а это на NAT-ке настраивается? Можеи быть подскажете пример или название фитчи?
Еще раз повторюсь, что мне нужно делать NAT (или отправять пакеты в NAT) только в случае если клиент обращается только на конкретный список IP адресов. Если клиент обращается на IP не из списка, то пакеты уходят с оигинальный IPv6 которые ему выдала сетью
неее, я владелец инфраструктуры) и именно мне нжно что бы часть пакетов наших клиентов шла через NAT (в случае если они кубращаються на определенный список IP) а все остальные проходили без NAT-ия
После их установки и libyajl2 и json-2.5.1 были успешно установлены.
Может быть я конечно дурак, но я совсем не понимаю каким образом я доложен был понять что проблема кроется в отсутствии libffi-devel и redhat-rpm-config. Ни в логах ни в документации на chef, ruby или libyajl2 я не нашел (может быть плохо искал конечно) никакого упоминания об этих зависимостях.
Container images are usually given a name such as pause, example/mycontainer, or kube-apiserver. Images can also include a registry hostname; for example: fictional.registry.example/imagename, and possible a port number as well; for example: fictional.registry.example:10443/imagename.
If you don't specify a registry hostname, Kubernetes assumes that you mean the Docker public registry
P.S. забыл упомянуть, что я использую minikube, может в нем есть какие то отличия.
Вот в качестве примера три вариант:
kubectl run hello-minikube --image=k8s.gcr.io/echoserver:1.4 - ок, тут есть домен k8s.gcr.io и как я понимаю образ тянется непосредственно с k8s.gcr.io а не с Docker Hub, так как репозитория k8s.gcr.io на Doker Hub нет
kubectl run docker-echo --image=kalmhq/echoserver - тут домена нет, но я так понимаю по умолчанию используется Docker Hub
kubectl run nginx --image=nginx - тут я не указываю ни домен ни репозиторий, а образ все равно стягивается.
Собственно если k8s все образы тянет с Docker Hub, тогда я не понимаю как он стягивает образ k8s.gcr.io/echoserver, так как репозитория k8s.gcr.io нет
Если же он тянет с учетом домена, тогда я опять же не понимаю как он определяет разницу между записями k8s.gcr.io/echoserver и kalmhq/echoserver, ведь во втором случае домена нет
0nkery, это я тоже понимаю) я не понимаю что меняется к контейнере из-за этих ключей, что контейнер ждет ввода из stdin на постоянной основе. Я бы понял если бы мы писали docker container start -ti, т.е. давали бы контейнеру указания ждать stdin при каждом запуске, но -ti мы набираем в момент сборки контейнера и это где то прописывается в самом контейнере или настройках docker machine, вот только не понимаю где.
И опять же, можно ли посмотреть как то посмотреть какие из контейнеров собирались с ключами -ti а какие без?)
Это я понимаю, не понятно что меняется в контейнере при create -ti что он теперь может запускаться с фоне без каких либо процессов.
Т.е. я беру стандартный образ ubuntu, собираю его без ключей и делаю container start - при этом он сразу останавливается, тут все понятно.
Второй вариант, я собираю на базе того же образа ubuntu контайнер с ключами -ti, после чего делаю container start - теперь контейнер работает в фоне, хотя того самого процесса в нем нет. Т.е. как я понимаю ключи -ti что то вносят в сам контейнер, и это что то позволяет работать контейнеру в фоне. Не понятно что именно позволяет контейнеру работать в фоне при создании через -ti
Разобрался. На ОС стояли следующие пакеты
samba x86_64 4.11.2-13.el8 @BaseOS 2.3 M
samba-client x86_64 4.11.2-13.el8 @BaseOS 2.1 M
samba-client-libs x86_64 4.11.2-13.el8 @anaconda 20 M
samba-common noarch 4.11.2-13.el8 @anaconda 131 k
samba-common-libs x86_64 4.11.2-13.el8 @anaconda 270 k
samba-common-tools x86_64 4.11.2-13.el8 @BaseOS 1.1 M
samba-libs x86_64 4.11.2-13.el8 @BaseOS 316 k
В итоге я снес все через yum remove samba* (ранее удалял через yum remove samba).
Собственно после переустановки samba-client samba-common все samba-ие утилиты заработали. Видимо samba x86_64 4.11.2-13.el8 @BaseOS 2.3 M как то конфликтовала с основными утилитам.
Вообщем, поменяли SFP FIBO на оригинальные Intel и линки завелись. Видимо у FIBO есть различия в прошивках, так как их же SFP на 1310 в 4x10G картах Intel у нас работаю корректно, а тут почему то с SFP 850 нм возникли такие сложности.
Wexter, а зачем еще один роутер? Разве нельзя поставить DPI между 1 и 2, в какой то отдельный линк (в условный 1G). На концах этого линка сделать сеть /30 и PBR-ом перенаправлять необходимый трафки с 1 на 2 (и наоборот) Пакеты будут прозходить через DPI в разрыв этого 1G линка.
Wexter, Два роутера действительно есть, но это выход в белый интернет и там ходит много трафика (over 100 Гбит/с). И у нас действительно DPI, через кготорый надо пропускать трафик, на него нужно ответвлять условно 1% из 100 Гбит/с по подсетям. часть из этого трафика нужно пропускать, часть обрывать.
техниченски это можно сделать PBR-ом, но так как это выход во внешку, хотлеось бы понимать риски такой схемы. Не упадел ли вся "магистарль" при таком ответвлении.
SPAN не подойдет, так как надо воздействовать на трафик.
SPAN в данном случае не подойдет. Анализатор еще и изменяет трафик - нужно заблокировать часть пакетов и оставшийся часть вернуть клиенту. А механизм Private VLAN Edge (switchport protected) в этом случае не поможет?
И если работать через L2/L3 Switch, я правильно понимаю что можно будет просто создать статический маршрут в сети /30 отдав при этом 2-а IP адреса на Port 2 и Port 1? Или потребуется делать какие то тунели?
Еще раз повторюсь, что мне нужно делать NAT (или отправять пакеты в NAT) только в случае если клиент обращается только на конкретный список IP адресов. Если клиент обращается на IP не из списка, то пакеты уходят с оигинальный IPv6 которые ему выдала сетью