今天遇到一个很诡异的错误,这着实是一个大教训,与各位一起分享下。
今天某台服务器上的glance服务不能使用了。
使用glanceclient访问glance的返回结果是:
401 Unauthorized
由于在登陆dashboard需要获得所有的client的返回信息,因此在登陆面板的时候会发生报错,并且在点镜像的时候由于401直接就弹出来了。
———————————————————————————————
Glance-api的错误日志是:
error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol
这条错误信息是在当向只提供http的服务发送https请求造成的。
———————————————————————————————————————————
keystone的错误日志是:
localhost - - [04/Dec/2012 16:23:01] code 400, message Bad request syntax ('\x16\x03\x01\x00\xcd\x01\x00\x00\xc9\x03\x02P\xbd\xb2\xe5\x04W\xe2\x86Qt\xdc\xdc]r\x88\xd2^O\x1a$O\x1c\x97r@;\x96\xe3\xbc\xcc\xe7\x99\x00\x00V\xc0\x14\xc0')
localhost - - [04/Dec/2012 16:23:01] "??P???W?Qt??]r?^O$Or@;???V??" 400 -
显然,keystone不能理解glance发过来的https信息。
———————————————————————————————
那天,我刚好正在学习如何给keystone配置ssl,glance要和配置了ssl的keystone交互的话,需要将auth_protocol设置为https。
1.当时我检查了keystone中的 ssl section和template中glance的endpoint,均为http。
2.然后我检查了glance的5个配置文件中的authtoken section,没有看到https的选项。
3.后来我又怀疑是端口,进程的问题,均没有解决。
后来同事帮忙来调试keystone,我们发现了在keystone的authtoken middleware源码中发现关于authtoken每个选项的默认参数:
cfg.StrOpt('auth_protocol', default='https'),
然后我们发现glance-register-paste.ini中auth_protocol这一选项不见了,于是glance-api启动后就以将请求发送给了https://127.0.0.1:35357,也就造成了前面的哪个错误。