Hola, este es un problema de solicitud de función.
Quiero ejecutar un contenedor donde haya una superposición respaldada por vxLAN. Pero para los destinos fuera de la superposición, quiero NAT del contenedor, por ejemplo, a la Internet pública.
Veo tres formas de hacerlo:
¿Pensamientos? ¿Está esto dentro o fuera del alcance de la franela?
La segunda opción parece razonable. Siento que podemos apoyarnos en systemd-networkd para configurar esta ruta de red después de abrir el puente de franela.
@eyakubovich probablemente tenga una opinión sobre esto.
Ya existe una opción que hace algo muy similar a 2. Si ejecuta flanneld con --ip-masq
, agregará una regla de enmascaramiento de IP para el tráfico que sale de los contenedores y se dirige a Internet. Más precisamente, es el tráfico que se originó dentro del espacio de direcciones superpuesto pero destinado fuera de él.
La opción no está documentada (es necesario corregirla) ya que estaba esperando que Docker fusionara mi adición de --ip-masq
al demonio Docker. Esto permite ejecutar el demonio Docker con --ip-masq=false
y flanneld con --ip-masq
. De lo contrario, Docker también instala la regla de enmascaramiento de IP para el tráfico que sale de docker0.
Docker 1.3 que se lanzó recientemente tiene la opción --ip-masq
.
Gracias eso funciona para nosotros!
Comentario más útil
Ya existe una opción que hace algo muy similar a 2. Si ejecuta flanneld con
--ip-masq
, agregará una regla de enmascaramiento de IP para el tráfico que sale de los contenedores y se dirige a Internet. Más precisamente, es el tráfico que se originó dentro del espacio de direcciones superpuesto pero destinado fuera de él.La opción no está documentada (es necesario corregirla) ya que estaba esperando que Docker fusionara mi adición de
--ip-masq
al demonio Docker. Esto permite ejecutar el demonio Docker con--ip-masq=false
y flanneld con--ip-masq
. De lo contrario, Docker también instala la regla de enmascaramiento de IP para el tráfico que sale de docker0.Docker 1.3 que se lanzó recientemente tiene la opción
--ip-masq
.