Да. Есть такое с старперами. А ещё "почему тебе должно быть лучше/легче чем мне" вечная больная тема.
Такое есть и со старпёрами, и со студентами и с бизнес-пользователями. И ещё 100500 "такого", где у каждого из них своё рациональное "очевидно", "достаточно" и "черезчур".
Если ты переживаешь, что все кругом не ринулись тонны старой легасятины в свободное от работы время загонять в kubernetes, потому что кубер "ответ на все вопросы", то ты всего лишь один из участников общей картины. А у других участников KPI и карьерный рост может зависеть от простоя сервисов и поэтому им рациональнее всего блокировать попытки внесения именений в систему. А у третьих KPI и карьерный рост зависит от скорости выкатки фич и поэтому прод на компьютере под столом у разработчика, чтобы не ругаться с эксплуатацией и иб. И т.д. и т.п. Поэтому важнее всего взаимопонимание через общение и нахождение компромиссов по достижению общих и индивидуальных целей.
Сергей
Jain
Нене. Все в кубер или в виртуалки не нужно. Нужно думать. Было есть будет. Выгода по монеткам и времени саппорта. Если чел на телефоне каждую вторую неделю просыпается по звонку в 3 ночи ибо сломался опять слейв. То группа должна сесть и подумать. А не 2 год уже "и так сойдет" говорить :)
cheat
@budnikov_sergey я так понимаю neutron я не заставлю работать так как я хочу ? Потому что он всегда в любом случае просит создать subnets чтобы прокинуть интерфейс в виртуальную машину.
Сергей
"Не каждая проблема стоимостью в 1 цент заслуживает решения за 1 доллар" 🙂 Если начать выяснять точки зрения окрцжающих, то может оказаться что ты именно в этой самой концепции и твоё решение с точки зрения команды это трата N долларов на проблему стоимостью в 1 цент.
Сергей
@budnikov_sergey я так понимаю neutron я не заставлю работать так как я хочу ? Потому что он всегда в любом случае просит создать subnets чтобы прокинуть интерфейс в виртуальную машину.
Никита сказал, что можешь, значит можешь. В лоб не вижу как, но значит надо копать. Никита очень любит вкусный зелёный чай 😉
cheat
@nsuvorov подскажите куда копать?
Сергей
он хочет транк с кучей vlan со свича провайдера подать в VM, чтобы уже внутри VM всячески поразвлекаться с этими vlan
NS 🇷🇺
Уголь судя по всему. Хочу сделать бридж но без создания подсети
А вы доку по транку хорошо почитали?
cheat
Я понимаю что правильней поставить ядро выделить отдельный фрагмент сети под опенстек и в ус не дуть
NS 🇷🇺
Без понятия я в кли живу
cheat
Сергей
Сергей
https://wiki.openstack.org/wiki/Neutron/TrunkPort
Сергей
Оно требует разбирательств, но, по-видимому, начиная с queens конфигурируется даже в gui после включения neutron trunk plugin
J
Оно требует разбирательств, но, по-видимому, начиная с queens конфигурируется даже в gui после включения neutron trunk plugin
Ну, блюпринт помечен как полностью реализованный, так что, да.
Сергей
Ну, блюпринт помечен как полностью реализованный, так что, да.
Маэстро, перечитал данные тобой вчера доки, ссылки с https://wiki.openstack.org/wiki/Neutron/TrunkPort, https://github.com/openstack/neutron/blob/master/doc/source/admin/config-trunking.rst
Никак не пойму как стопку provider-сетей=vlan в виде subport подключить к транку машины. Подкинь, плиз, направление для раскопок
J
Маэстро, перечитал данные тобой вчера доки, ссылки с https://wiki.openstack.org/wiki/Neutron/TrunkPort, https://github.com/openstack/neutron/blob/master/doc/source/admin/config-trunking.rst
Никак не пойму как стопку provider-сетей=vlan в виде subport подключить к транку машины. Подкинь, плиз, направление для раскопок
Эт не я скидывал такие ссылки, вроде)
J
Сам не пользуюсь, но вот тут выглядит все довольно доходчиво
https://docs.openstack.org/ocata/networking-guide/config-trunking.html
Как-то примерно так должно быть:
1. Создаешь простые порты в каждой из сетей которые нужно включить в транк
2. Создаешь транк, у которого parent портом указан интересующий тебя порт виртуальной машины, а дочерними - созданные ранее порты. Указываешь тип сегментации vlan и теги для каждого дочернего порта.
Все.
Вероятно, правда, что нейтрон не даст ничего сделать с портом прицепленным к виртуальной машине и его нужно будет сначала отцепить или просто создать новый порт, а уже потом это дело цеплять к машине.
Сергей
Сам не пользуюсь, но вот тут выглядит все довольно доходчиво
https://docs.openstack.org/ocata/networking-guide/config-trunking.html
Как-то примерно так должно быть:
1. Создаешь простые порты в каждой из сетей которые нужно включить в транк
2. Создаешь транк, у которого parent портом указан интересующий тебя порт виртуальной машины, а дочерними - созданные ранее порты. Указываешь тип сегментации vlan и теги для каждого дочернего порта.
Все.
Вероятно, правда, что нейтрон не даст ничего сделать с портом прицепленным к виртуальной машине и его нужно будет сначала отцепить или просто создать новый порт, а уже потом это дело цеплять к машине.
Я правильно понимаю, что у меня есть:
- provider external net vlan10 segmentation_id='10', segmentation_type='vlan'
- provider external net vlan20 segmentation_id='20', segmentation_type='vlan'
Соответственно в качестве сабпортов транка VM я явно линкуюсь через subport segmentation_id='10', segmentation_type='vlan' и через subport segmentation_id='20', segmentation_type='vlan'.
Т.е. у меня не будет динамичного транка от провайдера и я должен как админ OpenStack сначала все провайдерские vlan завести как выделенные external сети segmentation_id='X', segmentation_type='vlan', после чего пользователи смогут собирать через Horizon нужный им набор vlan в свои транки, если прав хватит.
J
Я правильно понимаю, что у меня есть:
- provider external net vlan10 segmentation_id='10', segmentation_type='vlan'
- provider external net vlan20 segmentation_id='20', segmentation_type='vlan'
Соответственно в качестве сабпортов транка VM я явно линкуюсь через subport segmentation_id='10', segmentation_type='vlan' и через subport segmentation_id='20', segmentation_type='vlan'.
Т.е. у меня не будет динамичного транка от провайдера и я должен как админ OpenStack сначала все провайдерские vlan завести как выделенные external сети segmentation_id='X', segmentation_type='vlan', после чего пользователи смогут собирать через Horizon нужный им набор vlan в свои транки, если прав хватит.
Да, все провайдерские сети придется заводить руками. Один влан - одна сеть.
Может коллеги подскажут как выкрутиться, может есть плагин для нейтрона который позволяет все сильно проще делать)
Сергей
NS 🇷🇺
Давайте ещё налью
NS 🇷🇺
Можно использовать не trunk + ovs а fd.io+vpp-trunk
cheat
Да чето все круче и круче )) тут и правда как сергей говорил чай нужен зеленый @budnikov_sergey
NS 🇷🇺
Dpdk кстати никто не использует на серверах с двумя сетевками собранными в бонд?
NS 🇷🇺
Пока мысли вланы на овс поднимать и им конфигурировать сеть.
J
Пока мысли вланы на овс поднимать и им конфигурировать сеть.
Ну, бонд ты точно можешь и должен делать с помощью ovs, если уж у тебя связка ovs+dpdk)
NS 🇷🇺
Ну, бонд ты точно можешь и должен делать с помощью ovs, если уж у тебя связка ovs+dpdk)
Страшно ) оно ж и мгмт сеть
J
Страшно ) оно ж и мгмт сеть
Бгг)
Ну эт да, страшновато. Наверное, старость. С другой стороны, всегда ж есть BMC еще на экстренный случай, да и выделить под управление один-два гигабитных интерфейса в резерв тоже можно.
NS 🇷🇺
Убрали ...
J
Сетевикам они надоели
Чо за деление то такое ебаное на сетевиков и операторов)
Чем им надоели гигабитные сетевушки?)
NS 🇷🇺
Чо за деление то такое ебаное на сетевиков и операторов)
Чем им надоели гигабитные сетевушки?)
Эмулексы мандили на вари гигабитные все решили убрать. И да у нас контора большая сетевики отдельно 😁
J
J
Эмулексы)
J
И вмваря)
J
инфраструктурное буллщит бинго)
J
Мне вот не очень понятно чем отдельная команда сетевиков может заниматься. Чо настолько сложного в ip сетях?
NS 🇷🇺
J
Там дохера всего
Да ну вот сколько слушаю, вечно недопонимание, вечно споры и войны какие-то. Такое чувство что подобная специализация нихрена хорошего не дает.
NS 🇷🇺
Какая из?)
NS 🇷🇺
Я про специализации
J
Какая из?)
Я имел ввиду деление на "только сетевиков" и "только админов" или там "только безопасников".
Приводит часто к тому что набирают людей с очень сецифичными знаниями, например, сетевиков без знания линуксов и железа или безопасников которые про VRF и BGP не слышали, зато любят всякие аппаратные файрволы. И понеслась.
J
Так и есть)
Короче, возвращаясь к нашему вопросу, в твоей ситуации надо, наверн, забить на все и делать всю сеть в юзерспейсе)
J
Чо уж там.
NS 🇷🇺
Anton
Yuf
https://openinfraday.it/program_rome/
Yuf
OpenStack for Government Cloud : the italian experience
Yuf
Under new management: migrating a running OpenStack to containerisation with Kolla
J
В больших компаниях так и есть
Ну вот)
А эт проблема посерьезнее чем практически все что тут обсуждаем, ребята.
В больших компаниях все еще и организовано таким образом, что отдельные команды чувствуют что должны почему-то конкурировать между собой. Сетевики с безопасниками, инженеры по инфраструктуре и с теми и с другими. Все вместе воюют против отдела кадров или службы собственной безопасности, если такая есть)
J
И это жопа полная.
J
Ни работы нормальной ни для кого ни развития ни эффективности, на котороую так люто теребонькают руководители всех мастей.
J
Каждый раз думаю об этом и печалюсь.
Sergey
После твоих слов выпить захотелось...
Sergei
А есть какой-то сервис в опенстеке типа bring own device? Может ironic так умеет? Условно говоря нужен спец сервер по ФЗ или ещё какая фигня, при этом хочется воткнуть его в тенантную сеть. В ажуре вроде было что то такое...
J
Sergei
Так понятно?
J
Ну а кто раздаёт тенантные сетки?
Не знаю, но опенстек тут явно лишним будет. Обойтись можно полдюжиной скриптов на 50 строчек.
Sergei
Не знаю, но опенстек тут явно лишним будет. Обойтись можно полдюжиной скриптов на 50 строчек.
Он не лишний, он уже есть. Это данность.
J
Он не лишний, он уже есть. Это данность.
Если ты не управляешь жизненным циклом серверов, а они чужие и просто у тебя размещены, не вижу чем поможет опенстек.
ironic не подходит потому что серверы не твои, заказчики сами там и систему накатывают и все обслуживание делают.
Neutron можно прикрутить, конечно, но не уверен что это удобно будет. Ты объясни какие задачи хочешь решать.
J
Можно в ironic создавать серверы-заглушки без синхронизации питания, доступа к redfish\ipmi и к ним привязывать neutron порты. А в нейтроне настроить какой-нибудь плагин для работы со свитчами. Типа networking-generic-switch, juniper ml2 и тому подобного. Но выглядит хренотенью какой-то, если хочешь ограничиться управлением сетями. Если планиурешь еще балансировщики, cinder, S3 прикручивать как-то к чужим baremetal серверам, то можно попробовать.
Alexander
Подскажите пожалуйста, чем может быть ограничено кол-во инстансов (70) в опенстеке? Сам я ненастоящий сварщик и доступа к админке нет
tsla
Подскажите пожалуйста, чем может быть ограничено кол-во инстансов (70) в опенстеке? Сам я ненастоящий сварщик и доступа к админке нет
где такая наркомания написана, ссылку в студию
Alexander
Ссылку дать не могу, только скриншот