quantum security group 관련

그 동안 풀지 못했던 수수께끼(?)를 오늘 해결하였다..

가끔 보안그룹(security-group)이 적용되지 않는 노드들이 발생하였는데…

그간 원인을 몰라서 방치해 두고 있었다.

그런데 어제 컴퓨트 노드들에 일괄적으로 nf_conntrack_max 카운트를 높인 이후로

보안그룹이 적용이 안되는 것을 확인할 수 있었다…

처음에는 뭐가 원인인지 몰라서 테스트베드에서 계속 삽질을 하다가….

sysctl.conf에 변경사항을 저장하고 sysctl -p를 실행하면 갑자기 보안그룹이 적용이 안되고 모든 패킷을 bypass하는 것을 확인했다..

계속 테스트 하던 도중 다시 알게 된 것은 뭘하든지 sysctl -p만 하면 보안그룹 적용이 안되는 것이었다.

그렇다는 것은 sysctl.conf에 문제가 있다는 것?

그래서 sysctl.conf의 내용을 일일히 확인하였다. 그중에 아래 내용이 뭔가 신경이 쓰였다.

그러던 중 아래와 같은 글을 발견했다.

내용인 즉 net.bridge.bridge-nf-call-* 요녀석이 0으로 되어 있을 경우, 브릿지 인터페이스를 방화벽을 거치지 않는다는…..

https://docs.fedoraproject.org/en-US/Fedora/13/html/Virtualization_Guide/sect-Virtualization-Network_Configuration-Bridged_networking_with_libvirt.html

http://wiki.libvirt.org/page/Net.bridge-nf-call_and_sysctl.conf

그래서 저 값이 왜 들어가 있나? 일부러 적용해 놓은 것은 아닌가 계속 알아보고 있었다..

그러던 중 이 과장님이 아래 글을 발견하였다..

https://bugs.launchpad.net/fuel/+bug/1400787

그렇다. 버그였던 것.. 이런 ㄴ이ㅏㅓㅇ리ㅏㅓ히ㅏㅇㄹ너히ㅏㅓㅇㄹ하ㅣㅓㄹㅇ

짜증났지만 어쨌든 그동안 원인을 몰랐던 것을 해결해서 기분은 좋구나하하아아아~

어찌되었건 전체 노드에 저 커널 파라미터를 1로 변경하고 나서 방화벽룰을 제대로 타는 것을 확인 했다..

이런 사소한 거 하나 땜에 그동안 골머리를 싸메고 있었구만~

어이가 없지만 오늘 발생한 일 ㅠㅠ

댓글 남기기