転送中暗号化対応のマウント・ターゲットの一般的なトラブルシューティング
転送中暗号化で問題が発生した場合は、次のトラブルシューティング手法を試してください。
すべてのセキュリティ・リスト・ルールがマウント・ターゲット・サブネットに対して正しく設定されていることを確認します。
転送中の暗号化には、次のセキュリティ・リスト・ルールが必要です:
- 宛先ポート範囲(2051)へのTCPトラフィックを許可するステートレス・イングレス・ルール。
- ソース・ポート範囲(2051)からTCPトラフィックを許可するステートフル・エグレス・ルール。
詳細および手順は、セキュリティ・ルールを参照してください。
マウントされたファイル・システムに対してoci-fssサービスが実行されていることを確認します。
そうでない場合は、サービスを再起動します。
mount.oci-fss
コマンドを使用してファイル・システムをマウントすると、oci-fss<sequence_number>.service
というsystemd
管理対象サービスが作成されます。<sequence_number>は2から255の間の増分値です。oci-fss
サービスは、コマンドを使用してマウントされたすべてのファイル・システムに対して作成されます。ファイル・システムのマウント時に、サービスの正確な名前が出力として表示されます。
例:
Created symlink from /etc/systemd/system/multi-user.target.wants/oci-fss-2.service to /usr/lib/systemd/system/oci-fss-2.service.
- インスタンス上でターミナル・ウィンドウを開きます。
-
次のコマンドを使用して、サービスが実行されていることを確認します:
systemctl status oci-fss-<sequence_number>
- インスタンス上でターミナル・ウィンドウを開きます。
-
サービスを開始するには、次のコマンドを使用します:
systemctl start oci-fss-<sequence_number>
ネームスペースns1が作成され、ネットワーク・インタフェースが含まれていることを確認します。
- インスタンス上でターミナル・ウィンドウを開きます。
-
次のコマンドを使用して、ネームスペースを確認し、ネットワーク・インタフェースを確認します:
sudo ip netns exec ns1 ip link list
ネームスペース
ns1
内のすべてのイーサネット・デバイスを表示する出力が表示されます。例:1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN mode DEFAULT group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 3: v-peer1@if4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default qlen 1000 link/ether be:5b:35:2d:e9:54 brd ff:ff:ff:ff:ff:ff link-netnsid 0
IP forwardingがインスタンスで実行されていることを確認します。
oci-fss-utils
をインストールすると、IP forwarding
が自動的に有効になります。ただし、それを無効化するインスタンス上で実行されている他のプロセスが存在する場合があります。
- インスタンス上でターミナル・ウィンドウを開きます。
-
IP forwarding
のステータスを確認するには、次のコマンドを使用します:# sysctl net.ipv4.ip_forward net.ipv4.ip_forward = 1
出力値
1
はIP転送が有効であることを意味します。この値は/proc/sys/net/ipv4/ip_forward
ファイルから読み取られます。出力値が
0
の場合、インスタンスでIP転送は有効になりません。インスタンスでIP転送を有効にするにはの手順に従って、IP forwarding
を有効にします。
インスタンスでIP転送が現在有効になっていない場合は、有効にして変更を永続的にする必要があります。
- インスタンス上でターミナル・ウィンドウを開きます。
-
次のコマンドを入力して、
/etc/sysctl.conf
ファイルを開きます:sudo vi /etc/sysctl.conf
#
を削除して、次の行を非コメント化します:# net.ipv4.ip_forward=1
。値が0
の場合、1
に変更します。:wq
と入力してファイルを保存し、エディタを終了します。
tcpdumpユーティリティを使用して、oci-fssサービスとNFSクライアント間のトラフィックを分析します。
- インスタンス上でターミナル・ウィンドウを開きます。
-
次のコマンドを入力します。
sudo ip netns exec ns1 tcpdump -i v-peer2 "port 2049"
journalctlコマンドを使用して、サービスに関してsystemdによってログに記録されたメッセージを表示します。
- インスタンス上でターミナル・ウィンドウを開きます。
-
次のコマンドを入力します。
journalctl -f -u oci-fss-<version>
-f
は、最新のジャーナルを表示し、ジャーナルに追加されると新しいジャーナルを出力します。
-u
は、特定のsystemd
サービス・ユニットを指定します。この場合、oci-fss-<sequence_number>
が指定のユニットです。ユニットが指定されていない場合、journalctl
はすべてのsystemd
エントリを返します。