+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Гостевая виртуальная машина может "видеть" исходящий трафик других хостов., Proxmox Виртуальная Среда

Panagiotis Botos

Guest

01.05.2020 13:38:00

Привет! У меня странная проблема с моей реализацией Proxmox. Версия Proxmox — 4.4-24. Проблема в том, что когда я запускаю tcpdump на одной из гостевых ВМ, вижу ИСХОДЯЩИЙ трафик, который вообще не связан с IP этой ВМ (то есть источник и назначение — другие ВМ). Это происходит на всех нодах (сейчас их 7), и исходящий трафик виден только там, где его быть не должно — на уровне ноды.

Например, если у меня есть node1 и ВМ внутри этой ноды, эта ВМ может «видеть» весь исходящий трафик, который генерируют другие ВМ на этом узле.

Вот сетевая конфигурация:

auto bond0
iface bond0 inet manual
# slaves eth0 eth1 eth2 eth3
slaves eth8 eth9
bond_miimon 100
bond_mode 802.3ad
bond_downdelay 2000
bond_updelay 4000

auto bond1
iface bond1 inet manual
slaves eth4 eth6
bond_miimon 100
bond_mode 802.3ad
bond_downdelay 2000
bond_updelay 4000

auto bond2
iface bond2 inet manual
slaves eth5 eth7
bond_miimon 100
bond_mode 802.3ad
bond_downdelay 2000
bond_updelay 4000

auto vmbr0
iface vmbr0 inet static
address X.X.X.X
netmask X.X.X.X
gateway X.X.X.X
bridge_ports bond0
bridge_stp off
bridge_fd 0

auto vmbr1
iface vmbr1 inet static
address 10.0.0.1
netmask 255.255.255.0
bridge_ports bond1
bridge_stp off
bridge_fd 0

auto vmbr2
iface vmbr2 inet static
address 192.168.0.1
netmask 255.255.255.0
bridge_ports bond2
bridge_stp off
bridge_fd 0

vmbr0 — публичный бридж
vmbr1 — Proxmox
vmbr2 — Ceph

Я уже исчерпал все свои навыки устранения неполадок по этой проблеме. Если кто-то сможет помочь разобраться, буду очень признателен.

Коммутаторы (стековые), подключённые к этим нодам, — Dell, а конфигурация довольно простая (с vlt).

Пример Port-channel для node1:

interface Port-channel 1
no ip address
portmode hybrid
switchport
ip access-group multicast out
vlt-peer-lag port-channel 1
no shutdown

Ещё раз спасибо за любую помощь.

С уважением, Panagiotis Botos

Panagiotis Botos Guest	#2 0 10.06.2020 18:32:00 Кто-нибудь ещё может что-то подсказать, чтобы я мог продолжить разбираться? Я уже использовал все свои знания и ничего не нашёл.

DerDanilo Guest	#3 0 13.06.2020 20:24:00 @pve Команда. Вы можете воспроизвести это поведение?

LnxBil

Guest

18.06.2020 15:47:00

Почему мы всё ещё пытаемся решить проблему, которая есть в древней версии PVE? Я уже писал, что в новых версиях PVE я не смог воспроизвести эту проблему, так что, пожалуйста, обновитесь до новой версии и попробуйте снова.

Panagiotis Botos

Guest

03.07.2020 12:54:00

@LnxBil Проблема в том, что кластер находится в рабочем состоянии. Пока мы точно не убедимся, что это связано со старой версией PVE, мы не можем допустить серьёзного простоя у наших клиентов. Тем не менее, мы приступим к обновлению как можно скорее, учитывая множество факторов (обновление ceph и прочее). Как уже говорилось выше, мы пытались воспроизвести проблему на тестовом кластере с той же устаревшей версией, но у нас не получилось. Эта проблема меня уже порядком достала, поэтому хотелось бы получить помощь в её решении как можно скорее, прежде чем вообще думать об обновлении и возможных сопутствующих сложностях.

LnxBil

Guest

05.07.2020 13:52:00

Понимаю, но если ты не можешь воспроизвести проблему, а я тоже попробовал и у меня не получилось, как нам быть дальше? Навскидку, можно сравнить настройки рабочей и нерабочей ноды:
- версии пакетов на нодах (должны быть одинаковыми, если нет — обнови всё до последних версий и попробуй снова)
- включён ли promiscuous mode на всех нодах
- конфигурация моста (brctl)
- настройки файрвола

manwe

Guest

06.09.2021 17:38:00

Та же проблема и у меня. Кластер с bonding, и если запустить tcpdump, видно трафик другой виртуальной машины. Использую PVE кластер v6.4. vmbr0 поверх bond0 с публичными IP для виртуалок.

auto bond0
iface bond0 inet manual
slaves eno3 eno4
bond-mode balance-rr
bond-miimon 100
bond_downdelay 200
bond_updelay 200

auto vmbr0
iface vmbr0 inet static
address 77.77.77.77/26
gateway 77.77.77.90
bridge_ports bond0
bridge_stp off
bridge_fd 0
bridge_maxage 0
bridge_ageing 0
bridge_maxwait 0

Виртуалки в одной сети 77.77.77.77/26.

itNGO

Guest

27.01.2024 08:43:00

Извиняюсь, что снова поднимаю этот вопрос, но я считаю, что эта проблема всё ещё существует даже в PVE 8.1.4. У нас есть 3-узловой CEPH-кластер, где VMBR настроен как BOND, работающий в режиме Active/Backup. Когда у нас идёт исходящий трафик в любой части сети, которая находится в той же подсети, что и некоторые VM-файрволы на PVE-кластере, все машины получают этот трафик на свой интерфейс. С чего вообще начать?

spirit

Guest

28.01.2024 18:57:00

Не мог бы ты показать содержимое файла /etc/network/interfaces? На самом деле в Proxmox по этому поводу никаких ошибок нет, если только ты не неправильно настроил свой vmbr (bridge_ageing 0 — тогда vmbr будет рассылать трафик на все порты) или у тебя нет сетевого петляния в сети.

itNGO

Guest

#10

29.01.2024 10:00:00

Привет, конечно.... Код: # настройки сетевого интерфейса; сгенерировано автоматически
# Пожалуйста, НЕ изменяйте этот файл напрямую, если точно не понимаете,
# что делаете.
#
# Если хотите управлять частью сетевых настроек вручную,
# используйте директивы 'source' или 'source-directory'.
# PVE сохранит эти директивы, но НЕ будет читать сетевые настройки из подключаемых файлов,
# так что не пытайтесь переносить управляемые PVE интерфейсы во внешние файлы!

auto lo
iface lo inet loopback

auto enp195s0f1
iface enp195s0f1 inet static
address 10.255.183.11/24
# Трафик кластера Corosync

iface enx4a3ab3036346 inet manual

auto enp195s0f0
iface enp195s0f0 inet manual

auto enp67s0f0
iface enp67s0f0 inet manual
post-up /sbin/ip link set enp67s0f0 txqueuelen 10000
# 10Gbe

auto enp1s0f0np0
iface enp1s0f0np0 inet static
address 10.255.182.11/24
mtu 9000
post-up /sbin/ip link set enp1s0f0np0 txqueuelen 10000
up ip route add 10.255.182.12/32 dev enp1s0f0np0
down ip route del 10.255.182.12/32

auto enp1s0f1np1
iface enp1s0f1np1 inet static
address 10.255.182.11/24
mtu 9000
post-up /sbin/ip link set enp1s0f1np1 txqueuelen 10000
up ip route add 10.255.182.13/32 dev enp1s0f1np1
down ip route del 10.255.182.13/32
# CEPH2

auto enp67s0f1
iface enp67s0f1 inet manual
post-up /sbin/ip link set enp67s0f1 txqueuelen 10000
# 10Gbe

iface enx8a6dafd2c190 inet manual

iface enx3a6a5e15de89 inet manual

iface enx062c055c2a8c inet manual

iface enxe26795262c70 inet manual

iface enxba8adde23f02 inet manual

iface enx36a74f9dbfde inet manual

auto bond0
iface bond0 inet manual
bond-slaves enp67s0f0 enp67s0f1
bond-miimon 100
bond-mode active-backup
bond-primary enp67s0f0

auto vmbr0
iface vmbr0 inet static
address 10.255.181.11/24
gateway 10.255.181.1
bridge-ports bond0
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094

spirit

Guest

#11

29.01.2024 10:29:00

Конфигурация выглядит нормально. Вы используете несколько физических коммутаторов? Если да, то раз вы используете bonding с режимом active-backup, вы уверены, что все первичные сетевые карты серверов подключены к одному и тому же коммутатору?

itNGO Guest	#12 0 29.01.2024 10:34:00 Возможно, в этом и есть смысл. Сначала пoверим... Спасибо...

itNGO

Guest

#13

07.02.2024 10:09:00

По крайней мере, это был не настроенный интерфейс в фаерволе... так что виртуальная ссылка была активна, но без IP-конфигурации. Из-за этого происходила огромная рассылка широковещательных пакетов... отключил интерфейс — и проблема исчезла.

nanankcornering Guest	#14 0 08.06.2025 05:32:00 Интересно, что с 2020 года никто не предложил решения. Кто-нибудь знает, чем всё это закончилось?

spirit Guest	#15 0 06.09.2021 18:04:00 Это из-за настроек: Code: bridge_maxage 0 и bridge_ageing 0. При таком раскладе трафик постоянно раздаётся на все порты, как в хабе.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры