[Eucalyptus-Users 0499] Re: クライアントPCからインスタンスへのSSH接続について

香川 imitation001 @ gmail.com
2011年 8月 21日 (日) 13:21:44 JST


伊藤さん、羽深さん

香川です。返信ありがとうございます。


> 伊藤です。
>
> この場合、典型的に考えられるよくある話は、たとえば
>  1. CC上で /proc/net/ipv4/ip_forward は 1 になっているか?

/proc/net/ipv4/にはip_forwardがありませんでしたが、/proc/sys/net/ipv4/ip_forwardは1になっていました。

>  2. security group はきちんと定義したか?
> とかですかね。

設定ミスがないか確認して何度か試してみました。

> client から、CC に ping がかかるのかとか、public IP に ping がかかるのかとか
> 一般的なNW系の切り分け手順を試してください。

client から CC にpingは通りましたが、起動したインスタンスのpublicIPにpingは通りませんでした。新しく用意したclientPCでもCCにpingは通りましたが、インスタンスにはpingが通りませんでした。


> 羽深です。
>
> 1. tcpdump で「どこまで通信が到達しているか?」を調べる
>   例えば香川さんの構成であれば、まず front-end で
>   tcpdump -i eth0 host 210.b.1.3 and host PublicIP
>   とかを実行し、clientPC から PublicIP に対して
>   ssh 接続を試みてください。
>   これで tcpdump の出力に何も得られないようであれば
>   clientPC のルーティングを確認してください。

今まで利用していたclientPCでは出力は得られませんでしたが、新しく用意したclientPCからPublicIPに対して出力を得ることができました。

>   tcpdump の出力が得られているのであれば、今度は
>   以下を実施してください
>   front-endで
>   tcpdump -i eth1.10 tcp port 22
>   NC で (192.168.2.2 が eth0 と仮定しています)
>   tcpdump -i eth0.10 tcp port 22
>   とやって clientPC から PublicIP に対して ssh 接続
>   を試みてください。
>   これでどちらにも出力が得られているのであれば、
>   経路的な問題はありませんし、Eucalyptus の設定も
>   問題ないと思います。

tcpdumpのオプションでeth1.10 eth0.10 ではデバイスが見つからず実行できませんでした。また、eth1
eth0に変更し実行するとfront-end側では出力を得ることができましたが、NCでは出力が得られませんでした。

> 2. インスタンスで ssh 公開鍵の設定が失敗していないか?
>   インスタンスに ssh 接続する際にパスワード認証でなく
>   公開鍵認証で接続するのであれば、NC でインスタンスに
>   公開鍵を入れる処理が失敗していないかを確認します。
>   NC のログに以下のように grep してみてください
>   grep -A 3 -B 3 injection /var/log/eucalyptus/nc.log
>   この結果、出力が得られてかつ当該インスタンスであれ
>   ば残念ながら処理が失敗しているので、マシンイメージ
>   にパスワードを設定するか、もしくはマシンイメージに
>   メタデータから公開鍵を取得して .ssh/authorized_keys
>   にリダイレクトするようなスクリプトを設置してみるとか

実行した結果、出力は得られませんでした。


結果としてSSH接続することはできたのですが、clientPCからインスタンスへはpingが通りませんでした。
pingが通らないということは、まだどこかに問題があるのでしょうか。


宜しくお願い致します。


2011年8月20日14:55 Osamu Habuka <habukao @ intellilink.co.jp>:
> 羽深です。
>
> まず香川さんのメール内IPアドレス表記を以下にさせて頂きます。
> # "*" だと語弊があるといけないので
> 210.*.*.*/24 → 210.b.c.d/24
> 210.*.1.3 → 210.b.1.3
> 210.*.1.4 → 210.b.1.4
> 210.*.1.5 - 210.*.1.20 → 210.b.1.5 - 210.b.1.20
>
> で、伊藤さんの切り分けに加えて、以下もどうでしょう?
>
> 1. tcpdump で「どこまで通信が到達しているか?」を調べる
>   例えば香川さんの構成であれば、まず front-end で
>   tcpdump -i eth0 host 210.b.1.3 and host PublicIP
>   とかを実行し、clientPC から PublicIP に対して
>   ssh 接続を試みてください。
>   これで tcpdump の出力に何も得られないようであれば
>   clientPC のルーティングを確認してください。
>   tcpdump の出力が得られているのであれば、今度は
>   以下を実施してください
>   front-endで
>   tcpdump -i eth1.10 tcp port 22
>   NC で (192.168.2.2 が eth0 と仮定しています)
>   tcpdump -i eth0.10 tcp port 22
>   とやって clientPC から PublicIP に対して ssh 接続
>   を試みてください。
>   これでどちらにも出力が得られているのであれば、
>   経路的な問題はありませんし、Eucalyptus の設定も
>   問題ないと思います。
>
> 2. インスタンスで ssh 公開鍵の設定が失敗していないか?
>   インスタンスに ssh 接続する際にパスワード認証でなく
>   公開鍵認証で接続するのであれば、NC でインスタンスに
>   公開鍵を入れる処理が失敗していないかを確認します。
>   NC のログに以下のように grep してみてください
>   grep -A 3 -B 3 injection /var/log/eucalyptus/nc.log
>   この結果、出力が得られてかつ当該インスタンスであれ
>   ば残念ながら処理が失敗しているので、マシンイメージ
>   にパスワードを設定するか、もしくはマシンイメージに
>   メタデータから公開鍵を取得して .ssh/authorized_keys
>   にリダイレクトするようなスクリプトを設置してみるとか
>
> 他にも有識者の意見があれば。
>
> 取り急ぎ。
>
> On Fri, 19 Aug 2011 23:07:57 +0900
> Masanori ITOH <kgd00742 @ nifty.com> wrote:
>
>> 伊藤です。
>>
>> この場合、典型的に考えられるよくある話は、たとえば
>>   1. CC上で /proc/net/ipv4/ip_forward は 1 になっているか?
>>   2. security group はきちんと定義したか?
>> とかですかね。
>>
>> client から、CC に ping がかかるのかとか、public IP に ping がかかるのかとか、
>> 一般的なNW系の切り分け手順を試してください。
>>
>> とりいそぎ。
>>
>> From: 香川 <imitation001 @ gmail.com>
>> Subject: [Eucalyptus-Users 0496] クライアントPCからインスタンスへのSSH接続について
>> Date: Fri, 19 Aug 2011 19:41:30 +0900
>>
>> > はじめまして。香川と申します。
>> > 大学の研究でプライベートクラウドを構築したいと思っています。
>> > 構築していて上手くいかない部分が出てきたので質問させていただきました。
>> >
>> > Eucalyptusのバージョン:2.0.3
>> > モード:MANAGED-NOVLAN
>> > OS:CentOS 5.5 64bit
>> > VM:Xen
>> > 構成
>> > --------------------------------------- 210.*.*.*/24
>> >    |                            |
>> > clientPC          --------------------------------------
>> > (210.*.1.3)      | front-end  CLC / CC / SC  |
>> >                      | eth0:(210.*.1.4)               |
>> >                      | eth1:(192.168.2.1)           |
>> >                    ---------------------------------------
>> >                                 |
>> > --------------------------------------- 192.168.2.0
>> >                     |
>> >                  -----------------------------
>> >                 |  NC (192.168.2.2)  |
>> >                  -----------------------------
>> >
>> > 上記のような構成をしています。
>> > インスタンスにはpublicIPとして210.*.1.5 - 210.*.1.20を割り当てるようにしています。
>> >
>> > インスタンスを起動したとき、フロントエンドからではpublicIPを用いてssh接続できるのですが、クライアントからssh接続しようとすると接続することができません。
>> >
>> > 何か手がかりになりそうな事、或いは根本的な構成の問題などあれば教えて頂けると幸いです。
>> >
>> > よろしくお願い致します。
>> > _______________________________________________
>> > Eucalyptus-Users mailing list
>> > Eucalyptus-Users @ ml.eucalyptus-users.jp
>> > http://ml.eucalyptus-users.jp/mailman/listinfo/eucalyptus-users
>> >
>>
>> _______________________________________________
>> Eucalyptus-Users mailing list
>> Eucalyptus-Users @ ml.eucalyptus-users.jp
>> http://ml.eucalyptus-users.jp/mailman/listinfo/eucalyptus-users
>>
>
>
> --
> Osamu Habuka <habukao @ intellilink.co.jp>
> _______________________________________________
> Eucalyptus-Users mailing list
> Eucalyptus-Users @ ml.eucalyptus-users.jp
> http://ml.eucalyptus-users.jp/mailman/listinfo/eucalyptus-users
>


Eucalyptus-Users メーリングリストの案内