Glance routines:SSL23_GET_SERVER_HELLO:unknown protocol故障排查

今天遇到一个很诡异的错误，这着实是一个大教训，与各位一起分享下。

今天某台服务器上的glance服务不能使用了。

使用glanceclient访问glance的返回结果是：

       401 Unauthorized

      由于在登陆dashboard需要获得所有的client的返回信息，因此在登陆面板的时候会发生报错，并且在点镜像的时候由于401直接就弹出来了。

———————————————————————————————

     Glance-api的错误日志是：

     error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol

 

这条错误信息是在当向只提供http的服务发送https请求造成的。

———————————————————————————————————————————

   keystone的错误日志是：

localhost - - [04/Dec/2012 16:23:01] code 400, message Bad request syntax ('\x16\x03\x01\x00\xcd\x01\x00\x00\xc9\x03\x02P\xbd\xb2\xe5\x04W\xe2\x86Qt\xdc\xdc]r\x88\xd2^O\x1a$O\x1c\x97r@;\x96\xe3\xbc\xcc\xe7\x99\x00\x00V\xc0\x14\xc0')

localhost - - [04/Dec/2012 16:23:01] "??P???W?Qt??]r?^O$Or@;???V??" 400 -

显然，keystone不能理解glance发过来的https信息。

 

———————————————————————————————

那天，我刚好正在学习如何给keystone配置ssl，glance要和配置了ssl的keystone交互的话，需要将auth_protocol设置为https。

 

1.当时我检查了keystone中的 ssl  section和template中glance的endpoint，均为http。

2.然后我检查了glance的5个配置文件中的authtoken section，没有看到https的选项。

3.后来我又怀疑是端口，进程的问题，均没有解决。

 

后来同事帮忙来调试keystone，我们发现了在keystone的authtoken middleware源码中发现关于authtoken每个选项的默认参数：

       cfg.StrOpt('auth_protocol', default='https'),

 

然后我们发现glance-register-paste.ini中auth_protocol这一选项不见了，于是glance-api启动后就以将请求发送给了https://127.0.0.1:35357，也就造成了前面的哪个错误。