https://docs.openstack.org/nova/rocky/admin/virtual-gpu.html

👍

какие ошибки?

nvidia-smi Unable to determine the device handle for GPU 0000:00:07.0: Unknown Error

при этом модуль nvidia загружен, modinfo - все норм

nvidia-smi Unable to determine the device handle for GPU 0000:00:07.0: Unknown Error

А, так эт.

да да

нвидиа в драйверах определяет что запущено в виртуалке.

да, об этом я уже догадался

@gmorfy Как будет время, расскажи, пожалуйста, подробнее как именно и что тестировали в пункте 5 из статьи с хабра: >Анализ изоляции пользовательских сегментов на уровне сети. Для злоумышленника отсутствие изоляции значительно увеличивает поверхность атаки на других пользователей.

Привет. Технически наверное не очень подскажу как это выглядело, например какими средствами конкрентно. Но задача была получить доступ к пользовательскому трафику, который тебе не предназначен. Как внутри приватных сетей, так и на периметре. То есть коллеги поднимали виртуалки и пытались что-то с них из других виртуалок и проектов.

нвидиа в драйверах определяет что запущено в виртуалке.

сделать с этим что-нибудь можно?

сделать с этим что-нибудь можно?

Да, добавляй img_hide_hypervisor_id=true в метаданные образов.

мммм, спасибо! ща попробую

https://gist.github.com/claudiok/890ab6dfe76fa45b30081e58038a9215 Вот тут норм расписано.

Привет. Технически наверное не очень подскажу как это выглядело, например какими средствами конкрентно. Но задача была получить доступ к пользовательскому трафику, который тебе не предназначен. Как внутри приватных сетей, так и на периметре. То есть коллеги поднимали виртуалки и пытались что-то с них из других виртуалок и проектов.

а они/вы не пробовали CPU shortage родить ? у вас наверняка детект стоит на 100% CPU Usage ? т.е. родить штук 50 ВМок каждая жрет по 40% CPU что бы вызвать Cpu Steal у соседей ?

а они/вы не пробовали CPU shortage родить ? у вас наверняка детект стоит на 100% CPU Usage ? т.е. родить штук 50 ВМок каждая жрет по 40% CPU что бы вызвать Cpu Steal у соседей ?

Или, если включен KSM похищать данные соседних виртуалок на хосте через rowhammer)

а они/вы не пробовали CPU shortage родить ? у вас наверняка детект стоит на 100% CPU Usage ? т.е. родить штук 50 ВМок каждая жрет по 40% CPU что бы вызвать Cpu Steal у соседей ?

Ну вообще говоря, в обнаружение проблем по ухудшению качества обслуживания мы не целились при аудите, если про это вопрос. Глобальная задача была получить доступ к данным пользователей, KVM был тоже в скопе аудита.

Да, добавляй img_hide_hypervisor_id=true в метаданные образов.

да, вот так вот вполне прокатило

а теперь странный вопрос, может ли где бомбануть, если я добавлю это в методанные для образа, который накатывает и обычные виртуалки, без проброса GPU?

а теперь странный вопрос, может ли где бомбануть, если я добавлю это в методанные для образа, который накатывает и обычные виртуалки, без проброса GPU?

Нет.

Наоборот, может помочь с софтом который не хочет в виртуальной машине работать.

о, благодарю

прив

когда в россии интернет локальным сделают

желательно дату точную

+какие регионы окажутся 1выми

когда в россии интернет локальным сделают

Никогда не сделают, никакие не окажутся. А почему ты в этом чате спрашиваешь?

да просто поц написал ваш чат

спроси мол там

а про КДЕ и патчи он тебя сюда не отправлял?

не

коллеги, полдня уже ломаю голову

никто не сталкивался с подобной проблемой?

я чет уже хз откуда он этот non-ascii берет

я надеялся что уже не увижу такого треша

я надеялся что уже не увижу такого треша

не ты один =)

ну во второй строке bdsm прям в тему 😄

а ты инстанс как назвал?

а ты инстанс как назвал?

test

я уже все грепнул на нон ascii

если ток схд че плюнула в базу

Интересный подход к логотипу Redhat. Наверное у них прачка бежит на Openstack

а про КДЕ и патчи он тебя сюда не отправлял?

😄

Бывает в дебаге, выводится чуть больше информации не на том языке ;)

Бывает в дебаге, выводится чуть больше информации не на том языке ;)

да из-за ётого основную ошибку и промаргали =)

и убивает тебе дебаг

ооо, моя оборона) был случай, когда при включении дебага в лог постился список вмок. и там в нове был косяк со склейкой аскии и юникод строк и на том падало

воркараунд - въебать в питонятину, на которой падает, херню про то,что юзать юникод по дефолту

в нове и хуилометре ловил это говно

и убивает тебе дебаг

Нет

Всех приветствую, поднимаю дефолтный стек, все с основной доки на openstack.org, но сеть хочу сделать на отдельных двух нодах (для отказоустойчивости). Поскольку был опыт с построением сетевых нод на ovs, но сейчас хочу попробовать именно linuxbridge, поскольку по сети более сложных реализаций не будет, но не совсем понятен момент с тем нужно ли мне ставить агент линукс бриджа на контроллерах? Еще у тех у кого был опыт развёртывания rocky на дебиан buster. Это норма, что neutron-server не имеет unit'a в systemd? Только neutron-api и neutron-rpc. Последний раз занимался опенстеком на centos, rdo ocata и там юнит под neutron-server был, без каких-либо api/rpc.

Да нужен, у тебя в техже сетях будет dhcp agent

Да нужен, у тебя в техже сетях будет dhcp agent

зачем dhcp на тех же нетворках

Ээ а как получать ip в вм?

Ээ а как получать ip в вм?

внезапно они на нетворк ноды сходят за dhcp

если выделенный нетворк то dhcp логично там держать

И по какому уровню они сходят?

И по какому уровню они сходят?

не важно

какая разница dhcp namespace у тебя на нетворке или на контроле?

Я че пропустил выделенные ноды под нетворк

Я че пропустил выделенные ноды под нетворк

Получается все же не нужен агент на контроллерах, ок. Да, dhcp, metadata, l3 и linuxbridge будет на отдельных нодах.

А по поводу юнита в системд, кто-нибудь что-нибудь знает? Это с какого-то релиза пошло разделение на neutron-api/rpc? Я конечно могу свой юнит сделать, но насколько это необходимо пока еще не знаю, поскольку облако только в процессе развёртывания.

А по поводу юнита в системд, кто-нибудь что-нибудь знает? Это с какого-то релиза пошло разделение на neutron-api/rpc? Я конечно могу свой юнит сделать, но насколько это необходимо пока еще не знаю, поскольку облако только в процессе развёртывания.

я не подскажу тут точно у нас центос головного мозга

На центосе нет разделение юнитов нейтрона?

неа

А какой релиз?

У меня была ранее оката на центосе, там не было тоже, но мб в новых релизах так сделали

все до стейна, трейн не щупал

всем здравствуйте

помогите настроить cinder-backup блочный устройств размещенных на цефе в свифт?)

получаю вот такую ерунду

https://pastebin.com/y6mmNT9K

не могу понять что за дрянь

все остальное работет себе нормально, и цеф, и свифт, и синдер диски создаются инстансы запускаются, контейнеры работают файлы загружаются скачиваются. Опенстек queens

Проверь что аутентификация работает из под синдера. У тебя оно завалилось пытаясь получить кейринг

аутентификация с синдера в свифт?

аутентификация с синдера в свифт?

Не, мне кажется, там у Ceph пользователя которого использует cinder-backup не хватает прав на работу с пулом где диски лежат.

аутентификация с синдера в свифт?

С синдера в сеф

хм возможно, я как то об этом не думал, ведь синдер с дискми работает и создает и удаляет и снимки ляпает

хм возможно, я как то об этом не думал, ведь синдер с дискми работает и создает и удаляет и снимки ляпает

Если не настраивал параметры типа backup_ceph_чо-то-там, то по-умолчанию cinder-backup должен бы использовать того же самого пользователя что и cinder-volume.