Oleksandr
А может это зависеть от типа сети, общая или нет?
Aleksandr
J
А может это зависеть от типа сети, общая или нет?
Нет.
Это зависит от того есть ли l2 связность между dhcp агентом и портом твоей виртуальной машины.
И, соответственно, от того сконфигурировали ли openvswitch-agent все порты нужным образом.
Начни с того что глянь список агентов обслуживающих сеть.
openstack network agent list --network твоя_сеть --agent-type dhcp
Oleksandr
Oleksandr
openstack network agent list --network external --agent-type dhcp
openstack network agent list --network test --agent-type dhcp
Oleksandr
агент 1 по-ходу, для каждой сети один и тот же показывает
Weird
а роутер то есть и настроен? Есть порты туда-сюда?
J
Weird
тогда ubuntu должна уметь ходить в интернет. А вот ubuntu-ex не факт
Oleksandr
тогда ubuntu должна уметь ходить в интернет. А вот ubuntu-ex не факт
просто убунту да, ходит норм, помогли уже
Oleksandr
это мелкая тестовая подсеть, которая уйдет
Oleksandr
сам дхцп агент получил свой айпи, еще есть помимо всего свободные
Oleksandr
Oleksandr
че я делаю не так?)
Weird
Надо смотреть логи клауд инита
Weird
Что по дхцп пришло
Pavel
Вам же выше давали рецепт. Загрузить вм, зайти на консоль, включить tcpdump, запустить dhclient или cloud-init.
Oleksandr
Может нужно нового агента завести? или пнуть сервис?
Oleksandr
пнул агента на всякий
Weird
Тогда смотреть на стороне агента, может он не в курсе про мак вмки, или до него вообще не дошли запросы
Oleksandr
судя по логу докера, к нему и не долетело ничего
J
Может нужно нового агента завести? или пнуть сервис?
Создай вм из образа в который сможешь войти через VNC консоль.
Ну cirros возьми, например.
Зайди через vnc консоль в виртуалку, попробуй там подергать руками dhcp клиент, попробуй назначить адрес вручную, попинговать dhcp агент.
И одновременно нужно будет смотреть, вероятно, с помощью tcpdump интерфейсы гипервизора на предмет трафика от вм и dhcp агента.
Oleksandr
гугл еще говорит что из-за секьюрити груп может быть
Yuriy
Здраствуйте коллеги. А как запретить в Flavor создавать root диск? Чтобы клиент только Volume создавал и его подцеплял в качестве системного?
J
Здраствуйте коллеги. А как запретить в Flavor создавать root диск? Чтобы клиент только Volume создавал и его подцеплял в качестве системного?
Никак.
Ты же, вроде, уже спрашивал. Или кто-то из коллег)
Yuriy
Просто я такую штуку нашел...
https://specs.openstack.org/openstack/nova-specs/specs/ocata/approved/flavor-root-disk-none.html
J
Запретить не получится. Но если доступ к Horizon и api не дается напрямую, можно просто скрыть возможность создания эфемерных дисков.
Oleksandr
Slava I.
J
Yuriy
Я так и понял...
Yuriy
Посмотрю тогда логику Nova, скрипт, который выполняет создания Рута.
J
Посмотрю тогда логику Nova, скрипт, который выполняет создания Рута.
Посмотри патчи в блюпринте, которые не приняли.
Weird
гугл еще говорит что из-за секьюрити груп может быть
Отключи файрволы везде и проверь но не забудь включить
Oleksandr
секьюрити група дефолтная все разрешает
Oleg
Здраствуйте коллеги. А как запретить в Flavor создавать root диск? Чтобы клиент только Volume создавал и его подцеплял в качестве системного?
Можно, создайте флейвор с root диск 0, навесьте пользакам на проект роль не-админ и будет счастье)
https://docs.openstack.org/nova/latest/configuration/sample-policy.html
os_compute_api:servers:create:zero_disk_flavor
Yuriy
Можно, создайте флейвор с root диск 0, навесьте пользакам на проект роль не-админ и будет счастье)
https://docs.openstack.org/nova/latest/configuration/sample-policy.html
os_compute_api:servers:create:zero_disk_flavor
Понял, спасибо. То есть при попытке создания ему выдаст ошибку?
Nikolay
Рут диск 0 разве не из образа просто размер будет брать
J
Прям красота)
Oleg
Это вроде как сто лет назад добавили, но найти и осознать, да)
https://opendev.org/openstack/nova/commit/763fd62464e9a0753e061171cc1fd826055bbc01
J
NS 🇷🇺
секьюрити група дефолтная все разрешает
Вообще она все запрещает ) кроме взаимодействия внутри и выхода из сети наружу
Oleksandr
Вообще она все запрещает ) кроме взаимодействия внутри и выхода из сети наружу
Угу, удалил все правила, добавил разрешения, флоат заработал нормально. Осталось как-то побороть dhcp, такое чувство что ему именно flat не нравится
Oleksandr
Создал несколько vxlan - все работает, flat - не работает
NS 🇷🇺
Создал несколько vxlan - все работает, flat - не работает
Навешивай пока фипы и разбирайся с проблемой
Oleksandr
Навешивай пока фипы и разбирайся с проблемой
та у меня это тестовый полигон, вообще понять что оно
J
Создал несколько vxlan - все работает, flat - не работает
А у тебя каким образом плоские external сети к гипервизорам подходят?
NS 🇷🇺
А у тебя каким образом плоские external сети к гипервизорам подходят?
У него она общая с менеджментом
NS 🇷🇺
Без разделения на влан, выше было
Oleksandr
А у тебя каким образом плоские external сети к гипервизорам подходят?
в каждом 2 интерфейса, один внутренний свич где все работает, другой - в порт провайдера
Oleksandr
вот как оно на сервере с нейтроном
Oleksandr
allow-hotplug enp1s0f0
iface enp1s0f0 inet manual
auto enp1s0f1
iface enp1s0f1 inet static
address 10.100.1.11/24
gateway 10.100.1.254
J
А у тебя может на свитче провайдера через который идет весь flat трафик настроен dhcp снупинг?
J
Будь я провайдером, я бы обязательно настроил.
J
Для теста на своем бы свитче сделать отдельный влан и на базе него external сеть.
Oleksandr
А у тебя может на свитче провайдера через который идет весь flat трафик настроен dhcp снупинг?
я не совсем понимаю, как провайдерский свитч может влиять, трафик же ходит. А DHCP чисто внутрення штука
Oleksandr
Я короче хз, то ли лыжи не едут, то ли кола, то ли я, то ли опенстак
Oleksandr
Oleksandr
еще диски, блт, позависали, удалить нельзя
Oleksandr
Пытался вчера через ансибл опенстак установить, так тот валился с ошибками еще на первых шагах 😁
Oleksandr
Сука
J
я не совсем понимаю, как провайдерский свитч может влиять, трафик же ходит. А DHCP чисто внутрення штука
dhcp ходит в том же l2 домене что и вся сеть.
Соответственно, у тебя с гипервизора уходит dchp discover от виртуалки, идет через провайдерский свитч на сервер где расположен dhcp агент, агент получает его, скорее всего, и отправляет dhcp offer. Естественно, этот трафик пройдет опят ьчерез провайдерский свитч.
А провайдерский свитч знает на каком порту у него провайдерский dhcp сервер и режет offer и ack со всех остальных портов.
J
Может же такое быть?
J
Пытался вчера через ансибл опенстак установить, так тот валился с ошибками еще на первых шагах 😁
Через openstack-ansible? :D)
J
Хм. В теории наверное да
Пф, ну так и проверь как я выше предлагал.
Создай cirros какой-нить, повесь на него белый адрес, который ему назначит neutron, попингуй шлюз провайдера и dhcp агент.
Oleksandr
Через openstack-ansible? :D)
Это жесть, я вчера перепробовал 4 дистрибутива, 2 версии опенстака и все фейлились еще до ансибл инвентори, тупо на подготовке деплоймент хоста
J
Это жесть, я вчера перепробовал 4 дистрибутива, 2 версии опенстака и все фейлились еще до ансибл инвентори, тупо на подготовке деплоймент хоста
У меня openstack-ansible.
Если чо, я смогу подсказать, наверное.
Василий