Mam uruchomiony serwer OpenVPN, który ujawnia niektóre prywatne adresy IP, chciałbym, aby moje usługi dokowania roju miały dostęp do tych adresów.
W idealnym przypadku nie byłoby klienta OpenVPN „wewnątrz” kontenerów, ponieważ oczekuje się, że obrazy zostaną wdrożone w środowisku, w którym VPN nie będzie konieczny.
Co próbowałem do tej pory
Pomyślnie podłączyłem kontener do mojej sieci VPN za pomocą obrazu dperson / openvpn-client .
Udało mi się uruchomić inny kontener, używając tego kontenera jako sieci za pomocą --net=container:my-vpn-client
flagi.
Teraz próbuję skonfigurować usługę dokowania, która będzie uzyskiwać dostęp do moich prywatnych adresów IP, a znalazłem:
- Nie mogę uruchomić klienta openVPN w usłudze, ponieważ nie można jej podać
cap-add: NET_ADMIN
. Dyskusja na ten temat dotyczy otwartych problemów, ale nadal są one otwarte. - Pomyślałem, że mogę uruchomić kontener klienta openVPN „obok” klastra roju, ale nie mogę go używać,
network_mode: "container:my-vpn-client"
ponieważ nie jest obsługiwany i ma sens, ponieważ nie mogłem zmusić dowolnego kontenera do obecności w każdym węźle roi się od nich, ale nie jest to sama usługa. - Próbowałem utworzyć sieć z możliwością przyłączania (mostek / nakładka) i po prostu włożyłem w nią mój klient klienta OpenVPN i oczekiwałem, że inni członkowie tej sieci przejdą przez tę rurkę ... i byłem rozczarowany.
Więc mam jakiś pomysł?
PS Jeśli może to pomóc, polega to głównie na skonfigurowaniu automatycznych testów, które będą uruchamiać usługi na pojedynczej maszynie dokującej w trybie roju, jak w inicjacji roju> rozmieszczenie stosu> uruchomienie testów> opuszczenie roju. Więc czy jest jakiś „hack” za to ... i może być zainteresowany;)
ccr
pliku tak, jakby mieli do czynienia z siecią lokalną. Podobnie jak w przypadku wszystkich routingu TCP / IP, „traceroute
jest twoim najlepszym przyjacielem, tak jak jest,tcpdump
lub WireShark”.