无法访问openstack浮动ip

Question

描述

启用dvr后，vip的两个虚拟机都配置了keealived。 私网VIP漂移时，无法访问openstack浮动ip。

更详细如下：

两个节点，私网配置keepalived Host1 192.168.1.2 Host2 192.168.1.3 vip192.168.1.4 私网vip漂移没问题，私网内访问vip没问题 问题是内网vip漂移后，外网这个vip对应的浮动ip无法访问，漂流前可以访问。 现象：更新vip漂移到的私网端口。 可以使用浮动网络。 是什么导致了这个问题？

配置参考

https://hk.saowen.com/a/4d7a3dcd044eb53ae0fc81e4d1445ba76bbb02423ff6c7b4a53a8ad59945883d

配置流程

前提：假设已经有两个虚拟机10.10.10.6、10.10.10.7，配置了keepalived，vip是10.10.10.201 在OpenStack中配置支持VIP和浮动IP访问的步骤：

1. 安全组加 vrrp 协议 112

   中子安全组规则创建 --protocol 112 默认

2. 创建vip

   中子端口创建 --fixed_ip ip_address=10.10.10.201 --security-group 默认 vrrp_net

3. 绑定vip到浮动ip

   中子floatingip-create --port-id=3d7e70e9-cfcb-4aa9-95cc-60b5b6b67ec3 admin_floating_net

4. 虚拟机端口添加allowed_address_pairs，支持多网卡多网卡。

查询虚拟机1的端口

中子端口列表| grep 10.10.10.6

更新虚拟机1的端口

中子端口更新 df22ba59-9c58-41a5-9fa3-98b09e644fe5 -- allowed_address_pairs list=true type=dict ip_address=10.10.10.201

查询虚拟机2的端口

中子端口列表| grep 10.10.10.7

更新虚拟机2的端口

中子端口更新 4c93d5b7-f26f-4136-a785-4db1479dbd81 -->allowed_address_pairs list=true type=dict ip_address=10.10.10.201

Answer 1

我们在 OpenStack Pike 中遇到了同样的问题。 对我们来说，升级到皇后区后它似乎消失了。 您使用的是哪个版本？

在我们的例子中，网络节点上 snat 命名空间中 snat/dnat 的 iptables 规则在故障转移后没有更新。

您可以通过调用在安装中验证这一点：

ip netns exec snat-<uuid of your router> iptables -t nat -L

您应该看到一个 snat 和一个 dnat 规则用于您的浮动 IP。

更多 Launchpad 错误和 PR 以供进一步参考：

• https://bugs.launchpad.net/neutron/+bug/1583694
• https://bugs.launchpad.net/neutron/+bug/1773999
• https://review.openstack.org/#/c/393886/