kn
и столько же будем продолжать слышать
Dmitry
да есть нюанс
NS 🇷🇺
Dmitry
только если в рамках стеба
Rick
привет всем. подскажите пожалуйста как настроить логирование авторизаций кейстоуна? у меня в логах файл keystone.log пустой. Пробовал включать разные уровни логирования в logging.conf и указывал путь к файлу лога в файле keystone.conf. для начала ищу чтобы увидеть логи авторизации в веб интерфесе через horizon
Andrey
когда все будет в кубере и не нужен будет openstack
10 лет назад ждали что не нужна будет vmware, т.к. все будет в облаках))
Анатолий
10 лет назад ждали что не нужна будет vmware, т.к. все будет в облаках))
vmware, внезапно, тоже делает облака - vsphere + cloud director + nsx + etc etc etc :D
Andrey
vmware, внезапно, тоже делает облака - vsphere + cloud director + nsx + etc etc etc :D
они уже сделали ? а то они годами "делают" но сделать никак не получалось
Анатолий
они уже сделали ? а то они годами "делают" но сделать никак не получалось
да лет 10 назад сделали
Анатолий
в России несколько крупных провайдеров на vmware
Анатолий
было
Fox
На рутрекере можно купить)
Александр
т. е. это может быть только как промежуточное решение. Не более.
Александр
BashStack какой-нить
Александр
Как вариант, вложиться в джайлы 🤣 Более перспективно
96eae59ecc096eb98e63cbe
Подскажите, что нужно сделать, чтобы траффик с инстанса мог ходить на интерфейс своей компут ноды не покидая её? Сейчас ходит через роутер и это не удобно для нфс
Aleksandr
96eae59ecc096eb98e63cbe
не понял
Andrey
Подскажите, что нужно сделать, чтобы траффик с инстанса мог ходить на интерфейс своей компут ноды не покидая её? Сейчас ходит через роутер и это не удобно для нфс
а если виртуалку отмигрируют на другую компьюту, трафик все равно должен оставаться локальным ?
96eae59ecc096eb98e63cbe
а если виртуалку отмигрируют на другую компьюту, трафик все равно должен оставаться локальным ?
будет достаточно реализации в пределах одной ноды
Alexander
J
Подскажите, что нужно сделать, чтобы траффик с инстанса мог ходить на интерфейс своей компут ноды не покидая её? Сейчас ходит через роутер и это не удобно для нфс
Нужно, мне кажется, рассказать для чего конкретно хочешь так сделать.
Глядишь, посоветуют чо-то получше.
96eae59ecc096eb98e63cbe
Нужно, мне кажется, рассказать для чего конкретно хочешь так сделать.
Глядишь, посоветуют чо-то получше.
На компут ноде есть ZFS. Хочется смонтировать его в инстансы посредством NFS, так как это позволит очень просто создавать снапшоты и бекапы.
J
На компут ноде есть ZFS. Хочется смонтировать его в инстансы посредством NFS, так как это позволит очень просто создавать снапшоты и бекапы.
Снапшоты и бэкапы чего-то внутри инстансов?
96eae59ecc096eb98e63cbe
да, данных сервисов
J
да, данных сервисов
Идея спорная, конечно.
Но тогда правильно тебе говорят. Заведи provider network внутрь которой будет торчать интерфейс гипервизора и интерфейс инстанса.
96eae59ecc096eb98e63cbe
провайдер сеть есть, в нее подключил как инстанс так и гипервизор, но траффик все равно через роутер идет
конфиг: linuxbridge
net.ipv4.conf.all.rp_filter=0
net.ipv4.conf.all.accept_local=1
J
провайдер сеть есть, в нее подключил как инстанс так и гипервизор, но траффик все равно через роутер идет
конфиг: linuxbridge
net.ipv4.conf.all.rp_filter=0
net.ipv4.conf.all.accept_local=1
Если это одна физическая сеть (бродкаст домен, l2 сегмент) и адреса назначены на интерфейсе инстанса и гипервизора из одной сети, то прямая связь будет.
J
Если только у тебя nfs не висит на другом адресе гипервизора и инстанс не пытается через default gateway туда лезть.
96eae59ecc096eb98e63cbe
на ноде есть eno1 — это management интерфейс, на нем висит nfs, допустим 10.0.0.100/24 . Есть eno2 — служит мастером бриджа новы, а к бриджу подключен tap интерфейс инстанса с адресом 10.0.0.200/24. Пакеты из инстанса идут на 10.0.0.1
Aleksandr
а где висит 10.0.0.1 если nfs 10.0.0.100/24 -)
96eae59ecc096eb98e63cbe
а где висит 10.0.0.1 если nfs 10.0.0.100/24 -)
10.0.0.1/24 это роутер провайдер сети
Aleksandr
Короче дарезаете VLAN - StorageVLAN -) его подаете как flat и в нужных виртуалках даете им интрфейс в эту сеть
Aleksandr
ну и NFS вешаете естественно только на этом VLAN что бы слушал
J
J
Чтобы работало свитч должен уметь reflective relay режим.
96eae59ecc096eb98e63cbe
Ну так логично ж что не работает так)
разве? по дефолту пакеты, с source и destination на локальных интерфейсах не выходят из сервера
J
разве? по дефолту пакеты, с source и destination на локальных интерфейсах не выходят из сервера
Так источник пакета не сам сервер.
96eae59ecc096eb98e63cbe
Так источник пакета не сам сервер.
но пакет выходит из tap интерфейса на сервере и назначается интерфейсу на том же сервере
J
IP стек ядра хоста пакетов от твоих виртуалок и не видит при такой схеме.
Vyacheslav
Если трафик маршрутизируется через L3 адрес и нет DVR - то все коммуникации идут через network node
J
Если трафик маршрутизируется через L3 адрес и нет DVR - то все коммуникации идут через network node
Погоди)
Тут архитектура опенстека и непричем, вроде.
J
но пакет выходит из tap интерфейса на сервере и назначается интерфейсу на том же сервере
У тебя eno1 и eno2 ведь не в одном влане?
96eae59ecc096eb98e63cbe
в одном
96eae59ecc096eb98e63cbe
там даже влана нет
Vyacheslav
96eae59ecc096eb98e63cbe
ага
J
Хм.
Ты поснифай трафик на eno2 и посмотри уходят ли arp запросы от виртуалки к NFS серверу действительно без vlan тэга.
96eae59ecc096eb98e63cbe
у гипервизора создается arp запись инстанса, указывающая на eno1 интерфейс, а не на eno2
J
у гипервизора создается arp запись инстанса, указывающая на eno1 интерфейс, а не на eno2
Логично.
arp запрос инстанса уходит через eno2. свитч видит мак хоста и форвардит фрейм хосту через eno1. Гипервизор знает что мак инстанса доступен ему через eno1.
J
Логично.
arp запрос инстанса уходит через eno2. свитч видит мак хоста и форвардит фрейм хосту через eno1. Гипервизор знает что мак инстанса доступен ему через eno1.
Ну или не arp, а любой трафик предназначенный хосту)
96eae59ecc096eb98e63cbe
действительно логично
значит нужно добиться того, чтобы arp запрос не уходил с eno2, а резолвился линуксом
J
действительно логично
значит нужно добиться того, чтобы arp запрос не уходил с eno2, а резолвился линуксом
Подожди.
В той схеме что у тебя сейчас должно все равно работать.
J
действительно логично
значит нужно добиться того, чтобы arp запрос не уходил с eno2, а резолвился линуксом
Ну можно повесить адрес из этой сети на созданный нейтроном бридж. Но вариант кривой)
J
действительно логично
значит нужно добиться того, чтобы arp запрос не уходил с eno2, а резолвился линуксом
Ты скажи, щас работает или нет?)
Если работает, то что тебя не устраивает?
То что свитч работает типа в hairpin режиме форвардя трафик между двумя портами одного хоста?
96eae59ecc096eb98e63cbe
меня не устраивает что траффик ходит через роутер, а не через loopback гипервизора
J
меня не устраивает что траффик ходит через роутер, а не через loopback гипервизора
Он ходит не через роутер, а через коммутатор к которому подключен гипервизор.
96eae59ecc096eb98e63cbe
это лаба, оба порта гипервизора подключены к одному роутеру
Aleksandr
Я уже ж сказал как это сделать правильно. Если у тебя есть общий сторадж - то сделай для него сторадж сеть и подай его отдельным интерфейсом в необходимые ВМки. И живи через L2 без всяких костылей и граблей.
96eae59ecc096eb98e63cbe
но если бы они через свич ходили, это было бы также неэффективно
96eae59ecc096eb98e63cbe
Я уже ж сказал как это сделать правильно. Если у тебя есть общий сторадж - то сделай для него сторадж сеть и подай его отдельным интерфейсом в необходимые ВМки. И живи через L2 без всяких костылей и граблей.
создать на гипервизоре сеть для nfs, и запустить nfs через неё?
Aleksandr
1) на коммутаторах создать VLAN
2) Подать VLAN на сторадж и компуты
3) В настройках нейтрона прописать новую сеть
4) В опенстэке создать сеть под сторадж
5) Нужным ВМкам приаттачить вторую сетевку из этой сети
96eae59ecc096eb98e63cbe
1) на коммутаторах создать VLAN
2) Подать VLAN на сторадж и компуты
3) В настройках нейтрона прописать новую сеть
4) В опенстэке создать сеть под сторадж
5) Нужным ВМкам приаттачить вторую сетевку из этой сети
так траффик все равно будет ходить по меди, а не через loopback
96eae59ecc096eb98e63cbe
суть проблемы то в том, что траффик с бриджа нейтрона покидает гипервизор, хотя адрес назначения находится на том же гипервизоре
J
1) на коммутаторах создать VLAN
2) Подать VLAN на сторадж и компуты
3) В настройках нейтрона прописать новую сеть
4) В опенстэке создать сеть под сторадж
5) Нужным ВМкам приаттачить вторую сетевку из этой сети
тут лаба и компьют совмещен с хранилищем.
Отсюда и геморрой весь)
Aleksandr
у тебя при этой схеме на компуте где ВМка будет линукс бридж, в который будет торчать твой NFS сервер и tap’ка от виртуалки. И замкнется она на L2 внутри свича
Aleksandr
и потом как нод больше будет ты не поимеешь проблем с миграцией
J
Aleksandr
сейчас он роутится через L3