« Rev
@openstack_ru   524
Fwd »


Fedor
страшная вещь)
J
Откат выглядеть должен так: Поменял в базе версию схемы Поменял systemd юниты чтоб указывали на venv нужной версии Перезапустил.
J
Все, ты король)
Fedor
Все, ты король)
главное потом плейбуки не перепутать)) но достаточно здраво
J
Правда, если схема базы ОЧЕНЬ сильно поменялась, скорее всего, не прокатит такое. Но не слыхал и не видал такого.
NS 🇷🇺
Все, ты король)
чета сильно сомнваюсь =)
J
чета сильно сомнваюсь =)
Ну, я так делал, но не со всеми сервисами сразу.
Fedor
мне к-а понравилась доработками в опенстек, очень просто доносить любые изменения
Fedor
разрабов теперь не удержать))
NS 🇷🇺
Ну, я так делал, но не со всеми сервисами сразу.
я думаю там не было откатов в сторону митаки и более ранних релизов
Fedor
я думаю там не было откатов в сторону митаки и более ранних релизов
базу забекапил, с остальным сношаешься или ставишь с нуля. может и были)
J
я думаю там не было откатов в сторону митаки и более ранних релизов
Конечно нет. Поэтому и говорю что если перепрыгнуть через пяток релизов, то вряд ли сработает.
Fedor
да проще завления на стол и гуляй маруся =)
ну это по молодости, потом слава будет идти вперёд тебя
Fedor
так что или восстанавливать, или в эмиграцию))
NS 🇷🇺
ну это по молодости, потом слава будет идти вперёд тебя
да чет уже давно не молод и пережил не один апгрейд 😄
NS 🇷🇺
ну так чинил небось?
да бывало стреляло - но не так страшны апгрейды, как смена организации сети
Pavel
Кто и как логи тащит из попенстека. нито в json не тянет?
J
Получается в более-менее структурированном виде.
Jain
+1 fluentbut, elastic. Алерты через icigna2 и пром.
Jain
NS 🇷🇺
requaments.txt все зависимости выполнил?
Да я понял где залет, осталось починить
icinga
господа, а кто-нибудь использовал подобное в колле? https://docs.openstack.org/kolla/train/admin/image-building.html#additions-functionality
Tamerlan
+1 fluentbut, elastic. Алерты через icigna2 и пром.
по каким паттернам алерты высылаются?
Jain
Коллеги простой Up/down мониторинг настроили. Без всякой сложной логики. +Стандартные алерты для Ceph. Elasticsearch чисто для поисков проблем когда "что-то работает не так"
Jain
+rabbit. Чекаються очереди и их заполнения/отработка
Alexander
апгдрейд в kolla-ansible есть. работает даже. апгрейд train->ussuri прошед успешно
хм. хотел спросить. в kolla-ansible ussuri видел что убрали деплой ceph, остался только external. проблем не было?
Jain
В "проде" и так только external. Дома был в контах от коллы. Они тоже проапргрейдились. А вообще ничего немешает сделать свои. Это всеголиш сеф
Alexander
ок
Anonymous
а имеет значение какая версия докера стоит, если я раскатываю через коллу релиз queens?
Jain
попробуйте если не будет работать напишите тут
icinga
а имеет значение какая версия докера стоит, если я раскатываю через коллу релиз queens?
ставили и дефолтный, и "свежий" - одинаково работало вроде
Anonymous
пари при чеке получаю такую ошибку: TASK [haproxy : Checking if kolla_internal_vip_address and kolla_external_vip_address are not pingable from any node] ******************************************************************************************************************************************************************************************************* failed: [localhost] (item={u'command': u'ping', u'address': u'10.10.10.10'}) => {"ansible_loop_var": "item", "changed": false, "cmd": ["ping", "-c", "3", "10.10.10.10"], "delta": "0:00:02.005432", "end": "2020-07-09 10:16:12.942077", "failed_when_result": true, "item": {"address": "10.10.10.10", "command": "ping"}, "rc": 0, "start": "2020-07-09 10:16:10.936645", "stderr": "", "stderr_lines": [], "stdout": "PING 10.10.10.10 (10.10.10.10) 56(84) bytes of data.\n64 bytes from 10.10.10.10: icmp_seq=1 ttl=64 time=0.065 ms\n64 bytes from 10.10.10.10: icmp_seq=2 ttl=64 time=0.046 ms\n64 bytes from 10.10.10.10: icmp_seq=3 ttl=64 time=0.038 ms\n\n--- 10.10.10.10 ping statistics ---\n3 packets transmitted, 3 received, 0% packet loss, time 1999ms\nrtt min/avg/max/mdev = 0.038/0.049/0.065/0.013 ms", "stdout_lines": ["PING 10.10.10.10 (10.10.10.10) 56(84) bytes of data.", "64 bytes from 10.10.10.10: icmp_seq=1 ttl=64 time=0.065 ms", "64 bytes from 10.10.10.10: icmp_seq=2 ttl=64 time=0.046 ms", "64 bytes from 10.10.10.10: icmp_seq=3 ttl=64 time=0.038 ms", "", "--- 10.10.10.10 ping statistics ---", "3 packets transmitted, 3 received, 0% packet loss, time 1999ms", "rtt min/avg/max/mdev = 0.038/0.049/0.065/0.013 ms"]} failed: [localhost] (item={u'command': u'ping', u'address': u'10.10.10.10'}) => {"ansible_loop_var": "item", "changed": false, "cmd": ["ping", "-c", "3", "10.10.10.10"], "delta": "0:00:02.007325", "end": "2020-07-09 10:16:15.135012", "failed_when_result": true, "item": {"address": "10.10.10.10", "command": "ping"}, "rc": 0, "start": "2020-07-09 10:16:13.127687", "stderr": "", "stderr_lines": [], "stdout": "PING 10.10.10.10 (10.10.10.10) 56(84) bytes of data.\n64 bytes from 10.10.10.10: icmp_seq=1 ttl=64 time=0.046 ms\n64 bytes from 10.10.10.10: icmp_seq=2 ttl=64 time=0.048 ms\n64 bytes from 10.10.10.10: icmp_seq=3 ttl=64 time=0.048 ms\n\n--- 10.10.10.10 ping statistics ---\n3 packets transmitted, 3 received, 0% packet loss, time 1999ms\nrtt min/avg/max/mdev = 0.046/0.047/0.048/0.005 ms", "stdout_lines": ["PING 10.10.10.10 (10.10.10.10) 56(84) bytes of data.", "64 bytes from 10.10.10.10: icmp_seq=1 ttl=64 time=0.046 ms", "64 bytes from 10.10.10.10: icmp_seq=2 ttl=64 time=0.048 ms", "64 bytes from 10.10.10.10: icmp_seq=3 ttl=64 time=0.048 ms", "", "--- 10.10.10.10 ping statistics ---", "3 packets transmitted, 3 received, 0% packet loss, time 1999ms", "rtt min/avg/max/mdev = 0.046/0.047/0.048/0.005 ms"]}
Anonymous
all-in-one ставлю
Anonymous
отключить haproxy в global?
Anonymous
если haproxy отключаю в global.cfg и пытаюсь деплоить
Anonymous
RUNNING HANDLER [mariadb : Creating haproxy mysql user] ********************************************************************************************************************************************************************************************************************************************************************* task path: /usr/share/kolla-ansible/ansible/roles/mariadb/handlers/main.yml:51 <localhost> ESTABLISH LOCAL CONNECTION FOR USER: root <localhost> EXEC /bin/sh -c 'echo ~root && sleep 0' <localhost> EXEC /bin/sh -c '( umask 77 && mkdir -p " echo /root/.ansible/tmp "&& mkdir /root/.ansible/tmp/ansible-tmp-1594305024.48-25646-48085060963016 && echo ansible-tmp-1594305024.48-25646-48085060963016=" echo /root/.ansible/tmp/ansible-tmp-1594305024.48-25646-48085060963016 " ) && sleep 0' Using module file /usr/share/kolla-ansible/ansible/library/kolla_toolbox.py <localhost> PUT /root/.ansible/tmp/ansible-local-21238TE18Wq/tmptDwb2t TO /root/.ansible/tmp/ansible-tmp-1594305024.48-25646-48085060963016/AnsiballZ_kolla_toolbox.py <localhost> EXEC /bin/sh -c 'chmod u+x /root/.ansible/tmp/ansible-tmp-1594305024.48-25646-48085060963016/ /root/.ansible/tmp/ansible-tmp-1594305024.48-25646-48085060963016/AnsiballZ_kolla_toolbox.py && sleep 0' <localhost> EXEC /bin/sh -c '/usr/bin/python /root/.ansible/tmp/ansible-tmp-1594305024.48-25646-48085060963016/AnsiballZ_kolla_toolbox.py && sleep 0' <localhost> EXEC /bin/sh -c 'rm -f -r /root/.ansible/tmp/ansible-tmp-1594305024.48-25646-48085060963016/ > /dev/null 2>&1 && sleep 0' The full traceback is: WARNING: The below traceback may *not* be related to the actual failure. File "/tmp/ansible_kolla_toolbox_payload_9NKoVL/ansible_kolla_toolbox_payload.zip/ansible/modules/kolla_toolbox.py", line 174, in main File "/usr/lib64/python2.7/json/__init__.py", line 338, in loads return _default_decoder.decode(s) File "/usr/lib64/python2.7/json/decoder.py", line 366, in decode obj, end = self.raw_decode(s, idx=_w(s, 0).end()) File "/usr/lib64/python2.7/json/decoder.py", line 384, in raw_decode raise ValueError("No JSON object could be decoded") fatal: [localhost]: FAILED! => {
Anonymous
вот ошибку получаю, кто нибудь сталкивался?
Anonymous
msg": "Can not parse the inner module output: localhost | SUCCESS => {\n \"changed\": true, \n \"user\": \"haproxy\"\n}\n"
Anonymous
второй раз деплой запустил и прошло, все ли правильно установилось, вот в чем вопрос теперь.
Jain
для allinone на одном хосту нужо отключить haproxy и keepalived. перед деплоем проверяйте через check
Anonymous
Через check вроде все ок, но не могу создать базу, ошибка выше, haproxy keepalived отключены
Anonymous
может версии все такие ansible и docker определенные должны быть
Jain
посмотрите что делает роль mariadb и таск Creating haproxy mysql user. И сделайте тоже самое руками в базе. No JSON object could be decoded говорит что либо конфиг не правильный либо не тот обьект береться. проверте через -vvvv и через debug task в ансибле что туда и откуда передаёться
Anonymous
там проканало, со второго раза прошло, теперь не могу создать бзау keystone
Anonymous
The full traceback is: WARNING: The below traceback may *not* be related to the actual failure. File "/tmp/ansible_kolla_toolbox_payload_hzR9oG/__main__.py", line 174, in main output = json.loads(json_output) File "/usr/lib64/python2.7/json/__init__.py", line 338, in loads return _default_decoder.decode(s) File "/usr/lib64/python2.7/json/decoder.py", line 366, in decode obj, end = self.raw_decode(s, idx=_w(s, 0).end()) File "/usr/lib64/python2.7/json/decoder.py", line 384, in raw_decode raise ValueError("No JSON object could be decoded") fatal: [localhost -> localhost]: FAILED! => { "changed": false, "invocation": { "module_args": { "api_version": "auto", "module_args": { "login_host": "10.10.10.10", "login_password": "Jfy0WpmMORgqXTNbywoIUmBm3kQeAcrcS5LgBCoG", "login_port": "3306", "login_user": "root", "name": "keystone" }, "module_extra_vars": null, "module_name": "mysql_db", "timeout": 180, "user": null } }, "msg": "Can not parse the inner module output: localhost | SUCCESS => {\n \"changed\": false, \n \"db\": \"keystone\"\n}\n"
Я и твой кот
@Night_Snake привет.
NS 🇷🇺
коллеги, а есть ли адекватные сопособы шифровать пароли в openrc или clouds.yaml файлах?
NS 🇷🇺
Самый надежный - не хранить их там)
ну это прям попахивает новизной =) но для автоматизации так себе вариант =)
J
ну это прям попахивает новизной =) но для автоматизации так себе вариант =)
Ну а какое волшебное решение ты хочешь? В keystone можно по сертификатам авторизацию настроить или хранить пароли в hashi vault.
J
Все равно так или иначе придется иметь дело с секретами какими-то незашифрованными.
NS 🇷🇺
Все равно так или иначе придется иметь дело с секретами какими-то незашифрованными.
это все понятно, но когда у тебя один секрет расшифровывает все небходимое - это одно, а другое это когда к каждому облаку или тенанту ты разное вводишь
NS 🇷🇺
gpg? :)
NS 🇷🇺
понятно вобщем, придеться изобразить врапер =)
NS 🇷🇺
Ну тогда hashicorp vault или любую другую подобную фигню возьми.
да я выше как раз написал, что врапер и обмазываться волтами
Я и твой кот
Ну или по клиентским сертификатам.
NS 🇷🇺
Kerberos жи есть.
это хорошо когда ты одмин облака =) а когда тебе дали логопас и жри как хочешь =)
Я и твой кот
По сертам? Это pki токены что ли?
Клиентские сертификаты x.503
Я и твой кот
А, пардон, вопрос не мне был.
Tamerlan
о, есть barbican ещё
Tamerlan
о, есть barbican ещё
хотя обёртку тоже требует
Aleksey
Угу.
Таки их задеприкейтили ещё в митаке. Или есть что-то новое?
Pavel
Всем привет! Нужны инженеры OpenStack средне-высокого уровня, если интересно - можно поприсылать резюме мне в личку. Вилка обсуждаемая
Pavel
Инженеры попенстека уже на вес золота. в девопс джобс их как единорогов и ищут.
Fox
а попенстек вообще как живет? как у клиента прибил, так и живу спокойно)))
« Rev
@openstack_ru   524
Fwd »