最近一段时间很少更新了，一方面是忙于推进公司内部私有云平台的建设，另一方面是公司搞Kubernetes的哥们离职了，这个重担自然落在了我身上。由于时间关系，有很长都没登录简书了。其实年初选择在简书上更新自己的工作记录，很重要的原因是简书的App在手机上格式渲染的很好，体验不错。加上自己也懒得花钱花时间去折腾博客。有个简单的用着还不错的简书自然成了我的选择。

好了，家常扯得也差不多了，该干正事呢。

背景

这两天在公司新机房你上线了几十台Ocata版本的OpenStack，和上次一样，监控部门同事申请了十多台机器做Zabbix Proxy的lvs集群。踩过之前的坑《解决OS虚拟机内采用LVS-DR模式请求超时问题》，我就知道，这次分给业务放不仅仅只有一个VIP和allowed_address_pairs而已。
经过上次在Mitaka上踩过的坑，发现lvs节点所在的宿主机上iptables对于OUTPUT的报文没有做规则，导致客户端请求在丢给RealServer时被丢弃。解决起来也很简单，在neutron-openvswi-local上添加accept语句就能解决这个问题。

这次更新了Ocata版本发现社区竟然还是没有解决这个Bug，看来还得手动再执行一次。

现象

上线了Ocata版本发现，这次我在lvs节点的宿主机上添加了accept语句后客户端仍然无法建立连接。这就奇怪了，难倒Ocata版的安全组规则实现机制有变动？

经过我前后对比Ocata和Mitaka版本的安全组的iptables规则发现并无差异，另一方面业务方的lvs部署都是标准的输出，部署肯定没问题。那问题多半还是在Neutron上。

排查过程

简单抓了下客户端、LVS和RealServer这三台服务器的流量发现，RealServer能够收到Client发送的三次握手的[S]包，同时RealServer也应答了[S.]。

这个时候，问题出现了。RealServer在发出[S.]包后，居然收到客户端的[R]报文。根据解释R是RESET(复位TCP连接)的意思。我们知道正常的三次握手客户端应该回的是[.]相应报文，可是这里却出现了[R].

问题点很有可能是客户端没有收到来自RealServer的ack报文。检查了下客户端的流量，果然没有收到。那么目前得出结论就是，宿主机丢弃了RealServer响应的报文。那么同理在宿主机上加一条accept语句，果然客户端三次握手成功，tcp建立连接。

坑啊，这个是个大坑！

坑的不是需要我手动去添加iptables规则，大坑的是neutron-openvswitch-agent会去刷新iptables规则，导致之前加的策略失效！

临时解决

目前能够知道会引发iptables刷新的策略有agent重启和实例的增删。查了Neutron的代码，本来想实现在刷新iptables之后再加一条accept规则。但是现在业务部门催得紧，再加上自己基础不好，便先用运维的方式解决。

原理就是每隔2分钟去Check一下规则是否存在，没有就给加上。

cat CheckIptablesRulesLvsDr.sh

#!/bin/bash

ChainsName='neutron-openvswi-local'

function IsChainExist()
{
    /usr/sbin/iptables-save |grep $ChainsName > /dev/null 2>&1
    [[ $? -eq 0 ]] && echo 0 || echo 1
}

function IsRulesExist()
{
    /usr/sbin/iptables -C $ChainsName -j ACCEPT > /dev/null 2>&1
    [[ $? -eq 0 ]] && echo 0 || echo 1
}

function AddRulesAccept()
{
    /usr/sbin/iptables -A $ChainsName -j ACCEPT
}

[[ `IsChainExist` -ne 0 ]] && \
    exit 0

[[ `IsRulesExist` -ne 0 ]] && \
    AddRulesAccept

通过ansible-playbook推送下到计算节点即可

- name: Check Iptables Rules Used by Lvs Dr Mode
  template: src=etc/neutron/CheckIptablesRulesLvsDr.sh dest=/etc/neutron/CheckIptablesRulesLvsDr.sh mode=755
  tags:
    - lvsdr

- name: Crontab to check iptables on compute nodes. it is used by lvs dr mode in instances
  cron: name='checkiptables'  minute='*/2' job="/bin/bash /etc/neutron/CheckIptablesRulesLvsDr.sh" user="root"
  tags:
    - lvsdrcron