Подсказка иди и сделай qemu-img info на созданном волуме )
Не загрузочный?
Pavel
Yuriy
Здраствуйте коллеги. а есть ли в openstack рабочий инструмент, чтобы спустить внешнюю сеть в виде vxlan с внешнего роутера, или нужно писать плагин под этот роутер?
NS 🇷🇺
Здраствуйте коллеги. а есть ли в openstack рабочий инструмент, чтобы спустить внешнюю сеть в виде vxlan с внешнего роутера, или нужно писать плагин под этот роутер?
эм, что значит спустить? вместо влан или флат использовать вхлан на внешнем адресе?
Илья | 😶☮️🐸
NS 🇷🇺
Мб просто vtep чтоб был на гипере?
ну если я правильно понимаю о чем речь, то это по идее должно работать из коробки. Сетку просто с правильными данными создать
Yuriy
Здраствуйте коллеги. а есть ли в openstack рабочий инструмент, чтобы спустить внешнюю сеть в виде vxlan с внешнего роутера, или нужно писать плагин под этот роутер?
Что то типа openstack network create --external --provider-network-type vxlan --provider-segment 1005 vxlan1005.
NS 🇷🇺
Yuriy
Но я уже понял, что нейтрону нужен плагин, который будет строить vxlan тунель между OVS внешним физическим роутером.
NS 🇷🇺
Но я уже понял, что нейтрону нужен плагин, который будет строить vxlan тунель между OVS внешним физическим роутером.
эм. в коде ovs агента разве это нет?
Dmitry
Откуда их постоянно по нескольку рыл?
Вангую: ищут группы по OpenStack в названии. Может поменять на ОпенСтэк? :D
Yuriy
Еще коллеги, извиняюсь. Где можно посмотреть - как ограничить доступ к определенным AZ для новы?
Yuriy
То есть я хочу чтобы определенные AZ были видны только определенным проектам.
NS 🇷🇺
То есть я хочу чтобы определенные AZ были видны только определенным проектам.
на уровней флейворов можно сделать размещение
Yuriy
ну и зачем тогда изобретать велосипед?
Ну тогда необходимо в принципе убрать/удалить опцию выбора AZ для пользователя при создании инстанса...
NS 🇷🇺
NS 🇷🇺
Ну хотя от кейсов зависит, у нас 3 зоны для прода и 3 зоны для дев окружений. Можно в каждом типе выбирать где упасть либо шедулер автоматом положет
Yuriy
Зачем?
То есть сначало пользователь выбирает зону, по том выбирает флейвор, и если зона в флейворе не совпадает с той зоной что он выбрал изначально, OpenStack его шлет, естественно...
NS 🇷🇺
Ее можно не выбирать )
NS 🇷🇺
Можно патч к хорвйзону накидать, чтобы зоны по списку доступных фоейворов кидал
Yuriy
Ее можно не выбирать )
Это да... но если делать на флейворах, то отключить в принципе возможность выбирать зону при создании. Защита от дураков так сказать...
Yuriy
Или создать host aggregate без --property availability_zone.
Yuriy
И в флейворе просто привязываться к ней.
Artem
Добрый денек, хотел уточнить у кого развернут Openstack на UbuntuServer 22.04.1 LTS на Intel проце? Не возникало проблем с qemu, при развертывание виртуалки, выдаёт ошибку VMX disabled
Viktor
Добрый денек, хотел уточнить у кого развернут Openstack на UbuntuServer 22.04.1 LTS на Intel проце? Не возникало проблем с qemu, при развертывание виртуалки, выдаёт ошибку VMX disabled
Так может стоит в bios включить поддержку виртуализации, чтобы она всё-таки заработала? 🤷♂
Artem
Все включено, почему то в убунту видет уязвимость vmx
Artem
Именно на интел
Artem
В grub отключал уязвимости, не прокатывает, если в нове поменять qemu на другой вариант, виртуалка поднимается, но быстродействие падает
Viktor
Все включено, почему то в убунту видет уязвимость vmx
Какая уязвимость? Ubuntu на голом железе или ещё через какую-то виртуализации?
Artem
На голом железе Intel(R) Core(TM) i3-10100F CPU @ 3.60GHz
Artem
Vulnerabilities:
Itlb multihit: KVM: Mitigation: VMX disabled
Nikolay
Вопрос по ovs+DVR, для каких целей используется floating ip который сжирает каждая компьюта? Подампил трафик и чето нет активности , все едет на контрол(network)
NS 🇷🇺
Вопрос по ovs+DVR, для каких целей используется floating ip который сжирает каждая компьюта? Подампил трафик и чето нет активности , все едет на контрол(network)
через него выходят в инет тачки с фипами на этом хосте
NS 🇷🇺
это вообще все в доках есть
J
Вопрос по ovs+DVR, для каких целей используется floating ip который сжирает каждая компьюта? Подампил трафик и чето нет активности , все едет на контрол(network)
Это floating ip agent gateway.
Интерфейс помеченный как fg на схемах.
J
Можно заменить на service_subnet, но придется пересоздавать агенты и их неймспейсы.
NS 🇷🇺
ну и плюсом под них можно отдельную сеть выделять
Nikolay
А зачем отдельный фип забрать для тачки которая забирает фип
NS 🇷🇺
А зачем отдельный фип забрать для тачки которая забирает фип
не используй фип, используй сервисную подсеть
Nikolay
Хмм
Nikolay
А где подробней почитать? А то прям бред получается, условно 100 компют своровали внешние ip, что бы что?
J
А зачем отдельный фип забрать для тачки которая забирает фип
https://docs.openstack.org/liberty/networking-guide/scenario-dvr-ovs.html
Гляди на схему.
После того как в qrouter неймспейсе пакет занатился в адрес fip он попадает в fip неймспейс и там через интерфейс fg уходит наружу.
J
Сначала когда все проектировали подумали что плавающий адрес, интерфейс fg внутри fip и nexthop для сети плавающего адреса должны быть в одной сети.
J
Но на деле достаточно чтобы неймспейс fip знал mac адрес некстхопа.
J
Хмм
А вот про service subnets.
https://docs.openstack.org/ocata/networking-guide/config-service-subnets.html
Nikolay
надо изучать, но похоже традиционный вариант колы + dvr похож на кусок говна
Nikolay
потому как как бы стандартная схема ovs+dvr + vlan external network, + a tenant network + tenant router = бессмыленный расход белых ip
NS 🇷🇺
потому как как бы стандартная схема ovs+dvr + vlan external network, + a tenant network + tenant router = бессмыленный расход белых ip
стандартная схема это линукс бридж на вланах
Nikolay
ну хз, какие актульные поставки так делают? редхат, мирантис, убунта?
J
потому как как бы стандартная схема ovs+dvr + vlan external network, + a tenant network + tenant router = бессмыленный расход белых ip
Это не kola виновата)
Ты не поставки лучше ищи актуальные, а разберись и прикинь как лучше именно в твоем случае.
J
Если fip gateway в сервисную подсеть выкинуть, то драгоценные адреса будут расходоваться только на публичные адреса роутеров, а все остальные сможешь использовать под прямую отдачу либо плавающие адреса.
Nikolay
Я прочитал картинку как виртуалки с компьюты ходят напрямки в инет с компуты - и пусть это спорный бонус, но меня устраивает
Nikolay
Либо я прочитал не так, либо лыжи не едут
NS 🇷🇺
Я прочитал картинку как виртуалки с компьюты ходят напрямки в инет с компуты - и пусть это спорный бонус, но меня устраивает
без фип идут через нетворк ноды
NS 🇷🇺
хотя тож бред.... не понятно почему снат не организовать там же
Nikolay
Да я это вижу, вопрос в том нафея
Nikolay
Вот вот
Nikolay
Ну те хочешь в инет напрямую, создал неймспецс на компуте захавал внешний ip и снать себе на здоровье
J
хотя тож бред.... не понятно почему снат не организовать там же
Тогда либо вернешься к схеме где на каждый compute нужен в каждой публичной сети адрес для snat либо столкнешься с сихронизацией flow в ovs и conntrack таблиц
J
Потому и не осилили до сих пор, видать.
Nikolay
which will create an interface and allocate an IP address on demo-ext-net:
Nikolay
наркоманы, ip из сабнета берется...
Nikolay
может тогда есть подсказки из свежих мурзилок, как притулить внешние ip только на контролы и клиентам , не разбазаривая на компюты, но при этом dvr чтобы был
J
Nikolay
ну может свежее покойной окаты и с картинками :)
J
ну может свежее покойной окаты и с картинками :)
Базовые принципы dvr+ovs не менялись с либерти, сервисные подсети с окаты.
Nikolay
спасибо
J
Поэтому свежее документацию никто не писал.
Nikolay
к моему стыду раньше мне не попадались
Stanley
Можно ли в horizon отключить секцию Health monitor в LBaaS?
Vyacheslav
Меня одного смущает, что lbaas работает на Вирт драйверах и не особо умеет в tcp offload и как бы решение странное
Stanley
Что значит на “виртуальных драйверах»? Не совсем понятно
Vyacheslav
То что нет tcp offload
Fedor
Меня одного смущает, что lbaas работает на Вирт драйверах и не особо умеет в tcp offload и как бы решение странное
Вы октавию не осилили что-ли?
Nikolay
Valid Values
dvr, dvr_snat, legacy, dvr_no_external