• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

如何查看CloudOS 5.0云平台安全组规则的日志

8小时前提问
  • 0关注
  • 0收藏,27浏览
PG2020
PG2020 一段
粉丝:0人 关注:0人

问题描述:

环境:CloudOS 5.0+UIS 8.0。在云平台中为云主机实例新建了安全组并配置了相关的入口规则,出口全放行,超融合里面显示为虚拟防火墙。但外部访问时候,有些服务能正常访问,有些被阻断。如何查看云平台安全组的阻断日志?

2 个回答
按时间 按赞数
zhiliao_v6hOyc
zhiliao_v6hOyc 九段
粉丝:36人 关注:1人

可以到对应的计算节点CVK上看看报文有没有通过,用tcpdump抓包,如果没有,再看看是否通过流表

cloudos上怎么看?

PG2020 发表时间:8小时前 更多>>

cloudos上怎么看?

PG2020 发表时间:8小时前
zhiliao_rQMT4A
zhiliao_rQMT4A 四段
粉丝:1人 关注:0人

在 CloudOS 5.0 + UIS 8.0 环境下,云平台定义的“安全组”规则最终会下发至超融合底层的虚拟化内核(CAS/UIS),并以“虚拟防火墙(vFW)”的形式在虚拟网卡(vNIC)上生效
针对您遇到的部分服务被阻断的情况,查看阻断日志及排查的方法如下:
1. 云平台侧查看方法
日志中心查询:CloudOS 5.0 提供“日志中心”功能(需已部署该组件),可以记录系统运行状况。您可以在“日志中心”通过“全文搜索”或“日志统计”功能,按服务分类搜索是否有网络访问相关的异常记录
告警管理:如果阻断是由系统异常引起的,可以进入 [系统/告警中心/告警列表] 查看是否有来源于 prometheusgocronitor 的网络相关告警
运行日志收集:在 CloudOS 页面进入 [系统/系统维护/系统工具],点击“运行日志收集”。在弹出的窗口中选择“容器和 Kubernetes”,收集 os-kong(网关)或 os-neutron 等组件的日志进行分析
2. 超融合(UIS)侧查看方法
实时告警:登录 UIS 管理平台,在 [监控告警/告警管理/实时告警] 中查看是否有“虚拟防火墙”或“网络访问异常”相关的告警信息
日志文件收集
    1. 在 UIS [管理] 菜单下选择 [日志文件收集]
    2. 选中受影响云主机所在的 CVK 计算节点
    3. 收集完成后下载日志,重点检查解压包内 var/log/messagessyslog 中有关虚拟防火墙(vFW)丢包的记录
3. 后台命令行深度排查(单机环境适用)
由于安全组规则(vFW)在 UIS 底层具有较高的优先级(高于 ACL),且直接作用于 vnet 端口,您可以通过后台命令定位:
确定 vnet 端口:在受影响云主机所在的 CVK 后台执行 ovs_dbg_listports,找到该云主机对应的 vnet 端口编号(例如 vnet0
实时抓包分析:使用 tcpdumpovs-tcpdump 工具监听该虚拟网卡端口。
    ◦ 命令示例:ovs-tcpdump -i vnetX host <外部访问源IP>
    ◦ 判定逻辑:如果在 vnet 端口上能抓到请求报文(Request),但虚拟机内部抓不到,或者外部抓不到回应报文(Reply),则说明报文在虚拟交换机层级被拦截,通常就是安全组/虚拟防火墙策略导致
查看内核流表:执行 ovs-dpctl dump-flows,查看是否有对应的丢弃(drop)动作流表产生
4. 建议与配置确认
规则方向确认:请注意 CloudOS 安全组规则的方向定义:入口代表外部访问云主机的方向,出口代表云主机访问外部的目的地址方向
策略互斥:如果云主机同时配置了虚拟防火墙(安全组下发)和 ACL 策略,只有虚拟防火墙生效,请确认是否存在策略冲突

syslog 远程配置:若需长期监控阻断情况,建议在 CloudOS [系统工具] 中配置“syslog 远程地址”,将日志外送到第三方日志分析服务器进行审计

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +
网站相关
关于我们
服务条款
隐私政策
帮助中心
经验与权限
积分规则
联系我们
联系我们
建议反馈
常用链接
标杆的神器下载
关注我们
H3C官网
新华三服务公众号
安仔远程运维服务
新华三商城
内容许可
除特别说明外,用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2025新华三集团保留一切权利 当前呈现版本 NO.1

本图标版权归新华三集团所有,仅限本社区使用,切勿用做商业目的,违者必究

浙ICP备09064986号-1   浙公网安备 33010802004416号

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明