AWS HA vSocket 문제 해결

개요

이 가이드는 AWS vSocket 높은 수준(HA)의 배포 중에 발생할 수 있는 일반적인 문제를 해결하기 위한 세부적인 문제 해결 프레임워크를 제공합니다. 수동으로 또는 AWS Marketplace를 통해 배포하든, 이 단계는 잠재적인 문제를 효과적으로 식별하고 해결하는 데 도움을 주기 위한 것입니다.

증상

AWS vSocket HA 배포의 일반적인 문제에는 다음이 포함될 수 있습니다:

  • HA 장애 조치 실패
    • vSocket 소켓 웹UI에서 HA API 테스트 실패.
    • HA 장애 조치 실패로 인해 트래픽이 보조 vSocket으로 전달되지 않습니다.
  • HA 상태 준비되지 않음
    • CMA에서 사이트의 HA 상태를 "준비되지 않음"으로 표시합니다

가능한 원인

HA 배포 실패는 종종 다음과 같은 이유로 인해 발생합니다:

  • AWS에서 비공개 DNS 사용.
  • 인터넷 접근 권한이 없는 관리 인터페이스.
  • IAM 역할 잘못된 구성.
  • AWS에서 제한적인 보안 그룹 및 라우팅 설정.
  • 적절한 네트워크 인터페이스를 LAN 라우팅 테이블에 할당하지 못합니다.
  • LAN 연결 문제.

문제 해결

중요

중요: 문제 해결을 시작하기 전에 AWS HA vSocket 배포에 필요한 모든 사전 요건이 확인되었는지 확인하십시오. AWS vSocket 사이트 수동 배포, AWS Marketplace에서 vSocket 사이트 배포AWS vSocket에 대한 HA 구성을 참조하세요

HA 장애 조치 실패 문제 해결

장애 조치 동안 트래픽이 보조 vSocket으로 라우팅되지 않는 경우 다음 문제 해결 단계를 고려하십시오:

HA API 테스트 실행

  • vSocket 소켓 웹UI에서, 두 vSockets에 대한 API 테스트 도구를 실행합니다.
  • 이 도구는 AWS에 대한 API 호출이 성공적으로 수행될 수 있는지를 검증합니다.
  • 이곳에서 권한이나 라우팅 테이블 업데이트 관련 오류를 확인할 수 있습니다.

AWS DNS 구성 확인

  • 연관된 VPC에 대해 기본 AWS DNS 서버가 구성되었는지 확인합니다. 
  • AWS DNS 구성을 확인하려면, 참조하시기 바랍니다 DNS 구성 문제 해결
  • 사용자 정의 DNS 서버(예: 비공개 DNS 서버)가 구성된 경우 공개 도메인을 해결할 수 있는지 확인하십시오. FQDN ec2.<region>.amazonaws.com (예: ec2.us-east-1.amazonaws.com)을 API에서 사용하는지 확인하십시오.
  • 기본 AWS DNS 서버가 구성된 경우에도 MGMT 인터페이스에 연결된 보안 그룹은 8.8.8.8 및 8.8.4.4로의 DNS 요청을 허용해야 합니다.

LAN 라우팅 테이블 확인

  • 트래픽을 마스터 vSocket으로 라우팅하기 위해, AWS는 현재 마스터 vSocket의 LAN 네트워크 인터페이스를 LAN 라우팅 테이블에 할당합니다.
  • VPC > 라우팅 테이블로 이동하여 LAN 라우팅 테이블을 선택합니다. 라우트 탭에서, 마스터 vSocket의 LAN 네트워크 인터페이스가 기본 경로의 게이트웨이(대상)인지 확인하십시오. 그렇지 않다면, 다음 단계로 계속하십시오.
  • 참고: 대상 NIC가 장애 조치 중 변경되지 않은 경우 LAN 라우팅 테이블을 수동으로 수정하면 신속한 해결책이 될 수 있습니다.

IAM 역할 확인

  • AWS vSocket 배포 중, HA IAM 역할이 생성되어 기본 및 보조 vSockets에 연결됩니다.
  • 각 인스턴스의 세부 정보 페이지에서 올바른 IAM 역할이 할당되었는지 확인하십시오.
  • IAM 역할 링크를 클릭하고 권한 탭에서 아래에 표시된 대로 IAM 정책에 올바른 설명이 포함되어 있는지 확인하십시오.

참고: IAM 역할이 누락되었을 경우 역할이 추가되면 추가된 역할이 적용되도록 소켓을 재부팅해야 합니다.

IMDS 설정 확인

  • 두 vSocket 모두 일치하는 IMDS 설정을 사용하도록 하십시오 (선택 사항 또는 필수입니다). 자세한 내용은 AWS 문서를 검토하십시오.
  • vSocket 빌드 20.0.18221부터 IMDSv2가 지원됩니다.
  • IMDS 설정을 수정하려면 인스턴스를 선택하고 작업에서 인스턴스 설정 > 인스턴스 메타데이터 옵션 수정을 클릭하십시오.

네트워크 보안 그룹 확인.

  • 네트워크 보안 그룹이 관리 인터페이스로의 아웃바운드 트래픽을 차단하지 않도록 하십시오.
  • EC2 > 네트워크 인터페이스에서 관리 인터페이스와 연결된 보안 그룹을 찾으십시오.
  • 보안 그룹의 아웃바운드 규칙이 포트 80, 443, 53을 허용하는지 확인하십시오. 이 경우, 모든 아웃바운드 트래픽이 허용됩니다.
     

인터넷 트래픽에 대한 MGMT 인터페이스 라우팅 확인.

  • MGMT 인터페이스 트래픽이 AWS의 제3자 방화벽을 통해 라우팅되는 경우, UDP/53, TCP/80, TCP/443 아웃바운드 연결이 허용되어 있는지 확인하십시오.
  • 네트워크 인터페이스 페이지에서 MGMT 인터페이스의 서브넷 ID를 클릭하십시오.
  • 서브넷 페이지에서 라우팅 테이블 탭을 선택하십시오. 아래의 스크린샷은 인터넷 게이트웨이를 가리키는 기본 경로를 보여주므로 방화벽이 트래픽을 차단하지 않습니다.
  • 관련 라우팅 테이블을 열고 모든 MGMT 서브넷이 연결된 서브넷으로 나열되어 있는지 확인하십시오. 이중 가용성 영역의 경우, 각 vSocket마다 하나씩 두 개의 MGMT 서브넷이 존재합니다. 이는 보조 vSocket LAN 인터페이스용 서브넷 생성에 설명되어 있습니다.
  • VPC의 자원 지도 탭에서는 연결된 모든 서브넷과 해당 라우팅 구성이 참고하기 쉽게 시각적으로 표시됩니다.
  • Elastic IP가 MGMT 인터페이스에 연결되었는지 확인하십시오. 이는 인스턴스의 네트워킹 탭에서 확인할 수 있습니다. MGMT 인터페이스는 디바이스 인덱스 0으로 식별할 수 있습니다. WAN 및 LAN 인터페이스는 각각 1 및 2의 디바이스 인덱스와 연결되어야 합니다.

CloudTrail 로그 확인

  • AWS CloudTrail을 활성화하여 HA 장애 조치 중 LAN 라우팅 테이블의 수정 실패를 디버깅하기 위해 AWS로의 API 호출을 기록하십시오.
  • 트레일을 생성하는 과정을 따라 로그를 저장할 S3 버킷을 정의하고 API 활동이 포함된 관리 이벤트를 선택할 수 있습니다. 트레일 생성을 참조하십시오.

 

HA 상태 준비되지 않음 트러블슈팅

CMA에서 HA 상태가 준비되지 않음으로 표시되고 양쪽 vSockets가 실행 중인 경우, 양쪽 vSockets는 마스터 역할을 담당하게 됩니다(분할-브레인 시나리오). 이는 다음과 같은 이유로 발생할 수 있습니다:

  • 양쪽 vSockets가 다른 펌웨어 버전을 실행하고 있습니다.
  • HA 유지 메시지가 보조 vSocket에 도달하지 않습니다

각 vSocket의 HA 상태를 확인하기 위해 두 vSocket의 WebUI 페이지를 확인하는 것이 권장됩니다. 기본 및 보조 vSocket이 모두 마스터 역할을 하고 있을 경우, 스플릿 브레인 시나리오가 발생합니다. WebUI는 주요 모니터링 페이지의 상단에 현재 역할을 표시합니다.

펌웨어 버전 확인

호환 버전 기준을 충족하려면 두 vSocket이 동일한 주요 버전을 실행해야 합니다. 예: v17.xx.yy 또는 v18.xx.yy. vSocket은 최초 배포 후 초기 업그레이드를 수행합니다. vSocket 중 하나가 업그레이드에 실패하면, 이 문제를 해결해야 합니다. 이 문제를 보고하기 위해 지원 티켓을 제출하세요.

HA 유지 확인

유지 패킷은 AWS vSocket의 포트 UDP/20480을 사용하며 마스터 vSocket에서 대기 vSocket으로만 전송됩니다. 스플릿 브레인 상태는 두 vSocket이 마스터 역할을 할 때 발생하며, 이는 HA 유지 메시지가 보조 vSocket에 도달하지 않는 LAN 연결 문제로 인해 발생할 수 있습니다. 

LAN 연결성을 확인하려면 다음 검사를 실행하세요:

  • 네트워크 보안 그룹이 포트 UDP/20480을 차단하고 있는지 확인합니다. NSG 규칙을 빠르게 확인하는 방법은 AWS에서 각 LAN 네트워크 인터페이스로 이동하여 인바운드 및 아웃바운드 규칙을 확인하는 것네트워크 보안 그룹이 아웃바운드 트래픽을 차단하는지 확인하십시오.
  • 두 LAN 인터페이스가 다른 LAN 서브넷과 연결되어 있는지 확인하십시오.
  • 각 vSocket의 WebUI에서 패킷 캡처를 실행하고 보조 vSocket이 기본 vSocket에서 전송된 유지 메시지를 수신하는지를 식별하십시오.

발견된 문제 해결

DNS 구성 문제 수정

  • DNS 구성 문제를 해결하려면 VPC에 대해 기본 AWS DNS 서버가 구성되었는지 확인하세요.
  • VPC 세부 정보에서 구성된 DHCP 옵션을 찾습니다.
  • DHCP 옵션을 열고 정의된 도메인 이름 서버가 AmazonProvidedDNS인지 확인합니다.
  • 기존 도메인 이름 서버를 변경할 수 없습니다. 이를 위해 기본적으로 AmazonProvidedDNS를 사용할 새로운 DHCP 옵션을 생성합니다.

AWS vSocket의 등록 취소 및 재배포

  • 위의 모든 문제 해결 단계를 따라도 HA 페일오버가 계속 실패하면, 하나 또는 두 vSocket의 등록을 취소하고 재배포할 수 있습니다. 높은 가용성 vSocket 사이트 재배포를 참조하세요
  • vSocket을 재배포하기 전에 가상 머신을 제거하되 네트워크 인터페이스, 관련 공용 IP 및 IAM 역할은 유지해야 합니다.
  • 또한 vSocket 인스턴스를 선택하여 > 보안 > IAM 역할 부착을 선택하고 AWS-HA 역할을 할당하여 올바른 IAM 역할을 vSocket에 다시 연결해야 합니다.

 

Cato 지원 사례 제기

위의 문제 해결 단계 결과를 포함하여 지원 티켓을 제출하세요. 티켓에 다음 정보를 포함시켜 주세요:

  • 오류 메시지를 포함한 문제의 명확한 설명.
  • VPC의 DNS 구성.
  • API 테스트 결과.
  • LAN 라우팅 테이블 그리고 활성화됨 역할의 스크린샷.
  • 만약 가능하다면, 실패 시점의 CloudTrail 로그 파일.

 

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개