Diagnóstico e Solução de Problemas Gerais para Pontos de Acesso NFS Ativados para Criptografia em Trânsito
Tente as seguintes técnicas de diagnóstico e solução de problemas se você tiver problemas com a criptografia em trânsito.
Verifique se todas as regras da lista de segurança foram configuradas corretamente para a sub-rede do ponto de acesso NFS.
A criptografia em trânsito requer as seguintes regras de lista de segurança:
- Uma regra de entrada com monitoramento de estado que permite o tráfego TCP para um Intervalo de Portas de Destino de 2051.
- Uma regra de saída com monitoramento de estado que permite o tráfego TCP de um Intervalo de Portas de Origem de 2051.
Para obter mais informações e instruções, consulte Regras de Segurança.
Verifique se o serviço oci-fss está em execução no sistema de arquivos montado.
Se não estiver, reinicie o serviço.
Quando você monta um sistema de arquivos usando o comando mount.oci-fss
, ele cria um serviço gerenciado systemd
-denominado oci-fss<sequence_number>.service
. <sequence_number> corresponde a um valor incremental entre 2 e 255. Um serviço oci-fss
é criado para cada sistema de arquivos montado com o comando. O nome exato do serviço é exibido como saída quando o sistema de arquivos é montado.
Por exemplo:
Created symlink from /etc/systemd/system/multi-user.target.wants/oci-fss-2.service to /usr/lib/systemd/system/oci-fss-2.service.
- Abra uma janela de terminal na instância.
-
Verifique se o serviço está sendo executado usando o seguinte comando:
systemctl status oci-fss-<sequence_number>
- Abra uma janela de terminal na instância.
-
Use o seguinte comando para iniciar o serviço:
systemctl start oci-fss-<sequence_number>
Verifique se o namespace ns1 foi criado e contém uma interface de rede.
- Abra uma janela de terminal na instância.
-
Use o seguinte comando para verificar o namespace e ver a interface de rede:
sudo ip netns exec ns1 ip link list
Você deverá ver a saída exibindo todos os dispositivos ethernet no namespace
ns1
. Por exemplo:1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN mode DEFAULT group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 3: v-peer1@if4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default qlen 1000 link/ether be:5b:35:2d:e9:54 brd ff:ff:ff:ff:ff:ff link-netnsid 0
Verifique se o IP forwarding está em execução na instância.
A instalação de oci-fss-utils
ativa automaticamente o IP forwarding
. No entanto, você pode ter outros processos em execução na instância que o desativam.
- Abra uma janela de terminal na instância.
-
Use o seguinte comando para exibir o status do
IP forwarding
:# sysctl net.ipv4.ip_forward net.ipv4.ip_forward = 1
O valor de saída
1
significa que o encaminhamento de IP está ativado. Esse valor é lido no arquivo/proc/sys/net/ipv4/ip_forward
.Se o valor de saída for
0
, o encaminhamento de IP não será ativado para a instância. Ative oIP forwarding
seguindo as instruções em Para ativar o encaminhamento de IP na instância.
Se o encaminhamento de IP não estiver atualmente ativado na instância, você deverá ativá-lo e torná-lo permanente.
- Abra uma janela de terminal na instância.
-
Digite o seguinte comando para abrir o arquivo
/etc/sysctl.conf
:sudo vi /etc/sysctl.conf
- Remova o
#
para desfazer o comentário desta linha:# net.ipv4.ip_forward=1
. Se o valor for0
, altere-o para1
. - Digite
:wq
para salvar o arquivo e sair do editor.
Use o utilitário tcpdump para analisar o tráfego entre o serviço oci-fss service e o cliente NFS.
- Abra uma janela de terminal na instância.
-
Digite o seguinte comando:
sudo ip netns exec ns1 tcpdump -i v-peer2 "port 2049"
Use o comando journalctl para exibir qualquer mensagem que possa ter sido registrada por systemd em relação ao serviço.
- Abra uma janela de terminal na instância.
-
Digite o seguinte comando:
journalctl -f -u oci-fss-<version>
-f
exibe os lançamentos mais recentes e imprime novas entradas à medida que são incluídas no lançamento.
-u
especifica uma unidade de serviço systemd
específica. Nesse caso, oci-fss-<sequence_number>
é a unidade especificada. Se nenhuma unidade for especificada, journalctl
retornará todas as entradas systemd
.