если погружаться придется в devops уходить работать)))
Не, девопс эт "знаю все ключи kubectl", немножко программирую)
J
Fox
вчера загасил, ноды с попенстеком много тепла генерировали в серверной 2х2 ))))
Fox
эпичный конец
Fox
Не, девопс эт "знаю все ключи kubectl", немножко программирую)
ну тоесть курить кубернетис, попенстек не в тренде, хайп прошёл)
J
ну тоесть курить кубернетис, попенстек не в тренде, хайп прошёл)
Неееет.
То есть, девопс эт стремное хайповое слово, которое хз что значит)
В общем, суть в том что прям вообще чтобы не разбираться, как было в фуеле, такого сейчас нету.
Fox
Неееет.
То есть, девопс эт стремное хайповое слово, которое хз что значит)
В общем, суть в том что прям вообще чтобы не разбираться, как было в фуеле, такого сейчас нету.
фенк, мирантис я так понял в контейнеры ушёл
J
фенк, мирантис я так понял в контейнеры ушёл
Ну они поверх опенстека делают контейнеры)
И опенстек поверх кубернетеса и черт знает чо еще)
Не в контейнеры ушел, я б сказал, а по пизде пошел.
Artemy
Неееет.
То есть, девопс эт стремное хайповое слово, которое хз что значит)
В общем, суть в том что прям вообще чтобы не разбираться, как было в фуеле, такого сейчас нету.
Это слово значит что бизнесу стало жадно содержать кодеров который делают всякую фигню и тащать всякий мусор в сиситему и админов которые задолбались впиливать эту фигню в продуктив с каждым новым билдом и выдумал слово "девопс" под которым подразумевает что пусть теперь кодеры сами деплоить на прод по нажатию кнопки весь тот шит который они понатащили в проект. Соответственно для этого они обмазываются докерами, куберами, терраформами, гитлабами, дженкинсами и прочей фигней.
Andrey
коллеги так что с фуел? аналогов не появилось? )))
Mirantis Coud Platform - но это не значит что я это рекомендую))
Fedor
спасибо, я сетевой инженер, но вот хотят знакомые опять попенстек
Хотят, дайте. Порог вхождения в Kolla-ansible в целом минимальный. Собрать базовый конфиг и даже прикрутить туда Tungsten можно по гайдам из сети.
Fedor
Mirantis Coud Platform - но это не значит что я это рекомендую))
MCP ни разу не Fuel. Ты зря так на него)
Fox
Fox
ansible базово знаю в плане взаимодействия с juniper и т.д. впринципе ничего сложного думаю
J
ansible базово знаю в плане взаимодействия с juniper и т.д. впринципе ничего сложного думаю
Тогда посмотри openstack-ansible если хочешь чтобы опенстековские демоны были в lxc контейнерах или если докер хочешь или умеешь, то kolla-ansible.
Fedor
Тогда посмотри openstack-ansible если хочешь чтобы опенстековские демоны были в lxc контейнерах или если докер хочешь или умеешь, то kolla-ansible.
Я задам вопрос не для холивара, а исключительно в личных образовательных целях. Зачем вообще смотреть в сторону os_ansible, если есть kolla-ansible? Мне к примеру не нравится очень громоздкая схема с контейнерами, необходимость в 40+ ip адресах и мучительно долгая сборка репо контейнера. При этом каких-то плюсов osa я не видел вообще.
J
Я задам вопрос не для холивара, а исключительно в личных образовательных целях. Зачем вообще смотреть в сторону os_ansible, если есть kolla-ansible? Мне к примеру не нравится очень громоздкая схема с контейнерами, необходимость в 40+ ip адресах и мучительно долгая сборка репо контейнера. При этом каких-то плюсов osa я не видел вообще.
Ты так говоришь будто докер эт не контейнеры и будто там адреса не нужны)
Я хз, ваще говоря, какие рациональные доводы могут быть) Я вот не люблю докер, ну вот прям все мне в его архитектуре не нравится и не нравится тупорылый хайп вокруг него. Ну я себя пересилить не могу и потому альтернативные механизмы изоляции использую, в том числе и LXC)
А, ну и еще не обязательно же по каждому чиху контейнеры с репозиториями перестраивать.
Fedor
Адреса нужны, но они там приватные и основной сети не касаются. В osa беда как раз в том, что если надо что-то пересобирать, не факт, что оно соберётся правильно. Ну и откатиться назад будет непросто.
Andrey
Я задам вопрос не для холивара, а исключительно в личных образовательных целях. Зачем вообще смотреть в сторону os_ansible, если есть kolla-ansible? Мне к примеру не нравится очень громоздкая схема с контейнерами, необходимость в 40+ ip адресах и мучительно долгая сборка репо контейнера. При этом каких-то плюсов osa я не видел вообще.
os_ansible это же для управления готовым опенстеком
kolla-ansible только для деплоя самого опенстека в контейнеры
openstack-ansible только для деплоя самого опенстека в пакетах
Fedor
os_ansible это же для управления готовым опенстеком
kolla-ansible только для деплоя самого опенстека в контейнеры
openstack-ansible только для деплоя самого опенстека в пакетах
Процедура управления всего лишь часть процедуры деплоя. Разве нет?
Fedor
Всякий лайфсайкл по апгрейду есть и там и там.
Andrey
управление - это только обращения к OS API
всякий конфиг менеджмент - это деплой/апгрейд
Fedor
управление - это только обращения к OS API
всякий конфиг менеджмент - это деплой/апгрейд
Я наверное больше про управление облаком, а не нагрузкой в нем. Но ты прав, os_ansible из другого района.
Fedor
И прямо работает между релизами?
Да. Понятно что не всегда с первого раза, но если есть где собрать тестовую среду, то можно откатать процесс и не бояться пошатать прод.
Aleksey
Да. Понятно что не всегда с первого раза, но если есть где собрать тестовую среду, то можно откатать процесс и не бояться пошатать прод.
Ну тоже не плохо. Я вот жду что кто-то это сделает , но пока к сожалению этого не происходит.
NS 🇷🇺
Ну тоже не плохо. Я вот жду что кто-то это сделает , но пока к сожалению этого не происходит.
сделает что? апгрейд по кнопке?
NS 🇷🇺
утопия
NS 🇷🇺
тут одних сценариев мульоны
J
Адреса нужны, но они там приватные и основной сети не касаются. В osa беда как раз в том, что если надо что-то пересобирать, не факт, что оно соберётся правильно. Ну и откатиться назад будет непросто.
Почему не факт?
Мне тем и понравилось что указываешь заведомо нужные тебе версии сервисов и репозитории откуда брать, хоп и собираешь venv нужные. Та же хренотень что и с докером, только образ не контейнера целиком, а нужного venv. А пересоздать lxc тож быстро, хотя, я б, конечно, хотел чтобы они все же за набор инструментов из lxd взялись, там уже оперируют образами систем, а не ущербненькими шаблонами.
Опять же, насчет ip адресов) Даже в документации есть схема где вся связность L3, я её модифицированный вариант с OSPF использую. Ни один сервис не торчит в физическую сеть, все маршрутизируется.
Эт я не защищаю любимый инструмент, а просто привожу тебе контраргументы)
Fedor
а я в целом и не говорю, что lxc инструмент плохой, просто конкретная реализация странная и избыточная. там ещё и venv внутри lxc контейнера прикручен.
ну и если в частности, с коллой ты просто хранишь репозиторий с нужными тебе версиями компонентов опенстек и всегда можешь откатиться на предыдущую версию
J
а я в целом и не говорю, что lxc инструмент плохой, просто конкретная реализация странная и избыточная. там ещё и venv внутри lxc контейнера прикручен.
ну и если в частности, с коллой ты просто хранишь репозиторий с нужными тебе версиями компонентов опенстек и всегда можешь откатиться на предыдущую версию
Избыточная и стремная и инертная.
Но моя неприязнь к докеру как механизму изоляции сильнее пока, благо могу себе позволить, да и коллеги не против. Если б прикрутили rkt из коробки или еще чо, было б другое дело.
И да, ты прав, хотелось бы чтобы хоба и версиями одним движением пальца управляешь. Но тут уже претензия к ансиблю, который тоже очень спорный сам по себе, но которым приходится пользоваться.
J
Рад был бы если б кто подсказал как излечиться)
J
Избыточная и стремная и инертная.
Но моя неприязнь к докеру как механизму изоляции сильнее пока, благо могу себе позволить, да и коллеги не против. Если б прикрутили rkt из коробки или еще чо, было б другое дело.
И да, ты прав, хотелось бы чтобы хоба и версиями одним движением пальца управляешь. Но тут уже претензия к ансиблю, который тоже очень спорный сам по себе, но которым приходится пользоваться.
Хотя, опять же, там архив rootfs базового контейнера делается, так то. venv тож можно рассматривать как образы. Вот те и аналог слоев)
Pavel
а куда делся терминатор?
Aleksey
банофбот ты хотел сказать?
Aleksey
хотя его выпилили после того как весь чат побанили 🙂
Danila
@adiantum
Aleksey
а как теперь со спамом то бороться? @SinTeZoiD тебя чтоли призывать?
Михаил
Yes, I am
привет.
кто-то юзает ovs/ovn ? Если да, то есть ли у вас проболемы с потрей пакетов на полследней 2,12 версии?
Ilya
NS 🇷🇺
привет.
кто-то юзает ovs/ovn ? Если да, то есть ли у вас проболемы с потрей пакетов на полследней 2,12 версии?
юзаю но у меня 2.9 ну и оно в принципе без DPDK работает не очень
Yes, I am
юзаю но у меня 2.9 ну и оно в принципе без DPDK работает не очень
у нас на 2.11 был загружен cpu контроллера, тк ovs/ovn гоняет в одном потоке. в 2.12 вроде как это пофксили, обновились и щас контроллер ок, но на хостах примерно 20% packet lost
Aleksandr
Господа, задача - запретить с виртуалок dst port 25.
Как еще это можно сделать кроме двух правил в security groups разрешающих dst port с 1 по 24 и с 26 по 65000?
NS 🇷🇺
фаервол задействовать =)
Aleksandr
фаервол задействовать =)
Капитан, на каком уровне и как? Нельзя через flavor set оперировать nwfilter (libvirt)?
Anton
вконце разве не deny any any?
просто не разрешать 25 порт
Aleksandr
нам надо чтобы только на одном тарифе клиенты не могли слать на 25 порт
NS 🇷🇺
лучше версию 2
Aleksandr
Supports L2 firewalling (VM ports) NO NO**
Aleksandr
вконце разве не deny any any?
просто не разрешать 25 порт
в моем понимании security group это Deny Any by default а дальше ты оперируешь добавлением allow
Aleksandr
лучше версию 2
он в в2 Supports L2 firewalling (VM ports) - NO. У нас прямо на инстанцах паблик ип висят, неутрон не участвует
Anton
ну т.е. если ты сам не разрешишь 25 порт, он и так будет запрещён, не?
NS 🇷🇺
Aleksandr
ну т.е. если ты сам не разрешишь 25 порт, он и так будет запрещён, не?
так точно, по этому я сразу спросил, кроме двух правил разрешающих все остальное и при этом оперируя port-range никак это не сделать аккуратно?
Aleksandr
nova-network оно еще живо?
И я не сказал что у нас nova-network) у нас по дефаулту все - nova.virt.firewall.NoopFirewallDriver
Просто т.к. на этом проекте простые виртуалки то клиентам даем ИП из внешнего пула сразу
Aleksandr
Я вас верно понял?
NS 🇷🇺
И я не сказал что у нас nova-network) у нас по дефаулту все - nova.virt.firewall.NoopFirewallDriver
Просто т.к. на этом проекте простые виртуалки то клиентам даем ИП из внешнего пула сразу
ну вы сказали что у вас нейтрон тут не при делах. Остается нова нетворк =).
Aleksandr
ну вы сказали что у вас нейтрон тут не при делах. Остается нова нетворк =).
Ок, не так выразился, неутрон есть но трафик через него не гоняется
Aleksandr
дефолтный rocky инсталл
Aleksandr
что на счет идеи flavor set + nwfilter? Бред?
NS 🇷🇺
что на счет идеи flavor set + nwfilter? Бред?
если у вас команда, которая сможет это поддерживать, то упороться всегда можно
J
дефолтный rocky инсталл
А не думал внешним устройством трафик резать, синхронизируя правила с выданными нейтронм адресами?
Aleksandr
Да, думал. Просто решил спросить мало ли гдето есть волшебная кнопка, типа раз и все готово.
NS 🇷🇺
А не думал внешним устройством трафик резать, синхронизируя правила с выданными нейтронм адресами?
хук с flavor мне кажется более здоровым =)
Aleksandr
хук с flavor мне кажется более здоровым =)
кстати вопрос, если на flavor "A" выдана одна
А что имелось ввиду под "поддерживать" в контексте flavor set?
Aleksandr
там же автоматика, один раз настроил и все, не?
NS 🇷🇺
там же автоматика, один раз настроил и все, не?
обновили опенстек стало с чем то не совместимо
NS 🇷🇺
короче дальнейший жизненный цикл решения
Aleksandr
нене, какое еще "обновил опэнстэк"
Aleksandr
типун
Aleksandr
I have a life you know)
Yes, I am
Привет,
Подскажите, пожалуйта, смогу ли я получать статистику по утилизации ресурсов (cpu, ram итд) по каждому из проектов в отделности с помошью ceilometer или monasca? Если да, то чем проше собирать?