cell_z1中的iptables NAT配置有哪些优点?
当我进入cell_z1时。然后我可以看到这些路由表。
$ sudo iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
w--prerouting all -- anywhere anywhere
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
w--prerouting all -- anywhere anywhere
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
w--postrouting all -- anywhere anywhere
Chain w--instance-coiaggg2s3f (1 references)
target prot opt source destination
DNAT tcp -- anywhere cell-z1-0.node.dc1.cf.internal tcp dpt:60036 /* ac4154dd-a2bd-41d8-46bb-c5dfa3c8bfb2 */ to:10.254.0.6:8080
DNAT tcp -- anywhere cell-z1-0.node.dc1.cf.internal tcp dpt:60037 /* ac4154dd-a2bd-41d8-46bb-c5dfa3c8bfb2 */ to:10.254.0.6:2222
Chain w--instance-coiaggg2s3l (1 references)
target prot opt source destination
DNAT tcp -- anywhere cell-z1-0.node.dc1.cf.internal tcp dpt:60040 /* 74ab1082-7eca-4a09-7364-b266a23a7fdf */ to:10.254.0.2:8080
DNAT tcp -- anywhere cell-z1-0.node.dc1.cf.internal tcp dpt:60041 /* 74ab1082-7eca-4a09-7364-b266a23a7fdf */ to:10.254.0.2:2222
Chain w--postrouting (1 references)
target prot opt source destination
MASQUERADE all -- 10.254.0.0/30 !10.254.0.0/30 /* executor-healthcheck-8946f5d6-063c-4bae-474d-0032f72b8fcb */
MASQUERADE all -- 10.254.0.4/30 !10.254.0.4/30 /* ef658bba-214d-4eef-5228-410e8e8aeb69 */
MASQUERADE all -- 10.254.0.8/30 !10.254.0.8/30 /* 3cb958eb-409a-4aa9-48f1-41bb6573ebc6 */
MASQUERADE all -- 10.254.0.12/30 !10.254.0.12/30 /* 9600ee8c-9e63-4682-bed3-b14767ea46d3 */
MASQUERADE all -- 10.254.0.16/30 !10.254.0.16/30 /* executor-healthcheck-eda5cee2-81be-4890-6d67-2a9f108d6dda */
Chain w--prerouting (2 references)
target prot opt source destination
w--instance-coiaggg2s3f all -- anywhere anywhere /* ac4154dd-a2bd-41d8-46bb-c5dfa3c8bfb2 */
w--instance-coiaggg2s3l all -- anywhere anywhere /* 74ab1082-7eca-4a09-7364-b266a23a7fdf */问题是:这些目的地的好处是什么?当我在cell_z1中卷曲时,它返回301Error。所以,我想它已经被移除了。
- 10.254.0.6:8080
- 10.254.0.6:2222
- 10.254.0.2:8080
- 10.254.0.2:2222
但是,当路由器发射器将应用程序端口映射为60036,60037,60040,60041时,它会导致路由器在某些推送应用程序中返回502错误。
我的环境:主机操作系统: Ubuntu 16.10 VirtualBox : 5.0.32
$ bosh -e bosh-lite releases
Using environment '192.168.50.4' as client 'admin'
Name Version Commit Hash
cf 254+dev.1* 80a8305a+
cf-mysql 34.2.0+dev.1* b8dcbe32
cf-rabbitmq 222.15.0+dev.1* 377afa0a+
cf-rabbitmq-test 0.1.7 98720fb8
cflinuxfs2-rootfs 1.60.0* 0b44b228+
diego 1.11.0+dev.1* 4ee830c6
garden-runc 1.4.0* 60f9e9dd
routing 0.147.0 255f268f
~ 0.136.0 d29132da+更新2017年4月11日
我发现这些信息来自川崎(卫报的网络图书馆)。我看到下面的航路表。但与10.254.0.6不同,路由表没有用于10.254.0.2的虚拟NIC和路由(10.254.0.0/30)
$ route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 10.244.16.1 0.0.0.0 UG 0 0 0 wcl8gbnff7q4-1
10.244.16.0 * 255.255.255.0 U 0 0 0 wcl8gbnff7q4-1
10.254.0.4 * 255.255.255.252 U 0 0 0 wbrdg-0afe0004回答 1
Stack Overflow用户
发布于 2017-04-12 17:46:14
当您将应用程序部署到CF时,它将运行在迭戈单元上的一个容器中。容器被赋予一个内部端口,此时迭戈的端口总是8080,而单元格会发布一个外部端口(到GoRouters)。将外部端口映射到内部端口,并在单元格上使用iptables规则。我相信这就是你所看到/问到的。
总之,从浏览器到容器中的应用程序,流量都是这样的:
Browser -> HTTP(S) -> Load Balancer -> HTTP(S) -> GoRouter -> (HTTP) -> External Port on Cell -> iptables -> Internal Port in Container -> Application您可能还想知道端口2222,这是类似的,但是端口被用于进入容器的cf ssh通信。
外行不应该手动删除或调整迭戈单元格上的任何iptables规则。
https://stackoverflow.com/questions/43319513
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号