Stanley
Яндексом пахнуло :)
Stanley
Я вот тоже не помню чтобы использовались особенности СУБД. Хранилка и хранилка.
Aleksandr
ну опенстек это такой юзкейс для бд... не для большой экспертизы.
хотя все зависит от размера контролплейна, конечно
Да как бы пофиг террабайтная база тут может вылезти только после очень много лет прода ) и то из-за не удаленных виртуалок новы
Stanley
О, кстати, недавно писали про пуржинг базы от старых записей. Это на автомате же делается?
Stanley
Я про свежие релизы
Stanley
Понял, принял.
Stanley
Когда дорастем до таких объёмов - вспомню :)
Илья | 😶☮️🐸
устроить разъёб базы по расписанию ?
Илья | 😶☮️🐸
чтоб каждый месяц с чистого листа
Aleksandr
О, кстати, недавно писали про пуржинг базы от старых записей. Это на автомате же делается?
я так понимаю что они их не удаляют что бы какие-то артифакты оставались для разбирательств с ЦКЗ и так далее. Но тогда не понятно почему так не делается для нейтрона и циндера ) В общем как-то нихуя все не логично.
Aleksandr
https://www.youtube.com/watch?v=UmCDB6tRpCU
Aleksandr
Чем мне в разборках поможет наличие ВМки если я не знаю был ли у нее FIP например
Андрей
ну опенстек это такой юзкейс для бд... не для большой экспертизы.
хотя все зависит от размера контролплейна, конечно
Нам чуть было не навязали pg.
Pavel
чем pg плох?
gwaewion
Пс это Машка трансвестит
NS 🇷🇺
чем pg плох?
тем, что если у тебя его нет в инфре. То тащить ради опенстека не имеет никакого смысла.
NS 🇷🇺
Кластер галеры работает и не кашляет и разворчивается всеми инструментами автоматизации, поддерживаемыми сообществом в отличие от постгри
Pavel
Кластер галеры работает и не кашляет и разворчивается всеми инструментами автоматизации, поддерживаемыми сообществом в отличие от постгри
вот тут ненадо он также укладывается эти средствами. как только посандалил id ноды все нет у тебя кластера
NS 🇷🇺
вот тут ненадо он также укладывается эти средствами. как только посандалил id ноды все нет у тебя кластера
Паша, это как нелюбовь к системд =)
NS 🇷🇺
Коллой я чет еще не разу не уложил его.
Pavel
Паша, это как нелюбовь к системд =)
ну если в код смотреть то там именно жанглировани id ноды.
Андрей
Андрей
[oslo_concurrency]
lock_path = /var/lib/nova/tmp
[vnc]
vnc_enabled = True
vncserver_listen = 0.0.0.0
novncpuproxy_base_url = http://controller:6080/vnc_auto.html
vncserver_proxyclient_address = 192.168.1.89
[api]
auth_strategy = keystone
[placement]
os_region_name = RegionOne
project_name = service
user_domain_name = Default
project_domain_name = Default
auth_type = password
username = placement
password = openstack
auth_url = http://controller:35357/v3
NS 🇷🇺
PG это не плохо, но не понятно нахера =)
Alexey
С juju такого бы не было 😂
Андрей
ну и на кой тут ваш конфиг, написано же, нет файла или директории
ага, дописал в
[Default]
instances_path=/var/lib/nova/instances
и завелось
Maksimus Ulibikus
Всем привет.
К примеру, создал 2 инстанса с приватной сетью. Сеть OVN VXLAN. Каждому инстансу назначен IP из приватной сети.
Теперь, одному из инстансов, я хочу добавить белый floating ip. Добавил.
Вопрос:
Если в инстансе ввести ip a, то должен ли я увидеть там этот белый IP?
gwaewion
Всем привет.
К примеру, создал 2 инстанса с приватной сетью. Сеть OVN VXLAN. Каждому инстансу назначен IP из приватной сети.
Теперь, одному из инстансов, я хочу добавить белый floating ip. Добавил.
Вопрос:
Если в инстансе ввести ip a, то должен ли я увидеть там этот белый IP?
Опять-таки, вопрос философский: должен или нет, а если должен, то кому?
gwaewion
Alexander
Всем привет.
К примеру, создал 2 инстанса с приватной сетью. Сеть OVN VXLAN. Каждому инстансу назначен IP из приватной сети.
Теперь, одному из инстансов, я хочу добавить белый floating ip. Добавил.
Вопрос:
Если в инстансе ввести ip a, то должен ли я увидеть там этот белый IP?
Вы можете сделать вот так
curl http://169.254.169.254/latest/meta-data/public-ipv4/
И распарсить результат - там будет ваш floating IP
Илья | 😶☮️🐸
Господа-чуваки, а кому-то интересна как таковая фича
guest-ssh-get-authorized-keys и guest-ssh-add-authorized-keys для новы ? Подумываю, что было бы прикольно, если можно было через апи добавить/удалить ключ
kn
так и так же можно, при создании
Илья | 😶☮️🐸
так и так же можно, при создании
Не, речь именно о том, чтобы оно в лайве это происходило, как и в случае с nova set-password
Илья | 😶☮️🐸
При создании, конечно, одно, а мб юзеру влом добавлять вручную- зашёл через дашборд и добавил самостоятельно
NS 🇷🇺
Не, речь именно о том, чтобы оно в лайве это происходило, как и в случае с nova set-password
ну сет пассворд работает с нюансами =)
NS 🇷🇺
Илья | 😶☮️🐸
ну сет пассворд работает с нюансами =)
В каждом образе настроен агент, работает безотказно. Как с линуксом, так и с виндой 😎
kn
ну да, было бы прикольно, наверное. но, кажется, это надо делать уже пользовательскими средствами, типа там ансибла какого-то или чего-то такого
kn
и это кажется не только нову, но и guest-agent придется дописывать
NS 🇷🇺
В каждом образе настроен агент, работает безотказно. Как с линуксом, так и с виндой 😎
в приват клауде это приемлимо, если у вас не может быть левых образов
Илья | 😶☮️🐸
и это кажется не только нову, но и guest-agent придется дописывать
в агенте уже есть эти команды
NS 🇷🇺
NS 🇷🇺
а если там еще об домен авторизацией, то смысл теряется вдвойне
kn
https://qemu-project.gitlab.io/qemu/interop/qemu-ga-ref.html#qapidoc-260
прикольно
NS 🇷🇺
https://qemu-project.gitlab.io/qemu/interop/qemu-ga-ref.html#qapidoc-260
прикольно
доступ запрещен к сайту :D
Илья | 😶☮️🐸
В общем, не думаю что это слишком бесполезно... пропозал написать чтоле опенстаку...
Илья | 😶☮️🐸
может в 2025 добавят
Aleksandr
Вообще порожняк, к тебе тогда вообще ни кто не заедет из-за ЦКЗ/СБ и так далее как безопасников не называй. Если есть возможность инжектить левые ключи в лайве
Илья | 😶☮️🐸
Вообще порожняк, к тебе тогда вообще ни кто не заедет из-за ЦКЗ/СБ и так далее как безопасников не называй. Если есть возможность инжектить левые ключи в лайве
а что мешает заребилдить инстанс с новыми ключами в user_data
Aleksandr
а что мешает заребилдить инстанс с новыми ключами в user_data
ни кто не мешает с мастер ключа разлить нужные ключи и удалить их.
Aleksandr
Сама идея то нормальная, да это удобно, но безопасники не оценят
Aleksandr
я понимаю что у меня паранойя от ГосТеха
Илья | 😶☮️🐸
Сама идея то нормальная, да это удобно, но безопасники не оценят
Отключать для каких-то инстансов со стороны фронтэнда)
Илья | 😶☮️🐸
Нужно снять лок- введи totp/код по мылу/что угодно
Aleksandr
Отключать для каких-то инстансов со стороны фронтэнда)
имея админские права я могу так же их и включить
Aleksandr
даже в приватном облаке это не безопасно
Aleksandr
а в паблике ) прикинь его ломают ))) и дальше свои ключи по всем ВМкам рассовывают на ура
Aleksandr
и вообще доступ ко всему
Илья | 😶☮️🐸
а в паблике ) прикинь его ломают ))) и дальше свои ключи по всем ВМкам рассовывают на ура
да, печальненько, от такого не отмыться
Aleksandr
да, печальненько, от такого не отмыться
Ну вот да это юзер френдли и весь остальной маркетинговый булшит. А на практике это попахивает взломом. Многие вообще ключ от nova юзают только для первого захода ansible. А потом его вычищают и хронят только свое. Ну это совсем параноики
Dmitry
Это полезно для всевозможных наложенных сервисов - типа балансеров, всевозможных aaS - ов и так далее
Aleksandr
Это полезно для всевозможных наложенных сервисов - типа балансеров, всевозможных aaS - ов и так далее
так ты набор ключей проливаешь на cloud-init
Aleksandr
а потом мененджиш сам ансиблом салтом паппетом
Dmitry
Либо ещё каким либо сервисом :) в общем да - польза минимальная у подобной доработки
Aleksandr
Нет сама идея топ! Если это сделать норм и она только для облачного провайдера. Типа есть группы на разные сервера разные ключи на основе групп. И что он может удалять. Типа уволился сотрудник в морде его выпилили - все подчистили. Как идея огонь, как реализовать это секурно вот вопрос
Илья | 😶☮️🐸
Нет сама идея топ! Если это сделать норм и она только для облачного провайдера. Типа есть группы на разные сервера разные ключи на основе групп. И что он может удалять. Типа уволился сотрудник в морде его выпилили - все подчистили. Как идея огонь, как реализовать это секурно вот вопрос
ну кстати да, в стаке же есть зачем-то группы серверов
Илья | 😶☮️🐸
Вот и скрестить что разные отделы могут ходить к разным группам. Но там вроде нельзя добавлять инстансы к уже существующей группе...
Aleksandr
Вот и скрестить что разные отделы могут ходить к разным группам. Но там вроде нельзя добавлять инстансы к уже существующей группе...
Это тебе сразу в кейстоун ))) а там ты заебешься только пропосал согласовать ибо там в PTL душнилы
Илья | 😶☮️🐸
Это тебе сразу в кейстоун ))) а там ты заебешься только пропосал согласовать ибо там в PTL душнилы
к душнилам не пойду... пусть сами в одной луже сидят
Aleksandr
к душнилам не пойду... пусть сами в одной луже сидят
Это из разряда когда policy.json хотели засунуть в keystone, сказали мы не про это. А как ебаные квоты засунуть в keystone так норм
Илья | 😶☮️🐸
Это из разряда когда policy.json хотели засунуть в keystone, сказали мы не про это. А как ебаные квоты засунуть в keystone так норм
имхо квоты бы лучше себя чувствовали в placement
Aleksandr
имхо квоты бы лучше себя чувствовали в placement
Это твое имхо, а их загоняют в кейстоун ))) что абсолютный бред ))) а policy.json который как раз про модель доступов че-то не там
Aleksandr
Не будем душнить. Можешь написать пропосал ))) Я на 99.(9) скажу что тебя пошлют нахрен )))