ECS：サービス コンソール: IPアドレスの変更後に「静的ルートの検証に失敗しました」

IPアドレスが変更されました。

変更後、サービス コンソールのヘルス チェックが 「Static routes validation」エラーで失敗します。

20200205 17:23:52.703: |   Static routes validation
INFO: On node 1XX.2XX.1.1 NAN managed static routes configured for networks: ['mgmt']
20200205 17:23:54.563: |   | FAIL (1 sec)
[ERROR] 'Static routes validation' failed: [1XX.2XX.1.1]: Command failed: 'sshpass ssh -q -o UserKnownHostsFile=/dev/null -o StrictHostKeyChecking=no -o ServerAliveInterval=30  -T  root@1XX.2XX.1.1 $'(1>&2 echo connect7); wicked ifstatus public.mgmt 2>&1' < /dev/null'
Output:
public.mgmt     device-not-running
      link:     #10, state up, mtu 1500
      type:     vlan public[1474], hwaddr a4:bf:01:1f:c3:ea
      config:   compat:suse:/etc/sysconfig/network/ifcfg-public.mgmt
      leases:   ipv4 static failed
      leases:   ipv6 auto granted
      addr:     ipv4 10.1.2.3/24 [static]
      route:    ipv4 10.4.5.6/27 via 10.1.2.1 [static]
      route:    ipv4 10.4.5.7/27 via 10.1.2.1 [static]
      route:    ipv6 default via fe80::218:74ff:fe1c:8640 metric 1024 proto ra

上記の例では、ネットワーク分離が有効になっている public .mgmt の IP アドレスが変更されています。

インターフェイスのwicked ifstatusに 「device-not-running」と表示されます。

これを確認するには、次のコマンドを実行します。 リース表示:ipv4 static failed

viprexec -if ~/VDCLIST wicked ifstatus <interface name> |grep <interface name> -A 4

admin@node-a:~> viprexec -if ~/VDCLIST wicked ifstatus public.mgmt |grep public.mgmt -A 4
Output from host : 1XX.2XX.1.1
public.mgmt     device-not-running
      link:     #10, state up, mtu 1500
      type:     vlan public[1474], hwaddr a4:bf:01:1f:c3:ea
      config:   compat:suse:/etc/sysconfig/network/ifcfg-public.mgmt
      leases:   ipv4 static failed
Output from host : 1XX.2XX.1.2
public.mgmt     device-not-running
      link:     #10, state up, mtu 1500
      type:     vlan public[1474], hwaddr a4:bf:01:1f:c3:eb
      config:   compat:suse:/etc/sysconfig/network/ifcfg-public.mgmt
      leases:   ipv4 static failed
Output from host : 1XX.2XX.1.3
public.mgmt     device-not-running
      link:     #10, state up, mtu 1500
      type:     vlan public[1474], hwaddr a4:bf:01:1f:c3:ec
      config:   compat:suse:/etc/sysconfig/network/ifcfg-public.mgmt
      leases:   ipv4 static failed
Output from host : 1XX.2XX.1.4
public.mgmt     device-not-running
      link:     #10, state up, mtu 1500
      type:     vlan public[1474], hwaddr a4:bf:01:1f:c3:ed
      config:   compat:suse:/etc/sysconfig/network/ifcfg-public.mgmt
      leases:   ipv4 static failed

静的ルートは、public.mgmtインターフェイスで設定されます。

次のコマンドを実行して、静的ルートを表示します。   

getrackinfo -t

admin@node-a:~> getrackinfo -t
Static route list
=================
Node ID      Network            Netmask                  Gateway           Interface     
1                  10.1.2.23            255.255.255.224   10.1.2.1            public.mgmt
1                  11.2.3.4             255.255.255.0     11.2.3.1            public.mgmt
2                  10.1.2.23            255.255.255.224   10.1.2.1            public.mgmt
2                  11.2.3.4             255.255.255.0     11.2.3.1            public.mgmt
3                  10.1.2.23            255.255.255.224   10.1.2.1            public.mgmt
3                  11.2.3.4             255.255.255.0     11.2.3.1            public.mgmt
4                  10.1.2.23            255.255.255.224   10.1.2.1            public.mgmt
4                  11.2.3.4             255.255.255.0     11.2.3.1            public.mgmt

上記の例では、10.1.2.23がSecure Remote Services (SRS)ゲートウェイである古いルートで、新しいルートが11.2.3.4であると仮定します。

これで、古いルートが配置された状態で悪意のあるインターフェイスを再アクティブ化できなくなります。最初にルートを削除する必要があります。

警告：削除する前に、このルート上を本番トラフィックが実行されていないことを確認してください。間違ったルートを削除すると、DUが発生する可能性があります。ルートを削除する前に、この変更を行う権限を取得してください。

合意したら、古いルートを削除します。

ルートは、一度に1つずつ削除することも、すべてのコマンドを含むファイルを作成して削除することもできます。コマンドは次のとおりです。    

sudo setrackinfo --static-route-del <node id> <destination> <netmask> <gateway> <interface>

または、 getrackinfo -t

の出力から直接コピーして貼り付けます。たとえば、ファイルを作成します。    

vi delete-old-routes

次のルートのリストを入力します。    

sudo setrackinfo --static-route-del 1                  10.1.2.23            255.255.255.224   10.1.2.1            public.mgmt
sudo setrackinfo --static-route-del 2                  10.1.2.23            255.255.255.224   10.1.2.1            public.mgmt
sudo setrackinfo --static-route-del 3                  10.1.2.23            255.255.255.224   10.1.2.1            public.mgmt
sudo setrackinfo --static-route-del 4                  10.1.2.23            255.255.255.224   10.1.2.1            public.mgmt

ファイルを保存し、実行可能にします。    

chmod +x delete-old-routes

ファイルを実行します。    

./delete-old-routes

Wickedインターフェイスは、次のように変更されます。

viprexec -if ~/VDCLIST wicked ifstatus <interface name> |grep <interface name> -A 1

viprexec -if ~/VDCLIST wicked ifstatus public.mgmt |grep public.mgmt -A 1
Output from host : 1XX.2XX.1.1
public.mgmt     up
Output from host : 1XX.2XX.1.2
public.mgmt     up
Output from host : 1XX.2XX.1.3
public.mgmt     up
Output from host : 1XX.2XX.1.4
public.mgmt     up