Цитата |
---|
Николай Ермаков написал: Жалоба из ДТ на наш сервер! .... Плюс невозможность подключится к сервису. |
Было бы интересно посмотреть на конфигурацию Вашего iptables ( iptables --list). Можно через запрос в ТП
По умолчанию мы предполагаем, что может быть сделана кластерная конфигурация или/и memcached будет находится на отдельном сервере с настроенным мониторингом, соотвественно memcached слушает все доступные интерфейсы.
НО, для безопасности мы не открываем порт 11211 для доступа через iptables.
Например,
кластер из двух машин
Код |
---|
srv01 172.17.0.11
srv02 172.17.0.12 |
Будет содержать в iptables следующие правила:
Код |
---|
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
313 27652 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
1 116 ACCEPT tcp -- * * 172.17.0.12 0.0.0.0/0 tcp /* Access to host from srv02.ksh.bx */
0 0 ACCEPT udp -- * * 172.17.0.12 0.0.0.0/0 udp /* Access to host from srv02.ksh.bx */
0 0 ACCEPT tcp -- * * 172.17.0.11 0.0.0.0/0 tcp /* Access to host from srv01.ksh.bx */
0 0 ACCEPT udp -- * * 172.17.0.11 0.0.0.0/0 udp /* Access to host from srv01.ksh.bx */ |
То есть, разрешения на доступ к 11211 не дан, но так как есть указанные правила для адресов серверов, доступ возможен с любого сервера внутри кластера и не возможен с других. Аналогичная логика используется для mysql, sphinx, web ролей.
Соответвенно, та ситуация, о которой пишет Ваш ДЦ, возможна в случае, если используется тип виртуализации, где не поддерживается iptables (например, openvz + venet интерфейс)
Проверить можно добавив любое правило в таблицу:
Код |
---|
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT |
Если вернет ошибку, значит iptables не были настроены из меню, в том числе.
В таком случае, Вы можете сказать mecached слушать только localhost:
1) открываем файл /etc/sysconfig/memcached на редактирование и меняем
на
Код |
---|
OPTIONS="-l 127.0.0.1" |
2) перезапускаем memcached
Внесла себе этот кейс, в следующей версии появится возможность выбора IP адреса.