Documentation Oracle Cloud Infrastructure

Dépannage général pour les cibles de montage avec cryptage en transit

Essayez les techniques de dépannage suivantes si vous rencontrez des problèmes liés au cryptage en transit.

Vérifiez que toutes les règles de liste de sécurité sont configurées correctement pour le sous-réseau de la cible de montage

Testez la connexion à la cible de montage File Storage à l'aide de telnet ou de nc.

Important

Si ces tests de connexion échouent, vérifiez que les règles de sécurité réseau sont configurées conformément aux instructions figurant dans Scénario C : la cible de montage et l'instance utilisent le cryptage TLS en transit.

Test avec telnet

Exécutez les commandes telnet suivantes. Remplacez les variables de cette commande par l'adresse IP d'une cible de montage et testez le port NFS 2051 :

telnet <Mount_Target_IP_address> 2051

Une connexion réussie renvoie un résultat de ce type :

Trying <Mount_Target_IP_address>...
Connected to <Mount_Target_IP_address>.
Escape character is '^]'.

En cas d'échec, vous obtenez une sortie semblable à ce qui suit :

Trying 10.0.0.5...
telnet: connect to address 10.0.0.5: Connection timed out
Test avec nc

Exécutez les commandes nc suivantes. Remplacez les variables de cette commande par l'adresse IP d'une cible de montage et testez le port NFS 2051 :

nc -z -v <Mount_Target_IP_address> 2051

Une connexion réussie renvoie un résultat de ce type :

Ncat: Version 7.50 ( https://nmap.org/ncat )
Ncat: Connected to 10.0.0.5:2048.
Ncat: 0 bytes sent, 0 bytes received in 0.01 seconds.

En cas d'échec, vous obtenez une sortie semblable à ce qui suit :

Ncat: Version 7.50 ( https://nmap.org/ncat )
Ncat: Connection timed out.
Installation de telnet et de nc

Par défaut, les utilitaires telnet et nc ne sont pas installés sur de nombreuses images Oracle Cloud Infrastructure Compute. Pour installer ces utilitaires sur une instance, utilisez la commande yum suivante :

sudo yum install telnet nc -y

Vérifiez que le service oci-fss est en cours d'exécution pour le système de fichiers monté

Si ce n'est pas le cas, redémarrez le service.

Procédure de vérification de l'exécution du service

Lorsque vous installez le package oci-fss-utils, il crée trois services gérés par systemd, appelés oci-fss-gc.timer, oci-fss-init.service et oci-fss-monitor.service.

  1. Ouvrez une fenêtre de terminal sur l'instance.

  2. Vérifiez que les services sont en cours d'exécution à l'aide des commandes suivantes :

    systemctl status oci-fss-gc.timer

    Le statut doit être Actif et En attente.

    systemctl status oci-fss-init.service

    Le statut doit être Actif et Quitté.

    systemctl status oci-fss-monitor.service

    Le statut doit être actif et en cours d'exécution.

  3. Une fois que vous avez monté un système de fichiers à l'aide de la commande mount.oci-fss, vous créez un service géré par systemd appelé oci-fss-0<number>.service, qui est le processus oci-fss-forwarder. Vérifiez qu'il est en cours d'exécution à l'aide de la commande suivante :

    systemctl status oci-fss-0<number>

    Le statut doit être actif et en cours d'exécution.

Procédure de démarrage du service
  1. Ouvrez une fenêtre de terminal sur l'instance.

  2. Utilisez les commandes suivantes pour démarrer le service :

    systemctl start oci-fss-gc.timer
    systemctl start oci-fss-monitor.service

Vérifiez que l'espace de noms ns1 a été créé et qu'il contient une interface réseau

Procédure de vérification de l'espace de noms réseau
  1. Ouvrez une fenêtre de terminal sur l'instance.

  2. Utilisez la commande suivante pour vérifier l'espace de noms et afficher l'interface réseau :

    sudo ip netns exec ns1 ip link list

    La sortie doit apparaître pour tous les dispositifs Ethernet dans l'espace de noms ns1. Par exemple : 

    1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN mode DEFAULT group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
3: x-peer0@if4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 65535 qdisc noqueue state UP mode DEFAULT group default qlen 1000
    link/ether 56:e9:e0:7a:02:f6 brd ff:ff:ff:ff:ff:ff link-netnsid 0

Utilisez l'utilitaire tcpdump pour analyser le trafic entre le service oci-fss et le client NFS

Procédure d'obtention d'informations à l'aide de TCPDUMP
  1. Ouvrez une fenêtre de terminal sur l'instance.

  2. Saisissez la commande suivante :

    sudo ip netns exec ns1 tcpdump -i x-peer0 "port 2049" -w /tmp/TLS.pcap

Utilisez la commande journalctl pour afficher tous les messages qui ont pu être journalisés par systemd concernant le service

Procédure d'obtention d'informations à partir du journal SYSTEMD
  1. Ouvrez une fenêtre de terminal sur l'instance.

  2. Entrez la commande suivante :

    journalctl -f -u oci-fss-0<number>

-f affiche les entrées de journal les plus récentes et imprime les nouvelles entrées à mesure qu'elles sont ajoutées au journal.

-u indique une unité de service systemd spécifique. Dans ce cas, oci-fss-0<sequence_number> est l'unité indiquée. Si aucune unité n'est indiquée, journalctl renvoie toutes les entrées systemd.