« Rev
@openstack_ru   495
Fwd »


Pavel
да сам ironic сказал ok
Dmitry
Эммммм. Ну ок так ок? :D
Dmitry
Можешь мне скинуть релевантный кусок логов? От начала до конца деплоя?
Pavel
ща
Pavel
нужно все или только ipa?
Dmitry
Из своего железа
Dmitry
нужно все или только ipa?
Если можно, и conductor, и ipa
Pavel
скинул. там все попытки за cегодня с 8 и 7 ipa
Dmitry
Так, отлично. Это образ убунты, да? У них походу раздел ESP не помечен как ESP..
Pavel
- local_loop: name: image0 size: 238GB - partitioning: base: image0 label: gpt partitions: - name: ESP type: 'EF00' size: 512MiB mkfs: type: vfat mount: mount_point: /boot/efi fstab: options: "defaults" fsck-passno: 1 - name: boot size: 512MiB type: 'EF02' mkfs: type: ext4 mount: mount_point: /boot fstab: options: "defaults" fsck-passno: 1 - name: lvm_data type: '8e00' size: 100%
Pavel
если его не поментить то вообще жопа будет
Pavel
да бубунта
Dmitry
Ага, это твой образ? Я не знаю как, но надо для него флаг 'esp' поставить.
Dmitry
А ещё я думал, что еду кукухой, но нет, мы действительно игнирируем ошибки при попытке установить grub для whole disk images.
Pavel
да мой. вот выше флаг стоит
Pavel
type: 'EF00'
Dmitry
ага. так, понятно, на GPT boot == esp. Ща запилю патч.
J
Из своего железа
Надеюсь, не мешаю) А в каком железе кроме собственных серверов и материнских плат они могут всех заставить использовать uefi вместо обычного bios boot?
Dmitry
Во всём, где есть их чипсеты, подозреваю
J
Во всём, где есть их чипсеты, подозреваю
А как это техническими средствами сделать? Я не представляю. Разве что опять, как у них принято. Тому на лапу дать этого запугать чтоб не использовали биосы с возможностью обычной загрузки...
Dmitry
Так, патч есть https://review.opendev.org/#/c/720184/
Dmitry
да сам ironic сказал ok
Тогда можешь просто игнорировать это ошибки, пока мы не починим.
Pavel
Да
Dmitry
Проблему с токеном и старым ironic воспроизвёл, буду вдуплять
Dmitry
окей, это ОЧЕНЬ тупо. исправлю.
J
Слушайте, ребята, а раз про ironic сегодня) disk_erase_concurrency в ironic.conf не влияет на количество одновременно запускаемых ATA Secure Erase? Щас запустил очистку на сервере с кучей 8Тб дисков и вижу что агент собрался их по одному затирать, похоже. У меня нету лишней недельки чтоб ждать)
J
Хм, по коду должно учитываться значение этого параметра.
Pavel
я не чищу. я даже отключил у себя очистку. мне долго чистить. да и диск у меня один
J
я не чищу. я даже отключил у себя очистку. мне долго чистить. да и диск у меня один
Эт все хорошо и понятно. Но клиенты доверяют тебе и эт как минимум вежливо - сделать так чтоб после того как сервером закончили пользоватся данные клиента нельзя было прочесть с дисков.
Pavel
у меня все на FC
J
у меня все на FC
И данные клиентов никто не затирает) Ни shred ни ata secure erase Ни dd. Так что ли?)
Pavel
они на полке отдельной лежат это не моя задача пока
Andrey
И данные клиентов никто не затирает) Ни shred ни ata secure erase Ни dd. Так что ли?)
по хорошему это задача СХД, каждому клиенту же новый LUN нарезается ?
J
Должен влиять. Плюс ATA secure erase почти мгновенный, у тебя, видимо, fallback на обычный shred.
Нет. secure_erase мгновенный там где диски с шифрованным содержимым. Там где содержимое не шифровалось вместо того чтобы просто удалить ключ диск начнет сам себя нулями забивать.
Dmitry
ммм, да, я об этом не подумал
J
ммм, да, я об этом не подумал
Мало того, неприятная хренотень в том что если пароль на диске не стоит, то агент, как я щас мельком увидел, чо-то там хуевертит и ставит пустой пароль. Логичнее в этом случае сразу переходить к shred, мне кажется.
J
А разве некоторые не обнуляют просто FTL?
Наверное, многие ссд так и делают) А механические не могут, они по-старинке.
George
Наверное, многие ссд так и делают) А механические не могут, они по-старинке.
а, я что-то в контексте ATA secure erase сразу про ssd подумал)
J
а, я что-то в контексте ATA secure erase сразу про ssd подумал)
Ну вот, видишь. Я сначала просто спросил, а теперь вижу тут даже проблему. На ssd все просто в этом плане, а на нешифрованных hdd secure erase вообще мало смысла имеет. Он скорее всего окажется медленнее чем shred или dd.
Dmitry
[deploy]enable_ata_secure_erase=False тогда? :)
Jain
Хорошо вам диски можете тереть и дальше кастомерам отдавать. Нам все ссд и нвме диски уничтожать с сертификатом приходиться. Даже в тихую стащить нельзя :(
Jain
Тоже. Они ещё раз в год в ДЦ приходят. Гладят свои сервера ...
Jain
Кто видел как сжигают 200кг 6.4тб нвме диски. В цирке больше не смеётся
Dmitry
Я уже в цирке не смеюсь, можно мне видео? :)
J
Кто видел как сжигают 200кг 6.4тб нвме диски. В цирке больше не смеётся
На кой хрен это надо то) Эт какие-то протоколы из шестидесятых годов от дядек которые последний раз компуктер видели когда еще мониторы были пузатыми и зелеными или янтарными)
J
Хотя, всякие безопасники больные ж на голову. Я всякие истории слышу про них)
Jain
Давычто. Их так охраняли какбудтобы там блупринты звёзды смерти были. Видео там где-то есть. Но точно не для техников.
Jain
Хотя, всякие безопасники больные ж на голову. Я всякие истории слышу про них)
Эт как раз от безопастников пришли. Типа перезаписываемые 0ми и 1цами или затирание через апи самой нвмшки ничего не даст. Из за встроенного лоад балансера на контроллерах
J
Эт как раз от безопастников пришли. Типа перезаписываемые 0ми и 1цами или затирание через апи самой нвмшки ничего не даст. Из за встроенного лоад балансера на контроллерах
Ну так для таких целей по-моему даже железки есть. Втыкаешь в неё диск и там без всякого контроллера либо secure erase запускается либо оно в несколько проходов делает shred.
Jain
Те сервера откуда их вытаскивали даже доступа в сеть не имеют. Они свой кабель в ДЦ проложили. :)
J
[deploy]enable_ata_secure_erase=False тогда? :)
Слушай, а ironic то у меня 11.1.1.dev46 C rocky еще. Эт агент свежий только)
J
Те сервера откуда их вытаскивали даже доступа в сеть не имеют. Они свой кабель в ДЦ проложили. :)
Не иначе как чтоб уж точно злоумышленникам было удобнее трафик снимать с него)
Jain
Через оптоволокно немного сложно не будет без прорыва кабеля. Ну хз. Как бы а каждом кастомере беспокоиться это дорога прямиком в бутыль.
Aleksey
Но возможно) Но да, бутыль то тут рядом и стоит.
у меня за месяц пол бутыля ушло 😔
J
у меня за месяц пол бутыля ушло 😔
Эт еще ничо, вроде) Хотя смотря чо там за размер.
Андрей Федюнин
народ, нид хэлп. создаю тачку через heat, дальше докидываю через него же вольюм, и либвирт очень странно отрабатывает, почему то детачит второй вольюм 2020-04-16 09:12:47.569+0000: 373538: info : qemuMonitorIOWrite:551 : QEMU_MONITOR_IO_WRITE: mon=0x7f738c014960 buf={"execute":"__com.redhat_drive_add","arguments":{"file":"rbd:pool_name/volume-XXXXXXXX:id=pool_name:auth_supported=cephx\\;none:mon_host=mon_ip1\\;mon_ip2\\;mon_ip3","file.password-secret":"virtio-disk1-secret0","format":"raw","id":"drive-virtio-disk1","serial":"XXXXXXXXX","cache":"none","discard":"unmap","throttling.iops-total":"300"},"id":"libvirt-25"} len=477 ret=477 errno=0 2020-04-16 09:12:47.611+0000: 373538: info : qemuMonitorJSONIOProcessLine:217 : QEMU_MONITOR_RECV_REPLY: mon=0x7f738c014960 reply={"return": {}, "id": "libvirt-25"} 2020-04-16 09:12:47.611+0000: 373570: info : qemuMonitorSend:1083 : QEMU_MONITOR_SEND_MSG: mon=0x7f738c014960 msg={"execute":"device_add","arguments":{"driver":"virtio-blk-pci","scsi":"off","bus":"pci.6","addr":"0x0","drive":"drive-virtio-disk1","id":"virtio-disk1","write-cache":"on"},"id":"libvirt-26"} fd=-1 2020-04-16 09:12:47.619+0000: 373538: info : qemuMonitorJSONIOProcessLine:217 : QEMU_MONITOR_RECV_REPLY: mon=0x7f738c014960 reply={"return": {}, "id": "libvirt-26"} 020-04-16 09:12:57.224+0000: 373538: info : qemuMonitorIOWrite:551 : QEMU_MONITOR_IO_WRITE: mon=0x7f738c014960 buf={"execute":"__com.redhat_drive_del","arguments":{"id":"drive-virtio-disk1"},"id":"libvirt-28"} len=96 ret=96 errno=0 в логах новы есть только действие по аттачу, не пойму откуда на детач прилетает команда. После хард ребута все работает норм оба вольюма подключены. релиз queens (kolla)
Anton
Подскажите, пожалуйста по вопросу: https://qna.habr.com/q/752197
Aleksey
бьюсь над такой же проблемой. Видимо проблема с cloud-init. как только сменил imge c Centos 7.6 на Centos 7.7 проблема исчезла.
у меня была проблема с включенным кешом на стороне neutron-metadata-agent. После его отключения проблема пропала
Stanislav
у меня была проблема с включенным кешом на стороне neutron-metadata-agent. После его отключения проблема пропала
а ты просто закоментил "memcache_servers" в metadata-agent.ini и neutron.conf, или же какой другой параметер?
Aleksey
но опять же тут вопрос, та же ошибка у тебя?
Aleksey
метаданные вообще с ВМ доступны?
Stanislav
[cache] enabled = false
#enabled = false , я так понимаю по дефолту он включен
Stanislav
но опять же тут вопрос, та же ошибка у тебя?
в логах вижу что комуникация с Метадатой начинается спустя 5 минут после того как агент стартанул на компюте
Stanislav
и если перегрузит инстанс то все работает
Stanislav
так же если флотинг подключать то будет сразу работать
Aleksey
посмотри вывод консольных логов, у него получается сходить на 169.254 ?
Stanislav
посмотри вывод консольных логов, у него получается сходить на 169.254 ?
нет, он пытается достучаться 3 раза по 120 сек, и потом отваливается по таймаутам, но в метадата логах вижу что первые запросы приходят спустя 5 минут после того как агент запушен
Aleksey
нет, он пытается достучаться 3 раза по 120 сек, и потом отваливается по таймаутам, но в метадата логах вижу что первые запросы приходят спустя 5 минут после того как агент запушен
короче, у тебя на l3-agent должен быть neutron-metadata-agent и как я понимаю у тебя через GW(роутер) идет проксирование запросов(с обогащением хедеров), в nova-metadata. Так что смотри кто у тебя мандит
Aleksey
а ещё на dhcp-agent может быть :)) смотря что настроено
это если у тебя без ГВ и enable_isolated_metadata = True
« Rev
@openstack_ru   495
Fwd »