Давай я тебе еще раз по делу скажу.
Это три скрипта на баше и нет ни одной причины почему ты просто не можешь склонировать репозиторий, разложить скрипты куда тебе нужно и не пользоватсья ими.
Разве что подправить нужно будет то место где он версии пакетов через rpm -q получает в openstack-status.
ты порушил его мир =)
NS 🇷🇺
J
ты порушил его мир =)
Как сраный чужой, своей ядовитой слюной и кровью прожег дыру прям в сердечке.
Andrey
Поскажите, можно на роутере поменять внешний интерфейс? Или только через удаление роутера?
.
вроде только через удаление, но это не точно
J
Поскажите, можно на роутере поменять внешний интерфейс? Или только через удаление роутера?
Конечно можно.
openstack router set --external-gateway=<net uuid>
Vyacheslav
Это же обычный порт
Andrey
Как в хорайзоне выбрать float ip(во внешней сети два сабнета)?
Vyacheslav
Два роутера ставь
Vyacheslav
А если вопрос какой из subnet использовать - в вебке когда больше 1 subnet в external network выбирается не имя сети, а имя конкретного subnet
Andrey
А если вопрос какой из subnet использовать - в вебке когда больше 1 subnet в external network выбирается не имя сети, а имя конкретного subnet
в хорайзоне тока сеть вижу при выборе фипа
NS 🇷🇺
В кли можно всякое в отличие от хорайзона
Vyacheslav
а кто-то в курсе, знает ли регион, что он регион на уровне базы?
Vyacheslav
т.е. где-то есть атрибут region name, покопался в nova, я нашёл только cells таблицу
NS 🇷🇺
Регион в кейстон базе
Ilya
По идее в конфиге новы регион может указываться при мультирегиональной установке, чтобы нова получала список эндпоинтов своего региона. Но вот наружу она возможно и не отдает такую инфу. Когда клиент коннектится к опенстеку, он сам должен знать, к какому региону он подключается
NS 🇷🇺
По идее в конфиге новы регион может указываться при мультирегиональной установке, чтобы нова получала список эндпоинтов своего региона. Но вот наружу она возможно и не отдает такую инфу. Когда клиент коннектится к опенстеку, он сам должен знать, к какому региону он подключается
Ей это там ненужно, ей достаточно сходить в кейстон, который отдаст ей все необходимое
Ilya
А что необходимое? Представь в кейстоне 5 регионов, у каждого свой набор эндпоинтов. Что кейстон отдаст? И как бедной нове понять, какой набор сервисов ее?
Vyacheslav
NS 🇷🇺
А что необходимое? Представь в кейстоне 5 регионов, у каждого свой набор эндпоинтов. Что кейстон отдаст? И как бедной нове понять, какой набор сервисов ее?
Конфиг открой, ты явно в конекшене указываешь регион
Ilya
Это ты про опенрц видимо?
Ilya
Так я и говорю, что в конфиге новы указывается имя региона, а клиент (CLI) берёт эту инфу в опенрц
Ilya
Ей это там ненужно, ей достаточно сходить в кейстон, который отдаст ей все необходимое
Я так тебя понял что нове в конфиге это не нужно, вот и удивился
NS 🇷🇺
Я так тебя понял что нове в конфиге это не нужно, вот и удивился
Нет, это ей не нужно в бд хранить
Ilya
Понятно
Vyacheslav
Нет, это ей не нужно в бд хранить
Это логично, на самом деле
А вот что в cells он пишет - интересно кто-нибудь ставил?
greytiger
О, кино!
Ava=^•^=
Добрый день всем! Можно задать вопрос по теме, и не быть закиданым тапками?
NS 🇷🇺
у нас по мимо тапак есть еще и санные =)
Ava=^•^=
Сек, сформулирую корректно
Ava=^•^=
Есть вм с 2мя интерфейсами. Необходимо чтобы трафик роутился между ними. На данный момент так: при подключенных группах безопасности с разрешением на все, траффик не ходит между интерфесами. При полном отключении групп- теряется связность полностью. Как мне объяснили, необходимо отключить фаерволл на уровне гипервизора. Где это сделать (на ноде или контроллере ) и как? Мб есть мануал? Простите за вопрос, я нуб в опенстеке, но ситуация безвыходная.
Andrey
Есть вм с 2мя интерфейсами. Необходимо чтобы трафик роутился между ними. На данный момент так: при подключенных группах безопасности с разрешением на все, траффик не ходит между интерфесами. При полном отключении групп- теряется связность полностью. Как мне объяснили, необходимо отключить фаерволл на уровне гипервизора. Где это сделать (на ноде или контроллере ) и как? Мб есть мануал? Простите за вопрос, я нуб в опенстеке, но ситуация безвыходная.
neutron port-update --no-security-groups bbf4189d-e56b-44bf-adf5-bce08912c6fd
neutron port-update bbf4189d-e56b-44bf-adf5-bce08912c6fd --port-security-enabled=False
J
Есть вм с 2мя интерфейсами. Необходимо чтобы трафик роутился между ними. На данный момент так: при подключенных группах безопасности с разрешением на все, траффик не ходит между интерфесами. При полном отключении групп- теряется связность полностью. Как мне объяснили, необходимо отключить фаерволл на уровне гипервизора. Где это сделать (на ноде или контроллере ) и как? Мб есть мануал? Простите за вопрос, я нуб в опенстеке, но ситуация безвыходная.
Необходимо отключить port security для обеих сетей.
В neutron на портах по-умолчанию разрешается только трафик с парой src_mac+src_ip принадлежащих этому порту.
J
А при маршрутизации у тебя получается что с интерфейсов выходит трафик с правильным маком, но с чужим адресом. Выключишь port security и все будет ок.
NS 🇷🇺
не надо отключать порт сесурити
NS 🇷🇺
настроте allow_pairs
NS 🇷🇺
полностью сесурити вырубать глупо
Ava=^•^=
Андрей, j спасибо! У меня несколько компьют год и несколько контроллеров. Подскажите, где это все сделать?
Ava=^•^=
Нод*
J
Андрей, j спасибо! У меня несколько компьют год и несколько контроллеров. Подскажите, где это все сделать?
Это делается либо для сети целиком через api либо для нужных портов, если разрешаешь allowed address pairs.
Выше команды даже скинули)
Я и твой кот
Это делается либо для сети целиком через api либо для нужных портов, если разрешаешь allowed address pairs.
Выше команды даже скинули)
О! А что, для сети целиком тоже можно отключать?
NS 🇷🇺
Спасибо. Пойду плейбуки переделаю, выкину часть кода.
хм...иногда этот чат кому то приносит пользу =)
Ava=^•^=
я начал понимать, но тут сразу возник вопрос:
Ava=^•^=
| 88f278a3-480a-4336-97d8-68ed9380e5a2 | | fa:16:3e:7b:e1:d2 | {"subnet_id": "1bd1314d-9a7e-41fa-a4af-8a24cfa1e942", "ip_address": "188.0.145.180"} ---первый интерфейс
Ava=^•^=
3a2d78f8-dd0a-45d3-b264-6271e4132562 | | fa:16:3e:d2:e8:25 | {"subnet_id": "2c90e49f-a78f-432b-8312-595344a250ae", "ip_address": "192.168.88.6"} ----второй интерфейс
Ava=^•^=
дальше делаю так neutron port-update 3a2d78f8-dd0a-45d3-b264-6271e4132562 --allowed_address_pairs list=true type=dict mac_address=fa:16:3e:7b:e1:d2,ip_address=188.0.145.180
neutron port-update 88f278a3-480a-4336-97d8-68ed9380e5a2 --allowed_address_pairs list=true type=dict mac_address=fa:16:3e:d2:e8:25,ip_address=192.168.88.6
Ava=^•^=
но оно не проканало! Трафик не пошел
Ava=^•^=
но должно же было?!
Ava=^•^=
Подскажите?
Aleksandr
С неожиданной стороны.
аккуратнее переделывай там зассада в том что пока есть сусурити группа хоть одна в сети он не даст вырубить, так что если оно тебенафиг не надо я бы дефолтово вырубил в конфиге нейтрона а где надо вклчал индивидуально
Ilya
дальше делаю так neutron port-update 3a2d78f8-dd0a-45d3-b264-6271e4132562 --allowed_address_pairs list=true type=dict mac_address=fa:16:3e:7b:e1:d2,ip_address=188.0.145.180
neutron port-update 88f278a3-480a-4336-97d8-68ed9380e5a2 --allowed_address_pairs list=true type=dict mac_address=fa:16:3e:d2:e8:25,ip_address=192.168.88.6
Какой трафик и куда должен идти ? Если у тебя сама ВМ что-то отправляет, то она будет это делать из адреса в нужной сети. А если она маршрутизирует траффик от других хостов, то IP будут другие...
Ava=^•^=
Какой трафик и куда должен идти ? Если у тебя сама ВМ что-то отправляет, то она будет это делать из адреса в нужной сети. А если она маршрутизирует траффик от других хостов, то IP будут другие...
В приватку 1 интерфейс, смотрит туннель, и дальше по схеме трафик должен натится в белый, 2 интерфейс. Такой план.
Ilya
ну например, если траффик натится, то на внешнем интерфейсе настраивать что-то не надо - в пакетах исходящих и входящих будет твой белый адрес.
Ilya
А на внутреннем интерфейсе нужно добавить всю сетку, как упоминали выше, в которой живут хосты, котоые ты натишь или отключить порт секьюрити вообще
Ava=^•^=
Вот я больше за отключение, наверно
Ilya
Я даже ошибся наверное - похоже не внутренние сети, а внешние сети - они же будут в качестве адреса назначения с хостов приходить из внутренней сетки
Ilya
при снате же меняется адрес источника, а адрес приёмника не изменяется, т.е. на ВМ с двумя адаптерами придёт пакет из внутренней сети с каким-то белым адресом назначения во внешней сети. Вот такие адреса и должны прописаться в allowed pairs, а лучше сетями добавить.
Ava=^•^=
Вообще, по вашим советам, я не наткнулся на Ман одного индуса https://superuser.openstack.org/articles/managing-port-level-security-openstack/ он вроде хорошо тему раскрыл
Ava=^•^=
*наткнулся
Я и твой кот
https://www.airshipit.org/blog/airship2-released/
Fedor
https://www.airshipit.org/blog/airship2-released/
Название репы treasuremap забавное, конечно. А вообще надо посидеть, код почитать, все ж один велосипед строят, может есть чего интересного)
Anonymous
Никто не знает как создать storageclass в cinder для kubernetes? Соурс какой нибудь?)
Jürgen
Никто не знает как создать storageclass в cinder для kubernetes? Соурс какой нибудь?)
https://github.com/kubernetes/cloud-provider-openstack/blob/master/docs/cinder-csi-plugin/using-cinder-csi-plugin.md
NS 🇷🇺
@adiantum