我们在 GCP 上拥有大量具有静态外部 IP 地址的计算引擎虚拟机。我们观察到外部 IP 地址曾经不可用,然后。不接受 http、ssh 或 ICMP 连接。通常,通过 SSH 连接尝试可以发现(或可能触发?)这一事实。服务器仍然处于活动状态。我可以通过串行控制台连接并验证这一点。来自虚拟机的出站连接仍然有效(我们有 cron 作业检查来自互联网的文件,它们在这些中断期间确实运行并正常完成),因此这不是虚拟机网卡问题。
一段时间后(大约 10 分钟),外部 IP 会自行再次可用。
关于如何进一步调查问题根本原因您有什么想法吗?
答案1
事实证明这根本不是 GCP 的问题。我们的虚拟机运行的是 Ubuntu,默认情况下会安装安全卫士如果 Sshguard 检测到大量连接失败,它将阻止某个 IP。
每次我必须运行 Ansible 来更新 VM 配置并忘记将我的私有 SSH 密钥添加到身份验证代理时,都会出现“中断”。Ansible 多次尝试连接,但每次都失败。Sshguard 不喜欢这种情况,并阻止了所有端口和协议的 IP。