在实际运维中,防火墙把自己挡在机器外面的情况会时有发生。如何快速的恢复对运维人员是很重要的。

本文将介绍如何用Azure Extension实现不通过ssh对VM进行操作的方法。

之前写过一遍Blog介绍如何部署Azure的CustomScriptExtension:

http://www.cnblogs.com/hengwei/p/5862200.html

在CustomScriptExtension的基础上,如果实现关闭防火墙。

1.添加防火墙规则

通过添加iptables规则关闭外部访问该VM的ssh:

iptables -A INPUT -p tcp --dport  -j DROP

所有22端口都被关闭了。

通过psping进行观察VM 22端口的情况:

psping -t 139.219.237.69:

Connecting to 139.219.237.69:: .94ms

Connecting to 139.219.237.69:: .50ms

Connecting to 139.219.237.69:: .93ms

Connecting to 139.219.237.69:: .51ms

Connecting to 139.219.237.69:: .42ms

Connecting to 139.219.237.69:: .54ms

Connecting to 139.219.237.69:: .16ms

Connecting to 139.219.237.69:: This operation returned because the timeout period expired.

Connecting to 139.219.237.69:: This operation returned because the timeout period expired.

Connecting to 139.219.237.69:: This operation returned because the timeout period expired.

Connecting to 139.219.237.69:: This operation returned because the timeout period expired.

为防止出现脚本不成功,导致再不能访问VM的情况,执行如下脚本,过5分钟自动去除防火墙:

[root@hwcentos ~]#./remove_iptables.sh &
#!/bin/bash

while true

  do

  sleep

  iptables -F

  echo `date` >> a.txt

done

2.通过CustomScriptExtension去除防火墙规则

运行PowerShell脚本:

$mycred = Get-Credential -UserName admin@xxx.partner.onmschina.cn -Message hello

Login-AzureRmAccount -EnvironmentName AzureChinaCloud -Credential $mycred

 

#定义Resource Group、VM和Location变量

$RGName = 'hwextensiontest'

$VmName = 'hwcentos'

$Location = 'China East'

 

#定义Extension相关信息

$ExtensionName = 'CustomScriptForLinux'

$Publisher = 'Microsoft.OSTCExtensions'

$version = '1.5'

 

$PublicConf = '{"commandToExecute": "iptables -F"}' 

 

#执行Set-AzureRmVMExtension命令,安装extension:

Set-AzureRmVMExtension -ResourceGroupName $RGName -VMName $VmName -Location $Location `

  -Name $ExtensionName -Publisher $Publisher `

  -ExtensionType $ExtensionName -TypeHandlerVersion $Version `

-Settingstring $PublicConf

RequestId IsSuccessStatusCode StatusCode ReasonPhrase

--------- ------------------- ---------- ------------

          True                OK         OK

通过iptables -F的命令关闭所有的防火墙。

PsPing的输出结果如下:

Connecting to 139.219.237.69:: This operation returned because the timeout period expired.

Connecting to 139.219.237.69:: This operation returned because the timeout period expired.

Connecting to 139.219.237.69:: This operation returned because the timeout period expired.

Connecting to 139.219.237.69:: This operation returned because the timeout period expired.

Connecting to 139.219.237.69:: This operation returned because the timeout period expired.

Connecting to 139.219.237.69:: .12ms

Connecting to 139.219.237.69:: .16ms

Connecting to 139.219.237.69:: .64ms

这时已经可以通过ssh登录这台VM。

观察extension的日志:

[root@hwcentos 1.5.2.0]# pwd

/var/log/azure/Microsoft.OSTCExtensions.CustomScriptForLinux/1.5.2.0

[root@hwcentos 1.5.2.0]# less extension.log
..........

// :: [Microsoft.OSTCExtensions.CustomScriptForLinux-1.0]Config decoded correctly.

// :: [Microsoft.OSTCExtensions.CustomScriptForLinux-1.0]Will try to download files, number of retries = , wait SECONDS between retrievals = 20s

// :: [Microsoft.OSTCExtensions.CustomScriptForLinux-1.0]Command to execute:iptables -F

// :: [Microsoft.OSTCExtensions.CustomScriptForLinux-1.0]fileUris value provided is empty or invalid. Continue with executing command...

// :: [Microsoft.OSTCExtensions.CustomScriptForLinux-1.0]Succeeded to download files, retry count =

// :: [Microsoft.OSTCExtensions.CustomScriptForLinux-1.0]Internal DNS is ready, retry count =

// :: [Microsoft.OSTCExtensions.CustomScriptForLinux-1.0]Command to execute:iptables -F

// :: [Microsoft.OSTCExtensions.CustomScriptForLinux-1.0]Command is finished.

// :: ---stdout---

// ::

// :: ---errout---

// ::

// ::

// :: [Microsoft.OSTCExtensions.CustomScriptForLinux-1.0]Daemon,success,,Command is finished.

// :: ---stdout---

// ::

// :: ---errout---

// ::

查看防火墙状态:

[root@hwcentos ~]# iptables -L

Chain INPUT (policy ACCEPT)

target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)

target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination

防火墙已经关闭。

3.延展

有时客户VM没有响应的原因并不是因为防火墙,但原因并不是防火墙。此时我们可以通过收集sosreport的信息,通过复制到其他VM等方法获得这个文件后,进行分析。

当然也可以通过ping其它VM,并在另外一台VM上抓包,看这台VM是否网络存活,以进行下一步的分析和动作。

4.需要注意的问题

当多次执行CustomScript时,这个extension会判断内容是否相同,如果相同extension会认为是重复执行,脚本将不再执行。

更新:

Azure VM的Extension的通讯机制是通过HTTPS对外发起的。如下的输出:

[root@hwcentos ~]# netstat -tunp

Active Internet connections (w/o servers)

Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name

tcp               10.3.0.4:                 167.220.255.53:        SYN_RECV    -

tcp               10.3.0.4:              168.63.129.16:            TIME_WAIT   -

tcp               10.3.0.4:              40.126.88.72:            TIME_WAIT   -

tcp              10.3.0.4:                 167.220.255.53:        ESTABLISHED /sshd

tcp               10.3.0.4:              40.126.88.72:            TIME_WAIT   -

tcp               10.3.0.4:              40.126.88.72:            TIME_WAIT   -

tcp               10.3.0.4:              40.126.88.72:            TIME_WAIT   -

tcp               10.3.0.4:              168.63.129.16:            TIME_WAIT   -

可以看到VM上很多到40.x.x.x的https请求。只要VM可以访问外部的HTTPS,VM Extension就可以工作。

所以,我们的INPUT方向的iptables添加:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT  

iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

可以确保出方向的流量不被防火墙挡住。

在添加如下防火墙规则后,VM extension仍然可以把iptables的规则清除:

iptables -A INPUT -s / -j DROP

Azure上Linux VM误配防火墙的恢复方法的更多相关文章

  1. Windows Azure 上 Linux VM 中的交换空间 – 第 2 部分

    本文章由 Azure CAT 团队的 Piyush Ranjan (MSFT) 撰写. 在前一篇文章 Windows Azure 上Linux VM 中的交换空间第 1 部分中,我介绍了在默认情况下, ...

  2. Azure上Linux VM防DDOS攻击:使用Apache mod_evasive

    部署在云端的虚拟机和web服务,很容易受到DoS护着DDoS的服务攻击,让一些新上线的业务苦不堪言,当然各个云服务提供商也有不同层面DDOS的防护,然而由于防护粒度,攻击复杂度的关系,未必可以满足你的 ...

  3. Azure上Linux VM DDOS攻击预防: 慢速攻击

    在上篇博客(http://www.cnblogs.com/cloudapps/p/4996046.html)中,介绍了如何使用Apache的模块mod_evasive进行反DDOS攻击的设置,在这种模 ...

  4. 在Windows Azure上配置VM主备切换(1)——Linux篇

    对任何一个上线系统来说,高可用设计是不可或缺的一个环节,这样才可以确保应用可以持续.稳定的运行,而不是频繁的掉线.停机.高可用设计的核心思路很简单,就是消除一切单点故障,将单点链路或者节点升级为多点. ...

  5. 对连接到 Azure 中 Linux VM 时出现的问题进行详细的 SSH 故障排除的步骤

    有许多可能的原因会导致 SSH 客户端无法访问 VM 上的 SSH 服务. 如果已经执行了较常规的 SSH 故障排除步骤,则需要进一步排查连接问题. 本文指导用户完成详细的故障排除步骤,以确定 SSH ...

  6. 在Azure上的VM镜像库中找到想要的镜像

    Azure上的虚机镜像库中, 有很多的镜像,其中当然也包括了用户自定义上传的镜像. 在Powershell中如果想使用这些镜像的话, 则需要知道其名称 下面这条命令,可以获得所有的镜像信息 $imag ...

  7. Azure上每个VM多个IP地址

    Azure的每个VM都有多种IP地址,包括DIP.VIP和PIP.具体如下: DIP地址是在VM里能够看到的IP地址,即私网地址:PIP地址是这个VM关联的公网IP地址,即公网地址:VIP地址是负载均 ...

  8. 转://Linux下误删除/home目录的恢复方法

    一般情况下,我们在安装Oracle数据库的时候,都会创建一个Oracle用户,用该用户来安装和管理Oracle.Oracle用户的根目录就是/home/oracle. 通常安装Oracle数据库是按照 ...

  9. Azure上Linux虚拟机Mac地址的持久化

    有些用户在使用Azure Linux 虚拟机安装软件时,有些软件的license会和当前系统的mac地址绑定,那么在Azure VM重启,reszie(改变尺寸大小),停止然后再启动的时候,虚拟机的M ...

随机推荐

  1. nf_conntrack之解决方案

    1.现象 在/var/log/message中出现以下信息 Dec 8 11:22:29 product08 kernel: nf_conntrack: table full, dropping pa ...

  2. mysql下merge分表

    1.merge简介分表就是把N条记录的表,分成若干个分表,各个分表记录的总和仍为N. 分表的方法有很多,用merge来分表,是最简单的一种方式.merge是mysql的一种存储引擎,它把一组MyISA ...

  3. 20145230《Java程序设计》第3周学习总结

    20145230 <Java程序设计> 第3周学习总结 教材学习内容总结 String s=new String();第四章我首先了解了CPU与内存的关系,栈与堆的关系.要产生对象必须先定 ...

  4. INSPIRED启示录 读书笔记 - 第27章 合理运用瀑布式开发方法

    瀑布式开发方法的基本原则 1.采用阶段式开发:软件开发过程被事先分成固定的几个阶段,撰写书面的需求说明文档.设计高层软件架构.设计低层细节.编写代码.测试.部署 2.采用阶段式评审:每个阶段结束后,对 ...

  5. js学习笔记2(5章操作方法)

    5.2.5操作 concat();将slice(); 5.2.7位置操作的方法 其他的不赘述 5.5 函数 1.函数其实是对象,每一个函数都是function对象的实例,与其他引用类型一样,都具有属性 ...

  6. 【P3572】little bird(单调队列+DP)

    一眼看上去这个题就要DP,可是应该怎么DP呢,我们发现,数据范围最多支持O(NlogN),但是这种DP貌似不怎么有,所以应该是O(N)算法,自然想到单调队列优化DP. 然后我们先考虑如果不用单调队列应 ...

  7. easyui控件使用例子

    1.easyui之dataGrid分页加载数据例子 注意:1)分页表格通过url获得数据会提交page,rows两个参数:后台需要获取这两个参数并且由此得到 int pageSize=rows/pag ...

  8. ggplot笔记001——ggplot2安装

         R3.2.2版安装ggplot2      今天安装ggplot2,开始用的是R3.2.1版本,但是一直报错.后面换了一个最新的R3.2.2,但安装时还是一样报错,原因是munsell这个包 ...

  9. 【转】jQuery对象与DOM对象之间的转换方法

    刚开始学习jquery,可能一时会分不清楚哪些是jQuery对象,哪些是DOM对象.至于DOM对象不多解释,我们接触的太多了,下面重点介绍一下jQuery,以及两者相互间的转换. 什么是jQuery对 ...

  10. QT XML文档的解析 QXmlStreamReader, DOM,SAX 三种解析方法 简单示例

    0. xml文档如下 <?xml version="1.0"?> <bookindex> <entry term="sidebearings ...