NS 🇷🇺

Кмк в Китае хуавей еще чет будет делать, а в РФ кроме Сбера кто-то вообще пытался комитить в апстрим?

Ilya

Кмк в Китае хуавей еще чет будет делать, а в РФ кроме Сбера кто-то вообще пытался комитить в апстрим?

Коммитят, пусть не очень много. Ну и изза известных событий не очень афишируют коммиты

J

Кмк в Китае хуавей еще чет будет делать, а в РФ кроме Сбера кто-то вообще пытался комитить в апстрим?

Пытался много кто) Но не только лишь каждый смог.

Nikolay

Котнибутить в коммунити еще то удовольствие

Dmitry

Зато жаловаться, что другие контрибьютят не так - самое оно

Alexander

Было прикольно контрибьютить, пока был движ

Alexander

Ощущалось, что компании действительно вкладывают деньги в развитие OS

Alexander

Сейчас же остались в массе только корные компоненты, много убежало в CNCF

Alexander

Хотя некоторые вещи, как тот же IRC или скитания между ланчпэдом и собственной платформой для спек вызывали легкий приступ непонимания

Alexander

Хотя вот срачи в mailing lists – ❤️

Rus

Суток! Коллеги, а подскажите куда порыть если в стеке ВМки с внешними ip, что прямыми, что float начинают отзываться из вне, только если сами сначала что нибудь внешнее тронут. Внешняя сетка через flat подключается.

Илья | 😶☮️🐸

Суток! Коллеги, а подскажите куда порыть если в стеке ВМки с внешними ip, что прямыми, что float начинают отзываться из вне, только если сами сначала что нибудь внешнее тронут. Внешняя сетка через flat подключается.

На роутере таблицы надо смотреть. Скорее всего нет arp learning

Dmitry

Кому интересен ironic и кто хочет про это поговорить на языке англосаксов: https://twitter.com/ArneWiebalck/status/1581263349165469700

Dmitry

As part of the openstack PTG next week, the Bare Metal SIG will be holding an Operator Hour on Wed Oct 12 at 13h00 UTC! A great opportunity to meet other operators and the #Ironic upstream dev team. Ask your questions and bring feedback! All details in https://ptg.opendev.org/ptg.html

Илья | 😶☮️🐸

Кому интересен ironic и кто хочет про это поговорить на языке англосаксов: https://twitter.com/ArneWiebalck/status/1581263349165469700

в зуме ?

Dmitry

Да, текущая ссылка ведёт в зум.

Dmitry

As part of the openstack PTG next week, the Bare Metal SIG will be holding an Operator Hour on Wed Oct 12 at 13h00 UTC! A great opportunity to meet other operators and the #Ironic upstream dev team. Ask your questions and bring feedback! All details in https://ptg.opendev.org/ptg.html

Я кажется тупой, но разве это не в среду было?

Dmitry

Я спрошу, но PTG на следующей

Fedor

Я спрошу, но PTG на следующей

Там во вторник кажется оператор час

Dmitry

Их несколько на разные темы

Dmitry

Для bare metal SIG действительно зарезервирован в среду

Fedor

Вообще на эзерпаде всё написано)

Dmitry

#Ironic can much more than one might think, so come along to find out! Time travel is hiwever not yet on the feature list, so yes: Oct 19 at 13h00 UTC is the correct time. (c) Arne

Pooya

I want to run OpenStack in a single PC to have three VMs. I want each of the VMs to have a public IP[ bought from ISP] that I can connect to directly, but I don't know how to do this in terms of hardware? The PC is connected to a Huawei modem (HG8245H) and the internet is also‌ fiber optics! P.S. Modem is in NAT mode with 192.168.1.0/24 range For now, I brought up OpenStack and gave a public IP to one of the VMs(using DMZ>> map a single local ip[192.168.1.90] to my public IP [40.20.88.76] ) But I want to have a total of 3 VMs on OpenStack and each one has a public IP[ three Public IP from ISP]! How can I do this? Is that possible to do this on a single PC that has two interfaces (one for OVS and one for modem NAT)? If not, what equipment is needed for this? Please see this link https://computingforgeeks.com/assign-floating-ip-to-openstack-instance/ I want to do exactly the same thing and I asked the same question in a different way in the comments section I would be very grateful if you could help me Thanks Я хочу запустить OpenStack на одном ПК, чтобы иметь три ВМ. Я хочу, чтобы каждая виртуальная машина имела общедоступный IP-адрес [купленный у интернет-провайдера], к которому я могу подключиться напрямую, но я не знаю, как это сделать с точки зрения оборудования? ПК подключен к модему Huawei (HG8245H), а интернет тоже по оптоволокну! P.S. Модем находится в режиме NAT с диапазоном 192.168.1.0/24. На данный момент я запустил OpenStack и дал общедоступный IP-адрес одной из виртуальных машин (используя DMZ>> сопоставьте один локальный IP-адрес [192.168.1.90] с моим общедоступным IP-адресом [40.20.88.76]). Но я хочу иметь в общей сложности 3 ВМ на OpenStack, и каждая из них имеет общедоступный IP-адрес [три общедоступных IP-адреса от интернет-провайдера]! Как я могу это сделать? Возможно ли это сделать на одном ПК с двумя интерфейсами (один для OVS и один для NAT модема)? Если нет, то какое оборудование для этого нужно? Пожалуйста, посмотрите эту ссылку https://computingforgeeks.com/assign-floating-ip-to-openstack-instance/ Я хочу сделать то же самое, и я задал тот же вопрос по-другому в разделе комментариев. Я был бы очень признателен, если бы вы могли мне помочь Спасибо

John Roe

Санти Заруев: user has been CAS banned

John Roe

Дюха Керчев: user has been CAS banned

Maksimus Ulibikus

Парни, привет. Кто-нибудь может подсказать в чем может быть дело?

Maksimus Ulibikus

Проблема с SSL

Maksimus Ulibikus

С браузера всё ок

Maksimus Ulibikus

Из консоли ошибка сертификата curl -v https://os-api.xxx.ru:5000/ * Trying 10.10.84.204... * TCP_NODELAY set * Connected to os-api.xxx.ru (10.10.84.204) port 5000 (#0) * ALPN, offering h2 * ALPN, offering http/1.1 * successfully set certificate verify locations: * CAfile: /etc/pki/tls/certs/ca-bundle.crt CApath: none * TLSv1.3 (OUT), TLS handshake, Client hello (1): * TLSv1.3 (IN), TLS handshake, Server hello (2): * TLSv1.3 (IN), TLS handshake, [no content] (0): * TLSv1.3 (IN), TLS handshake, Encrypted Extensions (8): * TLSv1.3 (IN), TLS handshake, [no content] (0): * TLSv1.3 (IN), TLS handshake, Certificate (11): * TLSv1.3 (OUT), TLS alert, unknown CA (560): * SSL certificate problem: unable to get local issuer certificate * Closing connection 0 curl: (60) SSL certificate problem: unable to get local issuer certificate openstack project list Failed to discover available identity versions when contacting https://os-api.xxx.ru:5000/v3. Attempting to parse version from URL. SSL exception connecting to https://os-api.xxx.ru:5000/v3/auth/tokens: HTTPSConnectionPool(host='os-api.xxx.ru', port=5000): Max retries exceeded with url: /v3/auth/tokens (Caused by SSLError(SSLError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:897)'),))

Maksimus Ulibikus

NTP включён timedatectl Local time: Mon 2022-10-17 09:36:33 MSK Universal time: Mon 2022-10-17 06:36:33 UTC RTC time: Mon 2022-10-17 06:36:33 Time zone: Europe/Moscow (MSK, +0300) System clock synchronized: yes NTP service: active RTC in local TZ: yes

Denis

мб в браузере добавлен корневой серт, а у курла нет

Denis

глянь в браузере кто выпустил серт сервера и посмотри есть ли у курла такой. если что у браузера свое отдельное хранилище для сертов, а у курла системное, куда браузер не смотрит даже)

Maksimus Ulibikus

Локально он тоже есть: cat /etc/pki/tls/certs/ca-bundle.crt | grep -i global # DigiCert Global Root CA # DigiCert Global Root G2 # DigiCert Global Root G3 # GLOBALTRUST 2020 # GlobalSign ECC Root CA - R5 # GlobalSign Root CA # GlobalSign Root CA - R3 # GlobalSign Root CA - R6 # GlobalSign Root E46 # GlobalSign Root R46 # NAVER Global Root Certification Authority # OISTE WISeKey Global Root GB CA # OISTE WISeKey Global Root GC CA # Secure Global CA # T-TeleSec GlobalRoot Class 2 # T-TeleSec GlobalRoot Class 3 # TWCA Global Root CA # Trustwave Global Certification Authority # Trustwave Global ECC P256 Certification Authority # Trustwave Global ECC P384 Certification Authority

Maksimus Ulibikus

GlobalSign Root CA - R3

Denis

а обновите пакет ca-certificates

Maksimus Ulibikus

а обновите пакет ca-certificates

На CentOS 8 сделал update-ca-trust check Проблема сохранилась

Denis

не

Denis

это вы обновили биндл из уже лежачих на диске сертификатов

Denis

а нужно скачать из интернета свежие

Denis

dnf update ca-certificates

Maksimus Ulibikus

dnf update ca-certificates

dnf update ca-certificates Last metadata expiration check: 0:17:53 ago on Mon 17 Oct 2022 09:37:54 AM MSK. Dependencies resolved. Nothing to do. Complete!

Maksimus Ulibikus

Может ту дело в прокладке? У меня редирект на 5000 идет через HAProxy из другой ноды

Denis

редирект HTTP 301/302 кодом или все-таки проксирование*

Maksimus Ulibikus

редирект HTTP 301/302 кодом или все-таки проксирование*

Да вот собственно конфиг HaProxy defaults log global option dontlognull option nolinger option http_proxy mode http retries 3 timeout connect 5000 timeout client 1m timeout server 1m timeout queue 1m timeout connect 10s timeout check 10s timeout tunnel 12h balance roundrobin listen keystone_internal bind 0.0.0.0:5000 balance source mode tcp option tcplog server os-controller-01 10.10.84.200:5000 check inter 2000 fall 3 rise 5 server os-controller-02 10.10.84.201:5000 check inter 2000 fall 3 rise 5 backup server os-controller-03 10.10.84.202:5000 check inter 2000 fall 3 rise 5 backup

Maksimus Ulibikus

Заголовки

Maksimus Ulibikus

В заголовке время почему-то 7 утра. Может в этом и дело?

Maksimus Ulibikus

Если mode с tcp поменять на http: listen keystone_internal bind 0.0.0.0:5000 balance source mode http option tcplog server os-controller-01 10.10.84.200:5000 check inter 2000 fall 3 rise 5 server os-controller-02 10.10.84.201:5000 check inter 2000 fall 3 rise 5 backup server os-controller-03 10.10.84.202:5000 check inter 2000 fall 3 rise 5 backu То CA принимает, но: curl -v https://os-api.xxx.ru/ * Trying 10.10.84.204... * TCP_NODELAY set * Connected to os-api.xxx.ru (10.10.84.204) port 443 (#0) * ALPN, offering h2 * ALPN, offering http/1.1 * successfully set certificate verify locations: * CAfile: /etc/pki/tls/certs/ca-bundle.crt CApath: none * TLSv1.3 (OUT), TLS handshake, Client hello (1): * error:1408F10B:SSL routines:ssl3_get_record:wrong version number * Closing connection 0 curl: (35) error:1408F10B:SSL routines:ssl3_get_record:wrong version number

Maksimus Ulibikus

И в браузере тоже не работает. Похоже что-то с версией SSL, но пока не могу нагуглить

Denis

Хех

Denis

В tcp режиме ты не терминируешь ssl на хапроксе, а просто как есть протаскиваешь тцп порт. Сравни курлом в тцп режиме какой сертификат отдается через хапрокси и наррямую. А вот через хапрокс видимо у тебя задано где то ещё в конфиге подсовывать сертификаты. Вот оно в хттп и работает

Maksimus Ulibikus

В tcp режиме ты не терминируешь ssl на хапроксе, а просто как есть протаскиваешь тцп порт. Сравни курлом в тцп режиме какой сертификат отдается через хапрокси и наррямую. А вот через хапрокс видимо у тебя задано где то ещё в конфиге подсовывать сертификаты. Вот оно в хттп и работает

Да, надо в haproxy подсунуть серт. Пока в процессе

Илья | 😶☮️🐸

А почему бы nginx не раскатить и терминировать на нем серт?

Vyacheslav

А почему бы nginx не раскатить и терминировать на нем серт?

Uwsgi

Dmitry

nginx -> uwsgi

Dmitry

А вообще, как минимум федора не принимает старые сертификаты с RSA