Je voudrais relier un de mes conteneurs docker à un VLAN spécifique.
Mon routeur est sous OpenWRT, j’ai déjà créé l’interface VLAN / pare-feu / tag sur le lien avec Proxmox.
J’ai proxmox en hyperviseur, j’ai activé « VLAN Aware » sur son linux bridge vmbr0.
Mon docker est executé dans une VM debian, sur cette VM, j’ai ajouté une deuxième interface réseau qui pointe sur vmbr0, mais avec le tag qui m’intéresse (33)
Sur ma VM :
ens18 : relié à l’interface net0
ens19 : relié à l’interface net1
Pour déployer mes docker j’utilise portainer, j’ai ajouté dans portainer un macvlan qui pointe sur ens19.
C’est presque tout bon :
mon conteneur a bien une IP sur la plage .33, accède bien à internet si je lui autorise dans les pare-feux d’openWRT
je peux y accéder par mon réseau lan en .31 à mon service docker
mon hôte proxmox arrive bien à le ping
Là où je bloque c’est que ma VM debian n’arrive pas à le ping, alors que le docker est sur cette même machine.
Et j’ai vraiment besoin que ce docker puisse être vu par d’autres qui sont sur mon réseau par défaut en .31
ceci est une restriction connue du macvlan , donc ce comportement est totalement normal
mais ça reste la méthode la plus simple pour connecter un conteneur docker à 2 interfaces
Je ne suis pas du tout spécialiste là dedans, donc je n’ai pas vu ce point.
Je ne veux pas connecter un conteneur docker à deux interfaces, mais que deux conteneurs docker utilisent chacun une interface différente et puissent se voir l’un l’autre (en fonction des règles du pare-feu de mon routeur).
Tu parles bien de ce cas de figure quand tu dis que c’est une des limitations du macvlan ?
Quelle autre solution me reste t il alors pour faire fonctionner comme je le voudrais sans redéployer une deuxième VM ?
ça ne change pas grand chose
mais c’est pas vraiment un soucis chaque conteneur dans un macvlan différent ces 2 conteneurs sur chacun leur vlan communiquent bien avec leur vlan respectif juste il ne communiquent pas avec l’hôte
Le besoin (je ne l’ai pas mis du début pour ne pas me faire taper sur les doigts ):
C’est pour mon docker « transmission » ( client torrent) je veux qu’il sorte au niveau de mon routeur sur une interface spécifique ( sortie vpn wireguard) contrairement au reste.
Actuellement il a la même IP que la VM, donc si je fais sortir quelques choses, c’est tous les services qui sont impacté. Je voudrais séparer.
Jusque là ça pourrait fonctionner en l’état avec une PBR sur le routeur.
Sauf que « transmission » est alimenté par un docker « radarr » et c’est là que j’ai le problème car radar ne le vois pas vu qu’il est est sur mon réseau par défaut en .31
Pas besoin de vlan pour faire cela regarde plutôt le formidable projet fait pas un frenchi gluetun
Sinon tu as des conteneur avec vpn intégré deluge-vpn par exemple voir qbitorent-vpn tu as en plus des killswitch
Mais glutun est encore plus versatile
@ddfdom un très grand merci à toi !!!
J’ai pas mal galéré pour faire fonctionner gluetun (j’avais des soucis de DNS), mais cette fois ça fonctionne. J’ai remplacé transmission par deluge au final (l’UI est un peu plus complète)
Ça répond exactement à mon besoin et ça m’a permit de simplifier toute la chaine réseau entre mon routeur et la VM, le top
):
, je vais regarder tout ça et je ferai un retour.
