Я установил OpenStack на RHEL6, используя DevStack, и он работал хорошо. Однажды один из наших «системных администраторов» заметил, что iptables работает в системе и решил отключить его (chkconfig iptables выключен). Затем он перезапустил сервер и не сказал мне пару дней. После того, как он сказал мне, я быстро проверил, могу ли я получить доступ к моим экземплярам. Хотя Horizon был доступен, поскольку ничего не блокируется, и я мог получить доступ к своим экземплярам из Консоли, эти экземпляры не могли получить доступ к сети. После этого я попытался получить доступ к экземплярам с сервера через SSH. Частный IP недоступен.OpenStack Network не работает после того, как IPTables был отключен, а затем вернулся на
Затем я попытался перезапустить iptables, который подошел ... и заблокировал приборную панель горизонта. Поэтому я тогда пытался не перезапустить все открытые службы стека ... до сих пор нет доступа к горизонту или любой из экземпляров, но, по крайней мере, теперь у меня IPTables была заселена с новы правила
Chain INPUT (policy ACCEPT)
target prot opt source destination
nova-api-INPUT all -- anywhere anywhere
nova-network-INPUT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
ACCEPT tcp -- anywhere anywhere multiport dports https
ACCEPT tcp -- anywhere anywhere multiport dports http
Chain FORWARD (policy ACCEPT)
target prot opt source destination
nova-filter-top all -- anywhere anywhere
nova-api-FORWARD all -- anywhere anywhere
nova-network-FORWARD all -- anywhere anywhere
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
nova-filter-top all -- anywhere anywhere
nova-api-OUTPUT all -- anywhere anywhere
nova-network-OUTPUT all -- anywhere anywhere
Chain nova-api-FORWARD (1 references)
target prot opt source destination
Chain nova-api-INPUT (1 references)
target prot opt source destination
ACCEPT tcp -- anywhere devcloud.camb.comdev.ca tcp dpt:8775
Chain nova-api-OUTPUT (1 references)
target prot opt source destination
Chain nova-api-local (1 references)
target prot opt source destination
Chain nova-filter-top (2 references)
target prot opt source destination
nova-api-local all -- anywhere anywhere
nova-network-local all -- anywhere anywhere
Chain nova-network-FORWARD (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
Chain nova-network-INPUT (1 references)
target prot opt source destination
ACCEPT udp -- anywhere anywhere udp dpt:bootps
ACCEPT tcp -- anywhere anywhere tcp dpt:bootps
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
Chain nova-network-OUTPUT (1 references)
target prot opt source destination
Chain nova-network-local (1 references)
target prot opt source destination
Ни одно из этих правил не позволяет разрешить удаленный доступ к Horizon, и они даже не позволяют локальный доступ к экземплярам, которые должны выполняться .. Кроме того, до того, как iptables был отключен, я смог разрешить Apache HTTPD прослушивать любой порт, но эта функция, похоже, теперь прекращается.
Прямо сейчас, единственное, что я могу придумать, - это начать новую работу, потому что у меня нет подсказки, где искать. Я читал на iptables и OpenStack и как они работают вместе, но не смогли найти какое-либо решение. Может ли кто-нибудь указать мне направление, которое может помочь?
Я рассмотрел возможность добавления правил в правила IPtables напрямую, но они будут переопределены nova в любое время, когда произойдет изменение или перезапустится, что сделало бы это невозможным для поддержания.
Можете ли вы опубликовать вывод команды 'iptables-save'? – pepoluan