資訊專欄INFORMATION COLUMN
摘要:經(jīng)過一系列走訪排查,最終定位此現(xiàn)象只發(fā)生在阿里云的經(jīng)典網(wǎng)絡(luò)環(huán)境下。但是在阿里云經(jīng)典網(wǎng)絡(luò)環(huán)境中,無論如何配置安全組功能,表中始終無法匹配進入主機棧的數(shù)據(jù)包。
近期國內(nèi)很多用戶曝出在阿里云的環(huán)境中無法使用Rancher的VXLAN網(wǎng)絡(luò),現(xiàn)象是跨主機的容器無法正常通信,healthcheck服務(wù)一直無法更新正常狀態(tài)。經(jīng)過一系列走訪排查,最終定位此現(xiàn)象只發(fā)生在阿里云的經(jīng)典網(wǎng)絡(luò)環(huán)境下。如果你也遭遇了同樣的情況,請關(guān)注此文。
阿里云經(jīng)典網(wǎng)絡(luò)部署最新的stable(v1.6.7)版本并啟用VXLAN網(wǎng)絡(luò),使用經(jīng)典網(wǎng)絡(luò)的內(nèi)網(wǎng)IP加入兩臺主機,現(xiàn)象如下:
Rancher的VXLAN網(wǎng)絡(luò)除了VXLAN本身的機制外,還需要在IPtables中的RAW表中進行數(shù)據(jù)包標記,然后在Filter表中對標記數(shù)據(jù)包設(shè)置ACCEPT規(guī)則,進而實現(xiàn)容器跨主機通信。但是在阿里云經(jīng)典網(wǎng)絡(luò)環(huán)境中,無論如何配置安全組功能,RAW表中始終無法匹配進入主機棧的數(shù)據(jù)包。
依據(jù)“大膽假設(shè),小心求證”的troubleshooting原則,首先我們驗證了使用經(jīng)典網(wǎng)絡(luò)的公網(wǎng)IP注冊主機,VXLAN并沒有問題,這說明存在某種安全規(guī)則是作用在經(jīng)典網(wǎng)絡(luò)的內(nèi)網(wǎng)IP的。
其次,我們知道Rancher VXLAN的實現(xiàn)是基于Linux kernel的VXLAN module,IPtables的數(shù)據(jù)包處理也基本是kernel處理,所以理論上講肯定系統(tǒng)中存在權(quán)限更高的組件截獲了VXLAN的數(shù)據(jù),因為我們測試了在其他公有云環(huán)境并無此問題,考慮阿里云會對經(jīng)典網(wǎng)絡(luò)的內(nèi)網(wǎng)安全做諸多限制,所以懷疑阿里云鏡像內(nèi)做了一些特殊的定制。
以過往使用阿里云的經(jīng)驗,我們對系統(tǒng)中內(nèi)置的“安全加固”組件疑惑很大,嘗試刪除這個組件,可以使用這個腳本 http://update.aegis.aliyun.co... ,但重啟機器后發(fā)現(xiàn)VXLAN網(wǎng)絡(luò)依然不通。無法確定是否存在刪除不徹底的情況,所以重建環(huán)境并在創(chuàng)建VM時選擇去掉“安全加固”選項。
重新添加主機,發(fā)現(xiàn)VXLAN一切恢復(fù)正常。
我們也正在盡力與阿里云官方取得聯(lián)系,確認這種情況是否存在誤殺。當前可選擇的臨時方案除了按照上面的說明刪除“安全加固”組件外,還可以在創(chuàng)建VM的時候選擇不使用安全加固鏡像,這樣Rancher VXLAN就可以正常工作。
在這里,非常感謝社區(qū)用戶的熱情發(fā)問,沒有大家對技術(shù)專注的態(tài)度和刨根問底的精神,Rancher也無法真正發(fā)現(xiàn)問題的根源,Rancher會一如既往地接受用戶的問題與需求,改進自身產(chǎn)品,真真正正能夠提供一個有生產(chǎn)力的工具。
9月27日,北京海航萬豪酒店,容器技術(shù)大會Container Day 2017即將舉行。
CloudStack之父、海航科技技術(shù)總監(jiān)、華為PaaS部門部長、恒豐銀行科技部總經(jīng)理、阿里云PaaS工程總監(jiān)、民生保險CIO······均已加入豪華講師套餐!
11家已容器落地企業(yè),15位真·云計算大咖,13場純·技術(shù)演講,結(jié)合實戰(zhàn)場景,聚焦落地經(jīng)驗。免費參會+超高規(guī)格,詳細議程及注冊鏈接請戳
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/11287.html
摘要:經(jīng)過一系列走訪排查,最終定位此現(xiàn)象只發(fā)生在阿里云的經(jīng)典網(wǎng)絡(luò)環(huán)境下。但是在阿里云經(jīng)典網(wǎng)絡(luò)環(huán)境中,無論如何配置安全組功能,表中始終無法匹配進入主機棧的數(shù)據(jù)包。 近期國內(nèi)很多用戶曝出在阿里云的環(huán)境中無法使用Rancher的VXLAN網(wǎng)絡(luò),現(xiàn)象是跨主機的容器無法正常通信,healthcheck服務(wù)一直無法更新正常狀態(tài)。經(jīng)過一系列走訪排查,最終定位此現(xiàn)象只發(fā)生在阿里云的經(jīng)典網(wǎng)絡(luò)環(huán)境下。如果你也遭...
摘要:在之前的版本上,用戶時常抱怨的網(wǎng)絡(luò)只有,沒有其他選擇。而容器社區(qū)的發(fā)展是十分迅猛的,各種容器網(wǎng)絡(luò)插件風起云涌,欲在江湖中一爭高下。同樣是基于,使用提供的,網(wǎng)絡(luò)配置信息以方式注入。 在之前的Rancher版本上,用戶時常抱怨Rancher的網(wǎng)絡(luò)只有IPsec,沒有其他選擇。而容器社區(qū)的發(fā)展是十分迅猛的,各種容器網(wǎng)絡(luò)插件風起云涌,欲在江湖中一爭高下。Rancher v1.2版本中與時俱進,...
摘要:在之前的版本上,用戶時常抱怨的網(wǎng)絡(luò)只有,沒有其他選擇。而容器社區(qū)的發(fā)展是十分迅猛的,各種容器網(wǎng)絡(luò)插件風起云涌,欲在江湖中一爭高下。同樣是基于,使用提供的,網(wǎng)絡(luò)配置信息以方式注入。 在之前的Rancher版本上,用戶時常抱怨Rancher的網(wǎng)絡(luò)只有IPsec,沒有其他選擇。而容器社區(qū)的發(fā)展是十分迅猛的,各種容器網(wǎng)絡(luò)插件風起云涌,欲在江湖中一爭高下。Rancher v1.2版本中與時俱進,...
摘要:日志會顯示令牌過期的信息,隨后檢查主機和主機的時鐘是否同步。如果這個子網(wǎng)已經(jīng)被使用,你將需要更改網(wǎng)絡(luò)中使用的默認子網(wǎng)。如果負載均衡器處于初始化狀態(tài),則很可能主機之間無法進行跨主機通信。而一直顯示黃色初始化狀態(tài),說明一直沒有通過健康檢查。 一、服務(wù)/容器 1、為什么我只能編輯容器的名稱? Docker容器在創(chuàng)建之后就不可更改了。唯一可更改的內(nèi)容是我們要存儲的不屬于Docker容器本身的那...
閱讀 2649·2019-08-30 15:52
閱讀 3596·2019-08-29 17:02
閱讀 1844·2019-08-29 13:00
閱讀 922·2019-08-29 11:07
閱讀 3238·2019-08-27 10:53
閱讀 1770·2019-08-26 13:43
閱讀 1016·2019-08-26 10:22
閱讀 1332·2019-08-23 18:06
