ndaemonv
круто, где включать?)))
Pavel
Блок мигрейшен или в хорайзене тени галочку. Но у тебя везде должны быть одинаковые vg
Dmitry
если бэкэнд под эфемерки - lvm - он ничего не разрешит тебе сделать
Dmitry
на окате - упадет в ошибку
NS 🇷🇺
Я и твой кот
Старообрядцы.
ndaemonv
всем привет, пытаюсь запилить в синдере бэкап в цеф
Artemy
Ооо, а оно тебе надо? Там сплошные минусы
ndaemonv
минусы в самой идее бэкапа синдером?) или бэкапа в цеф?
ndaemonv
ну пока минус один не пашет он на Queens))
ndaemonv
хотя ранее на Newton я его тестил бал жив
Artemy
В цеф. Я бы просто запилил rgw и лил в с3 или cephfs и посикс
ndaemonv
в Newton у меня была вообще идея на нфс бэкапить но не завелось
ndaemonv
так а в чем минусы то, я его в боевом режиме не юзал, так что прочувствовать не успел
ndaemonv
настраиваю на данный момент так как в доке описано
ndaemonv
backup_driver = cinder.backup.drivers.ceph.CephBackupDriver
ndaemonv
backup_ceph_conf=/etc/ceph/ceph.conf
backup_ceph_chunk_size = 134217728
backup_ceph_pool = backups
backup_ceph_stripe_unit = 0
backup_ceph_stripe_count = 0
ndaemonv
ну авторизация отключена на цефе у меня щас тк тест
ndaemonv
и получаю в лог вот такую дрянь
ndaemonv
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server [req-216b8329-0f0e-45b1-8e2a-72ef0bae6f13 6143d600a26a4fe6948550297884f5cc 3b26ace36c6e4fca93d071d08b0240bc - default default] Exception during messa$
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server Traceback (most recent call last):
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server File "/usr/lib/python2.7/dist-packages/oslo_messaging/rpc/server.py", line 163, in _process_incoming
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server res = self.dispatcher.dispatch(message)
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server File "/usr/lib/python2.7/dist-packages/oslo_messaging/rpc/dispatcher.py", line 220, in dispatch
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server return self._do_dispatch(endpoint, method, ctxt, args)
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server File "/usr/lib/python2.7/dist-packages/oslo_messaging/rpc/dispatcher.py", line 190, in _do_dispatch
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server result = func(ctxt, **new_args)
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server File "/usr/lib/python2.7/dist-packages/cinder/backup/manager.py", line 413, in create_backup
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server self._update_backup_error(backup, six.text_type(err))
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server File "/usr/lib/python2.7/dist-packages/oslo_utils/excutils.py", line 220, in exit
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server self.force_reraise()
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server File "/usr/lib/python2.7/dist-packages/oslo_utils/excutils.py", line 196, in force_reraise
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server six.reraise(self.type_, self.value, self.tb)
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server File "/usr/lib/python2.7/dist-packages/cinder/backup/manager.py", line 402, in create_backup
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server updates = self._run_backup(context, backup, volume)
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server File "/usr/lib/python2.7/dist-packages/cinder/backup/manager.py", line 472, in _run_backup
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server backup_device.is_snapshot)
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server File "/usr/lib/python2.7/dist-packages/cinder/backup/manager.py", line 1033, in _attach_device
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server return self._attach_volume(ctxt, backup_device, properties)
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server File "/usr/lib/python2.7/dist-packages/cinder/backup/manager.py", line 1055, in _attach_volume
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server {'volume_id', volume.id})
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server File "/usr/lib/python2.7/dist-packages/oslo_utils/excutils.py", line 220, in exit
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server self.force_reraise()
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server File "/usr/lib/python2.7/dist-packages/oslo_utils/excutils.py", line 196, in force_reraise
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server six.reraise(self.type_, self.value, self.tb)
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server File "/usr/lib/python2.7/dist-packages/cinder/backup/manager.py", line 1044, in _attach_volume
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server return self._connect_device(conn)
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server File "/usr/lib/python2.7/dist-packages/cinder/backup/manager.py", line 1085, in _connect_device
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server vol_handle = connector.connect_volume(conn['data'])
ndaemonv
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server File "/usr/lib/python2.7/dist-packages/os_brick/utils.py", line 137, in trace_logging_wrapper
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server return f(*args, **kwargs)
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server File "/usr/lib/python2.7/dist-packages/os_brick/initiator/connectors/rbd.py", line 200, in connect_volume
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server rbd_handle = self._get_rbd_handle(connection_properties)
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server File "/usr/lib/python2.7/dist-packages/os_brick/initiator/connectors/rbd.py", line 116, in _get_rbd_handle
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server keyring)
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server File "/usr/lib/python2.7/dist-packages/os_brick/initiator/connectors/rbd.py", line 91, in _create_ceph_conf
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server user)
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server File "/usr/lib/python2.7/dist-packages/os_brick/initiator/connectors/rbd.py", line 82, in _check_or_get_keyring_contents
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server raise exception.BrickException(msg=msg)
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server BrickException: An unknown exception occurred.
2019-10-25 11:39:06.090 3065 ERROR oslo_messaging.rpc.server
кирилл
Artemy
Там в брике аутентификация гвоздями прибита емнип.
ndaemonv
https://pastebin.com/tiCCxDbk
Nick
У кого-нибудь был опыт сесурити аудита собственных облаков на опенстеке? Подскажите с чего вообще начинать, какие есть актуальные источники инфы
Artemy
Нанимаешь фирму, они тебе всё в процессе теста ломают (ты седеешь), дают отчет - ты его читаешь, хватаешься за голову с криками "аааа, сделайте мне развидеть это и разделать это" и лысый (волосы которые ранее поседели выпали от ужаса при чтении отчета) увольняешься и идешь в дворники.
Tamerlan
всем привет
по ссылке сгенерированной командой nova get-vnc-console 123-1 novnc получаю ошибку 1006
в логах nova-novncproxy ошибка "InvalidToken: The token 'xxxxxx' is invalid or has expired"
мемкэш подключен, да и реплика одна сейчас всех сервисов
что может быть и куда копать?
релиз квинс
Tamerlan
в общем сосноль не работает. все сервисы подняты и ошибок в логах не замечаю (кроме ругани на токены)
J
У кого-нибудь был опыт сесурити аудита собственных облаков на опенстеке? Подскажите с чего вообще начинать, какие есть актуальные источники инфы
Почитай для начала hardening плейбуки, которые в openstack-ansible используются. Может есть и документация какая-т там, но я не вникал. Я обалдел тогда, помню, и озверел от того чо там наверчено и выключил)
Dmitry
У кого-нибудь был опыт сесурити аудита собственных облаков на опенстеке? Подскажите с чего вообще начинать, какие есть актуальные источники инфы
https://habr.com/ru/company/mailru/blog/463897/
Dmitry
У кого-нибудь был опыт сесурити аудита собственных облаков на опенстеке? Подскажите с чего вообще начинать, какие есть актуальные источники инфы
вот хорошая компания -) в процессе еще и приложат что-нибудь (сделают тебя лучше) 🙂
Dmitry
ну и подобный аудит невозможен без изучения и проверки возможностей api
J
https://habr.com/ru/company/mailru/blog/463897/
Да ну все кроме пятого про веб приложуху так или иначе.
Igor
Да ну все кроме пятого про веб приложуху так или иначе.
Точнее, не веб приложуха, а api. А это та точка, которую ломать будут в первую очередь.
J
Точнее, не веб приложуха, а api. А это та точка, которую ломать будут в первую очередь.
Одна хуйня. Не имеет смысла отдельять web ui от api.
Кароч, аудит не платформы, а мейлрушного приложения, которое всем рулит.
Igor
Одна хуйня. Не имеет смысла отдельять web ui от api.
Кароч, аудит не платформы, а мейлрушного приложения, которое всем рулит.
Вообще-то api - это horizon.
Мэйлрушечное приложение работает через это api.
Tamerlan
Вообще-то api - это horizon.
Мэйлрушечное приложение работает через это api.
откуда информация?
Tamerlan
каждый сервис предоставляет свой API. логичнее напрямую к ним ходить, чем через горизон
J
Вообще-то api - это horizon.
Мэйлрушечное приложение работает через это api.
horizon это веб интерфейс)
А api у каждого опенстековского сервиса свой.
J
Тут провели аудит самописного web gui + его потрохов + его api, который дергает уж опенстековские.
Igor
horizon это веб интерфейс)
А api у каждого опенстековского сервиса свой.
Ну, я про api для клиентов.
Igor
public endpoint каждого сервиса это api для клиентов)
Да, вы правы. наружу торчат publick endpoint'ы сервисов. Вот их и будут атаковать в первую очередь.
Dmitry
Одна хуйня. Не имеет смысла отдельять web ui от api.
Кароч, аудит не платформы, а мейлрушного приложения, которое всем рулит.
С чего так решили, там вроде написано что проверяли прямо списком? Там кроме вебки и апи куча всего в скопе было. Просто на них обычно самые показательные находки
J
С чего так решили, там вроде написано что проверяли прямо списком? Там кроме вебки и апи куча всего в скопе было. Просто на них обычно самые показательные находки
С того что в статье не написано про аудит API сервисов опенстека.
Мож тут есть кто из DSec, расскажут.
Dmitry
Dmitry
Я это принимал
Dmitry
а мы от этого страдали
Aleksey
Tamerlan
у кого horizon в контейнере собранном через kolla, как вы включали поддержку heat?
J
у кого horizon в контейнере собранном через kolla, как вы включали поддержку heat?
Пересобирали, наверное.
Jain
у кого horizon в контейнере собранном через kolla, как вы включали поддержку heat?
просто в конфиге globals.yaml включал его. и деплоил заного
Tamerlan
я просто колой собираю
J
@gmorfy
Как будет время, расскажи, пожалуйста, подробнее как именно и что тестировали в пункте 5 из статьи с хабра:
>Анализ изоляции пользовательских сегментов на уровне сети. Для злоумышленника отсутствие изоляции значительно увеличивает поверхность атаки на других пользователей.
Evgenii
всем привет!
а кто-нибудь сталкивался с пробросом GPU nvidia в kvm-инстансы?
Evgenii
с какими видюшками получалось такое сделать, не подскажете?
Tamerlan
у кого horizon в контейнере собранном через kolla, как вы включали поддержку heat?
отвечаю сам себе: в контейнер нужно пробросить переменную ENABLE_HEAT в значении "yes"
скрипт extend_start.sh проверяет её наличие и если её нет выпиливает к хуям файлы дэшборда по пути /usr/share/openstack-dashboard/openstack_dashboard/local/enabled
Рамиль
всем привет!
а кто-нибудь сталкивался с пробросом GPU nvidia в kvm-инстансы?
Знаю что работает. grid m40.
Tamerlan
пасру по идее любую можно. если нужно виртуальные пробрасывать то смотрите в сторону тесла
Evgenii
у нас просто проблемка возникла, 1080 нормально работает, а вот 2080 TI и Titan не хочет заводиться от слова совсем
J
всем привет!
а кто-нибудь сталкивался с пробросом GPU nvidia в kvm-инстансы?
Я вот на той неделе только прокидывал RTX2080
Artem
пасру по идее любую можно. если нужно виртуальные пробрасывать то смотрите в сторону тесла
Я не вижу кроме приватного редхата поддержки проброса vgpu
Есть что почитать на эту тему?
Tamerlan
Я не вижу кроме приватного редхата поддержки проброса vgpu
Есть что почитать на эту тему?
https://docs.openstack.org/nova/rocky/admin/virtual-gpu.html
Tamerlan