|
|
为了解决这个问题,我们需要了解L3 agent(L3代理)的工作原理。其主要职责是允许L3连接和路由,也提供NAT,并使用命名空间进行网络隔离。通常它将被安装在网络节点上,也是提供访问外部网络的代理。; G0 i6 b2 C, C# V! w
& v) { g0 R z2 N' G
官网教程 创建一个虚拟机 中写了如何创建 provider network 和 self-service network。在self-service netwrok中,创建的网络有一个内部IP和一个外部IP。创建self-service network时,需要有一个provider network,并创建一个路由,把self-service network的子网作为路由的一个接口,再把路由连接到provider网络上。这时运行以下命令,可以看到provider网络的两个网关:
5 I0 k: ?9 w6 C, ~ V" X$ neutron router-port-list router
" Q/ r# Y4 F h9 i$ f! p$ V' D5 _( q
0 n* g& _* D+ R; G# S( }; @
, P# e8 M' O) T! h如上图,其中 172.16.1.1 是self-service network的内部网关,是无法从外部ping通的,203.0.113.102 是外部网关,可以从外部ping通。如上所说,在创建self-service network时,会通过建立一个路由把该网络和一个provider network连接以保证self-service network可以访问外部网络。9 x/ d; d5 w5 ?& h
在self-service network中创建虚拟机,需要给虚拟机分配一个浮动IP,如果我们想ping通虚拟机,应当使用这个浮动IP。
3 z( {5 V: t% H上文的ping通private IP笔者略有疑惑,可能指的是从虚拟机内部ping 类似 172.16.1.1 的内部网关,也可能是从外部ping虚拟机绑定的浮动IP。2 b' R& G' v+ f! \% q% P) H
接下来,从路由器命名空间尝试使用浮动IP来ping 虚拟机:
5 f0 D9 ^2 z E/ a& h8 w$ l; q$ sudo ip netns exec qrouter-xxx-xxx-xxx ping <vm_floating_ip>
& |8 K+ M% O" \2 [" A笔者注:上面命令的命名空间可以用如下指令获得:+ D' p9 U# \$ {: {
$ ip netns
3 h1 v7 F3 [4 W9 _9 A( F& k) {用如下指令可以得到所有虚拟机的IP:2 j) M' I6 H* R$ I1 T# m3 X: C& Q
$ openstack server list
; u2 P4 i3 n5 ]# ]9 W" P, K这可能是个愚蠢的检查,因为浮动IP总是处于路由器命名空间内,但至少它会告诉我们情况有多糟糕。
! W/ k8 v; A1 u0 H# ^4 w7 h. A6 B你还应该检查网桥配置问题。 用下面的命令检查它:) Q/ r" i* Z$ E8 i! l) ]; M
$ ovs-vsctl show
4 z. e2 b8 E7 i4 R别忘了检查L3 agent的log文件:
8 q0 }; O5 j) `) t! J! H$ sudo grep -E -i "error|trace" /var/log/neutron/l3-agent.log
% C9 A V" P' b/ S; A! |用以下命令看虚拟机是否得到了IP:. J) n/ |- K( G0 H
$ ip a' {; w; ]! a6 ]
从虚拟机里ping网关看是否能到达:
7 b$ z ?9 g* Q5 ]$ route -n; H F- r# k: v8 ?/ V
$ ping <default_gateway_ip>8 G# M- _0 x& P `3 |7 {9 H
问题三: 虚拟机无法访问元数据服务器元数据服务器是为虚拟机提供元数据的服务。数据可以是ssh密钥,ip地址,主机名。1 T& f& F! ?( `1 b4 I2 p: h
元数据代理负责将来自虚拟机的请求代理到元数据服务器或 nova。 有两种方法来配置它:
, U8 I" ^8 I" {1 x1 N0 l- R; _- 路由网络 - 当你有一个连接到路由器的网络
- 非路由网络 - 当你有没有连接到路由器的网络,所以它是隔离的。 p7 M7 c# t- N) N2 @/ S
我们来看看路由网络的工作流:
" \& Z& k' }& A: @5 u. ]! [: v
3 e9 ^! [! ^1 f f/ o8 W8 W: _/ i5 E6 ~, K
6 i! X* R- Y. _. K! O 6 c: A3 o X$ g
: t# _% M- j5 |' ]
routed_networks_metadata.png% X3 w# g2 |. x" ]
, \! h, |# G" g+ `) U U
注意:metdata代理由L3代理生成,并监听请求。当来自虚拟机的请求到达元数据代理时,它将一些信息添加到虚拟机和路由器id的头部IP中,并将其转发给元数据代理。
3 F U( i5 L3 p现在让我们更仔细地看看其他配置 - 隔离网络: ~, r: N r+ z' h5 `
2 h& u/ ] D6 }7 B' H
/ p% o( G' l+ {* N
 " C" o( g# R& C) p( l
% o3 ?3 z9 i# H% S) y( u' D
isolated_network_metadata.png( ]" `; W3 t' K' `' W f6 s. |# H6 p8 j
3 }; v3 X9 ~/ P; E1 h注意:为了隔离网络能工作,必须在dhcp配置文件中进行配置:, O2 X# o$ @: x* e$ m }
enable_isolated_metadata = True
% S6 ~3 p- T0 t* A) |2 f. e笔者注:在以下文件中配置:6 O9 D- q$ [5 ^5 C
/etc/neutron/dhcp_agent.ini
2 |$ o3 i* S6 t# d8 D: K7 s我们还使用DHCP的 option 121,在向DHCP请求IP地址时向虚拟机注入路由。 所以元数据代理是到达元数据服务器的下一个跃点。9 V, V" {% b- x" S4 ~) E( K5 y5 P1 D
Debug步骤首先查看metadata agent是否正常运行:
- W5 r9 w: L0 t8 a+ S; z$ neutron agent-list: `( v$ U1 U0 I# D
在metadata agent 那行应当看到alive下面的微笑。+ M1 ~& S1 h) p# c4 x
接着,检查metadata proxy是否正常。请记住,它是由L3代理在路由器(或dhcp)命名空间中产生的,所以您应该检查它是否在命名空间的进程表中:
4 C( h, U Y$ U) @5 F/ f$ sudo ip netns exec qrouter-xxx-xxx-xxx ps -ef | grep metadata-proxy9 x5 h, p( ~0 g5 q0 ?
问题会反映在metadata的log文件中,所以前去检查:
; |& |* o# D) f9 F: N8 V$ sudo grep -E -i "error|trace" /var/log/neutron/metadata-agent.log /var/log/neutron/neutron-ns-metadata-proxy-xxx-xxx-xxx.log
1 \, Q; X2 C5 Y检查是否可以通过路由/DHCP到达元数据服务器:2 c1 T/ T' m5 f
$ sudo ip netns exec qrouter-xxx-xxx-xxx ping <metadata-server_IP>2 Y/ m5 Z3 o9 ~- ~$ M" t
检查创建虚拟机的镜像是否支持 option 121。如果不支持,那么虚拟机可能无法得到路由并且到达元数据服务器。; i3 P& b& Y- @6 u, _2 Z) x' {7 a
如果所有都尝试了还没有发现问题,试着使用 tcpdump 来解决问题。
( d* A8 Z8 T, }% M( p* r问题四: VIF plugging timeout为了理解为什么会遇到timeout问题,我们需要介绍L2代理。
* T" M% M" ^' n% A% W1 jL2代理在计算主机上运行,其主要职责是配置节点上的本地交换机并连接新设备,它通过RPC与neutron服务器通信,还负责提供使用iptables和ip集合的安全组规则。9 C! n5 I$ z7 H; ^, k* H ?% H
让我们更详细地看看VIF如何工作:! v# X! A% B% K6 h
' E# `0 @1 P" W) ^
9 v2 P7 T6 {" h' g% ^' c9 h( L6 W% U
 " p* i( g7 S) C
' t' O! G2 ?) s( t5 H
vif_plugging.png
6 V7 ?1 U* M& D6 T& l i
* t& S/ w8 p5 Z当Nova发送allocate_network请求时,它将超时设置为5分钟。如果Nova在5分钟内没有得到Neutron的回复,你会得到VIF plugging timeout。2 I N7 b' h# [2 @7 u2 n% ]* C
debug步骤检查日志。L2代理,neutron和nova日志可以帮助查找问题,在计算节点上输入:
# J) t6 c# i O% X$ sudo grep -E -i "error|trace" /var/log/nova/nova-compute.log /var/log/neutron/openvswitch-agent.log1 U+ K' w) z! e
在控制节点上:
; e0 v+ ]( m; m. m# E. o' I$ sudo grep -E -i "error|trace" /var/log/neutron/server.log
/ ^& o5 ?6 o6 q- ^- |如果系统加载缓慢,或者你正在执行压力测试,则可能需要调整/etc/nova/nova.conf文件中的服务器配置:
) \3 k H( G& m$ y4 |( z: H- 尝试增加 vif_plugging_timeout 以提供更多的时间来插入接口
- 尝试增加 rpc_thread_pool_size 和 rpc_conn_pool_size 以使处理速度更快
9 v" z) u1 W0 v0 S' L$ ]
一些好用的工具让我们回顾一下在对neutron进行debug过程中用到的工具。2 d) T: ?9 j* G2 Q: F* L& L9 h& z/ s
ip aip addr(ip a只是一个快捷方式)对于检查你的机器/命名空间中的设备非常有用。它允许你获取设备名称、查看设备是否启动、获取IP地址、MTU以及其他一些网络参数。
* S, ]9 c5 Y& A7 o3 X, groute -n它会显示路由表。通过路由表,你可以知道你的数据包在流出时将采用哪个路径。4 _6 p* G `3 a; j* l7 t6 j8 L# e
iptables -L查看节点上存在哪些防火墙规则。如果你的数据包突然消失或没有到达最终目的地,防火墙的某些规则可能是原因。
: V; Z& W1 K6 W! o& m8 w7 j0 k: carp查看主机上的arp表。利用它可以查看你的节点能不能找到其他节点的地址。# I# p. G" R! }6 H' v
tcpdump在这篇文章中多次提到过。这是一个很棒的数据包追踪工具,容易安装,也容易使用。我将在另一篇文章中介绍它,因为有很多方法可以使用,最好花时间专门学习。对于最基本的使用,只需运行:, V: f' Z! |5 X* X8 F
$ tcpdump -i <device_name>& ~( a; M& g9 ~- b$ k
ip netns查看namespace。为了列出你所在节点可用的namespaces,可以使用:9 ]0 d& s5 I$ e+ ^3 m$ |3 w
$ ip netns list
- H9 ?. @4 ]0 L/ Q/ w) q你可以使用 ip netns exec 查看更多。例如,要在命名空间中显示路由表,请使用:
6 D2 f6 \& F+ |. e" T$ ip netns exec qrouter-xxx-xxx-xxx route -n
& }; A7 R# t1 Y+ J6 v; KOpenVSwich如果你在部署中使用openvswitch,则有几个用于调试和故障排除的工具:/ Q! n' b) E$ ^0 G u" O3 H
ovs-vsctl show —— 显示机器上网桥的配置7 l( S" M( k r0 F
ovs-ofctl show —— 显示数据路径" v5 Z' C& s6 n% }. o. P
ovs-ofctl dump-flows —— 转储安装在机器上的所有流
D9 `( N: s& ]& |9 E8 Uovs-ofctl dump-flows br-tun —— 转储br-tun上的所有流
! _ \9 q/ U! n: @! M* Z# z6 @# K6 dovs-ofctl dump-flows br-tun table = 21 —— 在特定表中转储br-tun上的所有流
3 F! m/ O# `' K9 n% [5 JLinuxBridge对于linux网桥,请使用以下命令:5 c7 ~/ Y/ s2 l( I& q3 _; t+ w
brctl show —— 显示机器上网桥的配置+ I0 o7 d( d5 Z2 ]# G; l
brctl show <bridge name> —— 显示特定网桥的配置
/ j5 w! C0 `* E' {3 ?; K# X补充再介绍一些你可能想要熟悉的几个重要的网络设备。8 `! f2 m" `" t7 P; ]2 O
我们从TAP设备开始。TAP设备是一个虚拟网络接口,用于连接由虚拟机管理程序(KVM,Xen等)实现的虚拟机实例。流量到达TAP设备,由虚拟机实例接收。要记住TAP设备通常是流量的起点,可以从TAP设备开始跟踪流量。) N6 F5 ^' J) |1 V
要查看TAP设备,只需运行:
c; Y+ m0 }! z% k$ ip a | grep -i tab
& \% W4 @" f8 @5 ?* x更多关于TAP设备的信息,可以在 这里 找到。
& f+ y6 p3 x# `: ^TAP设备使用Linux bridge进行桥接。通常Linux桥名以qbr开头,这是qunaum bridge的简写(qunaum是neutron以前的名字)。你可以使用brctl列出系统上的linux bridge。5 W% F* L$ h6 ~( T/ L: e7 z3 H
$ brctl show
- S0 p+ D. u, K& D+ k% |8 ?你会在输出中看到TAP接口和qvb接口。
+ n% R/ q+ h; P! y4 n! G5 X) Zqvb(Quantum veth bridge)和另一end - qvo(Quantum veth openvswitch)构成一个虚拟以太网对(Virtual Ethernet Pair)。它用来连接Linux桥和OVS桥。可以把它们想象成一条管道,任何在一个设备上进入的东西都应该从这个设备上离开。) E2 L% s* _0 A1 R
如果你列出集成桥上的端口,你将看到其中一个端口是qvo,它将你连接到Linude Bridge。
$ b8 ~# z: k V7 b1 c0 U7 T# f$ H: ^; L路由器和DHCP设备直连到br-int。在列出DHCP命名空间中的接口或列出集成网桥上的端口时,可以看到TAP设备条目。
! G0 V. Z7 [5 D+ V$ ip netns exec qdhcp-<network_id> ip address& d& o* k# @; `$ E
$ ovs-vsctl list-ports br-int
* V( c1 g, |1 v$ o笔者总结在了解了neutron的基础概念,通过一些图表知道了数据流的走向后,对于我们debug最有用的还是查看log。Openstack的log都处于 /var/log 目录下,我们通过查看、解决log里的问题,并重启相应网络服务,基本可以解决问题。8 }% f1 @- Y1 g# W
笔者翻译这篇博客的过程中,对Openstack的neutron模块有了更深的了解,也利用博客里梳理的思路解决了实验室Openstack环境遇到的问题,以后会多多学习这类博客,看到好的博客会争取翻译过来。
- k1 N4 o) S. a5 n! t L0 K0 W, K4 o
# \& R! ]8 }$ }- J+ U5 N6 Z& j+ [
' Z( K+ g4 M; @7 P9 o) Y7 S
+ U( o* ?8 Q6 f
|
|
发表于 2018-11-9 11:11:10