的主机,我不知道如何做到这一点。 这可以通过使用容器的Venet接口来完成,还是我必须切换到veth? 这是HN上的一条路线吗? 我必须在HN上启用某种NAT吗? 任何帮助将不胜感激。 更新 :如果CT从它的私人地址发送一个ping,我可以在主机的venet0接口上看到一个tcpdump的icmp请求/回复。 我看起来像出站stream量很好,但传入的stream量被阻止。
我有问题做我的OpenVZ VPS的yum更新。 我得到这个错误消息: (56/69): glibc-devel-2.5-81.el5_8.7.x86_64.rpm | 2.4 MB 00:00 (57/69): libstdc++-devel-4.1.2-52.el5_8.1.x86_64.rpm | 2.8 MB 00:00 (58/69): binutils-2.17.50.0.6-20.el5_8.3.x86_64.rpm | 2.9 MB 00:00 (59/69): cpp-4.1.2-52.el5_8.1.x86_64.rpm | 2.9 MB 00:00 (60/69): device-mapper-multipath-0.4.7-48.el5_8.1.x86_64 | 3.0 MB 00:00 (61/69): mysql-5.1.58-jason.1.x86_64.rpm | 3.5 MB 00:03 (62/69): coreutils-5.97-34.el5_8.1.x86_64.rpm | 3.6 MB 00:00 (63/69): gcc-c++-4.1.2-52.el5_8.1.x86_64.rpm | 3.8 MB 00:00 (64/69): glibc-2.5-81.el5_8.7.x86_64.rpm | 4.8 […]
我已经为虚拟机克隆了一个模块 ,但是当我尝试将虚拟机应用到节点时,出现Error: Could not find a suitable provider for virt ,这是可以理解的,因为init.pp的内容指定了虚拟化内核应该已经在运行了(Xen或OpenVZ内核)。 然而,随着包括init.pp,我期望一个失败的消息运行puppet agent –test –debug节点上的debug: class virt { fail "testfail" case $::virtual { /^xen/: { include virt::xen } #/^kvm/: { include virt::kvm } /^openvzhn/: { include virt::openvz } } } 但是,它与上面的错误失败, Error: Could not find a suitable provider for virt 。 我的节点定义: node 'hostname' { […]
我有一个运行Debian 7的小型VPS实例(用于虚拟主机),几周之后,我的防火墙和连接跟踪问题就出现了。 我几个月没有问题,但没有任何系统修改从我的部分,iptables的连接跟踪工具停止工作(我怀疑从我的提供程序的内核更新,但他们找不到我的问题的任何解决scheme)。 现在,我的iptablesconfiguration中的状态相关规则不再匹配。 我不能再使用ESTABLISHED,RELATED或NEW状态。 创build这些规则时没有错误,但没有数据包似乎与它们匹配。 这是我的iptablesconfiguration文件: *filter # Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0 -A INPUT -i lo -j ACCEPT -A INPUT -d 127.0.0.0/8 -j REJECT # Log all ESTABLISHED,RELATED -A INPUT -m state –state ESTABLISHED,RELATED -m limit –limit 20/min -j LOG –log-prefix "iptables: EST,REL: […]
我试图在OpenVZ中托pipe的VPN上运行LXC,我尝试过使用多种图像风格,ubuntu。 centos,debian …没有运气。 LXC安装正确,但由于networking容器无法启动,似乎这是与接口的桥接! 有没有人有类似的问题? 有谁知道这是否是OpenVZ的限制? 从新鲜的Ubuntu 14.04安装开始: sudo apt-get update sudo apt-get install lxc sudo lxc-create -n p1 -t ubuntu sudo lxc-start -n p1 –logfile log.txt cat log.txt lxc-start 1434379565.265 ERROR lxc_conf – conf.c:instantiate_veth:2949 – failed to create veth pair (vethP4LPC8 and vethO6MP73): Operation not supported lxc-start 1434379565.265 ERROR lxc_conf – conf.c:lxc_create_network:3261 – failed […]
目前,我的OpenVZ服务器(CentOS 6.3 64bit)正在遭受一些攻击,这是对公共以太网接口(目前通过专用接口访问SSH)的饱和。 是否有可能在系统上显示入站连接最多的IP地址来查找目标虚拟机,以便将其添加到路由器上的空路由列表中?
一个openvz容器可以停止 vzctl stop <id> ,但这需要来自容器内的init的合作。 如果集装箱受到危害,则需要采取措施停止集装箱的运输。 像一个 vzctl kill <id> 需要杀死容器内的所有进程并将其置于停止状态。 这样的kill命令没有列在手册页中。 openvz容器如何在不需要合作的情况下被终止/停止?