« Rev
@openstack_ru   568
Fwd »


Pavel
может это VIP для всего стека?
Илья | 😶☮️🐸
он его ИП не захавал а поставил все на один сервер
так там может внутренняя сеть, а через порты натится ?
Eugen
в своё время у меня был вот такой минимум действий: # yum install -y openstack-packstack # packstack --gen-answer-file /root/answers.txt # vi /root/answers.txt CONFIG_NTP_SERVERS=0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org CONFIG_CONTROLLER_HOST=192.168.0.40 CONFIG_COMPUTE_HOSTS=192.168.0.41,192.168.0.42 CONFIG_NETWORK_HOSTS=192.168.0.40 CONFIG_STORAGE_HOST=192.168.0.41,192.168.0.42 # packstack --answer-file /root/answers.txt у тебя похожее?
Dmitry
так запускалось много иаас платформа/провайдеров
Dmitry
все ок
Eugen
Этим Альбертом Энштейном был я
Eugen
а на компьют-ноды можно ходить по ssh беспарольно, на них отключен selinux ? Вообще на них самих что-либо установилось?
Aleksandr
Для человека с Патриком на аватарке вы задаете подозрительно много спорных вопросов
Eugen
А с CLI работает ?
Denis
а как же великолепная колла?
Aleksandr
ну тогда поднимите все руками, зачем вам вот это вот все (пакстэк?)
Илья | 😶☮️🐸
Привет Издалека подхожу к опенстаку (compute) и появился вопрос, а возможно ли для определённых flavor'ов делать комплект правил для фаерволла дефолтным ? Смена flavor'а у инстанса- ребилд правил для фаерволла. Реализуемо ли это средствами самого опенстака ?
Я и твой кот
Или, скажем так, более высокоуровневые оркестра.
Илья | 😶☮️🐸
Нет. Этим занимаются оркестраторы.
отдельный сервис, который будет работать с neutron ?
J
Отдельный сервис который будет работать одновременно и с nova и с neutron и со всем остальным. Или mistral или самописный демон\скрипт который будет слушать, скажем, нужный топик в rabbitmq и, увидев, ресайз (смену конфигурации) получит список портов сервера и к ним применит security group.
J
Говно будешь есть огроооомной ложкой.
Илья | 😶☮️🐸
А вам совершено случайно это для каких целей?
Грубо говоря, для одних flavor допускать возможность использования 25, 465 портов, а другим запрещать
Я и твой кот
Грубо говоря, для одних flavor допускать возможность использования 25, 465 портов, а другим запрещать
Heat template’ы вам не подойдут под это дело, случайно? Flavor – это свойства виртуалки. Фаервол – это отдельная сущность.
Илья | 😶☮️🐸
Heat template’ы вам не подойдут под это дело, случайно? Flavor – это свойства виртуалки. Фаервол – это отдельная сущность.
Глянул бегло что это такое, выглядит интересно. Но каждый шаблон писать под такое, как сейчас видится, будет тем ещё занятием
J
Глянул бегло что это такое, выглядит интересно. Но каждый шаблон писать под такое, как сейчас видится, будет тем ещё занятием
Ну есть и другие оркестраторы. А почему тебе не подходит при создании виртуалки или при ресайзе навешивать нужную группу? Мне кажется, сварганить такой двухстрочный скрипт и ресайзить им гораздо проще чем городить то что ты задумал.
J
А взаимодействуют конечные пользователи с опенстеком как?
J
Если есть прослойка между api опенстековских сервисов и клиентом, то почему бы в ней эту логику не реализовать тогда?
Илья | 😶☮️🐸
В опенстак только издалека из бинокля поглядываю и решил гуру спросить как будет лучше
Илья | 😶☮️🐸
Инструмент всё-таки серьёзный
J
В опенстак только издалека из бинокля поглядываю и решил гуру спросить как будет лучше
Mistral глянь все-таки. Хотя мне его концепция не особо нравится, но это почти то что ты описал. https://docs.openstack.org/mistral/latest/index.html Вместо того чтобы самостоятельно городить логику, можно её описывать через Mistral Workflow Language. Выглядит рабоче, но я не пользовался ни разу) Мож коллеги подскажут.
Илья | 😶☮️🐸
Спасибо за консультанцию, отчитаюсь по первым результатам
Я и твой кот
Посмотрите на CloudForms portal, aka ManageIQ.
Илья | 😶☮️🐸
Посмотрите на CloudForms portal, aka ManageIQ.
Записал, изучу что за зверь
Я и твой кот
Записал, изучу что за зверь
Более высокоуровневый оркестратор. Пользовательский селф-сервис портал, гду в разы проще натыкать себе виртуалок и прочего.
Илья | 😶☮️🐸
Изначально делалось тяп-ляп средствами либвирта, но это совсем не годится
Илья | 😶☮️🐸
Свою инфраструктуру то думаю ансибла хватит чтобы раскатать или заскейлиться
Eugen
Есть nova notifications https://docs.openstack.org/nova/latest/reference/notifications.html 1) включаешь их в nova.conf 2) включаешь в ceilometer прослушку events 3) определяешь событие instance.create.end в файле event_definitions.yaml https://docs.openstack.org/mitaka/config-reference/telemetry/sample-configuration-files.html 4) добавляешь паблишера на событие в файле event_pipeline.yaml (сюда приходит объект инстанса с flavor (с его extra_specs) и с портами) https://docs.openstack.org/ceilometer/latest/admin/telemetry-data-pipelines.htmlможно отправлять на udp-порт, можно сформировать http(s) запрос, можно добавить свой паблишер Т.е. по итогу из самописного только конечный приниматель решений "если в принятом json-е у флэйвора есть заветное extra_specs, то выполняю openstack port set <PORT> --security-group <SECURITY_GROUP> "
kn
граждане, а нет ли готово ответа на вопрос - какой дистрибутив лучше подходит, если надо стабильный openstack более-менее современной версии с базовыми сервисами - iaas, lb, heat, s3? это строго rhosp, или от canonical тоже норм, или куда? основные критерии - это наличие нормальной поддержки, быстрое развертывание (при условии, что инфр-ра уже готова - правильно поданы сети, настроены firewall’ы, подключены репозитории итд итп.) и стабильность
kn
или это холиварная тема и за нею сразу банят?
Aleksandr
если не знаете никакой то ставьте по популярности
Sergei
я вам еще нубский вопрос принес. Как посмотреть какие есть классы балансеров? Гугл не нагуглился.
Aleksandr
я вам еще нубский вопрос принес. Как посмотреть какие есть классы балансеров? Гугл не нагуглился.
Что вы под классами понимаете? Или это утро или это русский язык
Sergei
Что вы под классами понимаете? Или это утро или это русский язык
не, это называется я опенстек не але. Мой вопрос вырос отсюда https://github.com/kubernetes/cloud-provider-openstack/blob/master/pkg/openstack/loadbalancer.go#L90
Aleksandr
type LBClass ¶ type LBClass struct { FloatingNetworkID string gcfg:"floating-network-id,omitempty" FloatingSubnetID string gcfg:"floating-subnet-id,omitempty" SubnetID string gcfg:"subnet-id,omitempty" NetworkID string gcfg:"network-id,omitempty" } LBClass defines the corresponding floating network, floating subnet or internal subnet ID
Aleksandr
from here:
Aleksandr
https://pkg.go.dev/k8s.io/cloud-provider-openstack/pkg/cloudprovider/providers/openstack
Sergei
лол, спасибо
Aleksandr
это было сложно) учитывая что я до сих пор не понял что я искал, нашлось по "lbaas lbclass"
Aleksey
Господа, а может кто-то знает как можно грейсфул ребутнуть/обновить службы. Идея в том, чтобы завершить существующие задачи и не брать новые. Мол кто-то запустит создание ВМ и чтобы этот процесс прошёл нормально, а не пизданулся на пол пути?
Aleksey
Похоже единственный вариант это прокси
kn
закрыть endpoint от клиентов не вариант?
kn
файрволом или еще чем
Artyom
А юзвери напрямую к сервису контроллера обращаются? Хапрокси нет?
Aleksey
закрыть endpoint от клиентов не вариант?
Ну прокси или фаер, один хер
Aleksey
А юзвери напрямую к сервису контроллера обращаются? Хапрокси нет?
Ну у нас в кубере, так что у нас через траефик. Я думал может есть в сервисах какой-то механизм/режим, но видимо только блочить трафик
NS 🇷🇺
самое действенное, разрешить на балансировщике доступ к апихе только админам и
Илья | 😶☮️🐸
Господа, Какой best-way есть, чтобы прокинуть vendor/meta/network_data в сервис метаданных ? Абсолютно сломался с тем, как оно работает под капотом.
NS 🇷🇺
@amyltsev https://doc.traefik.io/traefik/middlewares/ipwhitelist/ не изобретай велосипед, прикрой калитку =)
Aleksey
@amyltsev https://doc.traefik.io/traefik/middlewares/ipwhitelist/ не изобретай велосипед, прикрой калитку =)
Так и сделала прямо сегодня, но я должен был спросить 😁
Dmitry
Господа, Какой best-way есть, чтобы прокинуть vendor/meta/network_data в сервис метаданных ? Абсолютно сломался с тем, как оно работает под капотом.
Не помню, откуда берётся vendor data (может из конфигурации), но meta/network генерирует Nova. Можно пробросить user data через $ openstack server create —user-data
Илья | 😶☮️🐸
Не помню, откуда берётся vendor data (может из конфигурации), но meta/network генерирует Nova. Можно пробросить user data через $ openstack server create —user-data
vendor data, насколько я понял, можно самому провайдить через самописный http бэкенд Но как-то странно, что OS не продумали этот момент заранее
Sergei
господа , можно как то прибить балансер, зависший в статусе PENDING_UPDATE ? Логов естесно нет, клустер не мой
Sergei
шо троллите то
Slava
ресетни ноду
Sergei
так, если быть точней, в статусе завис один из пулов
Slava
Добрый день. Подскажите, кто-нибудь реализовывал Designate + BIND + Views?
Pavel
у нас нет views
Slava
у нас нет views
Я в доке не могу найти как это реализовать
Pavel
В доке не можете найти как с views или вообще как бинд+designate?
« Rev
@openstack_ru   568
Fwd »