OpenStack(ice house)云主机获取不到DHCP地址之故障分析定位与处理办法

最新推荐文章于 2024-06-17 15:34:41 发布
最新推荐文章于 2024-06-17 15:34:41 发布
阅读量6.4k 收藏 1
点赞数 2
分类专栏: OpenStack 文章标签: neutron openvswitch ovs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/watermelonbig/article/details/49689625
版权

公司生产机房最近淘汰下来一批设备,不算太旧,普遍CPU两颗两核,少数四颗四核,但其中已经有若干台主机安装不了CentOS7的系统了。因为主机型号太旧,CentOS7已经不提供磁盘驱动的支持了。所以只好将就着装成了CentOS6.7。为了更好得发挥余热,着手部署了一套OpenStack系统,版本只能选用Ice House,因为受制于OS的版本。

系统的架构基本上是:

一个控制节点

一个网络节点

四个计算节点

以上六个主机节点全部带磁盘存储,部署GlusterFS系统,与Cinder集成提供云硬盘服务。

使用Neutron实现OpenStack网络服务时,发现云主机无法获取到DHCP地址。

问题分析:

1、DHCP Server是运行在网络节点上的,通过dnsmasq发放地址,因此云主机必须与网络节点上的DHCP服务能够通信;

2、云主机运行在计算节点上,使用GRE随道通信与网络节点进行交互,每新建一个云主机就会有一个新的专用的通信隧道的建立,在隧道两侧的网络接口名称基本上都是命令为类似于br-tun的形式;

3、隧道接口br-tun在收发来自隧道的数据后,进行了格式转换,转发给了br-int网络接口,翻译为云主机和网络节点的IP网络能够识别的格式;

4、使用tcpdump在网络节点和计算节点上,针对br-int接口进行抓包,应该能抓到双方进行DHCP交互的数据包;

#tcpdump -i br-int

在网络节点和计算节点上使用上面的命令开始抓包。

使用浏览器登录dashboard管理平台,进入测试使用的云主机Cirros中,手工执行获取dhcp地址的命令:

#sudo cirros-dhcpc up eth0
现象:

在计算节点上,立即就抓到了发出dhcp请求的广播数据包,证明云主机系统和计算节点网络正常。

而网络节点的br-int接口始终没获取到dhcp广播包。于是直接对网络节点的隧道通信网卡进行抓包:

#tcpdump -i eth1
虽然干扰数据有点多,但仍然很容易看到当云主机发出dhcp请求时,几乎同时,在网络节点的隧道通信网卡eth1上收到了dhcp广播数据包。

5、分析

dhcp请求已经进入了网络节点,但是没能经由隧道接口转给br-int内网接口,因此云主机的dhcp请求得不到响应。

在确认了网络节点的隧道接口br-tun和内网接口br-int的端口映射无误后,认为DHCP请求是卡在了网络节点的系统层面,即eth1可以拿到,br-tun和br-int不能拿到,除非是网络节点的iptables策略把数据包拦住了。

借用一张OpenStack官网的架构图来说明一下系统与网络部署结构:


6、我们看一下网络节点此时的iptables规则如下

[root@networker ~]# iptables --list
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
neutron-openvswi-INPUT  all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh 
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
neutron-filter-top  all  --  anywhere             anywhere            
neutron-openvswi-FORWARD  all  --  anywhere             anywhere            
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
neutron-filter-top  all  --  anywhere             anywhere            
neutron-openvswi-OUTPUT  all  --  anywhere             anywhere            

Chain neutron-filter-top (2 references)
target     prot opt source               destination         
neutron-openvswi-local  all  --  anywhere             anywhere            

Chain neutron-openvswi-FORWARD (1 references)
target     prot opt source               destination         

Chain neutron-openvswi-INPUT (1 references)
target     prot opt source               destination         

Chain neutron-openvswi-OUTPUT (1 references)
target     prot opt source               destination         

Chain neutron-openvswi-local (1 references)
target     prot opt source               destination         

Chain neutron-openvswi-sg-chain (0 references)
target     prot opt source               destination         

Chain neutron-openvswi-sg-fallback (0 references)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere

我们可以看到,数据包一进INPUT链,就全数转给了neutron-openvswi-INPUT链一份。

而neutron-openvswi-INPUT链正是处理网络节点的OVS虚拟交换机数据通信的入口策略。

我们继续向下看neutron-openvswi-INPUT链有哪些规则。奇怪的是规则为空。按上下文的理解,这里的规则为空,应该理解为全部ACCEPT。事实是这样吗?

为了验证这一点,我们可以手工针对neutron-openvswi-INPUT链加一条明确的接收全部进来的数据包的规则:

iptables -A neutron-openvswi-INPUT -p all -j ACCEPT

再使用云主机手工获取一次DHCP地址,结果云主机立即就拿到了地址。

再对网络节点的br-int接口抓包,重复云主机获取DHCP的操作,马上就抓到了进入网络节点br-int子网的DHCP广播包了。

7、结论与推测

网络节点的iptables规则,是由openvswitch服务动态维护的。上述新增的neutron-openvswi-INPUT链也正是启动ovs服务后,动态生成的。根据链表处理逻辑,不需要显示的设置这样一条接受数据包的规则,也应该可以实现设计中的网络通信能力。而事实却不是这样的。我没有在更多的linux系统和版本上进行测试,至少在CentOS6.7上,必须手工增加一条链表规则才行。

重启openvswitch服务后,手工加的这条规则会被清除掉。为了容易维护,可以先使用service iptables save把规则保存至文件中去。

在以后重启openvswitch服务后,立即执行一次service iptables reload即可。








运维个西瓜
关注
专栏目录
OpenStack虚拟机DHCP获取不到IP地址排查
weixin_30713953的博客
06-30 1414
版本:OpenStack Liberty Neutron DVR 现象: 1、在虚拟机内部不停地dhclient 2、在虚拟机所属的计算节点的物理网卡上抓包,发现该虚拟机发出的dhcp广播包 3、在虚拟机所属网络所在的NAT节点(qdhcp所在的节点)的物理网卡上抓包,同样发现了该虚拟机发出的dhcp广播包,即在bond1上抓到了包: Bridge br-int ...
openstack云主机获取IP地址异常
u012903187的博客
02-08 3045
计算节点云主机获取IP地址异常 问题描述: 新增的计算节点物理机内核版本3.10.0-514.1.el7.x86_64,qemu版本1.5.3-501.el7.centos.bc.x86_64,libvirt版本1.2.17-13.el7_2.4.1.x86_64,OVS版本3.2.10-392-nuage,其他配置项服务运行正常,当创建运行虚拟机时,发现虚拟机无法获取IP地址。问题根本原因分析:...
Openstack Neutron Dhcp 无法获取IP地址问题
蜜糖的专栏
10-10 1万+
原文地址: http://www.choudan.net/2014/03/10/OpenStack-Neutron-DHCP-%E9%97%AE%E9%A2%98.html
OpenStack一键安装部署与配置(全网最详细)
最新发布
m0_65033889的博客
06-17 2643
OpenStack一键安装部署与配置(全网最详细)
虚拟机无法获取DHCP IP
echo 'narcissus'
02-25 5921
虚拟机无法获取DHCP IP 问题 虚拟机获取不到dnsmasq分配的IP地址。 解决方案 在计算节点上添加IPtables规则,若发现数据包缺少checksum,则自动计算并添加进去。 传统网络应用,比如DHCP服务,会与目前网卡开启的checksum offload起冲突,导致网路服务无法识别处理过的数据包。 iptables -A POSTROUTING -t m
OpenStack虚机dhcp失败,获取不到小网IP
u011211976的博客
11-10 4846
怀疑虚拟机里面的mac地址,跟外面其它设备的冲突。导致交换上出错。 关于mac地址,使用neutron port-list 可以看到所有port的mac地址。 对于新搭建环境, 用户可以通过预先修改  /etc/neutron/neutron.conf 下面的字段base_mac ,提前修改mac地址的基础字段,来避免跟当前其它限制冲突。 # running on this mac
openstack虚拟机无法获取IP地址
m0_60764975的博客
12-26 6513
openstack平台中创建虚拟机后,命令行可以看到虚拟机获取IP地址,但是虚拟机内部无法获取IP地址。 step1.查看opensatck中neutron服务状态,确保dchp服务正常运行。 step2.查看dnsmsp服务是否正常启动,该服务负责生成IP地址. step3.以上都正常的话,查看虚拟机xml文件,找到相应的tap设备,该设备连接虚拟机,从虚拟机到宿主机的连接图如图所示: ...
OpenStack故障处理
03-20
- 了解与故障处理相关的其他OpenStack服务。 - 增强OpenStack日常故障处理的能力。 #### 二、OpenStack故障处理基础知识 - **基础概念**:理解OpenStack的架构组成和服务间的依赖关系,这是故障排查的基础。 - **...
openstack搭建及命令创建云主机.docx
09-18
云计算openstack搭建及命令创建云主机
OpenStack云安全特性分析与部署(毕业设计).docx
11-21
从安全通用要求和云计算安全扩展要求对OpenStack云计算平台进行安全特性分析,提出了一套安全的OpenStack云计算平台解决方案并对解决方案进行实现和验证测试,编写了“OpenStack云安全部署指导书”。(平台搭建版本...
openstack的部署与云主机实例
Aimee_c的博客
07-19 3257
文章目录1.openstack部署1.1 环境搭建1.控制节点服务器主机网络2.网络时间协议(NTP)3.安装OpenStack包4.安装SQL数据库 实验环境: 控制节点:controller:172.25.1.1 2CPU,4G内存,5 GB 存储 1.openstack部署 1.1 环境搭建 1.控制节点服务器主机网络 [root@controller ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0 BOOTPROTO=none NAME=eth0
OpenStack中down掉的异常dhcp port 处理
weixin_34366546的博客
07-20 2245
OpenStack中,随着网络环境费复杂增长,有时候会遇到dhcp agent port bonding failed,导致agent无法正常提供服务,我们可以简单的用下面的方法来处理1、查找down掉的portroot@node-32:~#neutronport-list-cid-ctenant_id--statusDOWN--device_owner...
openstack dhcp调试
weixin_34279184的博客
10-27 286
openstackdhcpserver默认值dnsmasq软件实施,经ps -ef | grep dnsmasq 查看。当虚拟机启动过程启动dhcp求,日志可以是在主机系统日志: May 23 22:30:29 localhost dnsmasq-dhcp[5043]: DHCPDISCOVER(tapf7321a93-ac) fa:16:3e:33:0a:6a  May 23 ...
dnsmasq-dhcp DHCPDISCOVER “no address available“ 问题解决方法
Keep Moving~
08-23 1458
dnsmasq组件dhcp 获取动态ip失败问题分析与解决方法
openwrt dnsmasq启动问题偶尔导致lan侧设备无法通过dhcp获取IP地址
热门推荐
wwx0715的专栏
11-11 2万+
openwrt中的dnsmasq包含有dhcp server和dns的功能,dnsmasq是动态启动的,当网络状态发送变化是会重新启动dsnmasq,启动脚本为/etc/hotpulg.d/iface/25-dnsmasq。dnsmasq脚本启动时会先生成dnsmasq的配置文件,当网络变化频繁时,可能会同时出现多个生成配置文件的过程,写同一个配置文件导致后面关于dhcp的配置丢失,从而导致dhcp
虚拟机网络不通的场景和解决办法
MaueiceWei999的博客
03-20 857
虚拟机网络不通的场景和解决办法 openstack虚拟机网络不通场景和排查思路 总结下当遇到虚拟机获取不到IP地址或虚拟机网络不通的故障原因和排查思路。 content of tables 基本技巧 场景一:物理网络故障 场景二:neutron-dhcp-agent故障 场景三:openvswitch故障 经验总结 基本技巧 会抓包,排查网...
Openstack实践——重启后偶尔无法获取IP
crisis_hiding的博客
11-25 1242
最近想在自己搭的openstack上练习下k8s,突然发现里面的实例无法访问,登陆控制台发现实例未获取到私网ip。网上查找相关的问题,初步定位neutron-metadata-agent有关,查看/var/log/neutron/metadata-agent.log日志,发现neutron-metadata-agent启动时连接rabbitmq超时。重启neutron-metadata-agen...
配置Openstack时,遇到的错误总结
just_young的专栏
10-17 3383
1.Openstack的虚拟机实例可ping通外网,但外网无法ping通实例。 可
掌握OpenStack故障处理:理论与实践指南
理论部分着重于介绍OpenStack故障处理的基础概念,包括故障处理的基本流程、常用的故障处理工具以及与故障管理密切相关的OpenStack服务。这部分内容涵盖了如何描述故障处理流程,如何利用如neutron-service-list或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值