Bittrance's questions

（跟进通过 VPN 连接的 GKE pod？）

我正在尝试使用 GCE VPN 将 GKE 集群连接到远程网络到 Cisco ASA 5510。来自 GKE pod 10.248.0.26 -> 远程节点 10.99.193.115 的 Ping 到达 10.99.193.115 并且 ASA 说回显回复去了通过隧道返回 GKE。但是，10.248.0.26 上的 tcpdump 显示没有回复。

Google Cloud Console 报告的防火墙和路由：

Name    Source tag / IP range   Allowed protocols / ports   Target tags

default-allow-icmp  0.0.0.0/0   icmp    Apply to all targets
default-allow-internal  10.240.0.0/16   tcp:1-65535; udp:1-65535; icmp  Apply to all targets
default-allow-ssh   0.0.0.0/0   tcp:22  Apply to all targets
gke-zecluster-d6cc7a55-all  10.248.0.0/14   tcp; udp; icmp;     Apply to all targets
gke-zecluster-d6cc7a55-ssh  <public_ip>/32  tcp:22  gke-zecluster-d6cc7a55-node
gke-zecluster-d6cc7a55-vms  10.240.0.0/16   tcp:1-65535; udp:1-65535; icmp  gke-zecluster-d6cc7a55-node
k8s-fw-a1a92183fb18e11e5be3442010af0001     0.0.0.0/0   tcp:80,443  gke-zecluster-d6cc7a55-node
k8s-fw-a1aa3fe95b18e11e5be3442010af0001     0.0.0.0/0   tcp:2003    gke-zecluster-d6cc7a55-node

Name    Destination IP ranges   Priority    Instance tags   Next hop

default-route-3eed071cad0670e8  0.0.0.0/0   1000    None    Default internet gateway
default-route-7a9ddc4457c714a0  10.240.0.0/16   1000    None    Virtual network
gke-zecluster-d6cc7a55-7b61213c-b187-11e5-be34-42010af00015     10.248.0.0/24   1000    None    gke-zecluster-d6cc7a55-node-j4jx (Zone ze-zone-1)
gke-zecluster-d6cc7a55-7ec5f7a9-b187-11e5-be34-42010af00015     10.248.1.0/24   1000    None    gke-zecluster-d6cc7a55-node-rluf (Zone ze-zone-1)
vpn-1-tunnel-1-route-1  10.99.0.0/16    1000    None    

是否有一些日志记录我可以打开以查看发生了什么？据我所知，VPN 没有说明与此流量相关的内容，只有：

15:24:51.058 sending DPD request
15:24:51.058 generating INFORMATIONAL_V1 request 3069408857 [ HASH N(DPD) ]
15:24:51.058 sending packet: from <gce-vpn-ip>[500] to <asa-ip>[500] (92 bytes)
15:24:51.092 received packet: from <asa-ip>[500] to <gce-vpn-ip>[500] (92 bytes)
15:24:51.092 parsed INFORMATIONAL_V1 request 146600869 [ HASH N(DPD_ACK) ]

如果我修改 VPN 隧道（GCE VPN、ASA）以使 GCE 端的默认网络 10.240.0.0/16 流量在两个方向上正确通过。

我认为这是一个路由问题，但是什么？路由 10.248.0.0/24 不应该将流量发送回 GKE 节点吗？还是我必须以某种方式将 GKE 网络声明为网络？

我有一个带有少量节点的 GKE 集群，我希望该集群中的 pod 能够连接到专用网络上的远程主机，该专用网络可以通过 GCE 提​​供的站点到站点 VPN 访问。据我所知，没有简单的方法可以将地址分配给 pod 以进行出站连接？（每次添加或替换节点时将每个 pod-cidr 添加到 VPN 配置似乎不可行。）我是否必须在集群外部设置 NAT 桥接器，或者是否有一些 Kubernetes 方法来控制出站地址一个豆荚？

看来 pool.ntp.org 的回复最近发生了变化。这让我的 CentosOS 6 ntp 服务器不开心。

$ host pool.ntp.org
pool.ntp.org has address 0.0.0.2
pool.ntp.org has address 83.209.8.142
pool.ntp.org has address 130.236.254.17
pool.ntp.org has address 195.178.181.98

$ /usr/lib64/nagios/plugins/check_ntp_time -H pool.ntp.org
can't create socket connection#

$ strace -f /usr/lib64/nagios/plugins/check_ntp_time -H pool.ntp.org
...
connect(3, {sa_family=AF_INET, sin_port=htons(123), sin_addr=inet_addr("83.209.8.142")}, 16) = 0
socket(PF_INET, SOCK_DGRAM, IPPROTO_UDP) = 3
connect(3, {sa_family=AF_INET, sin_port=htons(123), sin_addr=inet_addr("130.236.254.17")}, 16) = 0
socket(PF_INET, SOCK_DGRAM, IPPROTO_UDP) = 4
connect(4, {sa_family=AF_INET, sin_port=htons(123), sin_addr=inet_addr("195.178.181.98")}, 16) = 0
socket(PF_INET, SOCK_DGRAM, IPPROTO_UDP) = 5
connect(5, {sa_family=AF_INET, sin_port=htons(123), sin_addr=inet_addr("83.209.8.142")}, 16) = 0
socket(PF_INET, SOCK_DGRAM, IPPROTO_UDP) = 6
connect(6, {sa_family=AF_INET, sin_port=htons(123), sin_addr=inet_addr("0.0.0.2")}, 16) = -1 EINVAL (Invalid argument)
fstat(1, {st_mode=S_IFCHR|0620, st_rdev=makedev(136, 1), ...}) = 0
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f6571c5b000
write(1, "can't create socket connection", 30can't create socket connection) = 30
exit_group(3)                           = ?
+++ exited with 3 +++

正如现代 Ubuntu 所说，似乎对此达成了普遍共识：

$ ping 0.0.0.2
connect: Invalid argument

我认为 0.0.0.2 是有效 IP？

更新

这个问题确实是周期性的，并且已经持续了好几天（根据我的 nagios，自 2015 年 12 月 20 日以来）：

[12:40] host pool.ntp.org
pool.ntp.org has address 194.71.144.71
pool.ntp.org has address 79.136.86.176
pool.ntp.org has address 83.209.8.142
pool.ntp.org has address 178.73.198.130
[13:09] host pool.ntp.org
pool.ntp.org has address 194.71.144.71
pool.ntp.org has address 0.0.0.2
pool.ntp.org has address 178.73.198.130
pool.ntp.org has address 192.36.143.130

我想有某种排名战正在进行。

更新 2

对于感兴趣的人，当从瑞典查询 pool.ntp.org 的 DNS RR 时会出现此问题。

我需要将文件树同步到 kubernetes 集群中的特定 pod。如果只有一个人可以让 rsync 相信 kubectl 的行为有点像 rsh，这似乎是可能的。就像是：

rsync --rsh='kubectl exec -i podname -- ' -r foo x:/tmp

...除了这会遇到 x 问题，因为 rsync 假定需要主机名：

exec: "x": executable file not found in $PATH

我似乎找不到帮助 rsync 构造 rsh 命令的方法。有没有办法做到这一点？或者其他一些可以通过管道实现相对有效的文件传输的方法？

（我知道gcloud compute copy-files，但它只能在节点上使用？）

我有几个运行 Debian Wheezy 的 boxen。他们似乎有一个非常烦人的问题，即在已经 su:d 到 root 的 shell 中按 ctrl+c 会杀死 su，而不是 root shell 中运行的任何东西。这使得使用例如 ping 或 tcpdump 几乎不可能。据我了解，这个问题在Debian bug #628843中进行了长时间的辩论，但似乎没有达成共识。

[20:38] alias
zsu='su root -p -c $SHELL'
[20:38] zsu
Password:
zsh compinit: insecure directories and files, run compaudit for list.
Ignore insecure directories and files and continue [y] or abort compinit [n]? y
[20:38] <- I simply pressed ctrl+c
Session terminated, terminating shell...
[20:38]  ...killed.

我需要为此找到解决方法。我可以以不同的方式执行 su 还是可以使用替代品？（最好不要使用 sudo，而且我不希望允许 ssh root 登录。）

我有一个 saslauthd 设置来针对 PAM 进行身份验证。它似乎在做它的事情：

root@sasltest:~# testsaslauthd -u quest -p #### -s smtp
0: OK "Success."

我有 libsasl 2.1.23，后缀 2.7.1。

我有一个这样配置的后缀：

smtpd_sasl_type = cyrus
smtpd_sasl_path = /var/spool/postfix/private/saslauthd/mux
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_security_options = noanonymous

因此有了 master.cf：

submission inet n       -       -       -       -       smtpd
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

但是，尝试在此后缀中进行身份验证会出现以下错误消息：

Jan 23 22:13:14 sasltest postfix/smtpd[1252]: warning: SASL authentication problem: unable to open Berkeley db /etc/sasldb2: No such file or directory
Jan 23 22:13:14 sasltest postfix/smtpd[1252]: warning: SASL authentication problem: unable to open Berkeley db /etc/sasldb2: No such file or directory
Jan 23 22:13:14 sasltest postfix/smtpd[1252]: warning: X[A.B.C.D]: SASL LOGIN

认证失败：认证失败

同时，我的调试日志记录 saslauthd 没有输出。

我将其解释为 libsasl2 尝试使用 sasldb auth 而不是尝试与 saslauthd 交谈。我不知道如何告诉 libsasl 我希望它与 saslauthd 交谈。

各种说明会通知您创建文件 /etc/sasl2/smtpd.conf 或 /etc/postfix/sasl/smtpd.conf。我尝试创建这些包含以下文件的文件：

pwcheck_method: saslauthd
mech_list: LOGIN PLAIN

但没有效果。

如何指示 libsasl 使用 saslauthd 身份验证？

（我当然可以创建 /var/spool/postfix/etc/sasldb2，但这仍然不会导致与 saslauthd 的连接。）

我正在从 Xen 切换到 qemu-kvm。我当前的 Xen 安装有许多 LVM 卷，每个卷都有一个分区（而不是完整的磁盘映像）。在 Xen 中，我使用如下配置启动每个 VM：

kernel = "/boot/vmlinuz-2.6.18-128.4.1.el5xen"
ramdisk = "/boot/initrd-xen-2.6.18-128.4.1.el5xen"
disk   = [ 'phy:/dev/vmdata/vm-standalone,sda1,w' ]

我现在想重用这些虚拟机，但改为在 kvm 下启动它们。似乎 virt-install--import可以让我这样做，使用--boot kernel=<kernel>,initrd=<initrd>，但我看不出如何指示 virt-install 将现有卷附加为引导/根文件系统。这可能吗？