DigiLoog

Archive for the ‘PC’ Category

keepalivedアップグレードとIPv6 DADのコンボで仮想IP割当がバグった

2021年06月06日(日) - 22:15 | カテゴリ: Linux

ロードバランサ兼リバースプロキシとして利用しているサーバでは、
仮想IPの管理にCentOS8のAppStreamで配布しているバージョンのkeepalivedを走らせていた。
今まで不具合も出ずに動いていたので普段通りにOSのアップグレードを実行したら、
想定外の仮想IPが割り当たらなくなる不具合に当たった。

“ns-lab BB”のロードバランサ構成は以前書いた紹介記事を読んで貰えばわかるが、
一応説明を書くと、NICを2個接続してインライン構成にしつつ、
それぞれのNICでVRRPv3を喋ってIPv4・IPv6仮想IPを付与する構成となる。

今回の問題が発生したのは2021/06/04の早朝。
上に書いた通りパッケージのアップグレードを実施したら、
プライベートIPを付与しているNIC(eth0)側のIPv4のみ仮想IPが突然消えた。
ログは何も出ていなかったのでパケットを見たが正常にパケットは飛んできていた。
straceを読む余裕が無かったので不明だが、恐らく仮想IPを渡す所で不具合が発生したのでは無いかと思われる。

今までサーバを運用してきた直感だと、IPv6 Duplicate Address Detection・Non Local Bindあたりが怪しかった。
その上でデバッグログを有効化したりしてみたら、それっぽいログが出ていた事が判明。

Jun 4 07:04:54 server ***: (eth0-ipv4) removing VIPs.
Jun 4 07:04:54 server ***: (eth0-ipv6) removing VIPs.
Jun 4 07:04:54 server ***: (eth1-ipv4) removing VIPs.
Jun 4 07:04:54 server ***: (eth1-ipv6) removing VIPs.
Jun 4 07:04:54 server ***: bind unicast_src Unicast-IPv6 failed 22 - Invalid argument
Jun 4 07:04:54 server ***: (eth0-ipv6): entering FAULT state (src address not configured)
Jun 4 07:04:54 server ***: (eth0-ipv6) Entering FAULT STATE
Jun 4 07:04:54 server ***: VRRP_Group(eth0-vip) Syncing instances to FAULT state
Jun 4 07:04:54 server ***: (eth0-ipv4) Entering FAULT STATE
Jun 4 07:04:54 server ***: VRRP sockpool: [ifindex(  2), family(IPv4), proto(112), fd(14,15), unicast, address(Private-IPv4)]
Jun 4 07:04:54 server ***: VRRP sockpool: [ifindex(  2), family(IPv6), proto(112), fd(-1,-1), unicast, address(Unicast-IPv6)]
Jun 4 07:04:54 server ***: VRRP sockpool: [ifindex(  3), family(IPv4), proto(112), fd(16,17), unicast, address(Global-IPv4)]
Jun 4 07:04:54 server ***: VRRP sockpool: [ifindex(  3), family(IPv6), proto(112), fd(18,19), unicast, address(Unicast-IPv6)]
Jun 4 07:04:54 server ***: VRRP_Script(healthcheck) succeeded

keepalivedでvrrp_sync_groupやtrack_interfaceは入れてあるのでエラーが出ているIPv6が落ちるのは判るが、
IPv4・IPv6の片方だけ生き残るのは想定外だった。

今回は復旧優先という事もあり、IPv6 DADの無効化を入れつつkeepalivedをソースビルドに変更して復旧させた。
サービスのハブとなっているサーバなので冗長化していたのだが、まさか冗長化部分が壊れるのは想定外。
根本的な原因は不明だが、アプリケーションアップグレードのレアケースとして良い経験になった。

No Comments Subscribe via Entries RSS.

自宅監視鯖をzabbix 5.4にアップグレードしてみた

2021年05月23日(日) - 19:41 | カテゴリ: Linux

2021年5月17日にzabbix 5.4が公開されたので、自宅の監視サーバもアップグレードしてみた。
いつも通りにソースコードからビルドしたが、v5.0・v5.2系統と同じソースビルドが行えた。

インストール後の初回起動時にはデータベースのアップグレードが実行されるので、
サーバプロセスの立ち上げに時間を要する。
アップグレード状況は、zabbix-serverやzabbix-proxyのシステムログに出力される。

という事でアップグレードした結果はこちら。フッター部分のzabbixバージョンが5.4.0に上がった。

今回のバージョンで大きな変更は2つ。
1個目は、zabbixのスクリーン機能が廃止されてダッシュボードに機能統合された事。
スクリーンの方でピクセル単位のレイアウトデザインを実施していると、
ダッシュボード統合時に崩れるので注意しておいた方が良いかもしれない。
2個目は、トリガー条件などの評価式や演算子が変わった事。
筆者の環境では問題が生じなかったが、細かい条件を組んでいる環境ではこちらも確認した方が良い。

今回はトラブル無く普通にアップグレード出来たのでナレッジ的な事は書けないが、
ある意味、安全にアップグレード出来るバージョンとも言える。
ポイントリリースを毎回追いかけている人は少ないと思うが、
迷っている人はアップグレードして試してみると良いと思う。

No Comments Subscribe via Entries RSS.

VultrのサーバでBGPフルルートを受信してみた

2021年05月15日(土) - 22:07 | カテゴリ: Network

ネットワークをある程度囓った事のある人ならBGPフルルートに憧れる物だが、
実際に弄ってトラフィックを操作している人は限られるのが現状。
フルルートを弄る為に有志が集まってAS運用したり個人でAS番号を取得するガチ勢もいるが、
本格的に設備を構えず手軽にフルルートを弄ってみたい人も多いと思う。

以前も書いた通りVultrでフルルート受信リクエストを出せば実際にフルルートを貰えるので、
Vultrで仮想サーバを契約してIPv4とIPv6のBGPフルルートを受信してみた。

先陣も多く申請手順はググれば出てくるが、御自宅でフルルートの記事が一番わかりやすかった。
記事にも書いてない細かい調整は必要だが誤自宅の人なら不明点も自力で解決出来ると思うので、
筆者がハマったポイントと実際に利用したFRRoutingのコンフィグを載せようと思う。

BGPがEstablishedなのにフルルートを受信出来ない

最初にコレが発生したので非常に困った (´・ω・｀)
ネクストホップが存在せずルーティングに乗らないのは良くあるが、そもそも受信してくれなかった。

自宅ラボの検証環境も用いてルーティングを確実に受信出来るコンフィグを投入し、
BGP StateももEstablishedに遷移しているのにピアからルーティングが一向に来なくて途方に暮れた。
どうやっても自力で解決出来なかったので、Vultrサポートに下記の問い合わせを投げた所、
「設定ミスっていたわ。ゴメン！」と返答が来て無事にフルルートを受信出来る様になった。

Dear Vultr Support,
After receiving the ticket "XXX-XXXXX",
  I installed CentOS and FRRouting on my server instance and configured BGP peer.
I was able to set up a peer with Vultr BGP router,
  But after 2 days, I still can't receive a full route.
The configuration of FRRouting and the status of the peer are as follows.

- FRRouting Config
> AS20473# show running-config

- BGP neighbor
> AS20473# show ip bgp neighbors

I think the FRRouting settings are correct,
  But is there any reason why I cannot receive BGP full routes?
Also, can you tell me the status of the Vultr facility?

Regards, XXXXXX.

英文を全く書かないので文法が正しいか判らないが、コレで伝えたい事は上手く伝わった模様。
文で説明するのが面倒だったので、コンフィグとステータスを載せたのが良かったのかもしれない。
もしも、BGPピアを張れない状態になったら遠慮無くサポートに助けを求めると良いと思う。

サーバスペックとプリペイド料金を迷う

Vultrのサーバはスペック毎に通信量が設定されており、通信量を超過すると面倒臭い事になる。
さらに、支払いは事前にお金を払うプリペイド方式がメインとなっており、
サーバで動かしたいサービスの通信量を予測しながらサーバスペックを選択して支払う必要がある。
勿論、利用分のみクレジットカードで引き落とす事も出来るらしいが、
筆者はオーソドックスにクレジットカード支払いプリペイド方式で払った。

ココで問題となったのはサーバスペックの予測が付かず、インスタンス選定に難儀した事。
という事で、実際に14日間起動しっぱなしにしつつ、
思い出した時にBGPステータスを表示するコマンドを打ち込んだ通信量が次の通り。

意外と通信量を抑える事が出来た (｀・ω・´)
コレはVultrのインスタンスFWでBGPセッション用のTCP:179と、
サーバ管理用のTCP:22以外を全部遮断する事で不要なトラフィックが来なくなった結果だと思う。
LookingGlass用途ならフルルートを受信しつつルータのコマンドさえ打てれば良いので、
通信対象を絞る事で気にする必要が無くなる。

メモリの方はフルルートを処理する為に2GB位の容量が必要になってくる。
Linuxを最適化すればワンランク下の1GBメモリでも動くと思うが、
2GBメモリでもモタつく時があったので止めた方が賢明だと思う。

BGPフルルートを受信出来るコンフィグがわからない

根本的な話だがフルルートを受信するコンフィグを書いた事が無いので手探りだった。
ググればCiscoやJuniperのBGPサンプルは出てくるが、FRRoutingの様にLinuxルータの物は皆無となる。
という事で、筆者が実際に使ったFRRoutingでBGPフルルートを受信するサンプルコンフィグを載せておく。

AS20473# show running-config
Building configuration...

Current configuration:
!
frr version 7.0
frr defaults traditional
hostname AS20473
log file /var/log/frr/frr.log
service integrated-vtysh-config
!
ip route 169.254.169.254/32 207.148.XXX.ZZZ
ipv6 route 2001:19f0:ffff::1/128 fe80::fc00:XXX:ZZZ:1
!
interface eth0
 ip address 207.148.XXX.YYY/23
 ipv6 address 2001:19f0:7001:5aa7:WWW:XXX:YYY:ZZZ/64
!
router bgp 4288000AAA
 bgp router-id 207.148.XXX.YYY
 neighbor 169.254.169.254 remote-as 64AAA
 neighbor 169.254.169.254 password BGPPASSWORDXXXXX
 neighbor 169.254.169.254 ebgp-multihop 2
 neighbor 169.254.169.254 disable-connected-check
 neighbor 169.254.169.254 update-source 207.148.XXX.YYY
 neighbor 2001:19f0:ffff::1 remote-as 64AAA
 neighbor 2001:19f0:ffff::1 password BGPPASSWORDXXXXX
 neighbor 2001:19f0:ffff::1 ebgp-multihop 2
 neighbor 2001:19f0:ffff::1 disable-connected-check
 neighbor 2001:19f0:ffff::1 update-source 2001:19f0:7001:5aa7:WWW:XXX:YYY:ZZZ
 !
 address-family ipv4 unicast
  neighbor 169.254.169.254 soft-reconfiguration inbound
  no neighbor 2001:19f0:ffff::1 activate
 exit-address-family
 !
 address-family ipv6 unicast
  neighbor 2001:19f0:ffff::1 activate
  neighbor 2001:19f0:ffff::1 soft-reconfiguration inbound
 exit-address-family
!
line vty
!
end

ひとまず動けばOKのコンセプトで書いたのでセキュリティ設定などは追加で入れる必要がある。

ハマりポイントとしては、BGPピアと接続出来る様にスタティックルートを書いておかないと、
BGPセッションを張れてもフルルートがルーティングテーブルに載らなくなる。
OSに細工をするとスタティックルートを書かなくてもフルルートがルーティングに載るのだが、
今回の構成で手っ取り早く確実にルーティングを載せる方法はスタティックルートの設定だった。

………

Vultrは日本であまり聞かない事や管理画面が英語なので敬遠しがちだが、
AWSや国産VPSで無い面白い機能も実装されているのでエンジニアなら1回は触ると良いと思う。
筆者も初めてVultrを触ってみたが遊び程度なら意外と使い物になる事がわかったので、
作って壊す用途でまた契約するかも知れない。

という事でフルルートを受信する事が出来たので、これからインスタンスを削除してこねば。

« 続きを隠す

2 Comments Subscribe via Entries RSS.

Archive for the ‘PC’ Category

keepalivedアップグレードとIPv6 DADのコンボで仮想IP割当がバグった

自宅監視鯖をzabbix 5.4にアップグレードしてみた

VultrのサーバでBGPフルルートを受信してみた

応援中

twitter

Calendar

Category

日	月	火	水	木	金	土
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30