정상노드의 네트워크 차단

증상

제어정책에서 노드는 Perm-all 권한을 할당 받았지만 네트워크 통신은 차단되버린 증상 관리WebUI에서는 정책이 정상적으로 적용된 것으로 표시되지만 실제로는 정책이 적용되지 않는 증상

원인

노드에 할당된 제어정책이 변경되면 정책서버는 네트워크센서에게 노드의 정책 상태를 변경하도록 이벤트를 전송한다. 간혹 네트워크센서가 이 이벤트에 대해 수신해도 정책을 갱신하지 않을 수 있다.

해결 방법

통신연결상태 확인

  • 정책서버와 네트워크센서사이에 TCP/443 HTTPS 통신이 정상적인지 확인합니다.

    • 방화벽 또는 기타 보안장비에서 필요한 예외처리가 되어있는지 확인합니다.

네트워크센서 정책 확인

네트워크센서 CLI 명령어를 이용하여 네트워크센서가 노드에 적용한 정책을 확인 할 수 있다.

  • 센서 SSH에 접속하여 다음 명령어를 수행한다. show nodeinfo filter [노드 IP 주소]

    • 노드에 "제어정책"이 정상적으로 할당되었는지 확인합니다.

정책서버 네트워크센서 로그 확인

정책서버는 디버그파일을 centerd 라는 파일에 저장하고 네트워크센서는 sensord 파일에 저장한다. 이 디버그 파일에는 노드의 정책변경 내역이 작성되어 있다.

  • 다음 단계를 따르십시오.

  • 관리UI에 접속.

  • 상단 시스템 > 서비스 관리 > 디버그로그 로 이동.

  • system > centerd OR sensord 를 선택합니다.

  • 새로운 창을 실행하여 노드의 정책변경을 수행합니다. .

  • 디버그화면에 오류가 있는지 확인하고 기술 지원 엔지니어와 디버그와 증상을 공유하여 기술 지원을 받습니다.

정책서버 노드 정책 변경 예시:

Jul 17 16:06:26 Genians centerd[5788]: DBG|rolemgr.cpp|1720| 8015| Role Assign Node=10.10.10.245 MAC=08:00:27:28:C9:1E NLVALID=1 StartBy=Changing IPAM Policy QuickCheck=1491340468 Join=0

Jul 17 16:06:26 Genians centerd[5788]: DBG|rolemgr.cpp|1500| 8015| Role Assign Node. ADDR=10.10.10.245 MAC=08:00:27:28:C9:1E NLVALID=1 StartBy=IPAM compliance status changed.

네트워크센서 노드 정책 변경 예시:

Jul 17 16:15:22 Genians sensord[6340]: DBG|eventframe.|1067| 8068| RECV Event NOTIFY     SRC=10.10.10.4 DST=10.10.10.4 SEQ=6406 ID=NODEROLECHANGED(19) FLAGS=0 KERN=0

Jul 17 16:15:22 Genians sensord[6340]: DBG|eventframe.|1067|17655| SEND Event NOTIFY ACK SRC=127.0.0.1 DST=10.10.10.4 SEQ=6406 ID=NODEROLECHANGED(19) FLAGS=1 KERN=1