Илья | 😶☮️🐸
для сервисов между собой кролик же есть, не ?
Nikolay
ок, давайте тогда думать что вся эта петрушка с сетями просто наркомания разрабов опенстека не имующая под собой никаких реальных обоснований
Fedor
internal изолированная сеть для взаимодействия сервисов между собой
У вас изоляция каждого сервиса в сети, а не сегмента целиком?
Nikolay
изоляция это значит сервисы по l2 напрямую связаны между собой (в простом случае ) и эта сеть никуда не маршрутизируется
Fedor
изоляция это значит сервисы по l2 напрямую связаны между собой (в простом случае ) и эта сеть никуда не маршрутизируется
А если маршрутизируются, то что? Связь от этого не потеряется.
Nikolay
смысл в том что там никого кроме сервисов нет
Nikolay
и очень желательно чтобы это сидело на коммутаторах которые именно для стенда
Nikolay
еще раз есть типовые схемы от больших компаний, найдете в себе силы обьяснить что они все ошибаются - вперед
Fedor
смысл в том что там никого кроме сервисов нет
Так у вас ровно те же сервисы должны быть доступны из паблика и интернал, исключая король и машку, да то не в 100% случаев - тот же биллинг может работать через кролик.
Nikolay
если положат паблик вот фиолетово
Fedor
Сервисы и порты те же
Nikolay
с чего вдруг
Илья | 😶☮️🐸
он же внутренний и не выходит за рамки пограничного маршрутизатора
Fedor
А почему нет? У тебя заддосили нову по публичной сетке запросамм и всё, в привате её тоже нет
Nikolay
если будет ddos то это погасит ИБ
Илья | 😶☮️🐸
Ну это тоже верно, но для этого же можно перед новой проксю поставить для защиты "хоть какой-то"
Nikolay
а что щаз модно с голой жопой в инет торчать?
J
А, я понял)
J
Седня решили жопу с пальцем перепутать)
Fedor
Так разделением сетей ты ничего не защищаешь в случае сервисов опенстека. Просто прикрываешь жопку газеткой и получаешь справку от иб
Илья | 😶☮️🐸
Так разделением сетей ты ничего не защищаешь в случае сервисов опенстека. Просто прикрываешь жопку газеткой и получаешь справку от иб
Неееет, погоди, а ведь можно и отдельные пару хостов + LB выделить под интернал нову)
Илья | 😶☮️🐸
Пусть себе обдудосятся паблик, а интернал будет работать!
Den
Fedor
Ну или можно пример конкретной атаки?
Nikolay
Скажу так в эксплуатации столько приколов случается, что выделенная сеть для сервисов это залог своего здоровья
J
Разные типы эндпоинтов добавляют обалденной гибкости.
Можно иметь отдельные наборы API сервисов для публичного доступа и для внутренних коммуникаций.
Можно терминировать разные типы эндпоинтов на разных наборах балансировщиков
А можно просто иметь разные эндпоинты и фиьтровать трафик.
upd.
Забыл)
А можно все эндпоинты совмещать в одном и во мнногих случаях все равно ничо страшного не случится.
А при чем тут вендорские референсные архитектуры сочиненные для инженеров с квалификацией ниже среднего это я не очень понял.
Fedor
Неееет, погоди, а ведь можно и отдельные пару хостов + LB выделить под интернал нову)
Можно, и только к ним доступ сделать в сегмент. Но опять, зачем отдельная сеть?
Илья | 😶☮️🐸
Stanley
Илюха снова накинул на вентилятор. :)))
Илья | 😶☮️🐸
Так что ж ты теряешься, даешь вланы в массы :)))
По полной и всем! Погоди, я скоро коллу буду щекотать, будет праздник на вашей улице
Stanley
По полной и всем! Погоди, я скоро коллу буду щекотать, будет праздник на вашей улице
Господи, за что???? 😱😱😱
Artem
Привет всем, не дадите наводку, где можно почитать про образы, как их делать для openstack, кроме официальной доки)
J
Привет всем, не дадите наводку, где можно почитать про образы, как их делать для openstack, кроме официальной доки)
А что конкретно тебя интересует или что не получается?
Artem
Требуется сделать образы под openstack, Microsoft Windows Server 2022
Microsoft Windows Server 2019
Microsoft Windows Server 2016
Artem
На офф сайте особо не понял
J
Требуется сделать образы под openstack, Microsoft Windows Server 2022
Microsoft Windows Server 2019
Microsoft Windows Server 2016
Делаешь в системе все что надо из audit режима
Ставишь virtio драйверы
Потом ставишь cloudbase-init
Потом делаешь sysprep /generalize /oobe /shutdown
Вот и все, если коротко.
Artem
Как я сейчас делаю, Запуксаю через HyperV образ, все ставлю потом скидываю на Linux конвертирую в qcow2
Artem
Единственное sysprep /generalize /oobe /shutdown не делал
Илья | 😶☮️🐸
ну так и что не так ?
Artem
Да чет запускаться не хочет, сразу в ошибку Таймаутов
Илья | 😶☮️🐸
собирайте под квм
Илья | 😶☮️🐸
через либвирт стартуете и с vnc собираете, как делали ещё в 1337г до н.э.
Илья | 😶☮️🐸
а, и да, возможно из-за того что sysprep не делали, то образ содержит старые данные интерфейса и не кричит dhcp дать адрес
Artem
принял, спасибо, буду ковырять
J
Да чет запускаться не хочет, сразу в ошибку Таймаутов
Ну посмотри через vnc консоль что там не так идет.
А заодно и что cloudbase-init в serial консоль выводит, если дело доходит до него.
Artem
did not finish being created even after we waited 3 seconds or 2 attempts. And its status is error.].
Илья | 😶☮️🐸
Artem
[Error: Build of instance a9af1af3-e24a-4436-ba6b-50c3e1a2ac12 aborted: Volume 16ae958e-ae85-46ac-bdf7-5a3d50fc3260 did not finish being created even after we waited 3 seconds or 2 attempts. And its status is error.].
Artem
сразу падает при создании инстанса
Илья | 😶☮️🐸
Ну так логи изучайте, это не с виндой связано же, а с новой
Илья | 😶☮️🐸
"Volume 16ae958e-ae85-46ac-bdf7-5a3d50fc3260 did not finish being created" и нова и цындер
J
[Error: Build of instance a9af1af3-e24a-4436-ba6b-50c3e1a2ac12 aborted: Volume 16ae958e-ae85-46ac-bdf7-5a3d50fc3260 did not finish being created even after we waited 3 seconds or 2 attempts. And its status is error.].
Возможно, cinder не может получить доступ к образу. Какие бекэнды у cinder и glance?
И включи debug = true в конфигах сеовисов.
Stanley
Делаешь в системе все что надо из audit режима
Ставишь virtio драйверы
Потом ставишь cloudbase-init
Потом делаешь sysprep /generalize /oobe /shutdown
Вот и все, если коротко.
Лучше не сиспрепать в конце, а еще раз запускать ту же установку клауд инита и в конце ставить галочку сиспрепа
NS 🇷🇺
J
Лучше не сиспрепать в конце, а еще раз запускать ту же установку клауд инита и в конце ставить галочку сиспрепа
Он то же самое сделает. Лучше галочку НЕ ставить на случай если после установки cloudbase-init спохватишься и захочешь еще изменения внести.
Stanley
Он то же самое сделает. Лучше галочку НЕ ставить на случай если после установки cloudbase-init спохватишься и захочешь еще изменения внести.
Как не тоже самое и как раз лучше ее ставить.
Лан, я смотрю спецы в чате. Без меня разберутся.
J
Как не тоже самое и как раз лучше ее ставить.
Лан, я смотрю спецы в чате. Без меня разберутся.
То же самое и лучше не ставить. Например, если тебе после установки надо конфиг cloudbase-init поправить и включить/отключить плагины. Спецы без тебя разобрались, да. Без обид)
Artem
Поднялся образ
Artem
Проблема была ещё в диске, я 150 гигов сделал по дефолту
Artem
пересобрал на 50 и всё окей
NS 🇷🇺
На что? Иди попробуй руками. Вот тебе и пруфы.
руками что, ты сказал а, будь добр сказать б. Образа я готовил под винду не однократно за свою скромную ИТ жизнь
NS 🇷🇺
То же самое и лучше не ставить. Например, если тебе после установки надо конфиг cloudbase-init поправить и включить/отключить плагины. Спецы без тебя разобрались, да. Без обид)
ну тут понимаешь, главное всегда пернуть в воздух и чем громче - тем лучше
Artem
Глупый вопрос, для продакшена Windows Server 2022 Standart Evaluation
Artem
норм образ?
Artem
я так понял это не полная версия
Artem
Или я не прав
J
И хз как щас у майкрософта с новыми лицензиями в РФ. Если ты в РФ, конечно)
Artem
А нет линка, на образы