文档章节

阿里云经典网络与Rancher VXLAN兼容性问题

RancherLabs
 RancherLabs
发布于 2017/09/12 12:29
字数 929
阅读 72
收藏 0

近期国内很多用户曝出在阿里云的环境中无法使用Rancher的VXLAN网络,现象是跨主机的容器无法正常通信,healthcheck服务一直无法更新正常状态。经过一系列走访排查,最终定位此现象只发生在阿里云的经典网络环境下。如果你也遭遇了同样的情况,请关注此文。

阿里云经典网络部署最新的stable(v1.6.7)版本并启用VXLAN网络,使用经典网络的内网IP加入两台主机,现象如下:

输入图片说明

Rancher的VXLAN网络除了VXLAN本身的机制外,还需要在IPtables中的RAW表中进行数据包标记,然后在Filter表中对标记数据包设置ACCEPT规则,进而实现容器跨主机通信。但是在阿里云经典网络环境中,无论如何配置安全组功能,RAW表中始终无法匹配进入主机栈的数据包。

输入图片说明

依据“大胆假设,小心求证”的troubleshooting原则,首先我们验证了使用经典网络的公网IP注册主机,VXLAN并没有问题,这说明存在某种安全规则是作用在经典网络的内网IP的。

输入图片说明

其次,我们知道Rancher VXLAN的实现是基于Linux kernel的VXLAN module,IPtables的数据包处理也基本是kernel处理,所以理论上讲肯定系统中存在权限更高的组件截获了VXLAN的数据,因为我们测试了在其他公有云环境并无此问题,考虑阿里云会对经典网络的内网安全做诸多限制,所以怀疑阿里云镜像内做了一些特殊的定制。

以过往使用阿里云的经验,我们对系统中内置的“安全加固”组件疑惑很大,尝试删除这个组件,可以使用这个脚本 http://update.aegis.aliyun.com/download/uninstall.sh ,但重启机器后发现VXLAN网络依然不通。无法确定是否存在删除不彻底的情况,所以重建环境并在创建VM时选择去掉“安全加固”选项。

输入图片说明

重新添加主机,发现VXLAN一切恢复正常。

输入图片说明

我们也正在尽力与阿里云官方取得联系,确认这种情况是否存在误杀。当前可选择的临时方案除了按照上面的说明删除“安全加固”组件外,还可以在创建VM的时候选择不使用安全加固镜像,这样Rancher VXLAN就可以正常工作。

在这里,非常感谢社区用户的热情发问,没有大家对技术专注的态度和刨根问底的精神,Rancher也无法真正发现问题的根源,Rancher会一如既往地接受用户的问题与需求,改进自身产品,真真正正能够提供一个有生产力的工具。

9月27日,北京海航万豪酒店,容器技术大会Container Day 2017即将举行。

CloudStack之父、海航科技技术总监、华为PaaS部门部长、恒丰银行科技部总经理、阿里云PaaS工程总监、民生保险CIO······均已加入豪华讲师套餐!

11家已容器落地企业,15位真·云计算大咖,13场纯·技术演讲,结合实战场景,聚焦落地经验。免费参会+超高规格,详细议程及注册链接请戳 输入图片说明

© 著作权归作者所有

共有 人打赏支持
RancherLabs
粉丝 19
博文 123
码字总数 254948
作品 0
深圳
程序员
阿里云经典网络与Rancher VXLAN兼容性问题

近期国内很多用户曝出在阿里云的环境中无法使用Rancher的VXLAN网络,现象是跨主机的容器无法正常通信,healthcheck服务一直无法更新正常状态。经过一系列走访排查,最终定位此现象只发生在阿...

RancherLabs
2017/09/12
0
0
VPC网络架构助力媒体数字化转型

在2018云栖大会-南京峰会上,阿里云技术专家胡茂庐讲述了阿里云网络架构VPC的概念,并对比经典网络详细分析了VPC及其产品的核心优势,以及讲述了全球网络的实现方式。在最后由新华报业传媒集...

wanwlxmmd
05/14
0
0
Docker宣布拥抱k8s,k8s将一统天下?

Docker官方于DockerCon EU 2017上宣布将在下一个Docker企业版中支持Kubernetes。容器编排之战似乎胜负已分,Kubernetes即将一统天下?容器市场下一步会如何发展? 2017年10月17日,全球瞩目的...

RancherLabs
2017/10/18
0
0
Docker宣布拥抱k8s,k8s将一统天下?

Docker官方于DockerCon EU 2017上宣布将在下一个Docker企业版中支持Kubernetes。容器编排之战似乎胜负已分,Kubernetes即将一统天下?容器市场下一步会如何发展? 2017年10月17日,全球瞩目的...

RancherLabs
2017/10/18
0
0
媒体视角 | 化繁为简的IaaS和容器

2018年6月28日,Container Day 2018 (即Rancher Kubernetes企业用户大会)如期召开,Rancher Labs CEO及联合创始人梁胜深入解读了容器技术现状及发展趋势,为整场大会奏响了持续技术创新和尊...

RancherLabs
07/18
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

kernel version does not match DSO version

错误信息: kernel version 384.11 does not match DSO version 384.130.0 原因是: cuda driver版本太低,不匹配DSO 简单有效的修复方法,升级nvidia driver, 步骤如下: 1. google seach ...

刘小米
今天
0
0
maven坐标和依赖

一、maven坐标详解 <groupId>com.fgt.club</groupId><artifactId>club-common-service-facade</artifactId><version>3.0.0</version><packaging>jar</packaging> maven的坐标元素说......

老韭菜
今天
1
0
springmvc-servlet.xml配置表功能解释

问:<?xml version="1.0" encoding="UTF-8" ?> 答: xml version="1.0"表示是此xml文件的版本是1.0 encoding="UTF-8"表示此文件的编码方式是UTF-8 问:<!DOCTYPE beans PUBLIC "-//SPRING//......

隐士族隐逸
今天
1
0
基于TP5的微信的公众号获取登录用户信息

之前讲过微信的公众号自动登录的菜单配置,这次记录一下在TP5项目中获取自动登录的用户信息并存到数据库的操作 基本的流程为:微信设置自动登录的菜单—>访问的URL指定的函数里获取用户信息—...

月夜中徘徊
今天
0
0
youTrack

package jetbrains.teamsys.license.runtime; 计算lis package jetbrains.ring.license.reader; 验证lis 安装后先不要生成lis,要把相关文件进行替换 ring-license-checker-1.0.41.jar char......

max佩恩
今天
2
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部