ахахах )))
Смех смехом, но далеко не во всех облаках есть магнум
NS 🇷🇺
Vyacheslav
Смех смехом, но далеко не во всех облаках есть магнум
я знаю как минимум две компании, где именно так.
AcidMan
ну это просто какая-то кривизна… вся польза и удобство стека идёт по пизде
Anonymous
Спасиб
NS 🇷🇺
ну это просто какая-то кривизна… вся польза и удобство стека идёт по пизде
Я знаю две крупные компании, которым нахер твой магнум не нужен, они тером или хитом болванок нарежут и поставят кубер по их канонам
AcidMan
Я знаю две крупные компании, которым нахер твой магнум не нужен, они тером или хитом болванок нарежут и поставят кубер по их канонам
ну так и магнум через хит работает
AcidMan
в любом случае - магнумом проще и удобнее
AcidMan
а так, если крупняки, то да, чтобы им свой магнум с блекджеком и хитом не замутить то
kn
магнум, если не ошибаюсь, не сможет на два региона куб запустить
tsla
ребят, подскажите по трабле - не ходят пакеты за роутером опенстэка для ipsec site2site
1. k8s развёрнут на опенстэке , создал деплоймент = контейнер с ipsec
2. внешний айпи (15.0.0.211) подвесил на = Project -> Network -> Routers -> router-k8s
3. он же шлюз для ВМок проекта с ip (10.254.0.1)
в SecurityGroup , в default добавил правила разрешения для ipsec сервера на удалённом сайте
tsla
решил удалить ВМку с внешним ip адресом и перенести его в контейнеры, чёт не получается каменный цветок
tsla
snat на роутере активирован ... neutron router-list | grep -i snat = = = "enable_snat": true
Vyacheslav
А дамп ты смотрел?
Vyacheslav
Что откуда не уходит и где обрывается входящий/исходящий трафик
█
Всем добрый вечер, поскажите с его начать новичку? Хочу свою песочницу, раскатил openstack на своей машине, сейчас хочу узнать: с каких служб начать настройке? Пригодиться ли книга "OpenStack. Практическое знакомство с облачной операционной системой | Маркелов А" (да слышал что пересказ доки)? Буду благодарен за подсказки).!
█
Nova
Glance
Neutron
спасибо, раскатывал через devstack под пользователем stack, продолжать настройку под этим пользователем или не критично?
Vyacheslav
Не критично, если все работает
Vyacheslav
Но мне кажется проще раскатывать через https://docs.openstack.org/kolla-ansible/latest/user/quickstart.html
Vyacheslav
Но если все завелось и так - смысла переделывать особо нет
█
да увидел уже потом как иностранцы раскатывали через коллу, ну так для ржаки - я раскатывал 4 (не всё время конечно а периодически возвращаясь к этому )дня под Ubuntu 20.04 focal.))))
Anonymous
Здврова, есть кто живой? Создал имейдж дав size = 20G ,после создал инстанс на 50G на основе этого имейджа, где и как юзаться будут остальные 30G
Anonymous
Здврова, есть кто живой? Создал имейдж дав size = 20G ,после создал инстанс на 50G на основе этого имейджа, где и как юзаться будут остальные 30G
И если я на инстансе хочу раскатать софт на все 40G, не упрется ли он в 20G данных имейджу
Pavel
Если в образе есть cloud-init и там настроен авторесайз рута то рут расширится
Anonymous
Спасибо
NS 🇷🇺
Если в образе есть cloud-init и там настроен авторесайз рута то рут расширится
Не факт.... Если там лвм и образ собран не очень, то надо ручками двигать
Anvyar
Посоны, уоллаби никто ещё не пробовал?
Anvyar
Ля, вот насколько проще, понятнее и привычнее ставить было трэйн на седьмой центоси, настолько же мотает в сторону задротства установку ласт релиза на стриме)
Anvyar
Либо просто слишком привык к семёрке
NS 🇷🇺
Либо просто слишком привык к семёрке
открой для себя kolla, os-helm и прочее и будет вообще пофиг на чем ставить =)
Vyacheslav
NS 🇷🇺
ты у нас любишь WSL - можно ли туда засунуть openstack kolla?
че Сбер реально плохо на людей влияет? :D
NS 🇷🇺
@vyacheslav_vershinin так какая разница откуда пихтон запускать?
Vyacheslav
подскажите, если удалить ноду из ironic, она удаляется из SQL ironic.nodes? не нашёл традиционного deleted
tsla
floating ip как-то вручную можно закинуть в проект ?
случайно освободил из проекта floating ip
нужен именно старый вернуть
Vyacheslav
можно если ты админ
Pavel
перебором, пока не попадется нужный? =)
Anonymous
Хочу запустить инстанс
Anonymous
По максимуму
Anonymous
Что биспользовал ram двух нодов
Anonymous
Это возможно?
J
Что биспользовал ram двух нодов
Если аппаратно твои два сервера умеют работать как один, то возможно.
Anonymous
Хорошо
Я и твой кот
Если аппаратно твои два сервера умеют работать как один, то возможно.
Что-то мне это напоминает.
Vyacheslav
ох уж ваши облака на PI
Dmitry
Ilya
т.е. КВМ (либвирт)
Артем
приветсвую. если к инстансу подключены два volume , как поменять с какого загружаться? есть что-то типа выбора приоритетного диска с которого грузиться ?
Артем
bootindex можно поменять?
kn
а ни к кому безопанисники не приходили с задачей "хотим, чтобы к одному инстансу было нельзя подключить более чем один сетевой интерфейс". это вообще решаемо, крому как ограничением вида "один проект - одна сеть"?
Я и твой кот
а ни к кому безопанисники не приходили с задачей "хотим, чтобы к одному инстансу было нельзя подключить более чем один сетевой интерфейс". это вообще решаемо, крому как ограничением вида "один проект - одна сеть"?
К нам приходили с «дайте span порт, хотим весь трафик слушать».
J
kn
А для чего это ограничение нужно?
они переживают, что пользователи имеют возможность перемещать данные между сегментами мимо firewall
kn
есть продуктивные сети, там могут быть сервера СУБД или какие-то еще с чувствительными данными. и есть сети, где сервера разработчиков и там важных данных нет. требования ИБ и ограничения к этим сетям сильное разные. вот не ъ
J
они переживают, что пользователи имеют возможность перемещать данные между сегментами мимо firewall
Дальше спрашивать не буду, потому что так можно до бесконечности, а в итоге выяснится что безопасники такие ж тупорылые как и всякие отечественные "безопасники". Мотивация будет "как бы чо не вышло"
kn
не хотят чтобы было можно из одной сети в другую что-то передавать кроме как через firewall,
kn
Дальше спрашивать не буду, потому что так можно до бесконечности, а в итоге выяснится что безопасники такие ж тупорылые как и всякие отечественные "безопасники". Мотивация будет "как бы чо не вышло"
ну.. да. смысл затеи, если смотреть широго, выглядит и странно и бесполезно одновременно, но что поделать
J
ну.. да. смысл затеи, если смотреть широго, выглядит и странно и бесполезно одновременно, но что поделать
Да ну как-нибудь через политики фильтровать запросы к api или типа того.
Vyacheslav
Да ну как-нибудь через политики фильтровать запросы к api или типа того.
делайте разные tenant / region для разных сетей
J
Если люди НЕ тупорылые, то проще и правильнее с ними обсудить как без серьезных трудозатрат обеспечить безопасность.
А если подход к работе энтерпрайзный, когда "мы лучше знаем, а ты хуй", то придется политики править.
Глянь, например:
os_compute_api:os-attach-interfaces:create
https://docs.openstack.org/nova/wallaby/configuration/policy.html
Vyacheslav
что бы физически не включить два сегмента в одну VM
Vyacheslav
К нам приходили с «дайте span порт, хотим весь трафик слушать».
такое тоже делали костылём в OVS
Vyacheslav
правда там потом безопасники ставили галочку и больше ни когда не смотрели трафик (т.к. новые компуты не могли достроить GRE тунель до снифера ИБ)
J
делайте разные tenant / region для разных сетей
Делить проекты на "рабочий" и тестовый выглядит достаточн оразумно.
Потому что в случае когда один проект я могу придумать дюжины две разных проблем. В духе "Петя случайно удалил один из рабоих редисов" или "Маша добавила в секьюрити группу кривое правило и зарезала трафик к рабочим серверам"
Vyacheslav
Если люди НЕ тупорылые, то проще и правильнее с ними обсудить как без серьезных трудозатрат обеспечить безопасность.
А если подход к работе энтерпрайзный, когда "мы лучше знаем, а ты хуй", то придется политики править.
Глянь, например:
os_compute_api:os-attach-interfaces:create
https://docs.openstack.org/nova/wallaby/configuration/policy.html
я таких клиентов знаю, которые говорят что надо везде выключить антиспуфинг
J
я таких клиентов знаю, которые говорят что надо везде выключить антиспуфинг
Обычное дело. Все люди ленивые, как правило, не очень умные за пределами своей сферы профессиональных интересов, а еще часто упрямые и истеричные.
kn
@j @vyacheslav_vershinin спасиб!