服務(wù)器虛擬化環(huán)境中兩虛擬機不通故障排查

戴香玉 馮準(zhǔn)

摘 要 在服務(wù)器虛擬化環(huán)境中，云計算運維工程師比較容易遇到兩虛擬機不通的問題，針對這種現(xiàn)象的故障可能產(chǎn)生的原因，本文從虛擬機側(cè)、中間系統(tǒng)側(cè)和物理故障等多個維度較全面地分析故障產(chǎn)生可能的原因，并提出了故障排查措施。

關(guān)鍵詞 服務(wù)器虛擬化 虛擬機不通 故障排查

中圖分類號：TP393.1? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標(biāo)識碼：A? DOI：10.16400/j.cnki.kjdks.2020.05.017

Abstract In the server virtualization environment， cloud computing operation and maintenance engineers are more likely to encounter the problem that the two virtual machines do not work. In view of the possible causes of the failure of this phenomenon， this paper analyzes the possible causes of the failure from multiple dimensions such as virtual machine side， intermediate system side and physical failure， and proposes troubleshooting measures.

Keywords server virtualization; virtual machine does not work; troubleshooting

基于云計算的服務(wù)器虛擬化場景被廣泛應(yīng)用，[1-3]在服務(wù)器虛擬化環(huán)境中，虛擬機一般需要連接上分布式虛擬虛擬機或者標(biāo)準(zhǔn)虛擬交換機，以實現(xiàn)虛擬機之間的通信。虛擬機可能屬于同一主機內(nèi)，也可能屬于不同的主機之間。作為云計算的運維人員，比較容易遇到兩虛擬機不通的現(xiàn)象，本文針對這種現(xiàn)象詳細(xì)分析了故障產(chǎn)生的可能原因，并提出了故障排除的措施。

1 服務(wù)器虛擬化環(huán)境中虛擬機的部署方式

基于云計算的虛擬化環(huán)境的應(yīng)用中，虛擬機的應(yīng)用是主流應(yīng)用技術(shù)之一。通過虛擬化的虛擬機來部署服務(wù)器，以提高數(shù)據(jù)中心的資源利用率，實現(xiàn)節(jié)能降耗。服務(wù)器虛擬化的部署一般是在物理服務(wù)器上安裝虛擬化操作操作系統(tǒng)，通過虛擬化技術(shù)，將物理資源變成池化的虛擬資源，再利用資源池中的資源來創(chuàng)建業(yè)務(wù)，本文以計算實例（即虛擬機）為例。根據(jù)資源池的大小，可以創(chuàng)建多臺虛擬機，這些虛擬機可能是歸屬于同一臺主機（即物理服務(wù)器），也可能歸屬于不同的主機。這些虛擬機連接在相同的分布式虛擬交換機（DVS，以下都用DVS表示），也可能連接不同的DVS。為方便全面分析所有可能的情況，用圖1來表示兩虛擬機的可能部署位置。

2 兩虛擬機不通的可能原因分析

在服務(wù)器虛擬化環(huán)境中，兩虛擬機不通的可能原因很多，主要可以從三個角度來排查：虛擬機自身側(cè)、服務(wù)器虛擬化環(huán)境的中間系統(tǒng)側(cè)、物理故障。

2.1虛擬機側(cè)的可能原因

虛擬機自身的原因主要有如下4個方面：（1）虛擬機沒有開機或者故障（如windows操作系統(tǒng)的藍屏或者Linux操作系統(tǒng)的panic故障）;（2）虛擬機的網(wǎng)卡故障或者網(wǎng)卡被禁用;（3）虛擬機的網(wǎng)絡(luò)配置錯誤（如IP地址、子網(wǎng)掩碼，如果是三層通信的話，網(wǎng)關(guān)配置必須正確）;（4）虛擬機的防火墻開啟攔截，或者安全軟件等第三方軟件攔截。虛擬機側(cè)的故障從以上4個方面排查，可以進行解決。

2.2 中間系統(tǒng)側(cè)的可能原因

中間系統(tǒng)是指服務(wù)器虛擬化環(huán)境，包括主機、分布式虛擬機交換機（包含在該虛擬交換機上配置的端口組和上行鏈路）、物理交換機（TOR）以及鏈路。通過圖1的解析，針對兩虛擬機不通的可能原因，可以從以下幾個維度來分析：主機系統(tǒng)的安全組設(shè)置;ACL策略應(yīng)用;相應(yīng)的兩臺虛擬機是否處于同一二層網(wǎng)絡(luò)、是否歸屬于同一主機、是否關(guān)聯(lián)了同一臺DVS、是否配置在同一端口組。以下分別從這幾個維度分類來列舉分析：

第一種情況：不通的兩臺虛擬機處于同一二層網(wǎng)路、歸屬于同一臺主機、關(guān)聯(lián)同一臺DVS、配置在不同的端口組。

這種情況相當(dāng)于是圖1中是VM1和VM2之間不通。這兩臺虛擬機在不同的端口組，要實現(xiàn)這兩臺虛擬機互通，要求它們所接入的端口組配置相同的端口組屬性，比如VLAN ID必須一致。另外，這兩個端口組的Vlan ID是否設(shè)置為VM1和VM2所屬的同一網(wǎng)段。

第二種情況：不通的虛擬機歸屬于同一主機、關(guān)聯(lián)不同的DVS。

這種情況相當(dāng)于圖1中的VM 3和VM4之間不通。這兩臺主機由于物理交換機的隔離，默認(rèn)是不通的。如果要物理交換機之間的虛擬機進行通信，需要連通兩臺TOR交換機。如果兩臺TOR物理交換機連接的是不同的局域網(wǎng)，還需在TOR三層交換機上配置對應(yīng)的網(wǎng)關(guān)、并配置路由（如配置靜態(tài)路由或者RIP、OSPF等動態(tài)路由）實現(xiàn)路由功能。

第三種情況：不通的虛擬機歸屬于不同主機、關(guān)聯(lián)同一臺DVS。

這種情況相當(dāng)于圖1中的VM1（或VM2，以VM1為例）與VM3之間不通。可以根據(jù)數(shù)據(jù)包的路徑來分析，排查方式按數(shù)據(jù)包的路徑走向：（1）VM1連接到DVS1的端口組，端口組的Vlan屬性設(shè)置是否正確，VLAN必須是VM1 IP地址所規(guī)劃的Vlan ID;（2）DVS1的上行鏈路會綁定主機的網(wǎng)口，主機的網(wǎng)口可能有多個，該網(wǎng)口是否是規(guī)劃的網(wǎng)口、該網(wǎng)口是否正常工作或者該網(wǎng)口是否正確連接到TOR1交換機;（3）主機網(wǎng)口的鏈路連接到TOR1交換機，該交換機的網(wǎng)口是否正常工作;TOR1交換機網(wǎng)口是否允許相應(yīng)的VLAN通過;TOR1交換機網(wǎng)口的PVID（即缺省Vlan ID）配置是否正確;TOR1到VM3之間是類似的排查過程。

關(guān)于PVID的配置，需要運維人員特別注意：PVID一般建議采用默認(rèn)的Vlan ID，如果修改，可能會導(dǎo)致由于PVID與Vlan ID相同而脫離數(shù)據(jù)包的Vlan 標(biāo)簽所引起的數(shù)據(jù)包不能正常轉(zhuǎn)發(fā)。

第四種情況：不通的兩臺虛擬機歸屬于同一主機、處于不同的二層局域網(wǎng)。

這種情況相當(dāng)于圖1中VM1經(jīng)過DVS1和TOR1到達VM2的場景。由于兩臺虛擬機是不同的二層局域網(wǎng)，VM1和VM2配置不同的端口組屬性。首先是考慮端口組屬性正確與否，即VM1所連接的端口組的Vlan ID和VM2所連接的端口組的Vlan ID與所規(guī)劃的是否一致，它們應(yīng)該是不通的Vlan;其次經(jīng)過DVS1的上行鏈路，該上行鏈路綁定的主機1的網(wǎng)口是否正確，網(wǎng)口是否故障;最后TOR1交換機的端口是否正常、是否允許相應(yīng)的VLAN通過、PVID是否會脫離相應(yīng)的Vlan標(biāo)簽。

第五種情況;主機安全組設(shè)置和ACL策略應(yīng)用。

服務(wù)器虛擬化環(huán)境中，操作系統(tǒng)會設(shè)置安全組。默認(rèn)的安全組配置是允許所有流量出去、禁止所有流量進入。管理員需要配置安全組的流量規(guī)則，按照規(guī)劃放行虛擬化環(huán)境中的虛擬機相應(yīng)的Vlan流量，否則兩虛擬機不通。

ACL，即訪問控制列表，是管理員根據(jù)規(guī)劃應(yīng)用策略干預(yù)相應(yīng)的流量。如果ACL策略中攔截了相應(yīng)的數(shù)據(jù)流量，會導(dǎo)致兩虛擬機不通。

2.3物理故障

物理故障比較明顯，一般可能會出現(xiàn)大規(guī)模的故障，管理員可以輕易的排查，一般可能是停電所引起的物理服務(wù)器或者交換機關(guān)機、物理交換機故障、交換機端口故障、鏈路故障等。這類故障運維人員基本上直接直觀判斷，比如交換機端口的燈沒亮或者顏色不對。

3 故障排除方法

理解了故障可能產(chǎn)生的原因，采取合適的措施進行排錯和處理，是運維管理人員日常工作之一。故障排錯的方法一般認(rèn)為如下幾種：

第一種：不通的兩臺虛擬機工作在同一二層局域網(wǎng)。這種情況可以在虛擬機的命令提示符界面使用arp –a（地址解析協(xié)議）命令查看arp表項。如果arp表項中有對端虛擬機的IP地址，表明arp表項能學(xué)習(xí)到對端的地址，說明兩臺虛擬機之間的鏈路沒有故障，不通的原因一般是對端虛擬機防火墻開啟了攔截或者安全軟件等第三方攔截。這種情況下可以在對端虛擬機上關(guān)閉防火墻或者第三方軟件即可。

第二種：不通的兩臺虛擬機工作在不通二層局域網(wǎng)。這種情況需要經(jīng)過路由，采用tracert（跟蹤路由）命令來拍錯。通過tracert 命令確定數(shù)據(jù)包在網(wǎng)絡(luò)上具體的停止位置，結(jié)合上面分析的各類可能性，以排查具體的故障。

4 結(jié)束語

綜上所述，服務(wù)器虛擬化環(huán)境中導(dǎo)致兩虛擬機不通的原因大致可以分為如下幾類：一是虛擬機本身的原因如關(guān)機、藍屏或者網(wǎng)卡配置以及防火墻等攔截;二是服務(wù)器虛擬化環(huán)境的中間系統(tǒng)側(cè)的問題，如DVS的端口組、上行鏈路、物理交換的PVID、主機系統(tǒng)的安全組和ACL策略等;三是物理側(cè)比如停電、交換機等物理故障。對于兩虛擬機不通的故障，可根據(jù)文中所分析的不通的場景進行排查和分析，采取相應(yīng)的措施進行處理。

參考文獻

[1] 郇林.計算機技術(shù)中虛擬化技術(shù)的運用探討[J].技術(shù)與市場，2018.25（12）：132，134.

[2] 閆鴻斌.網(wǎng)絡(luò)虛擬化技術(shù)在云計算數(shù)據(jù)中心的應(yīng)用[J].電子技術(shù)與軟件工程，2019（14）：3-4.

[3] 張月.云計算數(shù)據(jù)中心中網(wǎng)絡(luò)虛擬化技術(shù)的運用探析[J].信息系統(tǒng)工程，2019（06）：101.