Sergey
В подобной ситуации я сказал - ну вот такой опытный наставник меня б и научил.... И ничо.. Научил
Anonymous
мне он тогда сказал, что у меня слишком мало знаний для моего возраста
Михаил
а теперь у тебя комплекс, ага) Заканчивай) если чего по существу есть, то вопрошай. По факту тебе уже ответили нафиг такую вакансию на 45к. ceph поверх zfs тоже закопать.
Vladimir
Добрый день! Подскажите с концепцией настройки сети в OpenStack (Neutron+ OVS)
Каким образом реализовать схему следующую схему :
1) Есть пользовательский тенант в котром пользователь создает себе виртуальный роутер с любой приватной сетью
2) Далее он хочет привязать к своей виртуальной машине в своей приватной сети внешний IP адрес.
В данном случае, такая схема может работать, если он создаст стык с нашем виртуальном роутерм, но при этом на сам роутер будет выделен также один внешний IP-адрес…
Т.е сейчас имеет проблема, когда пользователь хочет вывести свою виртуальную машину под внешним адресом , он берет на себя два внешних адреса… один на роутер, второй на саму машину… Если он пожелает создать еще один виртуальный роутер но с другой сетью, то ему снова потребуется минимум два внешних адреса.
Как решить такую проблему ? Может быть есть идеи ?
Vladimir
Смотрю на примере амазона ) Он не ограничивает клиента в возможностях выбора пула адресов локальной сети.. И легко привязывает внешний адрес на любой IP из приватной сети..
Михаил
ну так пусть выводит машину через свой роутер или я чего не понял в описании?
Vladimir
Чтобы он выходил через свой роутер, то нужно его роутер подключить к нашему роутеру, который имеет статус внешнего в OS, из-за такого подключения, мы вынуждены тратить два внешних IP на одного пользователя..
Vladimir
Созданный польователем роутер не имеет связей с внешними сетками, а если он захочет их иметь, то сразу нужны доп адреса на стык.
Anonymous
я чтот даже представить себе такую схему не могу
Anonymous
вот есть ваш роутер, шлюз
Anonymous
который пропускает сеть провайдера к vm заказчика
Дмитрий
короче, вы хотите экономить на роутерных адресах
Дмитрий
имхо так не получится
Vladimir
Uncel
Аналог ip unnumbered завезли?
Дмитрий
да, можно попробовать придумать многоуровневую сеть
Anonymous
Созданный польователем роутер не имеет связей с внешними сетками, а если он захочет их иметь, то сразу нужны доп адреса на стык.
Мне кажется вам надо к трактористам сходить
Vladimir
Да именно экономить на роутерных, т.к в случае с присвоением внешнего, нужен один отдать роутеру...
Anonymous
ну вот у меня дома есть 3 внешних ip, я тупо прокидываю от роутера сеть к vm, и они получают ip от провайдера
Дмитрий
т.е. делаем роутер, который будет цепляться к внешней сети, уровнем ниже - остальные, а ВМ уже к ним цеплять
Vladimir
Тут нужно понять, как настроить Нейтрон.. или может быть юзать дополнительный роутер с хитрыми правилами NAT-а из приватной в приватную, но нашу ..
Дмитрий
нейтрон при мноуровневой схеме будет обычнй его не нужно специально дергать
Anonymous
ну вот у меня дома есть 3 внешних ip, я тупо прокидываю от роутера сеть к vm, и они получают ip от провайдера
Я так думаю что дома не нейтрон
Anonymous
Отож
Дмитрий
John, сейчас попробую проверить
Vladimir
Внешние адреса липнут на уровне экстернал роутера , но нашего...
Anonymous
ещё и на задачу наверное пару суток отвели
Vladimir
Меньше )
Anonymous
😥 нда, весёлая страна
Vladimir
Пока ломаю голову ) Впрочем это не задача, задача другая, просто столкнулся с этой проблемой, как мне кажется, но уже попутно...
Vladimir
Может быть архитекрутно не верно так заходить...
Vladimir
Ну нельзя же так просто отдавать один внешник на один приватный роутер )
Vladimir
Это все естественно при условии, что вся логика на нейтроне завязана..
Дмитрий
John, не, с наскока не получилось реализовать
Дмитрий
как вариант можно рассмотреть создание еще одной ext сети
но это дело темное и требует эксперимента на стенде
Pavel
Мне кажется вариант с внешним роутером самый правильный. Опенстек от всего этого нужно абстрагировать
Pavel
Т.е. нейтрону выдаете серую сетку, которая натится в нужную (белую?) уже на роутере
Vladimir
Пока я пытаюсь это побороть на уровне софта, нейтрона...
Vladimir
Вынос понятен, там возможностей наверное больше...
Pavel
Что именно побороть?
Vladimir
В перспективе протестировать это на gfx5100
Дмитрий
а как можно внешний роутер научить взаимодействовать с нейтроном в плане выдачи плавающих айпишников?
Vladimir
Что именно побороть?
Проблему, которую описал ранее, когда идет расход внешних ИП пол новые приватные, виртуальные роутеры
Pavel
а как можно внешний роутер научить взаимодействовать с нейтроном в плане выдачи плавающих айпишников?
По апи, например. Если хотите нат один в один
Pavel
Проблему, которую описал ранее, когда идет расход внешних ИП пол новые приватные, виртуальные роутеры
Это не проблема, это архитектура)
Pavel
а как можно внешний роутер научить взаимодействовать с нейтроном в плане выдачи плавающих айпишников?
А если просто нат экстернал сети опенстека в белый айпишник, то тут вообще внешний роутер про флоатинг айпи не должен ничего знать, только сеть
Дмитрий
сек, изначально постановка задачи была связана в том числе и с выдачей плавающих, не?
Дмитрий
т.е. в случае с внешним роутером нейтрон должен поднять ку-роутер, а при назначении плавающего айпиника просигналить на вшений роутер об этом, чтобы тот соответствующий нат прописал
не так?
Дмитрий
точнее даже не нат
Дмитрий
один-в-один
Дмитрий
это хорошая железка должна быть для такой цели)
Pavel
Если нужно один в один, то так
Pavel
Но мне кажется, если вам нужны белые адреса ВСЕМ инстансам, то что-то пошло не так)
Дмитрий
это само собой )
Дмитрий
но товарищ хочет экономить на доп роутерах, а не на флотах
Alexandr
Проблема в расходовании белых адресов на роутеры - тоже проблема
Anonymous
uuid есть смысл вручную назначать, чтобы админ гос учреждения не запутался?
Anonymous
не много не в тему
Anonymous
додумываю свою доку
Дмитрий
лучшее - враг хорошего
генерится ююайди - и это хорошо
Anonymous
просто от меня хотят инструкцию, которую бы человек мог тупо копировать в ерминал
Anonymous
терминал*
Дмитрий
он не осилит такой объем информации
Pavel
Не то что смысла нет, это вредно
Дмитрий
это практически собрание сочинений Пушкина
Pavel
Не надо на uuid перекладывать задачу, для которой он не предназначен. Есть днс имена и display_name для понимания человеком
Anonymous
он не осилит такой объем информации
я уже 2 часа осиливаю 40 страниц по созданию lun на zvol без аутентификации
Pavel
Это же относится к практике выделения красивых и запоминающихся ip адресов
Anonymous
чтобы правильно создать инструкцию
Pavel
Ну и роутер
Anonymous
ещё и правило для selinux писать и разжёвывать
Anonymous
иначе не будет мандатного доступа по usb ключам, а фирма внедряет решения для компаний в которых всё по етокенам