本文介绍了OpenStack环境中,LVS DR模式下VIP不通的问题及排查过程。问题源于Neutron的安全组规则,通过分析工作原理和iptables规则,找到了由于VIP与MAC地址绑定不匹配导致的流量拦截。最终解决方案是在安全组中添加规则,避免iptables被刷新。同时,文章提出了安全问题和建议,强调了在OpenStack网络环境中,理解iptables和网络拓扑的重要性。
背
景
介
绍
OpenStack环境Neutron 的安全组会向虚拟机默认添加 anti-spoof 的规则,将保证虚拟机只能发出/接收以本机Port为原地址或目的地址(IP、MAC)的流量,提高了云的安全性。但是LVS等需要绑定VIP的场景,默认流量是被拦截的。需要做allow pairs设置才能放通流量。
02
业务拓扑
● Director Server分发器
VIP:xx.xx.xx.241
内网IP 主xx.xx.xx.5
备xx.xx.xx.7
Keepalived配置文件路径 /etc/keepalived/keepalived.conf
● 真实服务器RS关闭ARP,并添加lo:0 IP为VIP
内网(专网)IP xx.xx.xx.8 xx.xx.xx.10
xx.xx.xx.11 xx.xx.xx.13
以上六台虚拟机都对VIP做过allowed_address_pairs(仅对VIP做的,后面会详述)。
03
问题现象
配置了LVS的DR模式,配置完成后Client ping VIP可以通,但是发送HTTP请求,没有反应。抓包发现,Director收到了Client的报文,但是RS没有收到HTTP请求,只有VRRP报文。
04
排除过程
4.1怀疑是LVS配置问题
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
