You are viewing a plain text version of this content. The canonical link for it is here.
Posted to users-cn@cloudstack.apache.org by 谢福平 <75...@qq.com> on 2014/04/28 05:58:24 UTC
回复: 虚拟机机网络闪断
虚拟机是固定范围内的几个会发生这种情况。
虚拟机系统是WinSewrver2008的 32位
驱动正常着
------------------ 原始邮件 ------------------
发件人: "linuxbqj@gmail.com";<li...@gmail.com>;
发送时间: 2014年4月28日(星期一) 中午11:29
收件人: "users-cn"<us...@cloudstack.apache.org>;
主题: Re: 虚拟机机网络闪断
这个某个虚拟机是固定的吗?
另外虚机的系统是什么的?相应的驱动是不是OK
2014-04-28 10:07 GMT+08:00 谢福平 <75...@qq.com>:
> 问题:虚拟机有时会ping不通,然后关闭主机侧防火墙(但是主机的防火墙等会会自动起来),就能ping通(主机防火前起来后也能ping通虚拟机). 而且是集群中多个虚拟机中的某个虚拟机会偶尔不同,其它正常
>
> iptable文件配置: # cat /etc/sysconfig/iptables
> # Generated by iptables-save v1.4.7 on Tue Apr 8 14:50:58 2014
> *nat
> :PREROUTING ACCEPT [0:0]
> :POSTROUTING ACCEPT [0:0]
> :OUTPUT ACCEPT [0:0]
> COMMIT
> # Completed on Tue Apr 8 14:50:58 2014
> # Generated by iptables-save v1.4.7 on Tue Apr 8 14:50:58 2014
> *filter
> :INPUT ACCEPT [0:0]
> :FORWARD ACCEPT [0:0]
> :OUTPUT ACCEPT [0:0]
> -A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
> -A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
> -A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
> -A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
> -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
> -A INPUT -p tcp -m tcp --dport 1798 -j ACCEPT
> -A INPUT -p tcp -m tcp --dport 16509 -j ACCEPT
> -A INPUT -p tcp -m tcp --dport 5900:6100 -j ACCEPT
> -A INPUT -p tcp -m tcp --dport 49152:49216 -j ACCEPT
> -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
> -A INPUT -p tcp -m tcp --dport 3260 -j ACCEPT
> -A INPUT -m state --state NEW -p udp --dport 111 -j ACCEPT
> -A INPUT -m state --state NEW -p tcp --dport 111 -j ACCEPT
> -A INPUT -m state --state NEW -p tcp --dport 2049 -j ACCEPT
> -A INPUT -m state --state NEW -p tcp --dport 32803 -j ACCEPT
> -A INPUT -m state --state NEW -p udp --dport 32769 -j ACCEPT
> -A INPUT -m state --state NEW -p tcp --dport 892 -j ACCEPT
> -A INPUT -m state --state NEW -p udp --dport 892 -j ACCEPT
> -A INPUT -m state --state NEW -p tcp --dport 875 -j ACCEPT
> -A INPUT -m state --state NEW -p udp --dport 875 -j ACCEPT
> -A INPUT -m state --state NEW -p tcp --dport 662 -j ACCEPT
> -A INPUT -m state --state NEW -p udp --dport 662 -j ACCEPT
> COMMIT
> # Completed on Tue Apr 8 14:50:58 2014
>
> 同时,在kvm主机的agent日志中确实有告警:
>
> 2014-04-25 14:42:52,517 WARN [kvm.resource.LibvirtComputingResource] (agentRequest-Handler-5:null) Failed to program network rules for vm i-2-264-VM
> 2014-04-25 14:42:52,732 WARN [kvm.resource.LibvirtComputingResource] (agentRequest-Handler-1:null) Failed to program network rules for vm i-2-332-VM
> 2014-04-25 14:42:52,943 WARN [kvm.resource.LibvirtComputingResource] (agentRequest-Handler-4:null) Failed to program network rules for vm i-2-332-VM
--
白清杰 (Born Bai)
北京开源愿景信息技术有限公司
Mail: linuxbqj@gmail.com
.
回复: 回复: 虚拟机机网络闪断
Posted by 谢福平 <75...@qq.com>.
请问Cloudstack重置的iptables策略,是不是也在 etc/sysconfig/iptables下记录啊。
下面是我的iptables文件,能发现什么问题吗:
[root@pcs-kvm-1 sysconfig]# cat iptables
# Generated by iptables-save v1.4.7 on Fri Apr 11 22:43:43 2014
*nat
:PREROUTING ACCEPT [11:787]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p tcp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p udp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -j MASQUERADE
COMMIT
# Completed on Fri Apr 11 22:43:43 2014
# Generated by iptables-save v1.4.7 on Fri Apr 11 22:43:43 2014
*mangle
:PREROUTING ACCEPT [104:18665]
:INPUT ACCEPT [94:17956]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [64:6436]
:POSTROUTING ACCEPT [64:6436]
-A POSTROUTING -o virbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill
COMMIT
# Completed on Fri Apr 11 22:43:43 2014
# Generated by iptables-save v1.4.7 on Fri Apr 11 22:43:43 2014
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp --dport 49152:49216 -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 5900:6100 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 16509 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -d 192.168.122.0/24 -o virbr0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.122.0/24 -i virbr0 -j ACCEPT
-A FORWARD -i virbr0 -o virbr0 -j ACCEPT
-A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Fri Apr 11 22:43:43 2014
[root@pcs-kvm-1 sysconfig]#
------------------ 原始邮件 ------------------
发件人: "helloqiner@163.com";<he...@163.com>;
发送时间: 2014年4月28日(星期一) 中午1:45
收件人: "users-cn"<us...@cloudstack.apache.org>;
主题: 回复: 回复: 虚拟机机网络闪断
当你新建虚机的时候,cloudstack 会自动根据网络 入口规则、出口规则 重置 iptables 策略,如果你没有设置正确的话,将又不能访问网络了。你手工停 iptables 只能暂时解决问题,跟本上还是需要在 cloudstack 中设置。
helloqiner@163.com
发件人: helloqiner@163.com发送时间: 2014-04-28 13:38收件人: users-cn主题: 回复: 回复: 虚拟机机网络闪断
这个是常见的设置问题。 需要在 网络--安全分组 处设置虚拟机的 入口规则、出口规则。 http://my.oschina.net/u/572653/blog/148200
见:常见问题1 。
helloqiner@163.com
发件人: 谢福平发送时间: 2014-04-28 13:30收件人: users-cn主题: 回复: 回复: 虚拟机机网络闪断我去检测一下网卡的问题
但有一个现象:当虚拟机Ping不通时,将kvm主机的防火墙停掉,虚拟机就通了。
所以怀疑是防火墙的问题。
------------------ 原始邮件 ------------------
发件人: "linuxbqj@gmail.com";<li...@gmail.com>;
发送时间: 2014年4月28日(星期一) 中午1:27
收件人: "users-cn"<us...@cloudstack.apache.org>;
主题: Re: 回复: 虚拟机机网络闪断
当ping不通的时候,建议使用vnc登陆上去看下网卡的状态,我自己猜测还是驱动的原因导致的
在 2014年4月28日 下午1:16,谢福平 <75...@qq.com> 写道:
> 还有一点补充一下,总是在创建虚拟机之后,才出现这个问题。也就是说,创建虚拟机的某个动作,触发了什么配置,导致虚拟机ping不通
>
>
>
>
> ------------------ 原始邮件 ------------------
> 发件人: "谢福平";<75...@qq.com>;
> 发送时间: 2014年4月28日(星期一) 中午11:58
> 收件人: "users-cn"<us...@cloudstack.apache.org>;
>
> 主题: 回复: 虚拟机机网络闪断
>
>
>
> 虚拟机是固定范围内的几个会发生这种情况。
>
> 虚拟机系统是WinSewrver2008的 32位
>
> 驱动正常着
>
> ------------------ 原始邮件 ------------------
> 发件人: "linuxbqj@gmail.com";<li...@gmail.com>;
> 发送时间: 2014年4月28日(星期一) 中午11:29
> 收件人: "users-cn"<us...@cloudstack.apache.org>;
>
> 主题: Re: 虚拟机机网络闪断
>
>
>
> 这个某个虚拟机是固定的吗?
> 另外虚机的系统是什么的?相应的驱动是不是OK
>
> 2014-04-28 10:07 GMT+08:00 谢福平 <75...@qq.com>:
>> 问题:虚拟机有时会ping不通,然后关闭主机侧防火墙(但是主机的防火墙等会会自动起来),就能ping通(主机防火前起来后也能ping通虚拟机). 而且是集群中多个虚拟机中的某个虚拟机会偶尔不同,其它正常
>>
>> iptable文件配置: # cat /etc/sysconfig/iptables
>> # Generated by iptables-save v1.4.7 on Tue Apr 8 14:50:58 2014
>> *nat
>> :PREROUTING ACCEPT [0:0]
>> :POSTROUTING ACCEPT [0:0]
>> :OUTPUT ACCEPT [0:0]
>> COMMIT
>> # Completed on Tue Apr 8 14:50:58 2014
>> # Generated by iptables-save v1.4.7 on Tue Apr 8 14:50:58 2014
>> *filter
>> :INPUT ACCEPT [0:0]
>> :FORWARD ACCEPT [0:0]
>> :OUTPUT ACCEPT [0:0]
>> -A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
>> -A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
>> -A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
>> -A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 1798 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 16509 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 5900:6100 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 49152:49216 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 3260 -j ACCEPT
>> -A INPUT -m state --state NEW -p udp --dport 111 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 111 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 2049 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 32803 -j ACCEPT
>> -A INPUT -m state --state NEW -p udp --dport 32769 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 892 -j ACCEPT
>> -A INPUT -m state --state NEW -p udp --dport 892 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 875 -j ACCEPT
>> -A INPUT -m state --state NEW -p udp --dport 875 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 662 -j ACCEPT
>> -A INPUT -m state --state NEW -p udp --dport 662 -j ACCEPT
>> COMMIT
>> # Completed on Tue Apr 8 14:50:58 2014
>>
>> 同时,在kvm主机的agent日志中确实有告警:
>>
>> 2014-04-25 14:42:52,517 WARN [kvm.resource.LibvirtComputingResource] (agentRequest-Handler-5:null) Failed to program network rules for vm i-2-264-VM
>> 2014-04-25 14:42:52,732 WARN [kvm.resource.LibvirtComputingResource] (agentRequest-Handler-1:null) Failed to program network rules for vm i-2-332-VM
>> 2014-04-25 14:42:52,943 WARN [kvm.resource.LibvirtComputingResource] (agentRequest-Handler-4:null) Failed to program network rules for vm i-2-332-VM
>
>
>
> --
> 白清杰 (Born Bai)
>
> 北京开源愿景信息技术有限公司
>
> Mail: linuxbqj@gmail.com
> .
--
白清杰 (Born Bai)
北京开源愿景信息技术有限公司
Mail: linuxbqj@gmail.com
回复: 回复: 虚拟机机网络闪断
Posted by "helloqiner@163.com" <he...@163.com>.
当你新建虚机的时候,cloudstack 会自动根据网络 入口规则、出口规则 重置 iptables 策略,如果你没有设置正确的话,将又不能访问网络了。你手工停 iptables 只能暂时解决问题,跟本上还是需要在 cloudstack 中设置。
helloqiner@163.com
发件人: helloqiner@163.com发送时间: 2014-04-28 13:38收件人: users-cn主题: 回复: 回复: 虚拟机机网络闪断
这个是常见的设置问题。 需要在 网络--安全分组 处设置虚拟机的 入口规则、出口规则。 http://my.oschina.net/u/572653/blog/148200
见:常见问题1 。
helloqiner@163.com
发件人: 谢福平发送时间: 2014-04-28 13:30收件人: users-cn主题: 回复: 回复: 虚拟机机网络闪断我去检测一下网卡的问题
但有一个现象:当虚拟机Ping不通时,将kvm主机的防火墙停掉,虚拟机就通了。
所以怀疑是防火墙的问题。
------------------ 原始邮件 ------------------
发件人: "linuxbqj@gmail.com";<li...@gmail.com>;
发送时间: 2014年4月28日(星期一) 中午1:27
收件人: "users-cn"<us...@cloudstack.apache.org>;
主题: Re: 回复: 虚拟机机网络闪断
当ping不通的时候,建议使用vnc登陆上去看下网卡的状态,我自己猜测还是驱动的原因导致的
在 2014年4月28日 下午1:16,谢福平 <75...@qq.com> 写道:
> 还有一点补充一下,总是在创建虚拟机之后,才出现这个问题。也就是说,创建虚拟机的某个动作,触发了什么配置,导致虚拟机ping不通
>
>
>
>
> ------------------ 原始邮件 ------------------
> 发件人: "谢福平";<75...@qq.com>;
> 发送时间: 2014年4月28日(星期一) 中午11:58
> 收件人: "users-cn"<us...@cloudstack.apache.org>;
>
> 主题: 回复: 虚拟机机网络闪断
>
>
>
> 虚拟机是固定范围内的几个会发生这种情况。
>
> 虚拟机系统是WinSewrver2008的 32位
>
> 驱动正常着
>
> ------------------ 原始邮件 ------------------
> 发件人: "linuxbqj@gmail.com";<li...@gmail.com>;
> 发送时间: 2014年4月28日(星期一) 中午11:29
> 收件人: "users-cn"<us...@cloudstack.apache.org>;
>
> 主题: Re: 虚拟机机网络闪断
>
>
>
> 这个某个虚拟机是固定的吗?
> 另外虚机的系统是什么的?相应的驱动是不是OK
>
> 2014-04-28 10:07 GMT+08:00 谢福平 <75...@qq.com>:
>> 问题:虚拟机有时会ping不通,然后关闭主机侧防火墙(但是主机的防火墙等会会自动起来),就能ping通(主机防火前起来后也能ping通虚拟机). 而且是集群中多个虚拟机中的某个虚拟机会偶尔不同,其它正常
>>
>> iptable文件配置: # cat /etc/sysconfig/iptables
>> # Generated by iptables-save v1.4.7 on Tue Apr 8 14:50:58 2014
>> *nat
>> :PREROUTING ACCEPT [0:0]
>> :POSTROUTING ACCEPT [0:0]
>> :OUTPUT ACCEPT [0:0]
>> COMMIT
>> # Completed on Tue Apr 8 14:50:58 2014
>> # Generated by iptables-save v1.4.7 on Tue Apr 8 14:50:58 2014
>> *filter
>> :INPUT ACCEPT [0:0]
>> :FORWARD ACCEPT [0:0]
>> :OUTPUT ACCEPT [0:0]
>> -A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
>> -A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
>> -A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
>> -A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 1798 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 16509 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 5900:6100 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 49152:49216 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 3260 -j ACCEPT
>> -A INPUT -m state --state NEW -p udp --dport 111 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 111 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 2049 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 32803 -j ACCEPT
>> -A INPUT -m state --state NEW -p udp --dport 32769 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 892 -j ACCEPT
>> -A INPUT -m state --state NEW -p udp --dport 892 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 875 -j ACCEPT
>> -A INPUT -m state --state NEW -p udp --dport 875 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 662 -j ACCEPT
>> -A INPUT -m state --state NEW -p udp --dport 662 -j ACCEPT
>> COMMIT
>> # Completed on Tue Apr 8 14:50:58 2014
>>
>> 同时,在kvm主机的agent日志中确实有告警:
>>
>> 2014-04-25 14:42:52,517 WARN [kvm.resource.LibvirtComputingResource] (agentRequest-Handler-5:null) Failed to program network rules for vm i-2-264-VM
>> 2014-04-25 14:42:52,732 WARN [kvm.resource.LibvirtComputingResource] (agentRequest-Handler-1:null) Failed to program network rules for vm i-2-332-VM
>> 2014-04-25 14:42:52,943 WARN [kvm.resource.LibvirtComputingResource] (agentRequest-Handler-4:null) Failed to program network rules for vm i-2-332-VM
>
>
>
> --
> 白清杰 (Born Bai)
>
> 北京开源愿景信息技术有限公司
>
> Mail: linuxbqj@gmail.com
> .
--
白清杰 (Born Bai)
北京开源愿景信息技术有限公司
Mail: linuxbqj@gmail.com
回复: 回复: 虚拟机机网络闪断
Posted by 谢福平 <75...@qq.com>.
出入口规则已经设置过了,而且现在是集群中30 多个虚拟机,只有几个不通。
------------------ 原始邮件 ------------------
发件人: "helloqiner@163.com";<he...@163.com>;
发送时间: 2014年4月28日(星期一) 中午1:38
收件人: "users-cn"<us...@cloudstack.apache.org>;
主题: 回复: 回复: 虚拟机机网络闪断
这个是常见的设置问题。 需要在 网络--安全分组 处设置虚拟机的 入口规则、出口规则。 http://my.oschina.net/u/572653/blog/148200
见:常见问题1 。
helloqiner@163.com
发件人: 谢福平发送时间: 2014-04-28 13:30收件人: users-cn主题: 回复: 回复: 虚拟机机网络闪断我去检测一下网卡的问题
但有一个现象:当虚拟机Ping不通时,将kvm主机的防火墙停掉,虚拟机就通了。
所以怀疑是防火墙的问题。
------------------ 原始邮件 ------------------
发件人: "linuxbqj@gmail.com";<li...@gmail.com>;
发送时间: 2014年4月28日(星期一) 中午1:27
收件人: "users-cn"<us...@cloudstack.apache.org>;
主题: Re: 回复: 虚拟机机网络闪断
当ping不通的时候,建议使用vnc登陆上去看下网卡的状态,我自己猜测还是驱动的原因导致的
在 2014年4月28日 下午1:16,谢福平 <75...@qq.com> 写道:
> 还有一点补充一下,总是在创建虚拟机之后,才出现这个问题。也就是说,创建虚拟机的某个动作,触发了什么配置,导致虚拟机ping不通
>
>
>
>
> ------------------ 原始邮件 ------------------
> 发件人: "谢福平";<75...@qq.com>;
> 发送时间: 2014年4月28日(星期一) 中午11:58
> 收件人: "users-cn"<us...@cloudstack.apache.org>;
>
> 主题: 回复: 虚拟机机网络闪断
>
>
>
> 虚拟机是固定范围内的几个会发生这种情况。
>
> 虚拟机系统是WinSewrver2008的 32位
>
> 驱动正常着
>
> ------------------ 原始邮件 ------------------
> 发件人: "linuxbqj@gmail.com";<li...@gmail.com>;
> 发送时间: 2014年4月28日(星期一) 中午11:29
> 收件人: "users-cn"<us...@cloudstack.apache.org>;
>
> 主题: Re: 虚拟机机网络闪断
>
>
>
> 这个某个虚拟机是固定的吗?
> 另外虚机的系统是什么的?相应的驱动是不是OK
>
> 2014-04-28 10:07 GMT+08:00 谢福平 <75...@qq.com>:
>> 问题:虚拟机有时会ping不通,然后关闭主机侧防火墙(但是主机的防火墙等会会自动起来),就能ping通(主机防火前起来后也能ping通虚拟机). 而且是集群中多个虚拟机中的某个虚拟机会偶尔不同,其它正常
>>
>> iptable文件配置: # cat /etc/sysconfig/iptables
>> # Generated by iptables-save v1.4.7 on Tue Apr 8 14:50:58 2014
>> *nat
>> :PREROUTING ACCEPT [0:0]
>> :POSTROUTING ACCEPT [0:0]
>> :OUTPUT ACCEPT [0:0]
>> COMMIT
>> # Completed on Tue Apr 8 14:50:58 2014
>> # Generated by iptables-save v1.4.7 on Tue Apr 8 14:50:58 2014
>> *filter
>> :INPUT ACCEPT [0:0]
>> :FORWARD ACCEPT [0:0]
>> :OUTPUT ACCEPT [0:0]
>> -A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
>> -A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
>> -A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
>> -A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 1798 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 16509 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 5900:6100 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 49152:49216 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 3260 -j ACCEPT
>> -A INPUT -m state --state NEW -p udp --dport 111 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 111 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 2049 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 32803 -j ACCEPT
>> -A INPUT -m state --state NEW -p udp --dport 32769 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 892 -j ACCEPT
>> -A INPUT -m state --state NEW -p udp --dport 892 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 875 -j ACCEPT
>> -A INPUT -m state --state NEW -p udp --dport 875 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 662 -j ACCEPT
>> -A INPUT -m state --state NEW -p udp --dport 662 -j ACCEPT
>> COMMIT
>> # Completed on Tue Apr 8 14:50:58 2014
>>
>> 同时,在kvm主机的agent日志中确实有告警:
>>
>> 2014-04-25 14:42:52,517 WARN [kvm.resource.LibvirtComputingResource] (agentRequest-Handler-5:null) Failed to program network rules for vm i-2-264-VM
>> 2014-04-25 14:42:52,732 WARN [kvm.resource.LibvirtComputingResource] (agentRequest-Handler-1:null) Failed to program network rules for vm i-2-332-VM
>> 2014-04-25 14:42:52,943 WARN [kvm.resource.LibvirtComputingResource] (agentRequest-Handler-4:null) Failed to program network rules for vm i-2-332-VM
>
>
>
> --
> 白清杰 (Born Bai)
>
> 北京开源愿景信息技术有限公司
>
> Mail: linuxbqj@gmail.com
> .
--
白清杰 (Born Bai)
北京开源愿景信息技术有限公司
Mail: linuxbqj@gmail.com
回复: 回复: 虚拟机机网络闪断
Posted by "helloqiner@163.com" <he...@163.com>.
这个是常见的设置问题。 需要在 网络--安全分组 处设置虚拟机的 入口规则、出口规则。 http://my.oschina.net/u/572653/blog/148200
见:常见问题1 。
helloqiner@163.com
发件人: 谢福平发送时间: 2014-04-28 13:30收件人: users-cn主题: 回复: 回复: 虚拟机机网络闪断我去检测一下网卡的问题
但有一个现象:当虚拟机Ping不通时,将kvm主机的防火墙停掉,虚拟机就通了。
所以怀疑是防火墙的问题。
------------------ 原始邮件 ------------------
发件人: "linuxbqj@gmail.com";<li...@gmail.com>;
发送时间: 2014年4月28日(星期一) 中午1:27
收件人: "users-cn"<us...@cloudstack.apache.org>;
主题: Re: 回复: 虚拟机机网络闪断
当ping不通的时候,建议使用vnc登陆上去看下网卡的状态,我自己猜测还是驱动的原因导致的
在 2014年4月28日 下午1:16,谢福平 <75...@qq.com> 写道:
> 还有一点补充一下,总是在创建虚拟机之后,才出现这个问题。也就是说,创建虚拟机的某个动作,触发了什么配置,导致虚拟机ping不通
>
>
>
>
> ------------------ 原始邮件 ------------------
> 发件人: "谢福平";<75...@qq.com>;
> 发送时间: 2014年4月28日(星期一) 中午11:58
> 收件人: "users-cn"<us...@cloudstack.apache.org>;
>
> 主题: 回复: 虚拟机机网络闪断
>
>
>
> 虚拟机是固定范围内的几个会发生这种情况。
>
> 虚拟机系统是WinSewrver2008的 32位
>
> 驱动正常着
>
> ------------------ 原始邮件 ------------------
> 发件人: "linuxbqj@gmail.com";<li...@gmail.com>;
> 发送时间: 2014年4月28日(星期一) 中午11:29
> 收件人: "users-cn"<us...@cloudstack.apache.org>;
>
> 主题: Re: 虚拟机机网络闪断
>
>
>
> 这个某个虚拟机是固定的吗?
> 另外虚机的系统是什么的?相应的驱动是不是OK
>
> 2014-04-28 10:07 GMT+08:00 谢福平 <75...@qq.com>:
>> 问题:虚拟机有时会ping不通,然后关闭主机侧防火墙(但是主机的防火墙等会会自动起来),就能ping通(主机防火前起来后也能ping通虚拟机). 而且是集群中多个虚拟机中的某个虚拟机会偶尔不同,其它正常
>>
>> iptable文件配置: # cat /etc/sysconfig/iptables
>> # Generated by iptables-save v1.4.7 on Tue Apr 8 14:50:58 2014
>> *nat
>> :PREROUTING ACCEPT [0:0]
>> :POSTROUTING ACCEPT [0:0]
>> :OUTPUT ACCEPT [0:0]
>> COMMIT
>> # Completed on Tue Apr 8 14:50:58 2014
>> # Generated by iptables-save v1.4.7 on Tue Apr 8 14:50:58 2014
>> *filter
>> :INPUT ACCEPT [0:0]
>> :FORWARD ACCEPT [0:0]
>> :OUTPUT ACCEPT [0:0]
>> -A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
>> -A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
>> -A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
>> -A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 1798 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 16509 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 5900:6100 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 49152:49216 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 3260 -j ACCEPT
>> -A INPUT -m state --state NEW -p udp --dport 111 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 111 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 2049 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 32803 -j ACCEPT
>> -A INPUT -m state --state NEW -p udp --dport 32769 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 892 -j ACCEPT
>> -A INPUT -m state --state NEW -p udp --dport 892 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 875 -j ACCEPT
>> -A INPUT -m state --state NEW -p udp --dport 875 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 662 -j ACCEPT
>> -A INPUT -m state --state NEW -p udp --dport 662 -j ACCEPT
>> COMMIT
>> # Completed on Tue Apr 8 14:50:58 2014
>>
>> 同时,在kvm主机的agent日志中确实有告警:
>>
>> 2014-04-25 14:42:52,517 WARN [kvm.resource.LibvirtComputingResource] (agentRequest-Handler-5:null) Failed to program network rules for vm i-2-264-VM
>> 2014-04-25 14:42:52,732 WARN [kvm.resource.LibvirtComputingResource] (agentRequest-Handler-1:null) Failed to program network rules for vm i-2-332-VM
>> 2014-04-25 14:42:52,943 WARN [kvm.resource.LibvirtComputingResource] (agentRequest-Handler-4:null) Failed to program network rules for vm i-2-332-VM
>
>
>
> --
> 白清杰 (Born Bai)
>
> 北京开源愿景信息技术有限公司
>
> Mail: linuxbqj@gmail.com
> .
--
白清杰 (Born Bai)
北京开源愿景信息技术有限公司
Mail: linuxbqj@gmail.com
回复: 回复: 虚拟机机网络闪断
Posted by 谢福平 <75...@qq.com>.
我去检测一下网卡的问题
但有一个现象:当虚拟机Ping不通时,将kvm主机的防火墙停掉,虚拟机就通了。
所以怀疑是防火墙的问题。
------------------ 原始邮件 ------------------
发件人: "linuxbqj@gmail.com";<li...@gmail.com>;
发送时间: 2014年4月28日(星期一) 中午1:27
收件人: "users-cn"<us...@cloudstack.apache.org>;
主题: Re: 回复: 虚拟机机网络闪断
当ping不通的时候,建议使用vnc登陆上去看下网卡的状态,我自己猜测还是驱动的原因导致的
在 2014年4月28日 下午1:16,谢福平 <75...@qq.com> 写道:
> 还有一点补充一下,总是在创建虚拟机之后,才出现这个问题。也就是说,创建虚拟机的某个动作,触发了什么配置,导致虚拟机ping不通
>
>
>
>
> ------------------ 原始邮件 ------------------
> 发件人: "谢福平";<75...@qq.com>;
> 发送时间: 2014年4月28日(星期一) 中午11:58
> 收件人: "users-cn"<us...@cloudstack.apache.org>;
>
> 主题: 回复: 虚拟机机网络闪断
>
>
>
> 虚拟机是固定范围内的几个会发生这种情况。
>
> 虚拟机系统是WinSewrver2008的 32位
>
> 驱动正常着
>
> ------------------ 原始邮件 ------------------
> 发件人: "linuxbqj@gmail.com";<li...@gmail.com>;
> 发送时间: 2014年4月28日(星期一) 中午11:29
> 收件人: "users-cn"<us...@cloudstack.apache.org>;
>
> 主题: Re: 虚拟机机网络闪断
>
>
>
> 这个某个虚拟机是固定的吗?
> 另外虚机的系统是什么的?相应的驱动是不是OK
>
> 2014-04-28 10:07 GMT+08:00 谢福平 <75...@qq.com>:
>> 问题:虚拟机有时会ping不通,然后关闭主机侧防火墙(但是主机的防火墙等会会自动起来),就能ping通(主机防火前起来后也能ping通虚拟机). 而且是集群中多个虚拟机中的某个虚拟机会偶尔不同,其它正常
>>
>> iptable文件配置: # cat /etc/sysconfig/iptables
>> # Generated by iptables-save v1.4.7 on Tue Apr 8 14:50:58 2014
>> *nat
>> :PREROUTING ACCEPT [0:0]
>> :POSTROUTING ACCEPT [0:0]
>> :OUTPUT ACCEPT [0:0]
>> COMMIT
>> # Completed on Tue Apr 8 14:50:58 2014
>> # Generated by iptables-save v1.4.7 on Tue Apr 8 14:50:58 2014
>> *filter
>> :INPUT ACCEPT [0:0]
>> :FORWARD ACCEPT [0:0]
>> :OUTPUT ACCEPT [0:0]
>> -A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
>> -A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
>> -A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
>> -A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 1798 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 16509 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 5900:6100 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 49152:49216 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 3260 -j ACCEPT
>> -A INPUT -m state --state NEW -p udp --dport 111 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 111 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 2049 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 32803 -j ACCEPT
>> -A INPUT -m state --state NEW -p udp --dport 32769 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 892 -j ACCEPT
>> -A INPUT -m state --state NEW -p udp --dport 892 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 875 -j ACCEPT
>> -A INPUT -m state --state NEW -p udp --dport 875 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 662 -j ACCEPT
>> -A INPUT -m state --state NEW -p udp --dport 662 -j ACCEPT
>> COMMIT
>> # Completed on Tue Apr 8 14:50:58 2014
>>
>> 同时,在kvm主机的agent日志中确实有告警:
>>
>> 2014-04-25 14:42:52,517 WARN [kvm.resource.LibvirtComputingResource] (agentRequest-Handler-5:null) Failed to program network rules for vm i-2-264-VM
>> 2014-04-25 14:42:52,732 WARN [kvm.resource.LibvirtComputingResource] (agentRequest-Handler-1:null) Failed to program network rules for vm i-2-332-VM
>> 2014-04-25 14:42:52,943 WARN [kvm.resource.LibvirtComputingResource] (agentRequest-Handler-4:null) Failed to program network rules for vm i-2-332-VM
>
>
>
> --
> 白清杰 (Born Bai)
>
> 北京开源愿景信息技术有限公司
>
> Mail: linuxbqj@gmail.com
> .
--
白清杰 (Born Bai)
北京开源愿景信息技术有限公司
Mail: linuxbqj@gmail.com
Re: 回复: 虚拟机机网络闪断
Posted by "linuxbqj@gmail.com" <li...@gmail.com>.
当ping不通的时候,建议使用vnc登陆上去看下网卡的状态,我自己猜测还是驱动的原因导致的
在 2014年4月28日 下午1:16,谢福平 <75...@qq.com> 写道:
> 还有一点补充一下,总是在创建虚拟机之后,才出现这个问题。也就是说,创建虚拟机的某个动作,触发了什么配置,导致虚拟机ping不通
>
>
>
>
> ------------------ 原始邮件 ------------------
> 发件人: "谢福平";<75...@qq.com>;
> 发送时间: 2014年4月28日(星期一) 中午11:58
> 收件人: "users-cn"<us...@cloudstack.apache.org>;
>
> 主题: 回复: 虚拟机机网络闪断
>
>
>
> 虚拟机是固定范围内的几个会发生这种情况。
>
> 虚拟机系统是WinSewrver2008的 32位
>
> 驱动正常着
>
> ------------------ 原始邮件 ------------------
> 发件人: "linuxbqj@gmail.com";<li...@gmail.com>;
> 发送时间: 2014年4月28日(星期一) 中午11:29
> 收件人: "users-cn"<us...@cloudstack.apache.org>;
>
> 主题: Re: 虚拟机机网络闪断
>
>
>
> 这个某个虚拟机是固定的吗?
> 另外虚机的系统是什么的?相应的驱动是不是OK
>
> 2014-04-28 10:07 GMT+08:00 谢福平 <75...@qq.com>:
>> 问题:虚拟机有时会ping不通,然后关闭主机侧防火墙(但是主机的防火墙等会会自动起来),就能ping通(主机防火前起来后也能ping通虚拟机). 而且是集群中多个虚拟机中的某个虚拟机会偶尔不同,其它正常
>>
>> iptable文件配置: # cat /etc/sysconfig/iptables
>> # Generated by iptables-save v1.4.7 on Tue Apr 8 14:50:58 2014
>> *nat
>> :PREROUTING ACCEPT [0:0]
>> :POSTROUTING ACCEPT [0:0]
>> :OUTPUT ACCEPT [0:0]
>> COMMIT
>> # Completed on Tue Apr 8 14:50:58 2014
>> # Generated by iptables-save v1.4.7 on Tue Apr 8 14:50:58 2014
>> *filter
>> :INPUT ACCEPT [0:0]
>> :FORWARD ACCEPT [0:0]
>> :OUTPUT ACCEPT [0:0]
>> -A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
>> -A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
>> -A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
>> -A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 1798 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 16509 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 5900:6100 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 49152:49216 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
>> -A INPUT -p tcp -m tcp --dport 3260 -j ACCEPT
>> -A INPUT -m state --state NEW -p udp --dport 111 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 111 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 2049 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 32803 -j ACCEPT
>> -A INPUT -m state --state NEW -p udp --dport 32769 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 892 -j ACCEPT
>> -A INPUT -m state --state NEW -p udp --dport 892 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 875 -j ACCEPT
>> -A INPUT -m state --state NEW -p udp --dport 875 -j ACCEPT
>> -A INPUT -m state --state NEW -p tcp --dport 662 -j ACCEPT
>> -A INPUT -m state --state NEW -p udp --dport 662 -j ACCEPT
>> COMMIT
>> # Completed on Tue Apr 8 14:50:58 2014
>>
>> 同时,在kvm主机的agent日志中确实有告警:
>>
>> 2014-04-25 14:42:52,517 WARN [kvm.resource.LibvirtComputingResource] (agentRequest-Handler-5:null) Failed to program network rules for vm i-2-264-VM
>> 2014-04-25 14:42:52,732 WARN [kvm.resource.LibvirtComputingResource] (agentRequest-Handler-1:null) Failed to program network rules for vm i-2-332-VM
>> 2014-04-25 14:42:52,943 WARN [kvm.resource.LibvirtComputingResource] (agentRequest-Handler-4:null) Failed to program network rules for vm i-2-332-VM
>
>
>
> --
> 白清杰 (Born Bai)
>
> 北京开源愿景信息技术有限公司
>
> Mail: linuxbqj@gmail.com
> .
--
白清杰 (Born Bai)
北京开源愿景信息技术有限公司
Mail: linuxbqj@gmail.com
回复: 虚拟机机网络闪断
Posted by 谢福平 <75...@qq.com>.
还有一点补充一下,总是在创建虚拟机之后,才出现这个问题。也就是说,创建虚拟机的某个动作,触发了什么配置,导致虚拟机ping不通
------------------ 原始邮件 ------------------
发件人: "谢福平";<75...@qq.com>;
发送时间: 2014年4月28日(星期一) 中午11:58
收件人: "users-cn"<us...@cloudstack.apache.org>;
主题: 回复: 虚拟机机网络闪断
虚拟机是固定范围内的几个会发生这种情况。
虚拟机系统是WinSewrver2008的 32位
驱动正常着
------------------ 原始邮件 ------------------
发件人: "linuxbqj@gmail.com";<li...@gmail.com>;
发送时间: 2014年4月28日(星期一) 中午11:29
收件人: "users-cn"<us...@cloudstack.apache.org>;
主题: Re: 虚拟机机网络闪断
这个某个虚拟机是固定的吗?
另外虚机的系统是什么的?相应的驱动是不是OK
2014-04-28 10:07 GMT+08:00 谢福平 <75...@qq.com>:
> 问题:虚拟机有时会ping不通,然后关闭主机侧防火墙(但是主机的防火墙等会会自动起来),就能ping通(主机防火前起来后也能ping通虚拟机). 而且是集群中多个虚拟机中的某个虚拟机会偶尔不同,其它正常
>
> iptable文件配置: # cat /etc/sysconfig/iptables
> # Generated by iptables-save v1.4.7 on Tue Apr 8 14:50:58 2014
> *nat
> :PREROUTING ACCEPT [0:0]
> :POSTROUTING ACCEPT [0:0]
> :OUTPUT ACCEPT [0:0]
> COMMIT
> # Completed on Tue Apr 8 14:50:58 2014
> # Generated by iptables-save v1.4.7 on Tue Apr 8 14:50:58 2014
> *filter
> :INPUT ACCEPT [0:0]
> :FORWARD ACCEPT [0:0]
> :OUTPUT ACCEPT [0:0]
> -A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
> -A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
> -A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
> -A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
> -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
> -A INPUT -p tcp -m tcp --dport 1798 -j ACCEPT
> -A INPUT -p tcp -m tcp --dport 16509 -j ACCEPT
> -A INPUT -p tcp -m tcp --dport 5900:6100 -j ACCEPT
> -A INPUT -p tcp -m tcp --dport 49152:49216 -j ACCEPT
> -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
> -A INPUT -p tcp -m tcp --dport 3260 -j ACCEPT
> -A INPUT -m state --state NEW -p udp --dport 111 -j ACCEPT
> -A INPUT -m state --state NEW -p tcp --dport 111 -j ACCEPT
> -A INPUT -m state --state NEW -p tcp --dport 2049 -j ACCEPT
> -A INPUT -m state --state NEW -p tcp --dport 32803 -j ACCEPT
> -A INPUT -m state --state NEW -p udp --dport 32769 -j ACCEPT
> -A INPUT -m state --state NEW -p tcp --dport 892 -j ACCEPT
> -A INPUT -m state --state NEW -p udp --dport 892 -j ACCEPT
> -A INPUT -m state --state NEW -p tcp --dport 875 -j ACCEPT
> -A INPUT -m state --state NEW -p udp --dport 875 -j ACCEPT
> -A INPUT -m state --state NEW -p tcp --dport 662 -j ACCEPT
> -A INPUT -m state --state NEW -p udp --dport 662 -j ACCEPT
> COMMIT
> # Completed on Tue Apr 8 14:50:58 2014
>
> 同时,在kvm主机的agent日志中确实有告警:
>
> 2014-04-25 14:42:52,517 WARN [kvm.resource.LibvirtComputingResource] (agentRequest-Handler-5:null) Failed to program network rules for vm i-2-264-VM
> 2014-04-25 14:42:52,732 WARN [kvm.resource.LibvirtComputingResource] (agentRequest-Handler-1:null) Failed to program network rules for vm i-2-332-VM
> 2014-04-25 14:42:52,943 WARN [kvm.resource.LibvirtComputingResource] (agentRequest-Handler-4:null) Failed to program network rules for vm i-2-332-VM
--
白清杰 (Born Bai)
北京开源愿景信息技术有限公司
Mail: linuxbqj@gmail.com
.