Article ID: 113056, created on Nov 26, 2012, last review on Sep 15, 2014

  • Applies to:
  • Virtuozzo
  • Virtuozzo containers for Linux
  • Virtuozzo hypervisor

Информация

Эта статья описывает механизм загрузки модулей iptables в контейнерах на сервере Parallels Virtuozzo Containers (PVC) для Linux или Parallels Server Bare Metal (PSBM).

Некоторые модули iptables, например ipt_conntrack, могут создавать дополнительную нагрузку на сервер. Чтобы это предотвратить, провайдер может отключить загрузку определенных модулей на том или ином контейнере.

Parallels Virtuozzo Containers для Linux и Parallels Server Bare Metal позволяет свободно управлять модулями iptables как на самом сервере, так и в отдельных контейнерах.

Во-первых, все необходимые модули должны быть загружены на сам физический сервер, как указано в /etc/sysconfig/iptables-config. Если в переменной IPTABLES_MODULES в этом файле нет ни одного модуля, то при запуске службы vz будут загружены модули, перечисленные в глобальном конфигурационном файле PVC, вместе со всеми зависимостями.

После этого произойдет загрузка модулей, перечисленных в глобальном конфигурационном файле PVC /etc/vz/vz.conf, в контейнерах. Все остальные модули iptables будут заблокированы.

И наконец, будет выполнена индивидуальная блокировка модулей для каждого контейнера. Если конфигурационный файл того или иного контейнера содержит модули, запрещенные (отсутствующие) в глобальном конфигурационном файле, то эти модули также не будут загружены в этом контейнере.

В целях повышения вместительности и производительности сервера текущая версия Parallels Virtuozzo Containers для Linux блокирует загрузку следующих модулей:

ip_tables
ip_filter
ip_mangle
ip_nat
ip6_tables
ip6_filter
ip6_mangle
ip_conntrack (nf_conntrack в ядрах на базе RHEL 6.x)

Информацию об управлении брандмауэром внутри контейнера смотрите в этой статье:
Как включить брандмауэр в контейнере?

Информацию о брандмауэре с контролем состояния соединений на самом физическом сервере смотрите в этих статьях:
Проблемы с брандмауэром на физическом сервере: невозможно использовать модули ip_nat и ipt_state (для PVCfL и выше)
Проблемы с брандмауэром на физическом сервере: невозможно использовать модули ip_nat и ipt_state (для PVCfL 4.7, PSBM 5.0 и PCS 6.0)

a26b38f94253cdfbf1028d72cf3a498b e8e50b42231236b82df27684e7ec0beb d02f9caf3e11b191a38179103495106f 2897d76d56d2010f4e3a28f864d69223 0dd5b9380c7d4884d77587f3eb0fa8ef

Email subscription for changes to this article
Save as PDF