Блог

Главная - Вопросы по программированию - Невозможно выполнить пинг виртуальной машины в другой подсети, находящейся в том же VPC

Невозможно выполнить пинг виртуальной машины в другой подсети, находящейся в том же VPC

#google-cloud-platform #google-compute-engine

#google-cloud-platform #google-compute-engine

Вопрос:

У меня есть VPC.

В пределах этого VPC у меня есть subnetA диапазон CIDR 10.238.232.0/27 . В том же VPC у меня есть другой subnetB с диапазоном CIDR 192.168.10.0/28 .

vmA развертывается в subnetA , а vmB развертывается в subnetB 

 vmA IP --> 10.238.232.9/32
vmB IP --> 192.168.10.2/32

Когда я пингую vmB из vmA, единственный ответ, который у меня есть, это

 # ping 192.168.10.2
PING 192.168.10.2 (192.168.10.2) 56(84) bytes of data.

Поскольку я вошел в vmB через консоль, ниже приведены сообщения, которые я вижу в cosole

 [95544.705578] IPv4: martian source 192.168.10.2 from 10.238.232.9, on dev ens5
[95544.712774] ll header: 00000000: 42 01 c0 a8 0a 02 42 01 c0 a8 0a 01 08 00        B.....B.......
Oct 16 20:29:07 vmB kernel: [95544.705578] IPv4: martian source 192.168.10.2 from 10.238.232.9, on dev ens5
Oct 16 20:29:07 vmB kernel: [95544.712774] ll header: 00000000: 42 01 c0 a8 0a 02 42 01 c0 a8 0a 01 08 00        B.....B.......

Для устранения неполадок я разрешил ВЕСЬ трафик как для входа, так и для выхода для VPC. Я все еще не могу выполнить пинг в разных подсетях.

Пинг виртуальных машин в подсетях работает отлично.

Поскольку я также разрешил весь трафик с использованием правил FW, почему я не могу выполнить пинг виртуальной машины через подсеть?

Комментарии:

1. Можете ли вы подробнее рассказать о конфигурации виртуальной машины? Операционная система, конфигурация сети,…

2. Можете ли вы указать, какую ОС вы используете (это ванильный образ, предоставленный GCP?), А также полный вывод «ip addr», «sysctl —system» и «iptables -L»?

Ответ №1:

В VPC по умолчанию есть некоторые предварительно настроенные правила брандмауэра, которые разрешают внутреннюю связь между подсетями, поскольку кажется, что вы используете пользовательский VPC, вам нужно вручную создавать правила брандмауэра по мере необходимости, но поскольку вы создали разрешающее правило брандмауэра (разрешить вход / выход для всех экземпляров из диапазонов 0.0.0.0/0 ), это невозможно.должно быть достаточно.

Чтобы отменить / подтвердить любую проблему в вашем VPC, вы можете воспользоваться «Тестами подключения» для имитации трафика между вашими экземплярами, и результат даст вам представление о проблеме. результат теста либо ПРОЙДЕН, либо НЕ ПРОЙДЕН, в обоих случаях вы увидите этот поток, учитывая многие сетевые компоненты (правила брандмауэра, маршруты, пиринги, гибридное подключение и т. Д.), Если в вашей конфигурации GCP чего-то не хватает, вы это заметите, с другой стороны, если результат теста ПРОЙДЕН, то, скорее всего, проблема связана с конфигурациями вашей виртуальной машины, хорошим вариантом было бы запустить сбор пакетов и посмотреть, нет липакеты фактически поступают на ваши виртуальные машины и отбрасываются, например, установите tcpdump и запустите следующую команду в vmB (измените ее по мере необходимости):

 tcpdump -i ens5 src 10.238.232.9 icmp

Если пакеты отбрасываются, проверьте свои iptables и конфигурацию сети, как предложено в комментариях к выводу команд iptables -L и ip route может быть полезно.