我正在尝试 MAAS,但无法让节点连接到互联网。这是我的设置:
3 台物理机,其中 1 台具有两个网卡,用作网关、集群控制器和区域控制器。网关/控制器设置为让一个接口从公司网络接收 IP,而另一个接口由 MAAS 管理(DHCP 和 DNS)。
从网关,我可以轻松连接,但节点却不行。我查看了控制器/网关,发现 bind9 正在运行。
$ service bind9 status
* bind9 is running
这样做dig ubuntu.com会给我带来结果。但如果我这样做dig @127.0.0.1 ubuntu.com,我得不到任何回报。我还查看了绑定配置,一切似乎都井然有序(转发器已设置)。我遗漏了什么?
以下是相关的绑定配置
$ cat /etc/bind/named.conf
include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";
$ cat /etc/bind/named.conf.options
options { directory "/var/cache/bind";
dnssec-validation auto;
include "/etc/bind/maas/named.conf.options.inside.maas";
auth-nxdomain no;
listen-on-v6 { any; }; };
$ cat /etc/bind/maas/named.conf.options.inside.maas
forwarders {
172.24.3.136;
};
答案1
看起来问题出在“收到不安全的响应”。从 StackOverflow 找到了这个解决方案: https://stackoverflow.com/a/14923549/1692452
这与现在默认启用的新 DNSSEC 功能有关。这可能表明您使用的 DNS 解析器/转发器不支持 DNSSEC,因此响应对您的服务器来说似乎不安全。
您可以使用支持 DNSSEC 的解析器,也可以暂时禁用服务器上的该功能。要禁用它,只需在“named.conf”中使用以下参数:
dnssec-enable no; dnssec-validation no;
答案2
除了 OP 的回答 ( no valid RRSIG resolving ...) 中报告的 dnssec 问题之外,我还遇到了 IPv6 问题,其表现如下:
maas1 named[1532]: network unreachable resolving './NS/IN': 2001:503:c27::2:30#53
bind9解决方案是仅以 v4 模式启动。为了实现这一点,我利用了本文(我在 Xenial 上使用 MAAS 2.1,它运行的是 systemd):
sudo systemctl cat bind9.service | grep ExecStart. 这提供了用于启动bind9守护进程的当前命令行。sudo systemctl edit bind9.service. 出现一个空的编辑器,允许覆盖服务定义所需的方面。在保存文件时将标志添加
-4到前面提到的命令行。在我的例子中,它看起来像这样:ExecStart[Service] ExecStart= ExecStart=/usr/sbin/named -4 -f -u bind(注:第一个空白
ExecStart=是故意的 - 请参阅 上述文章)。- 如果您想检查覆盖是否到位,您可以重新运行:
systemctl cat bind9.service systemctl restart bind9.service- 从节点运行一些请求并检查一切正常:
systemctl status bind9.service- 以前这充满了上面提到的错误。