+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

pve-firewall не даёт виртуальным машинам запуститься с реплицированного (glustefs) тома., Proxmox Виртуальная Среда

swartz

Guest

31.03.2015 01:01:00

У меня есть кластер Proxmox v3.4 с двумя узлами. Я пытаюсь использовать pve-firewall для защиты доступа к узлам. Узлы находятся на 10.10.10.1 и 10.10.10.2. Управлять кластером хочу с другой машины по адресу 10.10.2.1. Я включил файервол согласно https://pve.proxmox.com/wiki/Proxmox_VE_Firewall и хочу добавить весь диапазон 10.10.0.0/16 в IPSET с названием "management". Поэтому мой файл cluster.fw выглядит так:

Code:
[OPTIONS]
# включить файервол (настройка для всего кластера, по умолчанию выключено)
enable: 1

[IPSET management]
10.10.0.0/16

Через веб-интерфейс и SSH я могу зайти на все узлы кластера без проблем. Но при запуске виртуальной машины она не стартует. Иконка VM становится "белой", статус "running", но через некоторое время задача завершается с ошибкой TASK ERROR: start failed: command '/usr/bin/kvm -id 101 ...[срезано]... failed: got timeout.

Если пробую подключиться через NoVNC во время запуска VM, окно зависает на сообщении "Starting VNC handshake". Причём ошибки "Failed to connect to server (code: 1006)" не появляется, значит VM вроде бы запускается? Подключение к уже запущенным VM через NoVNC работает нормально. Останавливать запущенные VM могу без проблем. Но при попытке запустить их снова возникает та же проблема.

Если временно отключить pve-firewall, то виртуальные машины запускаются нормально.

swartz

Guest

22.04.2015 08:40:00

Хмммм, glusterfs всё ещё работает нормально и реплицируется. Возможно, это связано с тем, что соединения находятся в состоянии установленного соединения и проходят через правила файрвола. Но всё же, почему он запустил 2 виртуальные машины?

nethfel Guest	#3 0 02.05.2015 05:53:00 Вы запускаете GlusterFS на тех же серверах, что и Proxmox VE, или на отдельных машинах?

swartz Guest	#4 0 15.04.2015 23:01:00 Re: pve-firewall препятствует запуску ВМ через веб-интерфейс (также зависает noVNC) тишина После того как я написал здесь, создал запрос в багтрекере и написал в pve-users... ни ответа?

wolfgang Guest	#5 0 19.04.2015 21:10:00 Re: pve-firewall препятствует запуску VM из веб-интерфейса (также зависает noVNC) Привет, не мог бы ты прислать мне свою сетевую конфигурацию? Ты используешь 10.10.0.0/16 для связи кластера и трафика Glusterfs?

swartz

Guest

19.04.2015 21:54:00

Re: pve-firewall не даёт запустить ВМ через веб-интерфейс (к тому же noVNC зависает)
Я использую публичный IP для кластера и приватную сеть на отдельном интерфейсе. Вот конфигурация с первого узла кластера. Остальные идентичны, за исключением IP-адресов:

===========
# eth0 bridge
auto vmbr0
iface vmbr0 inet static
gateway w.x.y.1
network w.x.y.0
address w.x.y.200
netmask 255.255.255.0
bridge_ports eth0
bridge_stp off
bridge_fd 0

# eth3 private network for glusterfs
auto eth3
iface eth3 inet static
address 192.168.200.200
netmask 255.255.255.0
mtu 9000

wolfgang

Guest

20.04.2015 07:21:00

Re: pve-firewall мешает запуску ВМ через веб-интерфейс (и noVNC зависает) Ладно, что процесс запускается дважды — странно. Я разберусь, почему так происходит. Может, ты блокируешь трафик в приватной сети? Попробуй явно разрешить трафик gusterfs на eth3.

swartz Guest	#8 0 20.04.2015 21:36:00 Re: pve-firewall мешает запуску ВМ из веб-интерфейса (также зависает noVNC) Нет, сэр. Фаервола для приватной сети (eth3) нет. Всё широко открыто, потому что это соединение сервер-сервер специально для glusterfs.

wolfgang

Guest

21.04.2015 15:14:00

Re: pve-firewall мешает запуску ВМ из веб-интерфейса (ещё и noVNC зависает)
Привет, я проверил, и вроде здесь всё в порядке. Один вопрос: ты добавил правило, разрешающее весь трафик на eth3? Если нет, то он блокирует весь трафик от glusterfs. IPset пропускает только (PVE GUI, VNC, SPICE, SSH).

swartz

Guest

#10

22.04.2015 01:29:00

Re: pve-firewall не даёт запускать VM из веб-интерфейса (также зависает noVNC)
Я поэкспериментировал с разными настройками файрвола. Ничего не помогало — проблема повторялась, пока pve-firewall включён.
Вот мой текущий файл cluster.fw:
=========================
[OPTIONS]
# включить файрвол (глобальная настройка кластера, по умолчанию выключена)
enable: 1

[IPSET management]
w.x.0.0/16
192.168.200.0/24
========================="

wolfgang Guest	#11 0 22.04.2015 06:22:00 Как я уже писал, эта настройка не разрешает трафик glusterfs.

swartz

Guest

#12

18.06.2015 19:41:00

Да, я использую те же два сервера и как PVE, и как хосты glusterfs. Немного опоздал с этим, но решил поделиться обновлением на случай, если кто-то столкнется с той же проблемой. Дело было в неправильно настроенных правилах файрвола, как и отмечали сотрудники Proxmox. Спасибо, что помогли мне наконец разобраться.

swartz Guest	#13 0 18.06.2015 19:42:00 По теме: если мои машины напрямую соединены через порты eth3 для репликации glusterfs, и после включения pve-firewall фильтрует все интерфейсы, как лучше всего минимизировать нагрузку от iptables, учитывая, что на интерфейсе eth3 фильтровать трафик нет смысла? Это максимально простой вариант? IN ACCEPT -i eth3

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры