Да, fernet. И они кешируются. Я пытаюсь решить задачу кейстоуна в нескольких регионах. Если я получил токен в кейстоуне в одном регионе и пошел с ним в сервис другой регион, то получаю : keystoneauth1.exceptions.http.InternalServerError: Internal Server Error (HTTP 500)
если ключи идентичные то должно работать, смотрите конкретную ошибку в логах
George
🖖🏼Stas
NS 🇷🇺
Кстати по фернетам по дефлоту он генерит их 2 пары, два credential-keys и два fernet-keys
вопросы к знатакам, перед тем как сходить в код =)
Это просто тупо 4 ключа никак не связанный друг с другом или одна пара на основе другой собирается?
Andrey
контекст беседы был вообще о другом, и sprut вспомнили как одно из немногих чего-то, где прям взяли и перепилили кусок openstack’а
О у вас стоит OVN, у меня постоянно meta падает на компуте. Есть у вас такой баг? Какие версии стека и OVN используете?
У меня Victoria
(ovn-controller)[root@control /]# /usr/bin/ovn-controller --version
ovn-controller 20.12.0
Open vSwitch Library 2.14.90
OpenFlow versions 0x6:0x6
SB DB Schema 20.12.0
Делали синк базы OVN и Neutron?
kn
это rhosp16.1 (train). про синк не знаю, оно просто работает :)
kn
ну и кажется, что ничего не падает
Andrey
это rhosp16.1 (train). про синк не знаю, оно просто работает :)
У меня вот такое
https://bugs.launchpad.net/charm-ovn-chassis/+bug/1928031
Попробовал обновить версии OVN стало только хуже. Тут побольше интересного, надо вернуться к этому багу. Разворачиваешь 10 вм, 3 точно будет без меты.
kn
хм.. не. не было такого. на тестах по 100 вм разом запускали, все запускались и все доезжало туда
Andrey
хм.. не. не было такого. на тестах по 100 вм разом запускали, все запускались и все доезжало туда
Я не могу похвастаться, что все работает.😞
Я ранее спрашивал про OVN, никто не признался.
NS 🇷🇺
Русскоговорящее сообщество. Используйте переводчик
NS 🇷🇺
Ай андерстенд ю, бат монастыри и уставы
NS 🇷🇺
Да-да-да. Либо баба которая вовсе не баба, либо инглиш мен😂
Piu
бедный человек, переводил с немецкого на английский, а в итоге не туда попал
Andrey
бедный человек, переводил с немецкого на английский, а в итоге не туда попал
тут такие индусы залетают
Denis
бедный человек, переводил с немецкого на английский, а в итоге не туда попал
если это так, то мог же сразу на русский...
Fedor
потому что злые вы
Fedor
но вообще я не нашёл приличной доки для нуба за флоатинг ип
Fedor
а у него же всё хорошо, ему бы флоатинг
Andrey
Вот вот и стек заработает
Andrey
Теперь надо но немецки и тогда точно поможем. Английский уже не катит.
Andrey
Я уже был добрый, мне даже спасибо не сказали.
Aleksandr
Я уже был добрый, мне даже спасибо не сказали.
и 100500к$ в наносекунду не дали ??? Уххх, ИРОДЫ! В ЕСПЧ на них =)
Andrey
и 100500к$ в наносекунду не дали ??? Уххх, ИРОДЫ! В ЕСПЧ на них =)
имел глупость в лс помочь, не совсем наносекунда
Илья | 😶☮️🐸
имел глупость в лс помочь, не совсем наносекунда
ну в лс не редко можно норм в проблеме разобраться
Илья | 😶☮️🐸
у нас с @vyacheslav_vershinin иногда так и выходит
NS 🇷🇺
у нас с @vyacheslav_vershinin иногда так и выходит
Ну с постояльцами это одно. А с однодневками другое
NS 🇷🇺
В сбер всех за ручку приглашает
Илья | 😶☮️🐸
Заманивает
J
А чо было то, ребята?
Веселое что-то?
NS 🇷🇺
Кстати по фернетам по дефлоту он генерит их 2 пары, два credential-keys и два fernet-keys
вопросы к знатакам, перед тем как сходить в код =)
Это просто тупо 4 ключа никак не связанный друг с другом или одна пара на основе другой собирается?
За фернеты никто не скажет?) вот прям не хочу грех на душу брать и лезть в код кейстона 😂
George
Кстати по фернетам по дефлоту он генерит их 2 пары, два credential-keys и два fernet-keys
вопросы к знатакам, перед тем как сходить в код =)
Это просто тупо 4 ключа никак не связанный друг с другом или одна пара на основе другой собирается?
Емнип не связаны, там есть фишка с ротацией ключей, первый основной второй старый только для проверки ещё валидных токенов
NS 🇷🇺
Емнип не связаны, там есть фишка с ротацией ключей, первый основной второй старый только для проверки ещё валидных токенов
Все с рандомного набора символов генерируются?
Pavel
нова контроллер это несколько сервисов.
У нас всего по три api conductor scheduler
Насколько я помню они даже не общаются друг с другом (в пределах одной службы)
Задачи раздаются по rabbit
Dmitrii
Всем привет!
Столкнулся с неприятной проблемой кодировки в сервисах стака
Выпали трейсбеки при создании инстанса на nova-compute:
Unexpected build failure, not rescheduling build.: UnicodeDecodeError: 'ascii' codec can't decode byte 0xd0 in position 0: ordinal not in range(128)
Кто нибудь боролся с таким?
NS 🇷🇺
Всем привет!
Столкнулся с неприятной проблемой кодировки в сервисах стака
Выпали трейсбеки при создании инстанса на nova-compute:
Unexpected build failure, not rescheduling build.: UnicodeDecodeError: 'ascii' codec can't decode byte 0xd0 in position 0: ordinal not in range(128)
Кто нибудь боролся с таким?
второй питон с кирилицей =) ничего нового
Dmitrii
пока я додумался только до смены locale в системе)
NS 🇷🇺
посмотри питон какую кодировку использует там где нова работает
Vyacheslav
Лучше сразу переставить
NS 🇷🇺
Слава, вы че там в своем сбере курите?
Artem
Всем привет!
Столкнулся с неприятной проблемой кодировки в сервисах стака
Выпали трейсбеки при создании инстанса на nova-compute:
Unexpected build failure, not rescheduling build.: UnicodeDecodeError: 'ascii' codec can't decode byte 0xd0 in position 0: ordinal not in range(128)
Кто нибудь боролся с таким?
Обмажутся дебагами:) и русскими именами виртуалок
NS 🇷🇺
Обмажутся дебагами:) и русскими именами виртуалок
я знаю как минимум одну инсталяцию, точнее 3 - где все много чего должно писаться по русски =)
NS 🇷🇺
там было интересно 😄
Dmitrii
Всем привет!
очень нужна помощь
поделитесь кто нибудь рабочим cinder.conf для контроллера cinder 🙏🙏
J
Всем привет!
очень нужна помощь
поделитесь кто нибудь рабочим cinder.conf для контроллера cinder 🙏🙏
А тебе же вроде раз пять уже говорили что нет "рабочего" и "нерабочего".
У каждого по-своему всё настроено.
Если хочешь готовый простой пример, то тебе советовали уже всякие штуки типа devstack, packstack и openstack-ansible all-in-one. С помощью них ставь в виртуалки и смотри рабочий cinder.conf.
Anonymous
Всем привет!
очень нужна помощь
поделитесь кто нибудь рабочим cinder.conf для контроллера cinder 🙏🙏
Простая сборка руками по пакетах с примерами конфигов
https://www.server-world.info/en/note?os=CentOS_8&p=openstack_ussuri2&f=7
Dmitrii
Fedor
Всем привет!
очень нужна помощь
поделитесь кто нибудь рабочим cinder.conf для контроллера cinder 🙏🙏
https://github.com/openstack/kolla-ansible/blob/master/ansible/roles/cinder/templates/cinder.conf.j2
Dmitrii
96eae59ecc096eb98e63cbe
Подскажите, как предоставлять пользователям возможность подключаться к sshd инстансов без использования белых портов?
Есть ли решение элегантнее создания openvpn сервера на контроллер/нетворк ноде, чтобы с него подключаться к VXLAN портам инстансов?
J
Подскажите, как предоставлять пользователям возможность подключаться к sshd инстансов без использования белых портов?
Есть ли решение элегантнее создания openvpn сервера на контроллер/нетворк ноде, чтобы с него подключаться к VXLAN портам инстансов?
Много способов есть.
Самаый простой - через механизм floating ip прокидывать ssh порт виртуалок на какие-нибудь верхние порты белого плавающего адреса.
96eae59ecc096eb98e63cbe
есть ли способ, в котором sshd не будет слушать белый порт?
J
есть ли способ, в котором sshd не будет слушать белый порт?
Белый порт - это на белом адресе?
Лучше объясни подробнее задачу.
96eae59ecc096eb98e63cbe
Как я понял безопасники не хотят давать порты на белом адресе, чтобы на них висели ssh демоны виртуалок
Не вижу в этом проблем, если использовать нормальные пароли и попробую переубедить их. Но, хотелось бы предоставить им альтернативное решение, в котором у опенстак админов будет больше контроля над методом аутентификации слушающего на порту сервиса. Пользователи инстансов все-таки могут поменять sshd-config и включить доступ по слабому паролю.
J
Как я понял безопасники не хотят давать порты на белом адресе, чтобы на них висели ssh демоны виртуалок
Не вижу в этом проблем, если использовать нормальные пароли и попробую переубедить их. Но, хотелось бы предоставить им альтернативное решение, в котором у опенстак админов будет больше контроля над методом аутентификации слушающего на порту сервиса. Пользователи инстансов все-таки могут поменять sshd-config и включить доступ по слабому паролю.
А на самих машинах нет сервисов которые должны быть доступны из публичного интернета?
96eae59ecc096eb98e63cbe
ну апишка опенстака висит на реверс прокси
96eae59ecc096eb98e63cbe
это все, что из публичного интернета доступно
NS 🇷🇺
ну апишка опенстака висит на реверс прокси
tailscale и аналоги, если вм имеют доступ в интернеты 😄 но это из серии вредных советов
NS 🇷🇺
Белый порт - это на белом адресе?
Лучше объясни подробнее задачу.
я даже до сих пор не понял, что значит белые порты
J
Ну, по-хорошему вопрос не про опенстек, а про то что безопасники не очень хотят придумывать чо-то и как всегда "запретить"
NS 🇷🇺
Ну, по-хорошему вопрос не про опенстек, а про то что безопасники не очень хотят придумывать чо-то и как всегда "запретить"
в приличных местах ИБ за такое ебут, ну в смысле если они не могут предложить альтернативу