摘要:經(jīng)過一系列走訪排查�����,最終定位此現(xiàn)象只發(fā)生在阿里云的經(jīng)典網(wǎng)絡(luò)環(huán)境下�。但是在阿里云經(jīng)典網(wǎng)絡(luò)環(huán)境中,無論如何配置安全組功能����,表中始終無法匹配進(jìn)入主機(jī)棧的數(shù)據(jù)包。
近期國(guó)內(nèi)很多用戶曝出在阿里云的環(huán)境中無法使用Rancher的VXLAN網(wǎng)絡(luò)���,現(xiàn)象是跨主機(jī)的容器無法正常通信����,healthcheck服務(wù)一直無法更新正常狀態(tài)�����。經(jīng)過一系列走訪排查,最終定位此現(xiàn)象只發(fā)生在阿里云的經(jīng)典網(wǎng)絡(luò)環(huán)境下�。如果你也遭遇了同樣的情況,請(qǐng)關(guān)注此文��。
阿里云經(jīng)典網(wǎng)絡(luò)部署最新的stable(v1.6.7)版本并啟用VXLAN網(wǎng)絡(luò)�����,使用經(jīng)典網(wǎng)絡(luò)的內(nèi)網(wǎng)IP加入兩臺(tái)主機(jī)����,現(xiàn)象如下:
Rancher的VXLAN網(wǎng)絡(luò)除了VXLAN本身的機(jī)制外,還需要在IPtables中的RAW表中進(jìn)行數(shù)據(jù)包標(biāo)記��,然后在Filter表中對(duì)標(biāo)記數(shù)據(jù)包設(shè)置ACCEPT規(guī)則�,進(jìn)而實(shí)現(xiàn)容器跨主機(jī)通信。但是在阿里云經(jīng)典網(wǎng)絡(luò)環(huán)境中�����,無論如何配置安全組功能�����,RAW表中始終無法匹配進(jìn)入主機(jī)棧的數(shù)據(jù)包�。
依據(jù)“大膽假設(shè),小心求證”的troubleshooting原則�����,首先我們驗(yàn)證了使用經(jīng)典網(wǎng)絡(luò)的公網(wǎng)IP注冊(cè)主機(jī)��,VXLAN并沒有問題��,這說明存在某種安全規(guī)則是作用在經(jīng)典網(wǎng)絡(luò)的內(nèi)網(wǎng)IP的����。
其次,我們知道Rancher VXLAN的實(shí)現(xiàn)是基于Linux kernel的VXLAN module��,IPtables的數(shù)據(jù)包處理也基本是kernel處理�,所以理論上講肯定系統(tǒng)中存在權(quán)限更高的組件截獲了VXLAN的數(shù)據(jù),因?yàn)槲覀儨y(cè)試了在其他公有云環(huán)境并無此問題���,考慮阿里云會(huì)對(duì)經(jīng)典網(wǎng)絡(luò)的內(nèi)網(wǎng)安全做諸多限制��,所以懷疑阿里云鏡像內(nèi)做了一些特殊的定制��。
以過往使用阿里云的經(jīng)驗(yàn)����,我們對(duì)系統(tǒng)中內(nèi)置的“安全加固”組件疑惑很大,嘗試刪除這個(gè)組件���,可以使用這個(gè)腳本 http://update.aegis.aliyun.co... �����,但重啟機(jī)器后發(fā)現(xiàn)VXLAN網(wǎng)絡(luò)依然不通�。無法確定是否存在刪除不徹底的情況��,所以重建環(huán)境并在創(chuàng)建VM時(shí)選擇去掉“安全加固”選項(xiàng)��。
重新添加主機(jī)����,發(fā)現(xiàn)VXLAN一切恢復(fù)正常。
我們也正在盡力與阿里云官方取得聯(lián)系����,確認(rèn)這種情況是否存在誤殺。當(dāng)前可選擇的臨時(shí)方案除了按照上面的說明刪除“安全加固”組件外����,還可以在創(chuàng)建VM的時(shí)候選擇不使用安全加固鏡像,這樣Rancher VXLAN就可以正常工作���。
在這里���,非常感謝社區(qū)用戶的熱情發(fā)問,沒有大家對(duì)技術(shù)專注的態(tài)度和刨根問底的精神��,Rancher也無法真正發(fā)現(xiàn)問題的根源�,Rancher會(huì)一如既往地接受用戶的問題與需求,改進(jìn)自身產(chǎn)品���,真真正正能夠提供一個(gè)有生產(chǎn)力的工具����。
9月27日���,北京海航萬豪酒店���,容器技術(shù)大會(huì)Container Day 2017即將舉行。
CloudStack之父����、海航科技技術(shù)總監(jiān)、華為PaaS部門部長(zhǎng)�����、恒豐銀行科技部總經(jīng)理、阿里云PaaS工程總監(jiān)�����、民生保險(xiǎn)CIO······均已加入豪華講師套餐��!
11家已容器落地企業(yè)����,15位真·云計(jì)算大咖,13場(chǎng)純·技術(shù)演講�����,結(jié)合實(shí)戰(zhàn)場(chǎng)景��,聚焦落地經(jīng)驗(yàn)��。免費(fèi)參會(huì)+超高規(guī)格�����,詳細(xì)議程及注冊(cè)鏈接請(qǐng)戳
文章版權(quán)歸作者所有�����,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/27029.html
