Documentação do Oracle Cloud Infrastructure

Diagnóstico e Solução de Problemas Gerais para Pontos de Acesso NFS Ativados para Criptografia em Trânsito

Tente as seguintes técnicas de diagnóstico e solução de problemas se você tiver problemas com a criptografia em trânsito.

Verifique se todas as regras da lista de segurança foram configuradas corretamente para a sub-rede do ponto de acesso NFS.

A criptografia em trânsito requer as seguintes regras de lista de segurança:

  • Uma regra de entrada com monitoramento de estado que permite o tráfego TCP para um Intervalo de Portas de Destino de 2051.
  • Uma regra de saída com monitoramento de estado que permite o tráfego TCP de um Intervalo de Portas de Origem de 2051.

Para obter mais informações e instruções, consulte Regras de Segurança.

Verifique se o serviço oci-fss está em execução no sistema de arquivos montado.

Se não estiver, reinicie o serviço.

Para verificar se o serviço está em execução

Quando você monta um sistema de arquivos usando o comando mount.oci-fss , ele cria um serviço gerenciado systemd-denominado oci-fss<sequence_number>.service . <sequence_number> corresponde a um valor incremental entre 2 e 255. Um serviço oci-fss é criado para cada sistema de arquivos montado com o comando. O nome exato do serviço é exibido como saída quando o sistema de arquivos é montado.

Por exemplo:

Created symlink from /etc/systemd/system/multi-user.target.wants/oci-fss-2.service to /usr/lib/systemd/system/oci-fss-2.service.
  1. Abra uma janela de terminal na instância.

  2. Verifique se o serviço está sendo executado usando o seguinte comando:

    systemctl status oci-fss-<sequence_number>
Para iniciar o serviço
  1. Abra uma janela de terminal na instância.

  2. Use o seguinte comando para iniciar o serviço:

    systemctl start oci-fss-<sequence_number>

Verifique se o namespace ns1 foi criado e contém uma interface de rede.

Para verificar o namespace de rede
  1. Abra uma janela de terminal na instância.

  2. Use o seguinte comando para verificar o namespace e ver a interface de rede: 

    sudo ip netns exec ns1 ip link list

    Você deverá ver a saída exibindo todos os dispositivos ethernet no namespace ns1. Por exemplo: 

    1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN mode DEFAULT group default qlen 1000
									link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
									3: v-peer1@if4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default qlen 1000
								link/ether be:5b:35:2d:e9:54 brd ff:ff:ff:ff:ff:ff link-netnsid 0

Verifique se o IP forwarding está em execução na instância.

A instalação de oci-fss-utils ativa automaticamente o IP forwarding. No entanto, você pode ter outros processos em execução na instância que o desativam.

Para verificar se o encaminhamento de IP está em execução na instância
  1. Abra uma janela de terminal na instância.

  2. Use o seguinte comando para exibir o status do IP forwarding:

    # sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

    O valor de saída 1 significa que o encaminhamento de IP está ativado. Esse valor é lido no arquivo /proc/sys/net/ipv4/ip_forward.

    Se o valor de saída for 0, o encaminhamento de IP não será ativado para a instância. Ative o IP forwarding seguindo as instruções em Para ativar o encaminhamento de IP na instância.

Para ativar o encaminhamento de IP na instância

Se o encaminhamento de IP não estiver atualmente ativado na instância, você deverá ativá-lo e torná-lo permanente.

  1. Abra uma janela de terminal na instância.

  2. Digite o seguinte comando para abrir o arquivo /etc/sysctl.conf:

    sudo vi /etc/sysctl.conf
  3. Remova o # para desfazer o comentário desta linha: # net.ipv4.ip_forward=1. Se o valor for 0, altere-o para 1.
  4. Digite :wq para salvar o arquivo e sair do editor.

Use o utilitário tcpdump para analisar o tráfego entre o serviço oci-fss service e o cliente NFS.

Para obter informações usando TCPDUMP
  1. Abra uma janela de terminal na instância.

  2. Digite o seguinte comando:

    sudo ip netns exec ns1 tcpdump -i v-peer2 "port 2049"

Use o comando journalctl para exibir qualquer mensagem que possa ter sido registrada por systemd em relação ao serviço.

Para obter informações do lançamento SYSTEMD
  1. Abra uma janela de terminal na instância.

  2. Digite o seguinte comando:

    journalctl -f -u oci-fss-<version>

-f exibe os lançamentos mais recentes e imprime novas entradas à medida que são incluídas no lançamento.

-u especifica uma unidade de serviço systemd específica. Nesse caso, oci-fss-<sequence_number> é a unidade especificada. Se nenhuma unidade for especificada, journalctl retornará todas as entradas systemd.