Well my first question is are you using quantum or nova network?<br><br><br><span style="font-family:Prelude, Verdana, san-serif;"><br><br></span><span id="signature"><div style="font-family: arial, sans-serif; font-size: 12px;color: #999999;">-- Sent from my HP Pre3</div><br></span><span style="color:navy; font-family:Prelude, Verdana, san-serif; "><hr align="left" style="width:75%">On Mar 7, 2013 1:12 PM, Jon Thomas <jthomas@redhat.com> wrote: <br><br></span>On Thu, 2013-03-07 at 17:21 +0000, Minton, Rich wrote:<br>> I know you guys are busy trying to get the new release out the door<br>> but if someone could take a quick peek at this and provide a<br>> suggestion on where to look, I would be very grateful. I could really<br>> use a suggestion on compute node configuration for metadata and vnc<br>> proxy.<br>> <br>>  <br>> <br>> I’m having some problems with my instances accessing metadata from my<br>> compute nodes… they don’t.  The instances running on compute nodes are<br>> not able to contact dhcp to get their IP and as a result I cannot pull<br>> in the metadata for ssh keys, hostname, etc.  I can ping the metadata<br>> IP, 169.254.169.254 from my host but when I try to test the connection<br>> using curl I get a 404 error. I’m also not sure if iptables is being<br>What curl command?<br>curl http://169.254.169.254<br>should give<br>...<br><p>The document has moved <a<br>href="http://169.254.169.254/dashboard/">here</a>.</p><br>...<br><br>You can open up dhcp with<br><br>-A INPUT -p udp -m udp --sport 68 --dport 67 -j ACCEPT <br>-A FORWARD -p udp -m udp --sport 68 --dport 67 -j ACCEPT<br><br>>  setup properly. I believe I have nova.conf configured properly. I’m<br>> using nova-metadata-api on each of my compute nodes and have nova.conf<br>> configured with the hosts IP for the metadata server and I do not have<br>> “metadata” in the list of enabled apis. I also tried running<br>> nova-metadata-api from the command line in debug mode to see if I was<br>> getting any errors. There were none, which leads me to believe it’s<br>> something in iptables and the VMs are never accessing the service.<br>> Also if I flush iptables and restart the openstack services, iptables<br>> is repopulated but it is very sparse. Seems like there should be a lot<br>> more entries in the tables.<br>> <br>Sounds like something with iptables. You can compare to thsi set from a<br>packstack based install. 192.168.2.113 is public/admin interface.<br><br><br>$ cat /etc/sys*/iptables<br># Generated by iptables-save v1.4.7 on Thu Mar  7 12:29:40 2013<br>*mangle<br>:PREROUTING ACCEPT [63439:31483572]<br>:INPUT ACCEPT [63439:31483572]<br>:FORWARD ACCEPT [0:0]<br>:OUTPUT ACCEPT [62191:32543722]<br>:POSTROUTING ACCEPT [62191:32543722]<br>:nova-api-POSTROUTING - [0:0]<br>:nova-network-POSTROUTING - [0:0]<br>-A POSTROUTING -j nova-network-POSTROUTING <br>-A POSTROUTING -j nova-api-POSTROUTING <br>-A POSTROUTING -o virbr0 -p udp -m udp --dport 68 -j CHECKSUM<br>--checksum-fill <br>COMMIT<br># Completed on Thu Mar  7 12:29:40 2013<br># Generated by iptables-save v1.4.7 on Thu Mar  7 12:29:40 2013<br>*filter<br>:INPUT ACCEPT [970:292442]<br>:FORWARD ACCEPT [0:0]<br>:OUTPUT ACCEPT [1291:434252]<br>:nova-api-FORWARD - [0:0]<br>:nova-api-INPUT - [0:0]<br>:nova-api-OUTPUT - [0:0]<br>:nova-api-local - [0:0]<br>:nova-filter-top - [0:0]<br>:nova-network-FORWARD - [0:0]<br>:nova-network-INPUT - [0:0]<br>:nova-network-OUTPUT - [0:0]<br>:nova-network-local - [0:0]<br>-A INPUT -j nova-network-INPUT <br>-A INPUT -j nova-api-INPUT <br>-A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT <br>-A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT <br>-A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT <br>-A INPUT -p tcp -m multiport --dports 5000,35357 -m comment --comment<br>"001 keystone incoming" -j ACCEPT <br>-A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT <br>-A INPUT -p tcp -m multiport --dports 3260,8776 -m comment --comment<br>"001 cinder incoming" -j ACCEPT <br>-A INPUT -p udp -m udp --sport 68 --dport 67 -j ACCEPT <br>-A INPUT -p tcp -m multiport --dports 8773,8774,8775 -m comment<br>--comment "001 novaapi incoming" -j ACCEPT <br>-A INPUT -p tcp -m multiport --dports 8773,8774,8775 -m comment<br>--comment "001 novaapi incoming" -j ACCEPT <br>-A INPUT -p tcp -m multiport --dports 9292 -m comment --comment "001<br>glance incoming" -j ACCEPT <br>-A INPUT -p tcp -m multiport --dports 80 -m comment --comment "001<br>horizon incoming" -j ACCEPT <br>-A INPUT -p tcp -m multiport --dports 8773,8774,8775 -m comment<br>--comment "001 novaapi incoming" -j ACCEPT <br>-A INPUT -p tcp -m multiport --dports 80 -m comment --comment "001<br>horizon incomming" -j ACCEPT <br>-A INPUT -p tcp -m multiport --dports 3306 -m comment --comment "001<br>mysql incoming" -j ACCEPT <br>-A INPUT -p tcp -m multiport --dports 9292 -m comment --comment "001<br>glance incomming" -j ACCEPT <br>-A INPUT -p tcp -m multiport --dports 8773,8774 -m comment --comment<br>"001 novaapi incoming" -j ACCEPT <br>-A INPUT -p tcp -m multiport --dports 5000,35357 -m comment --comment<br>"001 keystone incomming" -j ACCEPT <br>-A INPUT -p tcp -m multiport --dports 5900:5999 -m comment --comment<br>"001 nove compute incoming" -j ACCEPT <br>-A INPUT -p tcp -m multiport --dports 6080 -m comment --comment "001<br>novncproxy incoming" -j ACCEPT <br>-A INPUT -p tcp -m multiport --dports 5672 -m comment --comment "001<br>qpid incoming" -j ACCEPT <br>-A INPUT -p tcp -m multiport --dports 3306 -m comment --comment "001<br>mysql incomming" -j ACCEPT <br>-A INPUT -p tcp -m multiport --dports 8773,8774 -m comment --comment<br>"001 novaapi incomming" -j ACCEPT <br>-A INPUT -p tcp -m multiport --dports 5672 -m comment --comment "001<br>qpid incomming" -j ACCEPT <br>-A FORWARD -j nova-filter-top <br>-A FORWARD -j nova-network-FORWARD <br>-A FORWARD -j nova-api-FORWARD <br>-A FORWARD -d 192.168.122.0/24 -o virbr0 -m state --state<br>RELATED,ESTABLISHED -j ACCEPT <br>-A FORWARD -s 192.168.122.0/24 -i virbr0 -j ACCEPT <br>-A FORWARD -i virbr0 -o virbr0 -j ACCEPT <br>-A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable <br>-A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable <br>-A FORWARD -p udp -m udp --sport 68 --dport 67 -j ACCEPT <br>-A OUTPUT -j nova-filter-top <br>-A OUTPUT -j nova-network-OUTPUT <br>-A OUTPUT -j nova-api-OUTPUT <br>-A nova-api-INPUT -d 192.168.2.113/32 -p tcp -m tcp --dport 8775 -j<br>ACCEPT <br>-A nova-filter-top -j nova-network-local <br>-A nova-filter-top -j nova-api-local <br>-A nova-network-FORWARD -i br100 -j ACCEPT <br>-A nova-network-FORWARD -o br100 -j ACCEPT <br>-A nova-network-INPUT -i br100 -p udp -m udp --dport 67 -j ACCEPT <br>-A nova-network-INPUT -i br100 -p tcp -m tcp --dport 67 -j ACCEPT <br>-A nova-network-INPUT -i br100 -p udp -m udp --dport 53 -j ACCEPT <br>-A nova-network-INPUT -i br100 -p tcp -m tcp --dport 53 -j ACCEPT <br>COMMIT<br># Completed on Thu Mar  7 12:29:40 2013<br># Generated by iptables-save v1.4.7 on Thu Mar  7 12:29:40 2013<br>*nat<br>:PREROUTING ACCEPT [13:752]<br>:POSTROUTING ACCEPT [589:137435]<br>:OUTPUT ACCEPT [589:137435]<br>:nova-api-OUTPUT - [0:0]<br>:nova-api-POSTROUTING - [0:0]<br>:nova-api-PREROUTING - [0:0]<br>:nova-api-float-snat - [0:0]<br>:nova-api-snat - [0:0]<br>:nova-network-OUTPUT - [0:0]<br>:nova-network-POSTROUTING - [0:0]<br>:nova-network-PREROUTING - [0:0]<br>:nova-network-float-snat - [0:0]<br>:nova-network-snat - [0:0]<br>:nova-postrouting-bottom - [0:0]<br>-A PREROUTING -j nova-network-PREROUTING <br>-A PREROUTING -j nova-api-PREROUTING <br>-A POSTROUTING -j nova-network-POSTROUTING <br>-A POSTROUTING -j nova-api-POSTROUTING <br>-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p tcp -j<br>MASQUERADE --to-ports 1024-65535 <br>-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p udp -j<br>MASQUERADE --to-ports 1024-65535 <br>-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -j MASQUERADE <br>-A POSTROUTING -j nova-postrouting-bottom <br>-A OUTPUT -j nova-network-OUTPUT <br>-A OUTPUT -j nova-api-OUTPUT <br>-A nova-api-snat -j nova-api-float-snat <br>-A nova-network-POSTROUTING -s 192.168.32.0/22 -d 192.168.2.113/32 -j<br>ACCEPT <br>-A nova-network-POSTROUTING -s 192.168.32.0/22 -d 192.168.32.0/22 -m<br>conntrack ! --ctstate DNAT -j ACCEPT <br>-A nova-network-PREROUTING -d 169.254.169.254/32 -p tcp -m tcp --dport<br>80 -j DNAT --to-destination 192.168.2.113:8775 <br>-A nova-network-snat -j nova-network-float-snat <br>-A nova-network-snat -s 192.168.32.0/22 -o eth0 -j SNAT --to-source<br>192.168.2.113 <br>-A nova-postrouting-bottom -j nova-network-snat <br>-A nova-postrouting-bottom -j nova-api-snat <br>COMMIT<br># Completed on Thu Mar  7 12:29:40 2013<br>>  <br>> <br>> Also, when I try to access the vnc console on instances running on<br>> compute nodes (not the controller) I get a connection failure. I have<br>> the vnc service running on each compute node and set the variables in<br>> nova.conf to point to the compute node instead of the controller. I<br>> actually had this working at one point and then something went wrong…<br>> again maybe iptables.<br>> <br>>  <br>> <br>> I just need some hints on where to look to find out what’s going on.<br>> <br>>  <br>> <br>> Thanks in advance.<br>> <br>> Rick<br>> <br>>  <br>> <br>>  <br>> <br>>  <br>> <br>> Richard Minton<br>> <br>> LMICC Systems Administrator<br>> <br>> 4000 Geerdes Blvd, 13D31<br>> <br>> King of Prussia, PA 19406<br>> <br>> Phone: 610-354-5482<br>> <br>>  <br>> <br>> <br>> _______________________________________________<br>> rhos-list mailing list<br>> rhos-list@redhat.com<br>> https://www.redhat.com/mailman/listinfo/rhos-list<br><br><br>_______________________________________________<br>rhos-list mailing list<br>rhos-list@redhat.com<br>https://www.redhat.com/mailman/listinfo/rhos-list