注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

金生丽水,雨润轩德

 
 
 

日志

 
 

vsphere client 无法打开虚拟机控制台  

2012-03-27 17:37:49|  分类: 虚拟化 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

   使用vsphere client 连接到vCenter Server,然后对主机和虚拟机进行管理。突然发现,无法打开某台虚拟机的控制台了。系统提示:“Unable connect to the MKS:timeout while attemping read”。从网上找了半天,也没有说清楚的。

     此时,主机是可以ping得通不能打开控制台的虚拟机所在主机的,说明网络是正常的。

    又试了试同一个主机的其他虚拟机,也是如此。检查其他主机上的虚拟机,发现有些是可以的,有些是不可以的。仔细排查发现,不能打开控制台的虚拟机所在主机的IP都是一个网段的,而其他可以打开控制台的主机是另外一个网段的。

    后想起在某个时间更改过客户端主机的网络配置,删除了一条静态路由。   

vsphere client 无法打开虚拟机控制台 - thinklog - 金生丽水,雨润轩德

    原来状态:在vsphere client中的网关直接指向了防火墙,跨越了核心交换机,为了访问内网其他主机,在客户端主机上增加了一条静态路由,指向内网网段,并将这条路由的网关指向了核心交换机。
   后来,将客户端主机上的静态路由删除,在防火墙上增加了指向内网网段的静态路由。这样,vsphere client就变成前面的样子了。那些能够正常访问的虚拟机所在主机的IP以及vcenter server与vsphere client都是同一网段的,所以无需通过路由方式即可访问。而其他通过路由访问的主机均不能正常打开其上的虚拟机。
   原因在于:在访问其他网段时,先到了防火墙,然后又回到核心交换机,然后到达主机,在回去时核心交换机可以直接返回给vsphere客户端,相当于不再经过防火墙。可能是防火墙的状态过滤机制导致了这种有些违规的网络行为,从而导致无法正常访问。
    深入分析:
1. 能够ping通主机,说明防火墙对ICMP之类的协议是比较宽松的,不像TCP协议那样必须通过状态过滤机制。

2. 尽管vsphere client连接的是vcenter Server,而VCS的网络(网关是核心交换机)是正常的,VCS与主机之间的通讯也是正常的。但从此现象说明,vsphere client在使用打开控制台操作时仍然需要直接ESX主机(不是虚拟机)进行基于TCP协议的网络通讯。以下是使用打开控制台操作时抓下的

  TCP    192.168.2.80:52958     192.168.1.227:902      ESTABLISHED

 192.168.2.80  :vpshere client
192.168.1.227  :ESX主机

连接虽然开始时是 ESTABLISHED状态,但很快就会是以下状态:

 TCP    192.168.2.80:52976     192.168.1.227:902      FIN_WAIT_1

说明肯定是防火墙的状态过滤机制发生了作用:三次握手可能能够建立,但其他就不会被允许了。

  评论这张
 
阅读(5286)| 评论(0)
推荐

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018