Я тут не про точность говорю, я про идею впилить в OpenStack. Разные вещи ))) А точность, ну как в Сбере....
Как-то у тебя пока не особо защита идеи идёт 😂
Ilya
Vyacheslav
Мне без разницы какая там точность и если дрейф будет 0.5 секунды - ни кто не умрет
Aleksandr
Мне без разницы какая там точность и если дрейф будет 0.5 секунды - ни кто не умрет
спроси у транзакций карточек ))))
Aleksandr
Как-то у тебя пока не особо защита идеи идёт 😂
да я ж знаю что Вершинин из Сбера ))) я так пытаюсь отшутиться )
Vyacheslav
спроси у транзакций карточек ))))
Там если что можно и через pci https://www.orolia.com/product/tsync-timing-boards/
Aleksandr
Там если что можно и через pci https://www.orolia.com/product/tsync-timing-boards/
это все прекрасно ) сколько стоит карточка ? И как она поможет для ВМки которая в своей приватной сети ?
greytiger
Vyacheslav
это все прекрасно ) сколько стоит карточка ? И как она поможет для ВМки которая в своей приватной сети ?
Вы прокиньте pci устройство напрямую в vm - будете с этого pci устройства забирать точное время от атомных часов
Aleksandr
@vyacheslav_vershinin Бюджет ты со своего кормана оплатишь ?
Vyacheslav
@vyacheslav_vershinin Бюджет ты со своего кормана оплатишь ?
Заказчик заплатит за свои хотелки
Aleksandr
yeye
Aleksandr
нуну
Vyacheslav
Начнём с того, что атомные часы рядом с компьютом супер микро - довольно странное решение.
Если вы смогли купить атомные часы и выполнить все требования по их установки, то у вас на сдачу точно хватит закупить pci карточки ;)
Aleksandr
Короче закончим на том, что Вершинин живет в своем мире, а я в другом мире ) и у меня есть потребность подобная. Сейчас решена другим образом, но идея повесить рядом с dnsmasq свои ntpd демоны. Намного проще и по задержкам проще. А как следствие и по точности
Dok
Vyacheslav
Короче закончим на том, что Вершинин живет в своем мире, а я в другом мире ) и у меня есть потребность подобная. Сейчас решена другим образом, но идея повесить рядом с dnsmasq свои ntpd демоны. Намного проще и по задержкам проще. А как следствие и по точности
Отличная идея, @Dok2d надо будет вам в следующий релиз задачу поставить :))
Vyacheslav
в том то и проблема что решение говно. Ибо NTP там не приоритетное, при нагрузке коммутаторы хер забьют на NTP и займуться своим делом
А гипер не забьет точно так же при большом la?
Dok
В общем, если у тебя есть общедоступный внутренний ntp-сервис да ещё и в кластере, этого должно хватить всем. Поправьте, если не прав
Aleksandr
от всего ты не открестишься, если там на серваке будет LA 2000 то и пакеты ходить через жопу будут. И PCI карата не спасет
Vyacheslav
от всего ты не открестишься, если там на серваке будет LA 2000 то и пакеты ходить через жопу будут. И PCI карата не спасет
В этом случае не точный ntp наименьшая из проблем :)
Stanislav
В общем, если у тебя есть общедоступный внутренний ntp-сервис да ещё и в кластере, этого должно хватить всем. Поправьте, если не прав
Все так, когда он "общедоступный внутренний". Бывает наоборот, NTP есть, но совсем не общедоступный, и каждый пилит к нему доступ лично
Aleksandr
я просто напишу две буквы, кто в теме тот поймет. КВ
Dok
Все так, когда он "общедоступный внутренний". Бывает наоборот, NTP есть, но совсем не общедоступный, и каждый пилит к нему доступ лично
Чёт странная ситуация, ну в данном случае, может и имеет смысл разворачивать какой-нибудь NTPaaS на контроллерах..
Vyacheslav
Чёт странная ситуация, ну в данном случае, может и имеет смысл разворачивать какой-нибудь NTPaaS на контроллерах..
Можно прокинуть в dhcp namespace запущенный ntp server и отдавать ntp с dhcp ip… но зачем и кто будет это поддерживать
Dok
Можно прокинуть в dhcp namespace запущенный ntp server и отдавать ntp с dhcp ip… но зачем и кто будет это поддерживать
Ты удивишься, но подобное решение уже сделано для закрытой инсталяции)
Vyacheslav
Ты удивишься, но подобное решение уже сделано для закрытой инсталяции)
Так поделитесь с коллегами по несчастью :)
Dok
В общем, у всех свой зоопарк и каждый спасается как может)
J
Ты удивишься, но подобное решение уже сделано для закрытой инсталяции)
Чот начал отдыхать, смотрю, а тут две сотни сообщений.
Глянул чо проиходит. Оказывается изобретается neutron-ntp-agent непонятно для чего.
J
Но для закрытых проектов, конечно, очень нужно.
Любые средства хороши чтоб денежных мешков развести на бабки)
Aleksandr
Ты удивишься, но подобное решение уже сделано для закрытой инсталяции)
а я про открытую говорил )
Vyacheslav
Вообще проще допилить опцию для dnsmasq и в нем запускать ntp server - а в опенстак его ставить как dhcp и не надо придумывать как контролировать и что бы работал
J
Вообще проще допилить опцию для dnsmasq и в нем запускать ntp server - а в опенстак его ставить как dhcp и не надо придумывать как контролировать и что бы работал
Проще ставить ntp сервер без dnsmasq и им пользоваться.
Я никак не уразумею что за задумка такая)
Aleksandr
Вообще проще допилить опцию для dnsmasq и в нем запускать ntp server - а в опенстак его ставить как dhcp и не надо придумывать как контролировать и что бы работал
хер его знает это не по лигике стэка (((
Aleksandr
dhcp и ntp агеенты в одном такое себе по логике
J
А чем плоха существующая инсфраструктура NTP?
Для чего держать свои stratum 1, например?
Aleksandr
А чем плоха существующая инсфраструктура NTP?
Для чего держать свои stratum 1, например?
у тебя приватная сеть, как ты обеспечишь ее выход наружу ?
Aleksandr
а давай командами как ты из VXLAN дашь доступ где-то к НТП серверам ?
Aleksandr
без роутера в ту сеть
Aleksandr
NTP вообще в VLAN сидят
J
без роутера в ту сеть
Мы говорим про опенстек?
Зачем делать приватные сети не подключенные к роутерам с доступом к external сетям?
Никакими разумными аргументами это оправдать нельзя. Только идиотскими требованиями безопасников, у которых знаний не хватает чтобы понять как делать нормально и потому им проще все запретить. Разве нет?
Aleksandr
Мы говорим про опенстек?
Зачем делать приватные сети не подключенные к роутерам с доступом к external сетям?
Никакими разумными аргументами это оправдать нельзя. Только идиотскими требованиями безопасников, у которых знаний не хватает чтобы понять как делать нормально и потому им проще все запретить. Разве нет?
Есть такие, и их много. Спуститесь на землю
J
Есть такие, и их много. Спуститесь на землю
Не, это не на землю, а прямиком в ад.
Это вопрос уже не технический, а организационно-политический.
J
Последнее дело чьим-то прихотям происходящим от невежества угождать.
Aleksandr
а я с ними во многом согласен, я невежество
Vyacheslav
а я с ними во многом согласен, я невежество
Да забирай с самого гипера время и не парься. Вообще не нужен лишний foot print атаки в виде ntp
Aleksandr
это если qemu-agent врубить, тогда да норм, а если он запрещен - то как-то плохо сразу станет без NTP
J
Ну чо началось то)
Вот есть, допустим, приватная сеть. Она подключена к neutron роутеру на котором включен snat и к которому прицеплена еще и публичная сеть помеченная как external.
И мы через секьюрити группу разрешаем только ntp трафик исходящий из приватной сети.
J
И, соответственно, входящий)
J
Чем это грозит?
Где вектор атаки?
Где беды ждать?
Vyacheslav
это если qemu-agent врубить, тогда да норм, а если он запрещен - то как-то плохо сразу станет без NTP
Зачем тебе агент? https://doc.opensuse.org/documentation/leap/virtualization/html/book-virtualization/sec-kvm-managing-clock.html
Aleksandr
лол
Vyacheslav
Aleksandr
вообще не о томм сылка
Aleksandr
https://docs.fedoraproject.org/en-US/Fedora_Draft_Documentation/0.1/html/Virtualization_Deployment_and_Administration_Guide/sect-Virtualization-Tips_and_tricks-Libvirt_Managed_Timers.html
Aleksandr
Без track там вообще ничего не делается )
Vyacheslav
вообще не о томм сылка
Как не о том?
You can verify kvm-clock is enable by checking
/sys/devices/system/clocksource/clocksource0/current_clocksource
Output should say "kvm-clock"
J
Nat != средство защиты :)))
Хотел 10 раз уже написать. Эт мантра пердунов придумавших ipv6. Но на деле nat используется именно как техника защиты. И трудно осуждать такое)
Разве что, нужно учитывать дырявый софт который может при пробитии дыры в нате не так себя повести.
Aleksandr
Как не о том?
You can verify kvm-clock is enable by checking
/sys/devices/system/clocksource/clocksource0/current_clocksource
Output should say "kvm-clock"
на всех ВМках в OpenStack там будет kvm-clock ) ибо это ядерное прелдставление, а какой клок тебе отдается в ВМ зависит от того как тебе поднял libvirt & qemu )
Aleksandr
вот пример tsc_adjust=on -rtc base=utc,driftfix=slew -global kvm-pit.lost_tick_policy=delay -no-hpet
Aleksandr
перечитай, что это значит
Vyacheslav
на всех ВМках в OpenStack там будет kvm-clock ) ибо это ядерное прелдставление, а какой клок тебе отдается в ВМ зависит от того как тебе поднял libvirt & qemu )
Ok, согласен. А чем этот вариант с правильной настройкой хуже ntp
Aleksandr
это для qemu
J
это для qemu
Я не чтоб докопаться, а чтоб понять твою позицию спрашиваю. А нужно универсальное решение, чтоб и для vmware и для hyperv и для xen работало и для чего угодно еще?
Aleksandr
Я не чтоб докопаться, а чтоб понять твою позицию спрашиваю. А нужно универсальное решение, чтоб и для vmware и для hyperv и для xen работало и для чего угодно еще?
делайте ) я тут причем ))) разные технологии требуют разных подходов. У меня проблема с КВМ, я хочу решить ее проблему. И на врежку мне плевать