背
景
介
绍
OpenStack环境Neutron 的安全组会向虚拟机默认添加 anti-spoof 的规则,将保证虚拟机只能发出/接收以本机Port为原地址或目的地址(IP、MAC)的流量,提高了云的安全性。但是LVS等需要绑定VIP的场景,默认流量是被拦截的。需要做allow pairs设置才能放通流量。
02
业务拓扑
● Director Server分发器
VIP:xx.xx.xx.241
内网IP 主xx.xx.xx.5
备xx.xx.xx.7
Keepalived配置文件路径 /etc/keepalived/keepalived.conf
● 真实服务器RS关闭ARP,并添加lo:0 IP为VIP
内网(专网)IP xx.xx.xx.8 xx.xx.xx.10
xx.xx.xx.11 xx.xx.xx.13
以上六台虚拟机都对VIP做过allowed_address_pairs(仅对VIP做的,后面会详述)。
03
问题现象
配置了LVS的DR模式,配置完成后Client ping VIP可以通,但是发送HTTP请求,没有反应。抓包发现,Director收到了Client的报文,但是RS没有收到HTTP请求,只有VRRP报文。
04
排除过程
4.1怀疑是LVS配置问题