============================================================================ Due to conntrack impact on venet performance, conntrack need to be disabled on the host system (it will still work for containers). Adding the following option to /etc/modprobe.d/openvz.conf: options nf_conntrack ip_conntrack_disable_ve0=1 This change will take effect only after the next reboot. NOTE: IF YOU NEED conntrack functionality, edit /etc/modprobe.d/openvz.conf NOW, changing =1 to =0. DO NOT REMOVE the line, or it will be re-added! ============================================================================
Начиная с этой версии по-умолчанию отключается conntrack в VE0 (на hardware node). Если ваш файервол полагается на conntrack, то вы рискуете закрыть всем (и себе тоже) доступ на Hardware Node по сети.
Комментариев нет:
Отправить комментарий