Чтобы не использовать адреса из стандартных частных диапазонов, и не иметь конфликтов в интранетах и виртуальных окружениях в общем случае. Например, адреса 172.17+ используются самим Докером. 192.168.* - VirtualBox. Кроме того, все эти диапазоны активно используются для интранетов.
240-254. - это класс E, который зарезервирован для опытов. А тут 255. Некоторые пишут, что это, типа, широковещательные адреса, но в RFC я про это ничего не нашел.
Кроме возможных проблем с конечным потребителем услуги не каких. Я имею ввиду программное обеспечение. С точки зрения маршрутизатора диапазон 255.0.0.0/8, а именно так он определён в прошлом, как один из блоков класса E, нечем не отличается от любого другого блока, за исключением запрета его маршрутизации в глобальной сети Интернет.
Но, почему не хотите использовать диапазон 10.0.0.0/8?
а потом придет следующий инвалид умственного труда и придумает свою личную подсеть, чтобы не пересекаться еще и с вашей. ало! вы решаете проблему через жопу!
Не понимаю проблему, если это корп сеть - спроси админа, какую сеть тебе взять, если админ это ты - озаботься IP планом сети. Если это домашняя сеть - или забей или относись к ней как к своей корп сети. Что значит «адреса 172.17+ используются самим Докером»!? Им самим ни чего не используется, юзай параметр --subnet и задавай сети как надо а не метайся между созданными как попало
а потом придет следующий инвалид умственного труда и придумает свою личную подсеть, чтобы не пересекаться еще и с вашей. ало! вы решаете проблему через жопу!
С нашей подсетью никто не пересечется потому, что она внутри Докера, который обеспечивает виртуализацию в том числе и IP-адресов. В принципе, даже с вышеупомянутыми диапазонами локальных сетей проблема заключается только в том, что приложение в Докере не в состоянии получить доступ к ресурсам в этих подсетях, если тот же диапазон выбран для overlay-сети.
Где там написано что нельзя использовать нужную тебе подсеть?
Читай, что я написал анону. Я не знаю заранее какой диапазон адресов не будет конфликтовать с конкретным окружением. В принципе, все они могут быть заняты.
В конкретном окружение есть конкретный IP план, с которым тебе скорее всего придется маршрутизировать свою подсеть (как и им с твоей), так что без планирования под конкретное окружение в любом случае будет фейл.
Блок адресов 10.0.0.0/8 невероятно огромен, вы можете использовать любой агрегированный префикс, например 10.255.0.0/16, хотя я с трудом представляю, зачем вам такой короткий префикс /16. Какое количество узлов предполагается в вашей Overlay сети?
Технически нет не какой проблемы в том, чтобы обеспечить соединение двух подсетей с одинаковыми префиксами, как в IPv4 (NAT, Proxy ARP), так и в IPv6 (NAT66, ND Proxy).
Вы пытаетесь решить проблему, которую давным-давно уже решили другие инженеры.
Про план адресации и политику маршрутизации уже сказали выше без меня.
Ребят, af5 и ZANSWER, вы вообще в курсе как устроен Docker и для чего нужен? Такое впечатление, что я тут общаюсь с админами, которые только и умеют, что отшивать назойливых юзеров, мешающих им сёрфить интернеты. Я здесь не спрашиваю как мне настроить корпоративную сеть с блэкджеком и шлюхами VPN между офисами. Мне нужно настроить приложение для докера так, чтобы его не нужно было перенастраивать под каждого нового пользователя.
Кстати, неплохая идея. Но меня смущает, что некоторые адреса из этого блока пингуются. Скажем, у меня пингуется 100.64.0.1. В этом блоке точно не может быть каких-нибудь полезных для пользователей сервисов, вроде DNS например?
Значит вы можете предположить, что все их могли прочитать.
И вполне могут знать о том, что Docker использует VXLAN протокол RFC 7348: Virtual eXtensible Local Area Network (VXLAN): A Framework for Overlaying Virtualized Layer 2 Networks over Layer 3 Networks.
Тем не менее, это не имеет не какого отношения к тому факту, что уникальных префиксов в IPv4 кроме выданных RIR/LIR нет и быть не может.
Вы не когда не сможете быть уверенным, что никто не воспользуется ровно таким же префиксом, пока не получите свою AS и свой блок адресов.
Могли прочитать все, но ЛОР-Ъ себя этим не утруждают.
Вы не когда не сможете быть уверенным, что никто не воспользуется ровно таким же префиксом, пока не получите свою AS и свой блок адресов.
Мне на это плевать примерно так же, как администратору локальной сети плевать на то, что кто-то в другой локальной сети использует такой же блок адресов. Его сеть находится за NATом и ему важно чтобы все общедоступные ресурсы Интернета были доступны и в его локальной сети. С Докером похожая ситуация с той лишь разницей, что его overlay-сеть (тоже находящаяся за NATом) может быть поверх стандартной интранет-сети, находящейся за NATом по отношению к Интернету. В контексте этой темы важно, чтобы из докеровской overlay-сети были одинаково хорошо доступны как ресурсы Интернета, так и ресурсы этих стандартных интранетов. Вот для этого и нужен не используемый в стандартных окружениях блок адресов.
Это всё понятно, но, ещё раз, все не глобально маршрутизируемые блоки общие, а значит рано или поздно вы столкнётесь с тем, что ваш префикс пересечётся с таковым в локальной сети. В IPv4 нет префикса который бы был некем не использован, если это разрешено.
Кроме зарезервированного префикса, ранее относившегося к классу Е, о котором вы и так уже знаете.
Но, кто знает, может быть вы не один кто решил его использовать, по тем же самым соображениям.
В IPv4 нет префикса который бы был некем не использован, если это разрешено. Кроме зарезервированного префикса, ранее относившегося к классу Е, о котором вы и так уже знаете.
По каким причинам к вашему докеру нельзя файл конфигурации прикрутить, чтобы указать диапазон для оверлей сети? Или скрипт, который при поднятии докера будет сам, раз уж пользователи в стадии терминальной деменции, проверять машрутизируемость нужной подсети?
Link-local адреса назначаются случайным образом, но широко используются в Windows и OS X/iOS по умолчанию.
В остальных системах это будет зависеть от настроек, но Windows и OS X/iOS клиенты назначают их себе сами, в случае если не удалось получить DHCPOFFER в ответ на DHCPDISCOVER.
По каким причинам к вашему докеру нельзя файл конфигурации прикрутить, чтобы указать диапазон для оверлей сети?
Он давно прикручен.
Или скрипт, который при поднятии докера будет сам, раз уж пользователи в стадии терминальной деменции, проверять машрутизируемость нужной подсети?
Это предложение выглядит почти так же элегантно и просто, как слова «искусственный интеллект». Но, допустим, мы его как-то написали. Вопрос: что этот скрипт должен будет сделать, если все private-префиксы оказались заняты?
Это что ж за сеть такая, в которой сервисов, требующих нетранслируемого ip-адреса, более 2^24? И даже в этом фантастическом случае, вы не готовы отказаться от доступа к малой части этих загадочных сервисов, но готовы отказаться от маршрутизации части белого интернета?