Firewalld: Schnittstelle zum autonomen Ändern von Zonen

tag-icon tag-icon docker firewalld rhel8
Firewalld: Schnittstelle zum autonomen Ändern von Zonen

Ich habe ein RHEL8-System, das als Docker Swarm-Arbeitsknoten dient. Es ist firewalldaktiviert und verfügt über eine dockerZone, der die Schnittstellen docker0und docker_gwbridgezugewiesen sind.

$ cat /etc/firewalld/zones/docker.xml
<?xml version="1.0" encoding="utf-8"?>
<zone version="1.0" target="ACCEPT">
  <short>docker</short>
  <description>zone for docker bridge network interfaces</description>
  <interface name="docker_gwbridge"/>
  <interface name="docker0"/>
</zone>

Nach dem Neustart bzw. firewalldNeuladen werden diese Schnittstellen gemäß in der richtigen Zone angezeigt firewall-cmd --get-active-zones.

$ firewall-cmd --get-active-zones
docker
  interfaces: docker_gwbridge docker0
internal
  interfaces: vethb6daacd veth0a3a13c veth3922477 veth1fc2c24 veth35f6f77 veth172d461 vethf457e97 vethed46b94 vethc3293eb vethe6c08de vethb1c5fb6 vethd6bcfd8 eth0

Nach einigen Minuten (normalerweise weniger als einer Stunde) wechseln sie jedoch internalstattdessen in die Zone, wodurch die Netzwerkverbindung in Containern unterbrochen wird.

$ firewall-cmd --get-active-zones
internal
  interfaces: vethb6daacd veth0a3a13c veth3922477 veth1fc2c24 veth35f6f77 veth172d461 vethf457e97 vethed46b94 vethc3293eb vethe6c08de vethb1c5fb6 vethd6bcfd8 eth0 docker_gwbridge docker0 veth5686e56 vetha51060c vethde79c75

A firewall-cmd --reloadbehebt es für kurze Zeit wieder.

Diese Fragesah relevant aus, aber diese Schnittstellen (wenn ich das richtig interpretiere) werden nicht von NetworkManager verwaltet, daher glaube ich nicht, dass das der Fehler ist.

$ nmcli device
DEVICE           TYPE      STATE                   CONNECTION
eth0             ethernet  connected               eth0
docker0          bridge    connected (externally)  docker0
docker_gwbridge  bridge    connected (externally)  docker_gwbridge
veth5686e56      ethernet  unmanaged               --
vetha51060c      ethernet  unmanaged               --
vethde79c75      ethernet  unmanaged               --
lo               loopback  unmanaged               --

$ ls /etc/sysconfig/network-scripts/
ifcfg-eth0

Ich kann in nichts Interessantes finden /var/log/firewalld. Ich habe mehrere andere Knoten, die theoretisch auf die gleiche Weise konfiguriert sind und bei denen dieses Problem nicht auftritt.

Ich habe die Knoten nicht eingerichtet und bin kein Systemadministrator, aber ich versuche, es herauszufinden! Irgendwelche weisen Worte?

Antwort1

Die Ursache scheint eine Chef-Aufgabe zu sein, bei der Chef auf funktionierenden und defekten Servern unerklärlicherweise unterschiedlich konfiguriert ist.

verwandte Informationen