# ip a

Если вы испытываете любой вид проблем с сетью, одна хорошая начальная здравая проверка заключается в том, чтобы убедиться, что ваши интерфейсы работают. Например:

$ ip a | grep state
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP
   qlen 1000
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast
   master br100 state UP qlen 1000
4: virbr0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN
5: br100: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP

Вы можете спокойно игнорировать состояние virbr0, который является мостом (bridge) по умолчанию созданным libvirt и не используемым OpenStack.

Например, выполните следующую команду:

tcpdump -i any -n -v \ 'icmp[icmptype] = icmp-echoreply or icmp[icmptype] =
icmp-echo'

Выполните ее из командной строки в следующих областях:

В нашем примере эти местоположения имеют следующие IP-адреса:

Instance
                          10.0.2.24
                          203.0.113.30
                          Compute Node
                          10.0.0.42
                          203.0.113.34
                          External Server
                          1.2.3.4

Затем откройте новую оболочку на экземпляре и потом выполните ping к внешнему хосту, на котором работает tcpdump. Если сетевой путь к внешнему серверу и обратно полностью работоспособен, вы видите нечто вроде следующего:

На внешнем сервере:

12:51:42.020227 IP (tos 0x0, ttl 61, id 0, offset 0, flags [DF], \
proto ICMP (1), length 84)
    203.0.113.30 > 1.2.3.4: ICMP echo request, id 24895, seq 1, length 64
12:51:42.020255 IP (tos 0x0, ttl 64, id 8137, offset 0, flags [none], \
proto ICMP (1), length 84)
    1.2.3.4 > 203.0.113.30: ICMP echo reply, id 24895, seq 1, \
    length 64

На вычислительном узле:

12:51:42.019519 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], \
proto ICMP (1), length 84)
    10.0.2.24 > 1.2.3.4: ICMP echo request, id 24895, seq 1, length 64
12:51:42.019519 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], \
proto ICMP (1), length 84)
    10.0.2.24 > 1.2.3.4: ICMP echo request, id 24895, seq 1, length 64
12:51:42.019545 IP (tos 0x0, ttl 63, id 0, offset 0, flags [DF], \
proto ICMP (1), length 84)
    203.0.113.30 > 1.2.3.4: ICMP echo request, id 24895, seq 1, length 64
12:51:42.019780 IP (tos 0x0, ttl 62, id 8137, offset 0, flags [none], \
proto ICMP (1), length 84)
    1.2.3.4 > 203.0.113.30: ICMP echo reply, id 24895, seq 1, length 64
12:51:42.019801 IP (tos 0x0, ttl 61, id 8137, offset 0, flags [none], \
proto ICMP (1), length 84)
    1.2.3.4 > 10.0.2.24: ICMP echo reply, id 24895, seq 1, length 64
12:51:42.019807 IP (tos 0x0, ttl 61, id 8137, offset 0, flags [none], \
proto ICMP (1), length 84)
    1.2.3.4 > 10.0.2.24: ICMP echo reply, id 24895, seq 1, length 64

В экземпляре:

12:51:42.020974 IP (tos 0x0, ttl 61, id 8137, offset 0, flags [none], \
proto ICMP (1), length 84)
 1.2.3.4 > 10.0.2.24: ICMP echo reply, id 24895, seq 1, length 64

Здесь внешний сервер получил запрос ping и послал ping-ответ. На вычислительном узле вы можете увидеть, что и сам ping и ping ответ успешно выполнены. Вы также должны увидеть дублированные пакеты на вычислительном узле, как показано выше, потому что tcpdump захватывает пакет как в мосте, так и на исходящем интерфейсе.

Выполните следующую команду, чтобы посмотреть текущую конфигурацию iptables:

# iptables-save

	Замечание
	Если вы измените конфигурацию, она вернется в следующий раз, когда вы перезагрузите nova-network. Вы должны использовать OpenStack для управления iptables.

Из этих таблиц вы можете увидеть, что плавающие IP технически никогда напрямую не связаны с экземпляром; соединение всегда должно проходить через фиксированный IP.

Самый простой способ выяснить, что эта проблема связана с вашим экземпляром, заключается в просмотре вывода консоли вашего экземпляра. Если отказал DHCP, вы можете получить журнал консоли, выполнив:

$ nova console-log <instance name or uuid>

Если ваш экземпляр не получил IP через DHCP, в консоли должны появиться какие-то сообщения. Например, для образа Cirros вы увидите вывод результатов, выглядящий следующим образом:

udhcpc (v1.17.2) started
Sending discover...
Sending discover...
Sending discover...
No lease, forking to background
starting DHCP forEthernet interface eth0 [ [1;32mOK[0;39m ]
cloud-setup: checking http://169.254.169.254/2009-04-04/meta-data/instance-id
wget: can't connect to remote host (169.254.169.254): Network is
unreachable

После того, как вы установите, что экземпляр загрузился правильно, задача состоит в том, чтобы выяснить, где происходит отказ.

Проблема DHCP может быть вызвана некорректно работающим процессом dnsmasq. Во-первых, выполните отладку, проверив журналы и перезагрузите процессы dnsmasq только для этого проекта (владельца, tenant). В режиме VLAN существует по процессу dnsmasq для каждого владельца. После перезагрузки целевых процессов dnsmasq, самый простой способ исключить причины dnsmasq, состоит в том, чтобы уничтожить все dnsmasq процессы на машине, и перезапустить nova-network. В крайнем случае, выполните это с правами root:

# killall dnsmasq
# restart nova-network

	Замечание
	Используйте openstack-nova-network в RHEL/CentOS/Fedora, или nova-network в Ubuntu/Debian.

Спустя несколько минут после того, как nova-network запущена повторно, вы должны увидеть новое выполнение процессов dnsmasq:

# ps aux | grep dnsmasq

nobody 3735 0.0 0.0 27540 1044 ? S 15:40 0:00 /usr/sbin/dnsmasq --strict-order \
    --bind-interfaces --conf-file= \
    --domain=novalocal --pid-file=/var/lib/nova/networks/nova-br100.pid \
    --listen-address=192.168.100.1 --except-interface=lo \
    --dhcp-range=set:'novanetwork',192.168.100.2,static,120s \
    --dhcp-lease-max=256 \
    --dhcp-hostsfile=/var/lib/nova/networks/nova-br100.conf \
    --dhcp-script=/usr/bin/nova-dhcpbridge --leasefile-ro
root 3736 0.0 0.0 27512 444 ? S 15:40 0:00 /usr/sbin/dnsmasq --strict-order \
     --bind-interfaces --conf-file= \
     --domain=novalocal --pid-file=/var/lib/nova/networks/nova-br100.pid \
     --listen-address=192.168.100.1 --except-interface=lo \
     --dhcp-range=set:'novanetwork',192.168.100.2,static,120s \
     --dhcp-lease-max=256
     --dhcp-hostsfile=/var/lib/nova/networks/nova-br100.conf
     --dhcp-script=/usr/bin/nova-dhcpbridge --leasefile-ro

Если ваши экземпляры все еще не в состоянии получить IP-адреса, следующая задача заключается в проверке того, видны ли запросы DHCP dnsmasq из экземпляра. На машине, на которой выполняется процесс dnsmasq и которая является вычислительным хоcтом при работе в режиме с многими хостами, найдите /var/log/syslog, чтобы увидеть вывод результатов dnsmasq. Если dnsmasq видит запросы правильно и раздает IP, результат выглядит таким обазом:

Feb 27 22:01:36 mynode dnsmasq-dhcp[2438]: DHCPDISCOVER(br100) fa:16:3e:56:0b:6f
Feb 27 22:01:36 mynode dnsmasq-dhcp[2438]: DHCPOFFER(br100) 192.168.100.3
                                           fa:16:3e:56:0b:6f
Feb 27 22:01:36 mynode dnsmasq-dhcp[2438]: DHCPREQUEST(br100) 192.168.100.3
                                           fa:16:3e:56:0b:6f
Feb 27 22:01:36 mynode dnsmasq-dhcp[2438]: DHCPACK(br100) 192.168.100.3
fa:16:3e:56:0b:6f test

Если вы не видите DHCPDISCOVER, существует проблема с получением пакетов от экземпляра к машине с запущенным dnsmasq. Если вы видите все приводимые выше выводы, а экземплярам до сих пор не удалось получить IP-адреса, то пакеты доходят от экземпляра к хосту с запущенным dnsmasq, но они не в состоянии выполнить обратный путь.

Вы также должны видеть сообщение, подобное такому:

Feb 27 22:01:36 mynode dnsmasq-dhcp[25435]: DHCPDISCOVER(br100)
            fa:16:3e:78:44:84 no address available

Это может быть проблема, вызванная Dnsmasq и / или nova-network. (Для предыдущего примера, если бы случилась проблема, что dnsmasq не имеет больше IP-адресов для выдачи, поскольку больше нет фиксированных IP-адресов в базе данных в вычислительной среде OpenStack).

Если есть подозрительные сообщения журнала dnsmasq, взгляните на аргументы командной строки для процессов dnsmasq чтобы убедиться, что они выглядят правильно:

$ ps aux | grep dnsmasq

Вывод результатов выглядит примерно следующим образом:

108 1695 0.0 0.0 25972 1000 ? S Feb26 0:00 /usr/sbin/dnsmasq
-u libvirt-dnsmasq \
--strict-order --bind-interfaces
 --pid-file=/var/run/libvirt/network/default.pid --conf-file=
 --except-interface lo --listen-address 192.168.122.1
 --dhcp-range 192.168.122.2,192.168.122.254
 --dhcp-leasefile=/var/lib/libvirt/dnsmasq/default.leases
 --dhcp-lease-max=253 --dhcp-no-override
nobody 2438 0.0 0.0 27540 1096 ? S Feb26 0:00 /usr/sbin/dnsmasq --strict-order
--bind-interfaces --conf-file=
 --domain=novalocal --pid-file=/var/lib/nova/networks/nova-br100.pid
 --listen-address=192.168.100.1
 --except-interface=lo \
 --dhcp-range=set:'novanetwork',192.168.100.2,static,120s
 --dhcp-lease-max=256
 --dhcp-hostsfile=/var/lib/nova/networks/nova-br100.conf
 --dhcp-script=/usr/bin/nova-dhcpbridge --leasefile-ro
  root 2439 0.0 0.0 27512 472 ? S Feb26 0:00 /usr/sbin/dnsmasq --strict-order
--bind-interfaces --conf-file=
 --domain=novalocal --pid-file=/var/lib/nova/networks/nova-br100.pid
 --listen-address=192.168.100.1
 --except-interface=lo
 --dhcp-range=set:'novanetwork',192.168.100.2,static,120s
 --dhcp-lease-max=256
 --dhcp-hostsfile=/var/lib/nova/networks/nova-br100.conf
 --dhcp-script=/usr/bin/nova-dhcpbridge --leasefile-ro

Вывод результатов показывает три различных процесса dnsmasq. Процесс dnsmasq, который имеет диапазон подсети DHCP 192.168.122.0, относящийся к libvirt и может быть проигнорирован. Другие два процесса dnsmasq принадлежат nova-network. Эти два процесса на самом деле связаны — один просто является порождающим процессом второго. Аргументы процессов dnsmasq должны соответствовать реквизитам, с которыми вы настроили nova-network.

Если проблема не кажется связанной с самим dnsmasq, в данном месте используйте tcpdump в интерфейсах для определения точки, в которой теряются пакеты.

DHCP трафик использует UDP. Клиент отправляет пакеты из порта 68 в порт 67 на сервере. Попробуйте загрузить новый экземпляр, а затем систематически прослушивать сетевой адаптер, пока вы не идентифицируете тот, который не видит трафик. Чтобы использовать tcpdump для прослушивания портов 67 и 68 на br100, вы могли бы выполнить:

# tcpdump -i br100 -n port 67 or port 68

Вы должны выполнять проверку готовности к работе интерфейсов, например, с помощью команд, подобных ip a и brctl show для того, чтобы убедиться, что интерфейсы действительно работают и настроены таким образом, что вы полагаете, что они существуют.

При отладке проблем DNS, начните с удостоверения того, что хост, на котором работает процесс dnsmasq для этого экземпляра способен правильно разрешать адреса. Если хост не может разрешать адреса, тогда и экземпляры не смогут выполнять это.

Быстрый способ проверить, работает ли DNS заключается в разрешении имени хоста внутри вашего экземпляра с использованием команды host. Если DNS работает, вы должны увидеть:

$ host openstack.org
openstack.org has address 174.143.194.225
openstack.org mail is handled by 10 mx1.emailsrvr.com.
openstack.org mail is handled by 20 mx2.emailsrvr.com.

Если вы работаете с образом Cirros, он не имеет установленной программы "host", в этом случае вы можете использовать ping, чтобы попытаться получить доступ к машине по имени хоста и чтобы убедиться в способности разрешать имена. Если DNS работает, первая строка ping будет::

$ ping openstack.org
PING openstack.org (174.143.194.225): 56 data bytes

Если экземпляр не может разрешить имя хоста, у вас имеется проблема с DNS. Например:

$ ping openstack.org
ping: bad address 'openstack.org'

В облаке OpenStack, процесс dnsmasq выступает в качестве DNS- сервера для экземпляров в дополнение к работе в качестве DHCP-сервера. Некорректно работающий процесс dnsmasq может быть источником проблем, связанных с DNS внутри экземпляра. Как уже упоминалось в предыдущем разделе, самый простой способ исключения плохого поведения процесса dnsmasq, заключается в уничтожении (kill) всех dnsmasq процессов на машине, и перезапуске nova-network. Однако следует помнить, что эта команда влияет на все работающие на данном узле экземпляры, в том числе на процессы владельцев (tenant), которые не испытывают данной проблемы. В крайнем случае, выполните с правами root:

# killall dnsmasq
# restart nova-network

После того, как dnsmasq снова стартует, убедитесь что DNS работает.

Если перезапуск процесса dnsmasq не решил проблему, вам, возможно, потребуется использовать tcpdump для просмотра пакетов, чтобы проследить, где они теряются. Сервер DNS прослушивает UDP порт 53. Вы должны увидеть запрос DNS в мосте (например, br100) вашего вычислительного узла. Если вы запустили прослушивание tcpdump на вычислительном узле:

# tcpdump -i br100 -n -v udp port 53
tcpdump: listening on br100, link-type EN10MB (Ethernet), capture size 65535
bytes

Тогда, если вы прокинете ssh в экземпляр и попытаетесь выполнить ping openstack.org, вы должны увидеть нечто вроде:

16:36:18.807518 IP (tos 0x0, ttl 64, id 56057, offset 0, flags [DF],
proto UDP (17), length 59)
 192.168.100.4.54244 > 192.168.100.1.53: 2+ A? openstack.org. (31)
16:36:18.808285 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF],
proto UDP (17), length 75)
 192.168.100.1.53 > 192.168.100.4.54244: 2 1/0/0 openstack.org. A
 174.143.194.225 (47)

Драйвер Open vSwitch должен это выполнять автоматически, и обычно так и происходит, однако полезно знать как это сделатьвручнуюс помощью команды ovs-vsctl. Эта команда имеет большое количество подмножеств команд, которые мы будем использовать здесь; изучите оперативные страницы руководства (man page) или воспользуйтесь ovs-vsctl --help для получения полного списка.

Для получения пеоечня мостов в системе воспользуйтесь ovs-vsctl list-br. Данный пример показывает вычислительные узлы, которые имеют внутренние мосты и мосту туннелей. Сети VLAN собираются в магистраль (trunked) через сетевой интерфейс eth1:

# ovs-vsctl list-br
br-int
br-tun
eth1-br
      

Оперируя изнутри физических интерфейсов, мы можемувидеть цепочку портов и мостов. Во-первых, мост eth1-br, который содержит физический сетевой интерфейс eth1 и виртуальный интерфейс phy-eth1-br:

# ovs-vsctl list-ports eth1-br
eth1
phy-eth1-br
      

Далее, внутренний мост, br-int, содержащий int-eth1-br, который идет в паре с phy-eth1-br для присоединения к физической сети, показанной в предыдущем мосте, patch-tun, который используется для соединения моста туннеля GRE и устройства тест-порта (TAP), который присоединяет к экземпляру, работающему в настоящее время в системе:

# ovs-vsctl list-ports br-int
int-eth1-br
patch-tun
tap2d782834-d1
tap690466bc-92
tap8a864970-2d
      

Мост туннеля, br-tun, содержит интерфейс patch-int и интерфейс gre-<N> для каждого одорангового участника, к которому он подключается через GRE, причем,по одному для каждого вычислительного и сетевого узла в вашем кластере:

# ovs-vsctl list-ports br-tun
patch-int
gre-1
.
.
.
gre-<N>
      

Если какое- либо из этихсоединений пропущено или некорректно, это означает ошибку настройки. Мосты могут добавляться при помощи ovs-vsctl add-br, а порты могут добавляться к мостам с использованием ovs-vsctl add-port. При ручном запуске полезно будет воспользоваться отладкой, важно, чтобы изменения, внесенные вручную и которые вы собираетесь сохранить были отражены в ваших файлах настройки.

Для просмотра того,используете ли вы пространство имен, выполните ip netns:

# ip netns
qdhcp-e521f9d0-a1bd-4ff4-bc81-78a60dd88fe5
qdhcp-a4d00c60-f005-400e-a24c-1bf8b8308f98
qdhcp-fe178706-9942-4600-9224-b2ae7c61db71
qdhcp-0a1d0a27-cffa-4de3-92c5-9d3fd3f2e74d
qrouter-8a4ce760-ab55-4f2f-8ec5-a2e858ce0d39
      

Пространство имен маршрутизатора агента 3 уровня именуется qrouter-<router_uuid>, а пространство имен агента dhcp именуется qdhcp-<net_uuid>. Данный вывод результатов показывает сетевые узлы с четырьмя сетями, выполняющими агентов dhcp, один из которых такжевыполняет маршрутизацию агента 3 уровня. Важно знать, с какой сетью вы должны работать. Список существующих сетей, а также их UUID могут быть получены выполнением neutron net-list с полномочиями администратора.

Когда вы определите, вкаком пространстве имен вам необходимо работать, выможете использовать любое средство отладки, обсуждавшееся ранее, предваряемое префиксом команды с ip netns exec <namespace>. Например, для просмотра того, какие сетевые интерфейсы существуют в первом пространстве имен qdhcp namespace, возвращавшемся ранее, выполните следующее:

# ip netns exec qdhcp-e521f9d0-a1bd-4ff4-bc81-78a60dd88fe5 ip a
10: tape6256f7d-31: <BROADCAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN
    link/ether fa:16:3e:aa:f7:a1 brd ff:ff:ff:ff:ff:ff
    inet 10.0.1.100/24 brd 10.0.1.255 scope global tape6256f7d-31
    inet 169.254.169.254/16 brd 169.254.255.255 scope global tape6256f7d-31
    inet6 fe80::f816:3eff:feaa:f7a1/64 scope link
       valid_lft forever preferred_lft forever
28: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
      

Отсюда вы видите что сервер DHCP в данной сети использует устройство tape6256f7d-31 и имеет IP адрес 10.0.1.100. Просмотрев адрес 169.254.169.254, вы также можете увидеть, что агент dhcp выполняет службу прокси метаданных. Люьые упоминавшиеся ранее в ланной главе команды могут быть выполнены аналогично. Также возможно запустить оболочку, например, такую как bash, и получить интерактивный сеанс в рамках заданного пространства имен. В последнем случае, существующая оболочка вернет вас в пространство имен верхнего уровня,заданное по умолчанию.