fluentdにハマり中

haproxyのアクセスログをfluentdに食わせるところでドハマリ中。haproxyのログが変な形式だしrsyslog経由だしIPv6だしrubyの正規表現あんまり詳しく知らないので何度やってもparseに失敗してエラー吐く。ちゃんとfluentdを調べないと。。。

ipv6ではまる

少し前から自宅のPCでYouTubeが再生できなくなってしまい、色々調べてみたら「xxxx.googlevideo.com 」からのストリーミングがIPv6のみ不正パケットとしてルーターが破棄してしまっていたことが判明。FirewallでInvalidでもforwardをacceptするようにしてもダメだったので、本当にパケットが壊れているのではなくRouterOSの不具合かなにかでQUICかStream系のパケットを正しくルーティングできていなさげ。
解決策はすっげー乱暴だけど「xxxx.googlevideo.com 」である「2001:ce8:b2::/48」をルーターでrejectすることによって「xxxx.googlevideo.com 」へのアクセスのみを無理矢理IPv4にFailBackさせたら解決した。原因と対策を思いつくまで1週間近くかかったよ。。。ってこんなんわかるか!!

ESXi→debian

自宅のESXiを色々あって、debian+KVMに構成見直し中。

理由は、無料版でVCenterがないと出来ることが極めて少ないのと、他のHypervisorがDebianなので使い勝手的に色々問題が大きかったため。とはいえ、DebianでのKVM管理はそれなりに手間なので手間を省くべくOpennebulaを試してみることにした。

どこにでもある逸般の誤家庭のk8s

今まで仮想化といえばkvm+virshで仮想マシンを増殖させていたんですが、そろそろアプリ増える度に仮想マシン作るのも効率悪いというか仮想マシン増えすぎで管理が億劫になってきたのと、いい加減コンテナ仮想化のお勉強もしないと思い始めてきたのでk8sを導入。といっても導入しただけなメモ。

Nodeは、とりあえずMaster兼Node×3+Node×1でコンテナホストはCentOS7.6-x86。kubesprayで設定をバラ巻いたんだけどかなり色々ハマった。コンテナエンジンは、Docker嫌いなのでcri-oを採用。

ハマリどころ1:余計な物は導入しない

kubesprayで導入する場合は、コンテキストにDocker/etcd/flannel/weave/cri-o/kubeletはyumリポジトリも含めて導入しない。入っていたらアンインストールしないと、kubesrayでばら撒いた設定と思いっきり競合する。しかも競合して動かない理由やログはansibleの実行結果から読み解くのは至難の業。

ハマリどころ2:SELinux, Firewalldはオフに

SELinuxは推奨されていない&kubesprayのplaybookで無効化してくれると思いきやAnsibleが途中で止まる。Firewalldも動いているとWarningが出て途中までは導入できるけど、flannelやweaveが導入された後に設定される仮想I/FがFirewalldに止められるので事前にそれも含めて許可設定しておくか無効にしておいて後から設定のほうが良さげ。

ハマリどころ3:Pythonのバージョンが酷い

CentOSに導入されているAnsibleは2.7.5でPython2.7.5をデフォルトで使おうとするけど、hosts.iniを自動生成するinventory.pyはPython 3.xを要求する。CentOS標準の3.4とepelにある3.6のいずれかなんだけど3.6にはraumel-yamlが必要なのにsubesprayのrequiements.txtにはraumel-yamlがない。そして、公式ドキュメントにあるhosts.iniはエラーが出て生成してくれずissueを見るとhosts.yamlを生成しろと書いてる。hosts.yamlは生成できたけど、cluster.ymlのPlaybookを実行するためのAnsibleで使うraumel-yamlだとやはり動かない。結局、サンプルを参考に手動でhosts.iniを作成してkubesprayのcluster.ymlのplaybookを実行。

他にもcri-oだとkubesprayのnode追加(scale)や削除(remove)が対応していないとか制約があるとか、コンテナ内からどうも名前解決が微妙な挙動をしているとか、Storageが未構成だとか、とりあえずdashboardが動く状態までは持って行けたけど、あと2~3回試行錯誤しながら作り直して設計をちゃんと考えないと仮想マシンを移植するのは非常に怖い。

 

Network構成悩み中

Network構成をどう見直すか悩み中。
現在は、以下のIntranetとDMZの2つのVLANを運用していて、サーバーはOpenvSwitch+TagVLANにしているけど、いくつか問題あり。

問題その1:Debainのパッケージ更新でちょくちょくOpenvSwitchがちゃんと構成されなくなる

リモートからでは手も足も出なくなるので、ローカルのインターフェースは持っておきたい

問題その2:サーバー側は全部同じNICを通るので、ネットワークが切れたらDRBD+PacemakerでSplitBrainが発生する

なので物理的に別のバックアップ用LANは持っておきたいけど、10GBのSwitchを増やすお金も要件もないので、1GBにしておきたい

現状はこんな感じ。

で、色々考えた結果これで良いんじゃね?と思った。macvtapなのでホスト⇔ゲスト間は通信できないけど、非常用にホスト同士が通信できて、ゲスト同士のDRBDのバックアップネットワークになるので冗長性も確保できそう。IPv6のLinkLocalで通信できれば良いからIPアドレス割り当ても不要だしこれで良いんじゃね?