Routing über Cloud VLAN

    Hallo zusammen.

    Ja, folgendes Thema wurde sicherlich schon ein dutzend mal gefragt, gepostet, geschrieben, gefragt usw.
    Bitte nicht steinigen, bei mir steht irgend wo etwas auf'n Schlauch.

    Möchte zwei VPS über Cloud VLAN verbinden. Auf beiden laufen mehrere Docker Container, die sich gegenseitig sehen sollen.
    Bei beiden ist ETH1 mit einer gültigen IP eingerichtet. Ping von VPS1 zu VPS2 und VPS2 zu VPS1 mit diesen IPs funktioniert.


    Problem:
    Derzeit ist jeweils nur 172.xx.0.1 in beiden Richtungen erreichbar. Es erweckt den Eindruck, dass nicht geroutet/geforwarded wird.

    Auf beiden System ist die sysctl entsprechen geändert. Setzt UFW auf allen Systemen ein. Zu Testzwecken ist diese aber auf beiden deaktiviert.

    Kurz gesagt: Es ist immer NUR der Host, incl. Docker Host, erreichbar und nicht mehr die Container dahinter.


    Zur Info:

    Eine Wireguard Verbindung zwischen beiden funktioniert perfekt. Allerdings nutze ich alle System ausschließlich privat und es soll keine geöffneten Ports (nach außen) geben.


    VPS1:

    ETH1 10.8.100.101

    Docker 172.30.0.1/24

    ip route add 172.40.0.0/24 via 10.8.100.101 dev eth1

    ufw für Testzwecke deaktiviert

    iptables -A FORWARD -i eth1 -j ACCEPT

    iptables -A FORWARD -o eth1 -j ACCEPT

    net.ipv4.ip_forward=1

    net.ipv6.conf.all.forwarding=1


    VPS2:

    ETH1 10.8.100.102

    Docker 172.40.0.1/24

    ip route add 172.30.0.0/24 via 10.8.100.102 dev eth1

    ufw für Testzwecke deaktiviert

    iptables -A FORWARD -i eth1-j ACCEPT

    iptables -A FORWARD -o eth1 -j ACCEPT
    net.ipv4.ip_forward=1

    net.ipv6.conf.all.forwarding=1

    Ich hatte bisher noch keinen Usecase für Overlay Networks, aber meine Auffassung ist, dass man Docker Container unterschiedlicher Hosts in die gleichen Docker Netzwerke packen und damit alle Vorteile der internen Docker Kommunikation nutzen kann (z.B. Webserver auf einem und Datenbank auf einem anderen Host im gleichen Overlay Netzwerk).

    Damit das funktioniert, müsste man einige Ports auf beiden Kisten freigeben:

    Zitat
    • TCP port 2377 for cluster management communications
    • TCP and UDP port 7946 for communication among nodes
    • UDP port 4789 for overlay network traffic

    und ein Overlay Netzwerk erstellen.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Zitat von TBT

    Ich hatte bisher noch keinen Usecase für Overlay Networks, aber meine Auffassung ist, dass man Docker Container unterschiedlicher Hosts in die gleichen Docker Netzwerke packen und damit alle Vorteile der internen Docker Kommunikation nutzen kann (z.B. Webserver auf einem und Datenbank auf einem anderen Host im gleichen Overlay Netzwerk).

    Damit das funktioniert, müsste man einige Ports auf beiden Kisten freigeben:

    und ein Overlay Netzwerk erstellen.

    Wieso das ganze nicht einfach über das VLAN laufen lassen? Dann kann man sich doch die Portfreigabe sparen ( es sei denn man blockt auch im VLAN Ports ), oder nicht?

    Zitat von michaeleifel

    Wieso das ganze nicht einfach über das VLAN laufen lassen? Dann kann man sich doch die Portfreigabe sparen ( es sei denn man blockt auch im VLAN Ports ), oder nicht?

    Joa. War von der Docker Website, dass man zumindest die Ports halt braucht.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Einmal editiert, zuletzt von TBT ()

    Zitat von michaeleifel

    Wieso das ganze nicht einfach über das VLAN laufen lassen? Dann kann man sich doch die Portfreigabe sparen ( es sei denn man blockt auch im VLAN Ports ), oder nicht?

    Wenn ich das richtig interpretiere sollte es möglich sein das Netzwerk mehrere Docker Instanzen auf unterschiedlichen Hosts ins gleiche Subnet zu stecken. Die Kommunikation wäre dann sicherlich einfacher, verschlüsselt und Vserver übergreifend.

    Zitat von TBT

    Joa. War von der Docker Website, dass man zumindest die Ports halt braucht.

    Meine Docker Hosts bei Netcup kommunizieren jetzt über das VLAN. Externe Kommunikation erfolgt über VPN.
    Da die Hosts hier alle VPN Clients sind benötigt es keiner Portfreigabe mehr. Die Firewall macht alles externe dicht.

    Zitat von netsch1967

    Wenn ich das richtig interpretiere sollte es möglich sein das Netzwerk mehrere Docker Instanzen auf unterschiedlichen Hosts ins gleiche Subnet zu stecken. Die Kommunikation wäre dann sicherlich einfacher, verschlüsselt und Vserver übergreifend.

    Jep. Davon gehe ich aus, habs aber wie gesagt noch nicht verwendet.

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)