無法訪問openstack浮動ip

Question

描述

啟用dvr后，vip的兩個虛擬機都配置了keealived。 私網VIP漂移時，無法訪問openstack浮動ip。

更詳細如下：

兩個節點，私網配置keepalived Host1 192.168.1.2 Host2 192.168.1.3 vip192.168.1.4 私網vip漂移沒問題，私網內訪問vip沒問題 問題是內網vip漂移后，外網這個vip對應的浮動ip無法訪問，漂流前可以訪問。 現象：更新vip漂移到的私網端口。 可以使用浮動網絡。 是什么導致了這個問題？

配置參考

https://hk.saowen.com/a/4d7a3dcd044eb53ae0fc81e4d1445ba76bbb02423ff6c7b4a53a8ad59945883d

配置流程

前提：假設已經有兩個虛擬機10.10.10.6、10.10.10.7，配置了keepalived，vip是10.10.10.201 在OpenStack中配置支持VIP和浮動IP訪問的步驟：

1. 安全組加 vrrp 協議 112

   中子安全組規則創建 --protocol 112 默認

2. 創建vip

   中子端口創建 --fixed_ip ip_address=10.10.10.201 --security-group 默認 vrrp_net

3. 綁定vip到浮動ip

   中子floatingip-create --port-id=3d7e70e9-cfcb-4aa9-95cc-60b5b6b67ec3 admin_floating_net

4. 虛擬機端口添加allowed_address_pairs，支持多網卡多網卡。

查詢虛擬機1的端口

中子端口列表| grep 10.10.10.6

更新虛擬機1的端口

中子端口更新 df22ba59-9c58-41a5-9fa3-98b09e644fe5 -- allowed_address_pairs list=true type=dict ip_address=10.10.10.201

查詢虛擬機2的端口

中子端口列表| grep 10.10.10.7

更新虛擬機2的端口

中子端口更新 4c93d5b7-f26f-4136-a785-4db1479dbd81 -->allowed_address_pairs list=true type=dict ip_address=10.10.10.201

Answer 1

我們在 OpenStack Pike 中遇到了同樣的問題。 對我們來說，升級到皇后區后它似乎消失了。 您使用的是哪個版本？

在我們的例子中，網絡節點上 snat 命名空間中 snat/dnat 的 iptables 規則在故障轉移后沒有更新。

您可以通過調用在安裝中驗證這一點：

ip netns exec snat-<uuid of your router> iptables -t nat -L

您應該看到一個 snat 和一個 dnat 規則用於您的浮動 IP。

更多 Launchpad 錯誤和 PR 以供進一步參考：

• https://bugs.launchpad.net/neutron/+bug/1583694
• https://bugs.launchpad.net/neutron/+bug/1773999
• https://review.openstack.org/#/c/393886/