OPSI Docker & Problem Messagebus Verbindung...

[thomas.besser]

Nachdem die alte OPSI-Paket-Entwicklungsumgebung (noch als VM mit Debian) ein paar Probleme gemacht hat, bin ich nun dabei diese in OPSI Docker umzusetzen.

Läuft soweit, PXE, Netboot- und Localboot-Produkte funktionieren.

Aber es gibt offensichtlich ein Problem mit der Messagebus-Verbindung zu den Clients und ich vermute, das hängt mit der Dockerisierung zusammen. Zumindest wird als IP der Windows-OPSI-Clients (KVM virtualisiert) immer eine IP angzeigt, die der Docker-Bridge auf dem Docker-Host entspricht.

Wird einer der Clients neu gestartet, dann wird 'Zuletzt gesehen' aktualisiert, also der Weg Client -> Server funktioniert offensichtlich. Anders herum scheint das Problem zu liegen, es wird auch nicht mit einem grünen Haken angezeigt, dass der Client "An" wäre.

Hat irgendjemand eine Idee, wo das Problem liegt und was ich tun könnte?

Danke und Gruß
Thomas

[j.schneider]

Hallo Thomas,

das hört sich an, als würde ein Reverse-Proxy genutzt werden.
In diesem Fall sollte "trusted-proxies" gesetzt werden.

https://docs.opsi.org/opsi-docs-de/4.3/ ... twork.html

Grüße
Jan

[thomas.besser]

Moin Jan,

auf dem Docker Host läuft kein Reverse-Proxy. Werde die Option aber trotzdem mal testen...

Aber vielleicht verhält es sich ähnlich, weil der FQDN des OPS-Docker-Servers im DNS ein CNAME ist!?

Danke und Gruß
Thomas

[j.schneider]

Welche Docker-Version ist im Einsatz und auf welchem Betriebssystem?

[thomas.besser]

Ok, ich gestehe dass ich nicht so der Docker-Experte bin...

Also ich würde sagen, dass ich "trusted-proxies=[x.x.x.x]" in /etc/environment im OPSI-Docker setzen muss.

Aber wie bekomme ich das dauerhaft hin? Wahrscheinlich über 'docker-compose.yml'... Oder wie wäre der korrekte Weg?

[thomas.besser]

Welche Docker-Version ist im Einsatz und auf welchem Betriebssystem?

Linux...

Code: Alles auswählen

ii  docker-ce      5:29.0.4-1~debian.12~bookworm amd64        Docker: the open-source application container engine

[j.schneider]

Es könnte sein, dass der userland-proxy nicht verwendet wird.

Läuft ein docker-proxy?

Code: Alles auswählen

ps aux | grep docker-proxy

Aktivieren sollte so gehen:

Code: Alles auswählen

sudo tee /etc/docker/daemon.json <<EOF
{
  "userland-proxy": true
}
EOF

sudo systemctl restart docker

[thomas.besser]

der läuft...

Code: Alles auswählen

ps ax | grep docker-proxy
 2924 ?        Sl     0:00 /usr/bin/docker-proxy -proto udp -host-ip 0.0.0.0 -host-port 69 -container-ip 172.19.0.4 -container-port 69 -use-listen-fd
 2932 ?        Sl     0:00 /usr/bin/docker-proxy -proto udp -host-ip :: -host-port 69 -container-ip 172.19.0.4 -container-port 69 -use-listen-fd
 2946 ?        Sl     0:00 /usr/bin/docker-proxy -proto tcp -host-ip 0.0.0.0 -host-port 4447 -container-ip 172.19.0.4 -container-port 4447 -use-listen-fd
 2954 ?        Sl     0:00 /usr/bin/docker-proxy -proto tcp -host-ip :: -host-port 4447 -container-ip 172.19.0.4 -container-port 4447 -use-listen-fd

Es funktioniert soweit auch alles, konnte via PXE die Clients installieren. Beim Hochfahren der Clients werden auch anstehende Installation ausgeführt...

[j.schneider]

Kann es sein, dass sich die Clients per IPv6 verbinden?
Du könntest auch einmal versuchen den docker-proxy an ein Interface zu binden:

Code: Alles auswählen

opsi-server:
    ports:
      - "<ipv4-docker-host>:4447:4447"

Aber zurück zum eigentlichen Problem:
Auch wenn für alle Clients die gleiche IP-Adresse beim OPSI-Server ankommt, sollte der Messagebus funktionieren.
Ein gängiges Problem im Zusammenhang mit dem Messagebus sind unterschiedlicher System-Zeiten auf Client und Server.

[thomas.besser]

Kann es sein, dass sich die Clients per IPv6 verbinden?

Ja, stimmt! Ein `ping` von Client -> Server läuft über IPv6

Du könntest auch einmal versuchen den docker-proxy an ein Interface zu binden:

Code: Alles auswählen

opsi-server:
    ports:
      - "<ipv4-docker-host>:4447:4447"

Aber was soll das bringen? Denn so wie ich das interpretiere, horcht der OPSI auch an IPv6...

Code: Alles auswählen

netstat -tlnp
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:42215           0.0.0.0:*               LISTEN      1535/rpc.statd      
tcp        0      0 0.0.0.0:10050           0.0.0.0:*               LISTEN      1926/zabbix_agentd  
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      3215/exim4          
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1874/sshd: /usr/sbi 
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      1526/rpcbind        
tcp        0      0 0.0.0.0:4447            0.0.0.0:*               LISTEN      2946/docker-proxy   
tcp6       0      0 :::10050                :::*                    LISTEN      1926/zabbix_agentd  
tcp6       0      0 :::4447                 :::*                    LISTEN      2954/docker-proxy   
[...]

Aber zurück zum eigentlichen Problem:
Auch wenn für alle Clients die gleiche IP-Adresse beim OPSI-Server ankommt, sollte der Messagebus funktionieren.
Ein gängiges Problem im Zusammenhang mit dem Messagebus sind unterschiedlicher System-Zeiten auf Client und Server.

Daran glaube ich nicht, der Docker-Host holt sich die Zeit von NTP und die Clients sind in einer AD-Domäne integriert, wofür die Zeit ja auch stimmen muss. Was sie auch überall tut...

Soll ich mal ein Ticket über den offiziellen Kanal bei euch aufmachen, dass du dich mal aufschalten könntest!?