摘要:經過一系列走訪排查,最終定位此現象只發生在阿里云的經典網絡環境下。但是在阿里云經典網絡環境中,無論如何配置安全組功能,表中始終無法匹配進入主機棧的數據包。
近期國內很多用戶曝出在阿里云的環境中無法使用Rancher的VXLAN網絡,現象是跨主機的容器無法正常通信,healthcheck服務一直無法更新正常狀態。經過一系列走訪排查,最終定位此現象只發生在阿里云的經典網絡環境下。如果你也遭遇了同樣的情況,請關注此文。
阿里云經典網絡部署最新的stable(v1.6.7)版本并啟用VXLAN網絡,使用經典網絡的內網IP加入兩臺主機,現象如下:
Rancher的VXLAN網絡除了VXLAN本身的機制外,還需要在IPtables中的RAW表中進行數據包標記,然后在Filter表中對標記數據包設置ACCEPT規則,進而實現容器跨主機通信。但是在阿里云經典網絡環境中,無論如何配置安全組功能,RAW表中始終無法匹配進入主機棧的數據包。
依據“大膽假設,小心求證”的troubleshooting原則,首先我們驗證了使用經典網絡的公網IP注冊主機,VXLAN并沒有問題,這說明存在某種安全規則是作用在經典網絡的內網IP的。
其次,我們知道Rancher VXLAN的實現是基于Linux kernel的VXLAN module,IPtables的數據包處理也基本是kernel處理,所以理論上講肯定系統中存在權限更高的組件截獲了VXLAN的數據,因為我們測試了在其他公有云環境并無此問題,考慮阿里云會對經典網絡的內網安全做諸多限制,所以懷疑阿里云鏡像內做了一些特殊的定制。
以過往使用阿里云的經驗,我們對系統中內置的“安全加固”組件疑惑很大,嘗試刪除這個組件,可以使用這個腳本 http://update.aegis.aliyun.co... ,但重啟機器后發現VXLAN網絡依然不通。無法確定是否存在刪除不徹底的情況,所以重建環境并在創建VM時選擇去掉“安全加固”選項。
重新添加主機,發現VXLAN一切恢復正常。
我們也正在盡力與阿里云官方取得聯系,確認這種情況是否存在誤殺。當前可選擇的臨時方案除了按照上面的說明刪除“安全加固”組件外,還可以在創建VM的時候選擇不使用安全加固鏡像,這樣Rancher VXLAN就可以正常工作。
在這里,非常感謝社區用戶的熱情發問,沒有大家對技術專注的態度和刨根問底的精神,Rancher也無法真正發現問題的根源,Rancher會一如既往地接受用戶的問題與需求,改進自身產品,真真正正能夠提供一個有生產力的工具。
9月27日,北京海航萬豪酒店,容器技術大會Container Day 2017即將舉行。
CloudStack之父、海航科技技術總監、華為PaaS部門部長、恒豐銀行科技部總經理、阿里云PaaS工程總監、民生保險CIO······均已加入豪華講師套餐!
11家已容器落地企業,15位真·云計算大咖,13場純·技術演講,結合實戰場景,聚焦落地經驗。免費參會+超高規格,詳細議程及注冊鏈接請戳
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/11287.html
摘要:經過一系列走訪排查,最終定位此現象只發生在阿里云的經典網絡環境下。但是在阿里云經典網絡環境中,無論如何配置安全組功能,表中始終無法匹配進入主機棧的數據包。 近期國內很多用戶曝出在阿里云的環境中無法使用Rancher的VXLAN網絡,現象是跨主機的容器無法正常通信,healthcheck服務一直無法更新正常狀態。經過一系列走訪排查,最終定位此現象只發生在阿里云的經典網絡環境下。如果你也遭...
摘要:在之前的版本上,用戶時常抱怨的網絡只有,沒有其他選擇。而容器社區的發展是十分迅猛的,各種容器網絡插件風起云涌,欲在江湖中一爭高下。同樣是基于,使用提供的,網絡配置信息以方式注入。 在之前的Rancher版本上,用戶時常抱怨Rancher的網絡只有IPsec,沒有其他選擇。而容器社區的發展是十分迅猛的,各種容器網絡插件風起云涌,欲在江湖中一爭高下。Rancher v1.2版本中與時俱進,...
摘要:在之前的版本上,用戶時常抱怨的網絡只有,沒有其他選擇。而容器社區的發展是十分迅猛的,各種容器網絡插件風起云涌,欲在江湖中一爭高下。同樣是基于,使用提供的,網絡配置信息以方式注入。 在之前的Rancher版本上,用戶時常抱怨Rancher的網絡只有IPsec,沒有其他選擇。而容器社區的發展是十分迅猛的,各種容器網絡插件風起云涌,欲在江湖中一爭高下。Rancher v1.2版本中與時俱進,...
摘要:日志會顯示令牌過期的信息,隨后檢查主機和主機的時鐘是否同步。如果這個子網已經被使用,你將需要更改網絡中使用的默認子網。如果負載均衡器處于初始化狀態,則很可能主機之間無法進行跨主機通信。而一直顯示黃色初始化狀態,說明一直沒有通過健康檢查。 一、服務/容器 1、為什么我只能編輯容器的名稱? Docker容器在創建之后就不可更改了。唯一可更改的內容是我們要存儲的不屬于Docker容器本身的那...
閱讀 2642·2019-08-30 15:52
閱讀 3589·2019-08-29 17:02
閱讀 1835·2019-08-29 13:00
閱讀 910·2019-08-29 11:07
閱讀 3228·2019-08-27 10:53
閱讀 1762·2019-08-26 13:43
閱讀 1004·2019-08-26 10:22
閱讀 1307·2019-08-23 18:06