У тебя теггированный влан из Бонда вставленного в br-ex, прекрасно достанется и будет работать
дык в том и дело, что не сработало
Теггированный влан с IP адресом на бонде (bond0.1337). Сам bond0 добавлен в бридж br-ex. В порты инстансов от этого влана никакого трафика не шло от слова совсем
Илья | 😶☮️🐸
Илья | 😶☮️🐸
Разобрав bond0 на 2 отдельных интерфейса, теперь eth0 как raw-device представлен в системе, никаких адресов и тп на нём нет. eth0 подключен в br-ex и чудеса, но трафик в порт инстанса от этого влана идёт
Попозже буду пробовать собрать bond0 через ovs, надеюсь что сработает
John Roe
@Marla_Rainie: user has been CAS banned
SergeyT
Разобрав bond0 на 2 отдельных интерфейса, теперь eth0 как raw-device представлен в системе, никаких адресов и тп на нём нет. eth0 подключен в br-ex и чудеса, но трафик в порт инстанса от этого влана идёт
Попозже буду пробовать собрать bond0 через ovs, надеюсь что сработает
Я может не очень понял вопрос, но что мешает поднять тегированный интерфейс средствами ovs? Т.е. Бонд втыкается в br-ex, там все транзитом идёт, а на гипрере делаешь виртуальный интерфейс и указываешь для него тэг. И его тоже в br-ex можно добавить.
J
Господа-чуваки, странный кейс, а может и не странный...
Есть необходимость держать интерфейс в mgmt влане на контроле/гипере, но при этом чтобы был bond из интерфейсов.
Если создавать интерфейс в mgmt влане на bond0 (условно) и назначать ему IP адрес, то затем не будет смысла добавлять bond0 в br-ex (OVS) так как этот mgmt влан тупо не будет работать. Есть подозрение, что можно избежать подобного через поднятие бонда именно средствами OVS, а не линупса. Что думаете ?
Кейс такой, что нужна пара инстансов, которые могли бы смотреть и в mgmt влан и в паблик влан, но при этом на гиперах/контролах осталась возможность поднятия IP из приватного влана (хочу уйти от разделения на интерфейсы, чтобы всё было на бонде).
Если на базе бонда сделаешь тегированный bond0.mgmt, а остальной бонд добавишь в ovs бридж, исключив из транка mgmt влан, то будет работать.
NS 🇷🇺
Если на базе бонда сделаешь тегированный bond0.mgmt, а остальной бонд добавишь в ovs бридж, исключив из транка mgmt влан, то будет работать.
Плюсую, по старому места работы так и жили
Yuriy
Коллеги, извиняюсь за глупый вопрос заранее.
Без включенного DVR любая маршрутизация, даже между приватными сетями клиента происходит на Network ноде?
Yuriy
А при включенном DVR маршрутизация между приватными сетями клиента уже происходит на Compute?
Yuriy
А при включенном DVR маршрутизация между приватными сетями клиента уже происходит на Compute?
А внешняя маршрутизация така же остается на Network нодах?
J
А внешняя маршрутизация така же остается на Network нодах?
https://docs.openstack.org/liberty/networking-guide/scenario-dvr-ovs.html
У меня уж скоро тик будет от постоянного кидания этой ссылки)
Yuriy
Я к тому что внешние сети я спускаю только на Network ноды и при включенном DVR все будет работать, только внутренняя маршрутизация работает на Compute?
Yuriy
https://wiki.openstack.org/wiki/Neutron/DVR
Yuriy
J
И не понял?
J
Там же все сценарии про которые ты спрашиваешь расписаны.
Yuriy
Это просто вопрос, чтобы уточнить, правильно ли я все понял.
J
Маршрутизация между self service сетями на одном роутере происходит в неймспейсах роутера прямо на гипервизорах.
Маршрутизация между интернетом и машиной с плавающим адресом, включая NAT fixed ip <=> floating ip просисходит также на гипервизоре где находится виртуалка.
Доступ в интернет для виртуальных машин без плавающего адреса через l3 агенты работающие в режиме dvr+snat (пишут что это network node), но могут быть на любом сервере, лишь бы режим такой стоял.
Yuriy
Спасибо за развернутый ответ.
Илья | 😶☮️🐸
Будь на готове
Yuriy
Я через пару дней спрошу тоже самое
Я до этого момента на лабе все протестирую, сможешь меня уже мучать.
John Roe
@Helen_Slater2: user has been CAS banned
Yuriy
Да у меня на панели закладок в браузере эта ссылка)
У меня просто задача, чтобы внешнии сети спускались только на Network ноды, но не охота чтобы при проблемах с Network нодами накрывалась медным тазом внутренняя маршрутизация.
NS 🇷🇺
У меня просто задача, чтобы внешнии сети спускались только на Network ноды, но не охота чтобы при проблемах с Network нодами накрывалась медным тазом внутренняя маршрутизация.
при такой конфигурации вам dvr нафиг не нужен
Yuriy
при такой конфигурации вам dvr нафиг не нужен
А как тогда будет происходить маршрутизация между приватными сетями? Например клиент создал две сети (VXLAN), подключил их к роутеру. Как происходит маршрутизация между ними? Ведь без включенного DVR любая маршрутизация, даже между приватными сетями клиента, в этом случае, происходит на Network нодах?
Yuriy
Я так понял что не получиться и рыбку съесть и на люстре... 🙂
NS 🇷🇺
А как тогда будет происходить маршрутизация между приватными сетями? Например клиент создал две сети (VXLAN), подключил их к роутеру. Как происходит маршрутизация между ними? Ведь без включенного DVR любая маршрутизация, даже между приватными сетями клиента, в этом случае, происходит на Network нодах?
Да на нетворках. Но если вы включите двр и не спустите на компуты внешнюю сеть, то из коробки получите не работающий тырнет доступ на машинах с фип. Потребуются лишние телодвижения
Yuriy
Да на нетворках. Но если вы включите двр и не спустите на компуты внешнюю сеть, то из коробки получите не работающий тырнет доступ на машинах с фип. Потребуются лишние телодвижения
Ну вот, что и требовалось. "Я так понял что не получиться и рыбку съесть и на люстре... 🙂"
Большое спасибо за ответы.
J
Ну вот, что и требовалось. "Я так понял что не получиться и рыбку съесть и на люстре... 🙂"
Большое спасибо за ответы.
А зачем такая странная схема?
J
СОРМ + не везде мы можем спустить интернет на Compute ноды.
То есть, проблема то от того что кто-то при планировании сетевой инфраструктуры ошибся, кажется.
Почему не зеркалировать на СОРМ трафик с портов свитчей которые смотрят во внешний интернет?
Yuriy
При СОРМ при включенном DVR на каждой ноде мы должны будем настраивать yf ЩМЫ зеркалирование внешнего трафика.
Yuriy
Yuriy
Одна сеть.
Yuriy
Часть ip выдалось из этого пула одному клиенту, часть другому.
Илья | 😶☮️🐸
Yuriy
Как ты будешь отлавливать трафик между ними, если он у тебя не поднимается до роутера и не проходит через СОРМ?
Илья | 😶☮️🐸
Аплинк порт свитча зеркальте и все. Надзиратели вроде ещё не требуют чтобы и внутренний трафик сормился…
J
При СОРМ при включенном DVR на каждой ноде мы должны будем настраивать yf ЩМЫ зеркалирование внешнего трафика.
Зачем?
Трафик наружу идет все равно через порты коммутаторов которые смотрят на стык с вашими BGP соседями\вышестоящими провайдерами.
Вот с этих портов и зеркалируй. Весь внешний трафик будет идти через них.
J
Аплинк порт свитча зеркальте и все. Надзиратели вроде ещё не требуют чтобы и внутренний трафик сормился…
Вот это я и пытался ща написать)
Илья | 😶☮️🐸
Вот это я и пытался ща написать)
Вот это упражнение делай 2 раза день и спина болеть не будет
Yuriy
Илья | 😶☮️🐸
Ну мы так и делаем.
Ну вот и норм, а то что у вас между гиперами ходит какой-то трафик- это и не нужно знать ркну
Yuriy
Наши сетевики где то вычитали, что и трафик между клиентами по белым ip адресам тоже надо зеркалить.
Yuriy
Ну вот и норм, а то что у вас между гиперами ходит какой-то трафик- это и не нужно знать ркну
Между 2 разными клиентами по внешним ip адресам?
Илья | 😶☮️🐸
Наши сетевики где то вычитали, что и трафик между клиентами по белым ip адресам тоже надо зеркалить.
Инициатива ебет инициатора :)
J
Наши сетевики где то вычитали, что и трафик между клиентами по белым ip адресам тоже надо зеркалить.
Решили очередь на швабру занять с вечера пятницы чтоб в субботу пораньше освободиться.
J
Еще надо в ФСБ приватные ключи от своей PKI Инфраструктуры передавать и все пароли, не иначе)
Илья | 😶☮️🐸
Еще надо в ФСБ приватные ключи от своей PKI Инфраструктуры передавать и все пароли, не иначе)
Кхм… все бы ничего, но….
Илья | 😶☮️🐸
Еще надо в ФСБ приватные ключи от своей PKI Инфраструктуры передавать и все пароли, не иначе)
Настолько глубоко пока не лезут, но твои идеи будут актуальны скоро
Yuriy
Еще надо в ФСБ приватные ключи от своей PKI Инфраструктуры передавать и все пароли, не иначе)
У нас другое, я из Казахстана. 8)
Yuriy
Но думаю у нас мало что отличается.
J
У нас другое, я из Казахстана. 8)
В общем, сначала документы надо проанализирвать, возможно, проконсультироваться с профильными юристами, а потом уже дичь такую выдумывать.
J
СОРМы эт профанация.
Никакой софт и железо на одном единственном сервере не переварит даже просто прием десятков и сотен гигабит трафика в секунду.
Yuriy
В общем, сначала документы надо проанализирвать, возможно, проконсультироваться с профильными юристами, а потом уже дичь такую выдумывать.
Они уже проанализировали и выставили это в ТЗ. По ходу самому надо будет покапаться.
J
Не говоря уж о том чтоб потом спецам удалось в этой куче найти нужный трафик.
J
Так что, хз даже зачем они решили такую свинью тебе подложить.
Илья | 😶☮️🐸
Илья | 😶☮️🐸
Есть такой продукт как mitigator.ru (наверное один из немногих продуктов из СНГ, которым можно гордиться), пилился вроде изначально под банкинг, но нашёл широкое применение у провайдеров. Умеет переваривать прям очень много
NS 🇷🇺
Илья | 😶☮️🐸
Я может не очень понял вопрос, но что мешает поднять тегированный интерфейс средствами ovs? Т.е. Бонд втыкается в br-ex, там все транзитом идёт, а на гипрере делаешь виртуальный интерфейс и указываешь для него тэг. И его тоже в br-ex можно добавить.
Да, я именно так и предполагаю сделать после сборки бонда именно средствами ovs, а не линукса, по результатам отпишу
J
Да, я именно так и предполагаю сделать после сборки бонда именно средствами ovs, а не линукса, по результатам отпишу
Так если ovs дропнет ovsdb или просто перестанет работать, то у тебя и доступ пропадет к серверу.
Илья | 😶☮️🐸
Так если ovs дропнет ovsdb или просто перестанет работать, то у тебя и доступ пропадет к серверу.
"просто перестанет"- а такое часто бывает ?
J
"просто перестанет"- а такое часто бывает ?
Ну, вполне.
Разработчики нейтрона нахуевертят и ovs чо-нить не то подсосет у тебя.
Или openvswitch агент дропнет ovsdb. Или после обновления ядра или ovs модуль не загрузится.
Поттеринг сломает systemd или мейнтейнер пакета сломает юниты для systemd и ovs не стартанет после перезагрузки.
Илья | 😶☮️🐸
Но mgmt влан не работает одновременно и на бонде и не уходит в br-ex!!!
NS 🇷🇺
Ну, вполне.
Разработчики нейтрона нахуевертят и ovs чо-нить не то подсосет у тебя.
Или openvswitch агент дропнет ovsdb. Или после обновления ядра или ovs модуль не загрузится.
Поттеринг сломает systemd или мейнтейнер пакета сломает юниты для systemd и ovs не стартанет после перезагрузки.
Да ты думаешь они системду пользуют? Тут сейчас колла эпидемия )
J
Да ты думаешь они системду пользуют? Тут сейчас колла эпидемия )
А, ну в ней могут быт ьи другие сюрпризы)
Илья | 😶☮️🐸
Расскажи как делаешь.
bonds:
bond0:
interfaces:
- eno49
- eno50
parameters:
mode: active-backup
mii-monitor-interval: 100
primary: eno49
optional: false
vlans:
bond0.1000: #public
id: 1000
link: bond0
addresses:
- 1337.1337
gateway4: 1337.1
bond0.1010: #mgmt
id: 1010
link: bond0
addresses:
- 10.10.0.4/24
kolla
network_interface: "bond0.1010"
kolla_external_vip_interface: "bond0.1000"
neutron_external_interface: "bond0"
Был такой конфиг
Илья | 😶☮️🐸
на launchpad есть такое, что оооочень близко к моему кейсу и в нём тоже пишут про bond через ovs
br-ex must be bridged directly to the bonded interface or another way is to do bonding with openvswitch.
https://bugs.launchpad.net/kolla-ansible/+bug/1851745
J
Так много. Вопросов)
J
active-backup зачем?)
Илья | 😶☮️🐸
Использование mgmt/public вланов как на контролах, так и внутри инстансов необходимо по простой причине: внутри инстанса запускается консюмер для nova versioned notifications (который цепляется к кролику) и дальнейшая фильтрация событий для интеграции
J
Во-первых, чтобы поганый нетплан тебе не подкинул сюрпризы раздели конфиги на части чтоб последовательно создавалось.
05-ethernets.yaml
10-bonds.yaml
20-vlans.yaml
И в секции ethernets директиву match по mac адресам.