摘要:經(jīng)過一系列走訪排查��,最終定位此現(xiàn)象只發(fā)生在阿里云的經(jīng)典網(wǎng)絡(luò)環(huán)境下�����。但是在阿里云經(jīng)典網(wǎng)絡(luò)環(huán)境中���,無論如何配置安全組功能,表中始終無法匹配進(jìn)入主機(jī)棧的數(shù)據(jù)包���。
近期國(guó)內(nèi)很多用戶曝出在阿里云的環(huán)境中無法使用Rancher的VXLAN網(wǎng)絡(luò)��,現(xiàn)象是跨主機(jī)的容器無法正常通信���,healthcheck服務(wù)一直無法更新正常狀態(tài)。經(jīng)過一系列走訪排查����,最終定位此現(xiàn)象只發(fā)生在阿里云的經(jīng)典網(wǎng)絡(luò)環(huán)境下。如果你也遭遇了同樣的情況����,請(qǐng)關(guān)注此文����。
阿里云經(jīng)典網(wǎng)絡(luò)部署最新的stable(v1.6.7)版本并啟用VXLAN網(wǎng)絡(luò)�����,使用經(jīng)典網(wǎng)絡(luò)的內(nèi)網(wǎng)IP加入兩臺(tái)主機(jī)�,現(xiàn)象如下:
Rancher的VXLAN網(wǎng)絡(luò)除了VXLAN本身的機(jī)制外,還需要在IPtables中的RAW表中進(jìn)行數(shù)據(jù)包標(biāo)記����,然后在Filter表中對(duì)標(biāo)記數(shù)據(jù)包設(shè)置ACCEPT規(guī)則,進(jìn)而實(shí)現(xiàn)容器跨主機(jī)通信�����。但是在阿里云經(jīng)典網(wǎng)絡(luò)環(huán)境中�����,無論如何配置安全組功能�����,RAW表中始終無法匹配進(jìn)入主機(jī)棧的數(shù)據(jù)包。
依據(jù)“大膽假設(shè)����,小心求證”的troubleshooting原則,首先我們驗(yàn)證了使用經(jīng)典網(wǎng)絡(luò)的公網(wǎng)IP注冊(cè)主機(jī)��,VXLAN并沒有問題����,這說明存在某種安全規(guī)則是作用在經(jīng)典網(wǎng)絡(luò)的內(nèi)網(wǎng)IP的。
其次����,我們知道Rancher VXLAN的實(shí)現(xiàn)是基于Linux kernel的VXLAN module��,IPtables的數(shù)據(jù)包處理也基本是kernel處理����,所以理論上講肯定系統(tǒng)中存在權(quán)限更高的組件截獲了VXLAN的數(shù)據(jù),因?yàn)槲覀儨y(cè)試了在其他公有云環(huán)境并無此問題�����,考慮阿里云會(huì)對(duì)經(jīng)典網(wǎng)絡(luò)的內(nèi)網(wǎng)安全做諸多限制�,所以懷疑阿里云鏡像內(nèi)做了一些特殊的定制。
以過往使用阿里云的經(jīng)驗(yàn)�,我們對(duì)系統(tǒng)中內(nèi)置的“安全加固”組件疑惑很大��,嘗試刪除這個(gè)組件�����,可以使用這個(gè)腳本 http://update.aegis.aliyun.co... ����,但重啟機(jī)器后發(fā)現(xiàn)VXLAN網(wǎng)絡(luò)依然不通�����。無法確定是否存在刪除不徹底的情況����,所以重建環(huán)境并在創(chuàng)建VM時(shí)選擇去掉“安全加固”選項(xiàng)。
重新添加主機(jī)��,發(fā)現(xiàn)VXLAN一切恢復(fù)正常����。
我們也正在盡力與阿里云官方取得聯(lián)系,確認(rèn)這種情況是否存在誤殺�����。當(dāng)前可選擇的臨時(shí)方案除了按照上面的說明刪除“安全加固”組件外,還可以在創(chuàng)建VM的時(shí)候選擇不使用安全加固鏡像���,這樣Rancher VXLAN就可以正常工作���。
在這里,非常感謝社區(qū)用戶的熱情發(fā)問�����,沒有大家對(duì)技術(shù)專注的態(tài)度和刨根問底的精神����,Rancher也無法真正發(fā)現(xiàn)問題的根源���,Rancher會(huì)一如既往地接受用戶的問題與需求��,改進(jìn)自身產(chǎn)品���,真真正正能夠提供一個(gè)有生產(chǎn)力的工具。
9月27日�����,北京海航萬(wàn)豪酒店,容器技術(shù)大會(huì)Container Day 2017即將舉行�。
CloudStack之父、海航科技技術(shù)總監(jiān)����、華為PaaS部門部長(zhǎng)、恒豐銀行科技部總經(jīng)理����、阿里云PaaS工程總監(jiān)、民生保險(xiǎn)CIO······均已加入豪華講師套餐�����!
11家已容器落地企業(yè)���,15位真·云計(jì)算大咖��,13場(chǎng)純·技術(shù)演講����,結(jié)合實(shí)戰(zhàn)場(chǎng)景��,聚焦落地經(jīng)驗(yàn)。免費(fèi)參會(huì)+超高規(guī)格����,詳細(xì)議程及注冊(cè)鏈接請(qǐng)戳
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除�。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/11287.html
