Início / server / Perguntas / 1160397
Accepted
Fefux
Asked: 2024-06-04 19:16:13 +0800 CST

Rotear sub-rede interna entre instância openstack

  • 772

Contexto: tenho um openstack onde 2 instâncias estão conectadas a uma rede (sub-rede 172.26.20.0/24). Esta rede está conectada a um roteador virtual (gateway 172.26.20.1). O ip da instância 1 é 172.26.20.10, e o outro 172.26.20.20 Dentro dessas duas instâncias, tenho outra interface em outra sub-rede privada (essas interfaces não estão vinculadas a uma rede openstack), respectivamente 10.0.0.1/24 e 10.0.1.1/ 24

O que tento alcançar: gostaria de poder executar ping em 10.0.1.1 da instância 1 e executar ping em 10.0.0.1 da instância 2

Desenho rápido:

|------------------------|                       |-------------------------|
| VM 1                   |                       | VM 2                    |
| eth0 : 172.26.20.10/24 |     GW : 172.26.20.1  | eth0 : 172.26.20.20/24  |
| veth1 : 10.0.0.1/24    |-->| qrouter | -->     | veth1 : 10.0.1.1/24     |
|------------------------|                       |-------------------------|

VM 1 route :
10.0.1.0/24 via 172.26.20.20

VM 2 route :
10.0.0.1/24 via 172.26.20.10

On both VM net.ipv4.ip_forward=1

ping 172.26.20.10 -> 172.26.20.20 ok
ping 172.26.20.20 -> 172.26.20.10 ok
ping 10.0.0.1 -> 10.0.1.1 ko
ping 10.0.1.1 -> 10.0.0.1 ko

On openstack side : 
Router static route :
10.0.1.0/24 via 172.26.20.20
10.0.0.1/24 via 172.26.20.10

Firewall : All ICMP ingress & egress allowed

Acho que estou fechado para ter sucesso, mas não consigo entender o que perdi. Network não é minha especialidade.

Preciso dessa configuração porque preciso implantar um cluster Kubernetes e não consigo fazer a pilha de rede funcionar (o pod pode se comunicar via 172.26.20.0/24, mas não por meio da rede interna 10.0.0.0/16). Espero que esteja claro o suficiente, não hesite em pedir mais precisão/esclarecimentos

Obrigado a todos.

networking

1 respostas

  1. Best Answer

    Por padrão, o OpenStack habilita a " segurança de porta " nas portas de rede. Isso evita a falsificação de endereços IP e MAC. Para que sua configuração funcione, você precisa permitir explicitamente que a porta associada a cada um dos seus servidores passe os endereços IP apropriados ou desabilitar completamente a segurança da porta.

    Reproduzi sua configuração localmente; Eu tenho:

    $ openstack server list -c Name -c Status -c Networks
+-------+--------+--------------------------------------------+
| Name  | Status | Networks                                   |
+-------+--------+--------------------------------------------+
| node1 | ACTIVE | default_network=192.168.0.163              |
| node0 | ACTIVE | default_network=192.168.0.8                |
+-------+--------+--------------------------------------------+

$ openstack router list -c Name -c Status -c State
+----------------+--------+-------+
| Name           | Status | State |
+----------------+--------+-------+
| default_router | ACTIVE | UP    |
+----------------+--------+-------+

    Em cada sistema, configurei um endereço IP adicional. Sobre node0:

    [root@node0 ~]# ip -4 addr show
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 8942 qdisc fq_codel state UP group default qlen 1000
    altname enp0s3
    altname ens3
    inet 192.168.0.8/24 brd 192.168.0.255 scope global dynamic noprefixroute eth0
       valid_lft 41999sec preferred_lft 41999sec
3: fake0: <BROADCAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN group default qlen 1000
    inet 10.0.0.1/24 scope global fake0
       valid_lft forever preferred_lft forever

    E em node1:

    [root@node1 ~]# ip -4 addr show
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 8942 qdisc fq_codel state UP group default qlen 1000
    altname enp0s3
    altname ens3
    inet 192.168.0.163/24 brd 192.168.0.255 scope global dynamic noprefixroute eth0
       valid_lft 41979sec preferred_lft 41979sec
3: fake0: <BROADCAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN group default qlen 1000
    inet 10.0.1.1/24 scope global fake0
       valid_lft forever preferred_lft forever

    Não precisamos adicionar nenhuma rota personalizada a nenhum dos servidores (porque configuraremos rotas no roteador e os servidores já estão configurados para usar esse roteador como rota padrão). Precisamos adicionar rotas personalizadas ao roteador:

    $ openstack router add route default_router  \
  --route destination=10.0.0.0/24,gateway=192.168.0.8
$ openstack router add route default_router  \
  --route destination=10.0.1.0/24,gateway=192.168.0.163

    Para que as coisas funcionem, precisamos configurar a porta associada node0para passar o endereço 10.0.0.1e para node1passar o endereço 10.0.1.1. Primeiro precisamos obter a porta associada a cada servidor:

    $ openstack port list --server node0
+--------------------------------------+------+-------------------+----------------------------------------------------------------------------+--------+
| ID                                   | Name | MAC Address       | Fixed IP Addresses                                                         | Status |
+--------------------------------------+------+-------------------+----------------------------------------------------------------------------+--------+
| 06d1f9e0-97c0-4c10-a72d-57547cda30b1 |      | fa:16:3e:81:f5:0f | ip_address='192.168.0.8', subnet_id='863b5232-eb01-42fd-85c2-432b61ef3506' | ACTIVE |
+--------------------------------------+------+-------------------+----------------------------------------------------------------------------+--------+

    E então precisamos configurar os endereços permitidos:

    $ openstack port set 06d1f9e0-97c0-4c10-a72d-57547cda30b1 \
  --allowed-address ip-address=10.0.0.1

    E da mesma forma para node1:

    $ openstack port list --server node1
+--------------------------------------+------+-------------------+------------------------------------------------------------------------------+--------+
| ID                                   | Name | MAC Address       | Fixed IP Addresses                                                           | Status |
+--------------------------------------+------+-------------------+------------------------------------------------------------------------------+--------+
| 85f2fab7-7479-4178-ab62-fa46764bcf7e |      | fa:16:3e:c4:91:6b | ip_address='192.168.0.163', subnet_id='863b5232-eb01-42fd-85c2-432b61ef3506' | ACTIVE |
+--------------------------------------+------+-------------------+------------------------------------------------------------------------------+--------+
$ openstack port set 85f2fab7-7479-4178-ab62-fa46764bcf7e \
  --allowed-address ip-address=10.0.1.1

    Com essas mudanças em vigor, podemos 10.0.1.1alcançar node0:

    [root@node0 ~]# ping -c1 10.0.1.1
PING 10.0.1.1 (10.0.1.1) 56(84) bytes of data.
64 bytes from 10.0.1.1: icmp_seq=1 ttl=64 time=1.15 ms

--- 10.0.1.1 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 1.148/1.148/1.148/0.000 ms

    E podemos chegar 10.0.0.1a partir de node1:

    [root@node1 ~]# ping -c 1 10.0.0.1
PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.
64 bytes from 10.0.0.1: icmp_seq=1 ttl=64 time=2.67 ms

--- 10.0.0.1 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 2.671/2.671/2.671/0.000 ms

    É possível desabilitar completamente a segurança da porta em uma porta individual ou em uma rede inteira. Para a situação que você descreveu em sua pergunta, nenhuma dessas opções é necessária e, como exigem a remoção de todos os grupos de segurança, você precisará gerenciar quaisquer restrições de firewall dentro de seus servidores individuais.

    Para desativar a segurança de porta em uma única porta:

    openstack port set --disable-port-security --no-security-group <port>

    Para desabilitar a segurança de porta para uma rede inteira (para que todas as portas desta rede tenham a segurança de porta desabilitada):

    openstack network set --disable-port-security <network>
    • 2

relate perguntas