Article ID: 113056, created on Mar 18, 2015, last review on Mar 18, 2015

  • Applies to:
  • Virtuozzo
  • Virtuozzo containers for Linux
  • Virtuozzo hypervisor

En este artículo se describe el mecanismo a través del cual se cargan los módulos iptables en los contenedores en un host Parallels Virtuozzo Containers (PVC) para Linux o Parallels Server Bare Metal (PSBM).

Algunos módulos iptables como ipt_conntrackpueden ocasionar una carga adicional en el host, por lo que el proveedor puede que desee impedir la carga de determinados módulos en un contenedor.

El kernel de Parallels Virtuozzo Containers para Linux y Parallels Server Bare Metal permite gestionar los módulos iptables disponibles en el host y en el contenedor de forma flexible, tanto de forma global como de forma individual para cada contenedor.

En primer lugar, todos los módulos deberían cargarse al propio nodo hardware, tal y como se especifica en /etc/sysconfig/iptables-config. Si el archivo no contiene ningún módulo en la variable IPTABLES_MODULES, los módulos enumerados en el archivo global de configuración de PVC y todas las dependencias se cargarán cuando al inicio del servicio vz.

A partir de ese momento, el kernel de Parallels permitirá la carga de los módulos detallados en el archivo global de configuración de PVC /etc/vz/vz.confen los contenedores. Se restringirán todos los demás módulos iptables.

Finalmente se aplica una máscara para cada contenedor, que solo limita los módulos por contenedor. Si el archivo de configuración de un contenedor contiene módulos prohibidos (no listados) en el archivo de configuración global, estos tampoco podrán cargarse al contenedor.

La versión actual del kernel de Parallels Virtuozzo Containers para Linux limita de forma efectiva los siguientes módulos con el fin de ofrecer una densidad y un rendimiento óptimos:

ip_tables
ip_filter
ip_mangle
ip_nat
ip6_tables
ip6_filter
ip6_mangle
ip_conntrack (nf_conntrack in RHEL 6.x-based kernels)

Si desea más información acerca de la activación y la gestión de un firewall en un contenedor, consulte el siguiente artículo:

¿Cómo puedo activar el firewall en un entorno virtual?

Si desea más información acerca del firewall en el propio nodo hardware, consulte los siguientes artículos:

Incidencias con el firewall en el nodo hardware − No se pueden utilizar los módulos ip_nat e ipt_state (para PVCfL 4.6 y versiones anteriores)
Incidencias con el firewall en el nodo hardware − No se pueden utilizar los módulos ip_nat e ipt_state (para PVCfL 4.7, PSBM 5.0 y PCS 6.0)

a26b38f94253cdfbf1028d72cf3a498b e8e50b42231236b82df27684e7ec0beb d02f9caf3e11b191a38179103495106f 2897d76d56d2010f4e3a28f864d69223 0dd5b9380c7d4884d77587f3eb0fa8ef

Email subscription for changes to this article
Save as PDF