Demande #1044
ferméplage d'IP flotantes 192.168.4.0/24
Description
Une ip flotante est une ip publique dans le jargon OpenStack. OpenStack permet d'associer une IP flotante à une instance (VM), par exemple 192.168.5.10 à jenkins. Cette association est faite via iptables, sur le noeud ( machine physique ) qui fait tourner l'instance. Lorsque la VM bouge d'un node à l'autre, l'association est faite sur le nouveau node.
Pour que cela fonctionne, il faut que les IP flotantes soient associées à une interface L2 partagée par tous les nodes.
L'interface there du cluster OpenStack de l'April pourait porter la plage d'IP 192.168.5.0/24 . Le node bm0008.the.re aka yopo.april.org peut être un client du VPN april pour rendre visible cette plage d'IP depuis ns1.april.org et pavot.april.org .
Il serait préférable d'appliquer cette logique à 192.168.4.0/24 qui est actuellement routé par une VM du tenant openstack.
Il faut vérifier que les regles iptables appliquées à l'interface there quand l'IP floatante est associée fonctionnent sans interférences. L'interface there est déclarée comme privée pour openstack mais il est a peu près certain que cela signifie seulement que c'est l'interface sur laquelle communiquent les daemons openstack et que cela n'impose pas des regles de filtrage particulières.
Mis à jour par Loïc Dachary il y a environ 12 ans
- Sujet changé de plage d'IP floatantes 192.168.5.0/24 à plage d'IP floatantes 192.168.4.0/24
Mis à jour par Loïc Dachary il y a environ 12 ans
- Sujet changé de plage d'IP floatantes 192.168.4.0/24 à plage d'IP flotantes 192.168.4.0/24
Mis à jour par Loïc Dachary il y a environ 12 ans
- Statut changé de Nouveau à En cours de traitement
Mis à jour par Loïc Dachary il y a environ 12 ans
nova-manage floating create --pool=april --ip_range=192.168.4.128/25 --interface=there
Mis à jour par Loïc Dachary il y a environ 12 ans
- Statut changé de En cours de traitement à Rejeté
- % réalisé changé de 20 à 100
Le problème avec l'approche consistant a faire semblant que 192.168.4.0/24 soit une plage d'IP publique c'est que pour atteindre l'internet, openstack va faire du nat de l'IP privée 10.145.4.40 par exemple. Le paquet va sortir par l'interface déclarée publique, avec une IP de provenance dans le subnet 192.168.4.0/24 et ne va donc jamais revenir.
nova-manage floating delete 192.168.4.128/25