Ich versuche, zwei vertrauenswürdige VMs mit statischen IPs für eth1 zu erstellen, aber Pings zwischen den statischen Adressen schlagen fehl.
- Über das Havana-Dashboard habe ich ein Netzwerk mit einem 10.16.1/24-Subnetz, deaktiviertem Gateway und aktiviertem DHCP im Bereich 10.16.1.100,10.16.1.120 erstellt.
- 4 Instanzen gestartet, jede mit zwei NICS; eth0 für meine normale öffentliche Schnittstelle und eth1 für das Subnetz 10.16.1/24.
- habe mich bei zwei der VMs angemeldet und eth1.cfg erstellt, konfiguriert für DHCP
auto eth1 iface eth1 inet dhcp
- habe mich bei den anderen beiden VMs angemeldet und eth1.cfg erstellt, konfiguriert mit statischen Informationen
auto eth1 iface eth1 inet statisch Adresse 10.16.1.2 Netzmaske 255.255.255.0
- ifup eth1 auf jeder VM
Von jeder per DHCP konfigurierten VM aus kann ich die andere per DHCP konfigurierte VM anpingen, aber nicht die statisch konfigurierten VMs.
Von den statisch konfigurierten VMs kann ich keine andere VM anpingen.
Ich habe auch versucht, einen Router für das Netzwerk zu erstellen und eine Schnittstelle 10.16.1.254 hinzuzufügen. Dies hat jedoch keine sichtbare Änderung bewirkt. Ich kann den Router auch von keiner der VMs aus anpingen.
Was vermisse ich?
Antwort1
Ohne weitere Informationen ist das schwer zu beantworten. Da Sie sich im selben Netzwerk befinden, gehe ich nicht davon aus, dass Firewall-Regeln ein Problem darstellen.
Verwenden Sie Neutron oder Nova? Können Sie überprüfen, ob alle Neutron-Dienste ordnungsgemäß laufen?
neutron agent-list
Es lohnt sich möglicherweise, DHCP zu aktivieren, damit Sie zumindest überprüfen können, ob das Netzwerk funktioniert.
Befinden sich die VMs außerdem auf demselben physischen Hypervisor oder sind sie auf zwei verteilt? Wenn sie auf zwei verteilt sind, verwenden Sie dann VLANs und haben Sie Ihren Switch so konfiguriert, dass er dies unterstützt?
Es ist erwähnenswert, dass die statische Konfiguration von IPs, die nicht von OpenStack reserviert wurden, vor Icehouse funktionierte, dass Änderungen in dieser Version jedoch möglicherweise Probleme verursachen.
Auf dem Compute-Knoten, der eine der VMs hostet, wenn Sie
iptables -S | more
Suchen Sie in der Ausgabe nach der MAC-Adresse Ihrer VMs. Meine lautet beispielsweise „FA:16:3E:D0:1A:5D“.
Sie werden eine Ausgabe wie diese sehen:
-A neutron-openvswi-see719639-9 -s 192.168.0.83/32 -m mac --mac-source FA:16:3E:BB:75:7E -j RETURN
-A neutron-openvswi-see719639-9 -j DROP
Dies bedeutet, dass nur Pakete an die MAC-Adresse 192.168.0 .83/32 akzeptiert werden.
Antwort2
Ich glaube, dies steht im Einklang mit meinem vorherigen Experiment, bei dem ich versucht habe, eine statisch konfigurierte IP-Adresse in einem Neutron-DHCP-fähigen Netzwerk zu haben. Soweit ich mich erinnere, funktioniert das, was Sie versuchen, wenn DHCP für dieses bestimmte Neutron-Netzwerk deaktiviert wurde, aber nicht, wenn es aktiviert wurde.
Im letzteren Fall wird ein Neutron-Port für diese VM-Schnittstelle mit der zugewiesenen IP-Adresse erstellt. Wenn Sie Ihre Gast-VM statisch so konfigurieren würden, dass sie dieser IP und diesem Subnetz entspricht, würde es funktionieren. Wenn Sie versuchen, Ihren Gast statisch für eine andere IP als die IP in der Neutron-Datenbank zu konfigurieren, wird dies nicht funktionieren. Wenn nichts anderes, ist dies eine Form des IP-Spoofing-Schutzes, da Sie dadurch nicht die IP einer anderen VM im selben Netzwerk imitieren können, und ist im Allgemeinen ein guter Schutz.
Eine Möglichkeit besteht darin, ein Netzwerk mit deaktiviertem DHCP für Ihr Netzwerk zu verwenden. Eine andere Möglichkeit besteht darin, die VM statisch für dieselbe IP zu konfigurieren, die Neutron zugewiesen hat.
Noch eine Anekdote: In einem Fall habe ich ein externes Netzwerk über ein bestimmtes VLAN mit einem OpenStack-Netzwerk verbunden. Dieses Netzwerk hatte nur statisch konfigurierte physische Server und keinen DHCP-Server. Das OpenStack-seitige Netzwerk habe ich mit aktiviertem DHCP erstellt. Ich habe dies mit einem eingeschränkten Zuordnungsbereich getan, um IPs zuzuweisen, die nicht mit vorhandenen statischen IPs auf demselben CIDR in Konflikt geraten würden. Da Neutron nur überbrückte Ports für VMs verwaltet, bedeutete dies, dass andere statisch konfigurierte Geräte im Netzwerk (außerhalb der OpenStack-/Neutron-Steuerung) mit den DHCP-VMs in diesem Netzwerk kommunizieren konnten. Mit dieser Konfiguration können Sie jedoch keine Mischung aus statischen und DHCP-VMs/Gästen im selben Neutron-Netzwerk mit aktiviertem DHCP starten.