« Rev
@openstack_ru   77
Fwd »


Anonymous
Александр а есть что-то про функциональность вашего application firewall, кроме маркетингового https://www.ptsecurity.com/ru-ru/products/af/ ?
Anonymous
вдруг мы бы заонбоардили его и в каком-нибудь солюшене внезапно получилось бы использовать :)
Александр
Александр а есть что-то про функциональность вашего application firewall, кроме маркетингового https://www.ptsecurity.com/ru-ru/products/af/ ?
К сожалению я не разработчик данного firewall. Я разработчик платформы для VNF функций. А данный продукт нам предоставили в качестве тестов с его TOSCA описанием.
Anonymous
а, ok :)
Александр
а, ok :)
Могу скинуть функциональность платформы если интересно.
Anonymous
даташит?
Anonymous
я уже прочёл, но там очень много воды.
Александр
к сожалению не даташит. а то что мы из себя представляем и куда стремимся.
Anonymous
в целом, интересно смотрится для Enterprise кейсов SD-WAN как VAS.
Anonymous
про платформу не интересно :)
Александр
я бы сказал больше для телеком операторов
Andrey
IPS есть ? с автоматическим обновлением сигнатур ?
Александр
окей.
Александр
IPS есть ? с автоматическим обновлением сигнатур ?
по словам разработчкиов имеется.но на сколько это верно не проверялось
Anonymous
да и у checkpoint та же история, насколько я помню. да и у fortinet.
Andrey
1.5 года назад, без DPDK, vSRX показывал очень грустуню производительность IPS - как сейчас не знаю.
Anonymous
мы про какую ветку сейчас говорим?
Anonymous
про 15.1 или 12.1?
Anonymous
если 15.1 - там внутри не отключается DPDK
Andrey
"Машинное обучение против атак нулевого дня" - огонь фаерволл)
Anonymous
ну и, алсо, c vSRX 15.1X49-D70 можно делать vSRX-M и vSRX-L
Anonymous
мы уже натестировали их, но отчёт не могу показать, ибо confidential :(
Anonymous
могу лишь сказать, что без применения полиси хорошо получилось 4.5Gbps на SR-IOV линках в dataplane на vSRX-M
Anonymous
дальше у spirent кончились cpu в карте для профиля avalanche :)
citius
в общем напишу постмортем по поводу проблем с ребитом которые я выше поднимал. я сначала стал грешить на NTP, но в итоге выяснилось что проблема таки в самом ребите. после синхронизации времени агенты нейтрона вроде пришли в норму, но машины не могли стартовать, долго удалялись, в общем все по прежнему глючило. я порыл по логам, вроде как упиралось все в ребит. у меня была настроена схема с keepalived, и агенты ходили на кластерный адрес. В HA доке же на сайте описан другой конфиг, там все три ребита вписаны во все конфиги, keepalived не нужен. я снес полностью кластер ребита, поднял с нуля кластер и HA очереди, и взял за образец конфиг с сайта + тюнинговые параметры которые они там рекомендуют. в итоге сейчас все ок.
Pavel
весьма странное решение было вешать коннект к раббиту на HA адрес, все сессии у него отслеживаются и не могут быть перекинуты просто так на другую ноду
citius
ну я в этом плане чайник, с OS и ребитом столкнулся вот только-только. а такую схему я видел в одном из гайдов.
citius
о, супер. благодарочка.
Anonymous
В нашем HA VIM мы используем очень похожее.
Pavel
прям классика. Зачем там вообще нужен вип?
citius
ну я например вообще не знал что можно все три ребита вкрячить в конфиг.
citius
к сожалению информацию приходится по крупицам вытаскивать, нормальной всеобъемлющей доки я пока не нашел
Anonymous
Конечно
Anonymous
Это же OpenStack
Anonymous
Палки и жеваные жёлуди
Anonymous
Жёлуди и палки
Mark ☢️
Mark ☢️
Вот нужный термин
citius
гениально
Mark ☢️
https://mstrok.ru/news/govno-i-v-bolnicy-nizhnego-tagila-privezli-hleb-s-necenzurnym-sostavom-foto.html
Mark ☢️
Сегодня это на этикетке, завтра в хлебе?», - пишет Наталья Кислухина
citius
вообще хрень. в полном конфиге на нейтрон написано: [DEFAULT] # The host IP to bind to (string value) #bind_host = 0.0.0.0 Пихаем это в конфиг. получаем CRITICAL: 2017-06-21 19:21:32.768 6635 ERROR neutron NoSuchOptError: no such option bind_host in group [DEFAULT]
citius
это как понимать? :)
citius
блядь, он не принимает адрес в виде переменной, вида $my_ip. хотя во всех остальных сервисах все работает. говно и палки, да.
Anonymous
Привет
Andrey
Привет
citius
оката. кстати после замены конфигов реббита, где-то блядь всплывает таки старый конфиг. в логе nova-api есть ошибки на него. и нигде в /etc/nova этого уже нет. ебусь пытаюсь найти откуда он это сосет.
Anonymous
это нормально, что настройки из документации не сходятся реальностью. это openstack
Anonymous
надо включать debug для neutron, перезапускать его и идти смотреть опции, которые он проинициализировал, в логе.
Anonymous
там будет понятно, в какой секции он желает bind_host.
citius
блядь, в нове откуда-то лезет старый конфиг ребита. в /etc/nova его нет. вообще нигде в /etc/ нет. при включенном дебаге тоже вроде нет. а в /var/log/nova/nova-api.log есть. как так то?
citius
нашел. в mysql базе cell_mappings отдельно прописан транспорт для cell_1.
Andrey
кто-то кроме cern пользует cells ?
Mike
кто-то кроме cern пользует cells ?
Ставишь ocata - будешь использовать
Александр
Коллеги кто нибудь сталкивался с такой проблемой
Александр
https://mail.openvswitch.org/pipermail/ovs-discuss/attachments/20160601/6af5522e/attachment-0002.txt
Александр
если да то может кто знает как решается
Pavel
в чем проблема?
Pavel
ovs порты работают в default неймспейсе и пихать их в другие не стоит, как правило заканчивается отсутствие трафика. если нужно из каких-то ns направить трафик в бридж всвича, то нужно протягивать veth шланг из неймспейса в овс бридж
Igor
привет! делаю запрос curl на сервис glance например, получаю в ответ json {"versions": [{"status": "CURRENT", "id": "v2.5", "links": [{"href": "http://glance-backend/v2/", "rel": "self"}]}, {"status": "SUPPORTED", "id": "v2.4", "links": [{"href": "http://glance-backend/v2/", "rel": "self"}]}, {"status": "SUPPORTED", "id": "v2.3", "links": [{"href": "http://glance-backend/v2/", "rel": "self"}]}, {"status": "SUPPORTED", "id": "v2.2", "links": [{"href": "http://glance-backend/v2/", "rel": "self"}]}, {"status": "SUPPORTED", "id": "v2.1", "links": [{"href": "http://glance-backend/v2/", "rel": "self"}]}, {"status": "SUPPORTED", "id": "v2.0", "links": [{"href": "http://glance-backend/v2/", "rel": "self"}]}, {"status": "DEPRECATED", "id": "v1.1", "links": [{"href": "http://glance-backend/v1/", "rel": "self"}]}, {"status": "DEPRECATED", "id": "v1.0", "links": [{"href": "http://glance-backend/v1/", "rel": "self"}]}]} получаю не те hateoas ссылки, и не могу понять где, например в конфиге glance, прописать правильное имя хоста для ссылки, а не glance-backend
Igor
кажется разобрался
Anonymous
ну, время готовиться, да? https://rkn.gov.ru/news/rsoc/news46796.htm
Anonymous
если что. я на днях посмотрел в RIPE/ARIN и приготовился. route = 91.108.4.0/255.255.252.0 route = 91.108.8.0/255.255.248.0 route = 91.108.16.0/255.255.248.0 route = 91.108.56.0/255.255.252.0 route = 149.154.160.0/255.255.240.0 route = 2001:067c:04e8:0000:0000:0000:0000:0000/48 route = 2001:0b28:f23c:0000:0000:0000:0000:0000/46
Anonymous
используйте по своему усмотрению :)
Igor
А irc канал есть?)
Anonymous
это слишком вперёд в прошлое.
Anonymous
напомню из FAQ:
Михаил
заканчивайте и идите в @cloud_flood
Artem
Всем привет! Ребята подскажите, что то не понятно по доке, в случае интеграции с external DNS, мне этот external DNS надо конфигурировать, типа где то держать bind или undbound или тут какое то свое решение имеется в виду. Поскольку в доке как то про стороний софт вообще не упомянуто https://docs.openstack.org/ocata/networking-guide/config-dns-int.html
Александр
Офтоп. Давно ли дока стала мануалом?
Александр
Вот и я о том же
Artem
Там не про designate ли?
Про него, но я так понял это просто какой то cli
Arkadiy
Вроде как должен быть развернут designate, и тогда neutron начинает туда ходить
Arkadiy
https://docs.openstack.org/ocata/networking-guide/config-dns-int.html#configuring-openstack-networking-for-integration-with-an-external-dns-service вот тут
« Rev
@openstack_ru   77
Fwd »