[cloudstack-users:0084] 【質問】ノード機のiptablesについて

2012年 12月 13日 (木) 17:57:34 JST

小笠原です。
たびたびお世話になっております。

こないだ「いくつか問題はあるけれどもなんとか稼働している」とご報告した、
その「いくつか」のうちの一つです。

# もうひとつは先日出ておりました Web コンソールの問題で、これはあー我々
# だけじゃないのねーといいつつ一旦保留しています(^^;


要はインスタンスの起動時に compute node の iptables が正しくなく書き換
えられてしまい、通信が確立しないという話です。

……なんか勉強会その他で聞いたか何かでひっかかるのですが、実運用してい
ない悲しさで、その引っかかりがわからないでいます。


以下詳細です。
--
現在のシステム構成は次のとおりです。

■ネットワーク構成
Internet
   |
Firewall----------------- 172.27.0.0/22 (社内LAN)
192.168.26.1
   |
   +--------------+------ 192.168.26.0/24
   |              |
CS-MNGR         CS-ND1
192.168.26.77   192.168.26.113

CS-MNGR (Management Server)
CS-ND1  (Compute Node)

・Firewallは、NAT(masquerade)を行なっており、192.168.26.*のマシンは外部との
  通信可能
・172.27.0.0/22 <-> 192.168.26.0/24 間はアクセス可能
・基本ゾーンにて構成

■システム構成
・CS-MNGR, CS-ND1共通
　CentOS 6.3
　Apache CloudStack 4.0
　DNS: 192.168.26.77
  デフォルトルート: 192.168.26.1

・CS-ND1
　Hypervisor: KVM
  NIC:
  eth0      cloudbr0へブリッジ
  cloudbr0  192.168.23.113

■現象
インスタンス作成後、インスタンスを起動すると、CS-MNGR(192.168.26.77) および
172.27.0.0/22との通信ができなくなります。

- 172.27.0.0/22  -> 192.168.26.77,192.168.26.113へのアクセスは可能
- 192.168.26.113 -> 仮想サーバへのアクセスは可能
- 192.168.26.77  -> 仮想サーバへのアクセスは不可

ノード機 (192.168.26.113) のiptablesを停止→起動すると通信ができるように
なります。
ノード機のiptablesの設定内容 (service iptables status) は、次のファイルの
とおりです。

iptables-1.out インスタンス起動中
iptables-2.out インスタンス停止
iptables-3.out インスタンス起動

※ インスタンス停止→起動後、ノード機 (129.168.26.113) のiptablesが書き換え
   られているようです。

ノード機のインスタンス起動中のiptables定義ファイル (iptables) も添付します。
iptablesの記述方法に問題があるのでしょうか。
--


すみませんが、ポインタでも何でもお知恵をお借りしたく。
よろしくお願いします。

[以上]
-- 
Naruhiko Ogasawara (naruoga ＠ gmail.com)
-------------- next part --------------
テキスト形式以外の添付ファイルを除去しました...
ファイル名: iptables-2.out
型:         application/octet-stream
サイズ:     3081 バイト
説明:       無し
URL:        http://ml.cloudstack.jp/pipermail/users/attachments/20121213/1ba4f0cd/iptables-2.obj
-------------- next part --------------
テキスト形式以外の添付ファイルを除去しました...
ファイル名: iptables-1.out
型:         application/octet-stream
サイズ:     3081 バイト
説明:       無し
URL:        http://ml.cloudstack.jp/pipermail/users/attachments/20121213/1ba4f0cd/iptables-1.obj
-------------- next part --------------
テキスト形式以外の添付ファイルを除去しました...
ファイル名: iptables
型:         application/octet-stream
サイズ:     1999 バイト
説明:       無し
URL:        http://ml.cloudstack.jp/pipermail/users/attachments/20121213/1ba4f0cd/iptables.obj
-------------- next part --------------
テキスト形式以外の添付ファイルを除去しました...
ファイル名: iptables-3.out
型:         application/octet-stream
サイズ:     5625 バイト
説明:       無し
URL:        http://ml.cloudstack.jp/pipermail/users/attachments/20121213/1ba4f0cd/iptables-3.obj