Я установил OpenStack на RHEL6 с помощью DevStack, и он отлично работал. Однажды один из наших «системных администраторов» заметил, что в системе работает iptables, и решил его отключить (chkconfig iptables off). Затем он перезапустил сервер и пару дней не сообщал мне об этом. После того, как он сказал мне, я быстро проверил, могу ли я получить доступ к своим экземплярам. Пока Horizon был доступен, поскольку ничего не блокировалось, и я мог получить доступ к своим экземплярам из консоли, эти экземпляры не могли получить доступ к сети. После этого я попытался получить доступ к экземплярам с сервера через SSH. Частный IP был недоступен.
Затем я попытался перезапустить iptables, который появился... и заблокировал панель управления Horizon. Затем я попытался перезапустить все службы с открытым стеком ... по-прежнему нет доступа к Horizon или любому из экземпляров, но, по крайней мере, теперь мои IPTables были заполнены правилами nova.
Chain INPUT (policy ACCEPT)
target prot opt source destination
nova-api-INPUT all -- anywhere anywhere
nova-network-INPUT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
ACCEPT tcp -- anywhere anywhere multiport dports https
ACCEPT tcp -- anywhere anywhere multiport dports http
Chain FORWARD (policy ACCEPT)
target prot opt source destination
nova-filter-top all -- anywhere anywhere
nova-api-FORWARD all -- anywhere anywhere
nova-network-FORWARD all -- anywhere anywhere
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
nova-filter-top all -- anywhere anywhere
nova-api-OUTPUT all -- anywhere anywhere
nova-network-OUTPUT all -- anywhere anywhere
Chain nova-api-FORWARD (1 references)
target prot opt source destination
Chain nova-api-INPUT (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere devcloud.camb.comdev.ca tcp dpt:8775
Chain nova-api-OUTPUT (1 references)
target prot opt source destination
Chain nova-api-local (1 references)
target prot opt source destination
Chain nova-filter-top (2 references)
target prot opt source destination
nova-api-local all -- anywhere anywhere
nova-network-local all -- anywhere anywhere
Chain nova-network-FORWARD (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
Chain nova-network-INPUT (1 references)
target prot opt source destination
ACCEPT udp -- anywhere anywhere udp dpt:bootps
ACCEPT tcp -- anywhere anywhere tcp dpt:bootps
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
Chain nova-network-OUTPUT (1 references)
target prot opt source destination
Chain nova-network-local (1 references)
target prot opt source destination
Ни одно из этих правил не разрешает удаленный доступ к Horizon, и они даже не разрешают локальный доступ к экземплярам, которые должны работать. Кроме того, до того, как iptables был отключен, я мог разрешить Apache HTTPD прослушивать любой порт, но теперь эта функция, похоже, также остановлена.
Прямо сейчас единственное, о чем я могу думать, это начать заново, потому что я понятия не имею, где искать. Я читал об iptables и OpenStack и о том, как они работают вместе, но не смог найти никакого решения. Может ли кто-нибудь указать мне направление, которое может помочь?
Я рассматривал возможность добавления правил непосредственно в правила IPtables, но они будут переопределяться nova каждый раз при внесении изменений или перезапуске, что сделает невозможным их обслуживание.
iptables-save? - person pepoluan schedule 30.10.2014