Stanley
Походу Слава прав - вы чего то не то делаете...
Yuriy
Просто сетевики не захотели спускать External сети на все Data ноды, это основная причина отключения DVR и использования отдельных Network нод.
Yuriy
Соответственно Network Node падают, падает весь L3 трафик, даже внутренний.
Fedor
Вот ещё, поскольку CentOS Stream горячая тема, от Саши: https://www.youtube.com/watch?v=yf1wO5Iu8uY
А ещё остались люди, которые верят, что стримом можно пользоваться? Я только за прошлую неделю в неё два раза очень больно вляпался.
Yuriy
Реализация СОРМа не проблема, есть куча вариантов.
Dmitry
А ещё остались люди, которые верят, что стримом можно пользоваться? Я только за прошлую неделю в неё два раза очень больно вляпался.
Смотря для чего. У него совсем другая роль, чем у старого CentOS. Нам очень полезен, чтобы тестировать будущую версию RHEL.
Yuriy
Смотря для чего. У него совсем другая роль, чем у старого CentOS. Нам очень полезен, чтобы тестировать будущую версию RHEL.
В этой сфере применения да. Но нормально для Production ты уже его не заюзаешь, как было раньше.
Fedor
Смотря для чего. У него совсем другая роль, чем у старого CentOS. Нам очень полезен, чтобы тестировать будущую версию RHEL.
Ovmf не тестируете с либвиртом?
Dmitry
Што
Dmitry
В этой сфере применения да. Но нормально для Production ты уже его не заюзаешь, как было раньше.
Не тем же образом, да. Если есть свой staging, с другой стороны, то stream лучше: быстрее фиксы приходят. Я слышал от некоторых песонажей на саммите, что они так делают.
Fedor
Да есть там разные хмлки))
Dmitry
Ovmf не тестируете с либвиртом?
Не очень понял вопрос. В тестах у нас как раз UEFI и libvirt.
Fedor
Не очень понял вопрос. В тестах у нас как раз UEFI и libvirt.
Ну например в свежей ovmf фирмварь сломали управление питанием со стороны Windows
Dmitry
Ну например в свежей ovmf фирмварь сломали управление питанием со стороны Windows
Винду мы как-то не тестируем, CI не резиновый :)
Dmitry
Это вопросы к RHEL, не ко мне.
Fedor
Ну я просто к тому, что там перманенто чинят что сами сломали. Я не уверен, что это хорошо даже под ci. В самом последнем ядре, например, просто пропали модули ядра под делловские рейд контроллеры.
Dmitry
Я тоже не от всего в восторге, но это тупо превью того, что случится в следующем RHEL. Винить в этом Stream как таковой нет смысла.
Ilya
Я тоже не от всего в восторге, но это тупо превью того, что случится в следующем RHEL. Винить в этом Stream как таковой нет смысла.
понятно... такой стабильности, как в центоси больше нет...
Ilya
Ну я просто к тому, что там перманенто чинят что сами сломали. Я не уверен, что это хорошо даже под ci. В самом последнем ядре, например, просто пропали модули ядра под делловские рейд контроллеры.
Федя, Дима - а чисто эмпирически стабильность получается еще хуже, чем в дебиане?
Михаил
У меня филосовский вопрос: не проще ли уже софт запаковать в docker и не париться с ОС?
Nik
Возможно сделать именно DNAT на лоджикал роутере? (Floating делает полную симметрию, а она мешает).
John Roe
@mari_korj: user has been CAS banned
Anvyar
Ну я просто к тому, что там перманенто чинят что сами сломали. Я не уверен, что это хорошо даже под ci. В самом последнем ядре, например, просто пропали модули ядра под делловские рейд контроллеры.
Вот тут поддержу негодование, выпилить с наступлением восьмого релиза из ядра часть модулей - кощунство
Vyacheslav
У меня филосовский вопрос: не проще ли уже софт запаковать в docker и не париться с ОС?
Мы тут поймали такое, запускаешь на centos 7 neutron l3 agent от centos8 и получаеешь дублирование iptables rule
Михаил
Мы тут поймали такое, запускаешь на centos 7 neutron l3 agent от centos8 и получаеешь дублирование iptables rule
Мне кажется это ответ не мне)
Михаил
Это как раз про то что не париться и запихать всё в докер
А, к тому, что завернутый внутрь docker neutron l3 agent на базе образа centos 8 дублирует правила если запустить его на cnetos 7?
Михаил
Я правильно распарсил?)
Vyacheslav
Да всё так 🙂
Михаил
Да всё так 🙂
Не ну баги есть везде. Можно же 1. Сделать репорт 2. Поискать образ на базе другой ОС 3. Собрать этот образ самому) хотя бы вариантов больше
Vyacheslav
Там проблема в том, что модули из c8 которые в docker l3agent генерит правила работают не так как из c7
Vyacheslav
Просто надо быть внимательными в этом вопросе, баг репорт на что открывать? Для c8 надо использовать c8 образы, а не c7
Михаил
Просто надо быть внимательными в этом вопросе, баг репорт на что открывать? Для c8 надо использовать c8 образы, а не c7
Интересно что будет на убунту)
Vyacheslav
Всё в ваших руках 🙂 ansible kolla можно переменными накидать такую дичь довольно легко 🙂
Denis
Скорее проблема в iptsbles/nftables именно в 8ке удалили поддержку iptables и остался исключительно nftablee, но к тому же в этот момент обновили и сам iptables,он просто новее и работает по другому. El7 насколько помню 1.4.x, el8 уже 1.8.x
Fedor
Федя, Дима - а чисто эмпирически стабильность получается еще хуже, чем в дебиане?
Вы не путаете, случайно, дебиан с чем-то другим? Я всегда считал, что stable debian обновляется гораздо реже и вдумчивей, чем убунта.
Denis
Вы не путаете, случайно, дебиан с чем-то другим? Я всегда считал, что stable debian обновляется гораздо реже и вдумчивей, чем убунта.
сначала стабилизируют убунту, потом все это в дебияне настаивается и выходит новый релиз дебияна )
Pavel
А если еще и смотреть на то что откуда растет то убунта окажется debian testing + unstable
Pavel
Денис вы места сына и отца перепутали
Fedor
промискуитет какой-то у вас нарисовывается)
Pavel
Дебиан использут как апстрим. почти во всем кроме ну очень специфичных вещей
Ilya
Вы не путаете, случайно, дебиан с чем-то другим? Я всегда считал, что stable debian обновляется гораздо реже и вдумчивей, чем убунта.
ок. а если сравнивать тогда центось 8 и убунту?
Denis
в centos8 нет iptables-legacy, в некоторых обстоятельствах это будет фатально.
Fedor
ок. а если сравнивать тогда центось 8 и убунту?
Убунту - LTS, саппорт и счастье красноглазикам, 8 стрим - тестовая игрушка. Но. У меня пока большого продакшна на убунте нет, чтобы подписаться под этими словами.
Fedor
в centos8 нет iptables-legacy, в некоторых обстоятельствах это будет фатально.
а вам оно в нашем камунити зачем? пора уже native рулесы использовать в ovs
Denis
а вам оно в нашем камунити зачем? пора уже native рулесы использовать в ovs
Ну мало ли, у у кого-то "ситорически" бриджи или старый релиз)
Fedor
самое занятное было, конечно, контейнеры с 7 кентосем овер 8 хоста. оказалось, что iptables-legacy на самом деле глубоко где-то есть, просто не ставятся.
Fedor
Ну мало ли, у у кого-то "ситорически" бриджи или старый релиз)
Мы научились обновлять коллу, и затаскивать любую не колла инсталляцию в коллу, так что не вижу причин не обновляться)
Fedor
А вот линуксбридж-овёс миграция у меня до сих пор вызывает ужас и нежелание читать код при попытке к ней подойти)
Denis
самое занятное было, конечно, контейнеры с 7 кентосем овер 8 хоста. оказалось, что iptables-legacy на самом деле глубоко где-то есть, просто не ставятся.
если упростить, то iptables представляет из себя
ipbales.ko + бинарь iptables
при переходе на nftables redhat/ibm не стали удалять из ядра поддержку iptables, поэтому, если на 8 центосе катать "старые" контейнеры все будет работать.
Denis
самое занятное было, конечно, контейнеры с 7 кентосем овер 8 хоста. оказалось, что iptables-legacy на самом деле глубоко где-то есть, просто не ставятся.
в момент перехода k8s страдали сильно со своими kube-proxy и подобными решениями)
Denis
а почему вообще centos8? он же уже все...
Илья | 😶☮️🐸
Fedor
Второе больно ?
главное план и его придерживаться. а так - просто посервисно переносишь в докеры всё, что у тебя было до этого в других местах.
Илья | 😶☮️🐸
Denis
главное план и его придерживаться. а так - просто посервисно переносишь в докеры всё, что у тебя было до этого в других местах.
докеры как способ доставки софта, а не вот это вот все что вы там себе успели подумать))
Илья | 😶☮️🐸
Чтоб они в докерах жили
Fedor
так на компуте у тебя всего лишь нова, либвирт и овёс/бридж, их по очереди и переносишь в контейнер. с либвиртом был небольшой квест в путях к xml, насколько я помню, остальное вообще без приключений уезжает в контейнеры.
Vyacheslav
а вам оно в нашем камунити зачем? пора уже native рулесы использовать в ovs
Все равно в vrouter используется iptables
Vyacheslav
А вот линуксбридж-овёс миграция у меня до сих пор вызывает ужас и нежелание читать код при попытке к ней подойти)
Довольно легко, если делать по compute когда он пустой без vm
Fedor
Довольно легко, если делать по compute когда он пустой без vm
А vxlan будет потом к этой кампуте?
Fedor
Между овсом и брижом так сказать
Vyacheslav
А vxlan будет потом к этой кампуте?
Да там из сложного меняется только tap куда подключается
Vyacheslav
А, там все сети уже на бридже, а не только iptables
Vyacheslav
Технически это тот же vxlan. Надо посмотреть ovs включается на neutron server или только на compute
Denis
Denis
Fedor
Технически это тот же vxlan. Надо посмотреть ovs включается на neutron server или только на compute
Я теорию про vxlan тоже знаю, меня практические изыскания пугают. Где-то читал, что чуть ли не на уровне базы можно иметь проблемы при одновременной работе ovs и бриджа.
Vyacheslav
Я теорию про vxlan тоже знаю, меня практические изыскания пугают. Где-то читал, что чуть ли не на уровне базы можно иметь проблемы при одновременной работе ovs и бриджа.
Не пробовал, только ovs + iptables -> ovs + ovs filter делал миграцию
Илья | 😶☮️🐸
dpdk как-то влияет на производительность ovs фильтров ?
Fedor
Не пробовал, только ovs + iptables -> ovs + ovs filter делал миграцию
Там вроде через live миграцию всё? Оно отличается только конфигом овса на ноде
Dmitry
Коллеги, привет! А вопросы по tionix в этой группе считаются релевантными?