juju config openstack-dashboard ssl_ca="$(cat root.crt|base64)" ssl_cert="$(cat site.crt|base64)" ssl_key="$(cat site.key|base64)"
вот точная команда
Илья | 😶☮️🐸
Yuriy
Когда
juju config openstack-dashbaord
Эти сертики показывает ?
Alexey
да
Alexey
ребут юнитоов тоже делал
Yuriy
Да не.
Yuriy
Удали взаимосвязь между vault и dashboard.
Yuriy
В мануале по juju он сертики все генерит локально для всех сервисов.
Yuriy
Там кстати только на 1 сервис проставить не получится.
Yuriy
Потому что у всех CA Bundle должен совпадать с тем что на keystone, иначе авторизация работать не будет проходить с сервиса.
Yuriy
Alexey
Удали взаимосвязь между vault и dashboard.
juju remove-relation openstack-dashboard:certificates vault:certificates так ?
Yuriy
Там по сути если сертики все свои, vault нужен только для OVN.
Alexey
Yuriy
Там фишка такая, что если у тебя есть центр сертификации, ты можешь vault к нему подвязать и он сам тебе для openstack сертики сгенерит.
Yuriy
Yuriy
Смотри логи, почему апач не стартанул.
Alexey
Feb 20 13:59:07 juju-abc8cc-3-lxd-4 apachectl[40373]: AH00548: NameVirtualHost has no effect and will be removed in the next release /etc/apache2/sites-enabled/default-ssl.conf:3
Alexey
Yuriy
Yuriy
service status смотри.
Alexey
root@juju-abc8cc-3-lxd-4:/home/ubuntu# service status apache2
status: unrecognized service
root@juju-abc8cc-3-lxd-4:/home/ubuntu# service apache2 status
● apache2.service - The Apache HTTP Server
Loaded: loaded (/lib/systemd/system/apache2.service; enabled; vendor preset: enabled)
Active: failed (Result: exit-code) since Mon 2023-02-20 14:00:13 UTC; 2min 41s ago
Docs: https://httpd.apache.org/docs/2.4/
Process: 251 ExecStart=/usr/sbin/apachectl start (code=exited, status=1/FAILURE)
Feb 20 14:00:13 juju-abc8cc-3-lxd-4 systemd[1]: Starting The Apache HTTP Server...
Feb 20 14:00:13 juju-abc8cc-3-lxd-4 apachectl[274]: AH00548: NameVirtualHost has no effect and will be removed in the next release /etc/apache2/sites-enabled/default-ssl.conf:3
Feb 20 14:00:13 juju-abc8cc-3-lxd-4 apachectl[251]: Action 'start' failed.
Feb 20 14:00:13 juju-abc8cc-3-lxd-4 apachectl[251]: The Apache error log may have more information.
Feb 20 14:00:13 juju-abc8cc-3-lxd-4 systemd[1]: apache2.service: Control process exited, code=exited, status=1/FAILURE
Feb 20 14:00:13 juju-abc8cc-3-lxd-4 systemd[1]: apache2.service: Failed with result 'exit-code'.
Feb 20 14:00:13 juju-abc8cc-3-lxd-4 systemd[1]: Failed to start The Apache HTTP Server.
Yuriy
Смотри логи апача.
Yuriy
Он тебе пишет.
Alexey
[Mon Feb 20 13:53:09.354036 2023] [ssl:emerg] [pid 37172:tid 140356331727936] AH02565: Certificate and private key cp.os.site.ru:443:0 from /etc/apache2/ssl/horizon/cert_cp.os.site.ru and /etc/apache2/ssl/horizon/key_cp.os.site.ru do not match
AH00016: Configuration Failed
[Mon Feb 20 13:59:07.940169 2023] [ssl:emerg] [pid 40373:tid 139982401784896] AH02565: Certificate and private key cp.os.site.ru:443:0 from /etc/apache2/ssl/horizon/cert_cp.os.site.ru and /etc/apache2/ssl/horizon/key_cp.os.site.ru do not match
AH00016: Configuration Failed
[Mon Feb 20 14:00:13.410825 2023] [ssl:emerg] [pid 274:tid 140348075441216] AH02565: Certificate and private key cp.os.site.ru:443:0 from /etc/apache2/ssl/horizon/cert_cp.os.site.ru and /etc/apache2/ssl/horizon/key_cp.os.site.ru do not match
AH00016: Configuration Failed
Yuriy
Ну вот.
Yuriy
Yuriy
Там когда сертик тебе генерят должен быть private key, cert, и ca сертики.
Alexey
Alexey
у меня вот
Yuriy
При генерации csr запроса key не делал?
Alexey
корневой = root cert=Сертификат key = кей его на почту прислали
Alexey
промежуточный нужен ?
Yuriy
Ты корневой и промежуточный должен в bundle собрать, см в интернете.
Alexey
добавил в root.crt промежуточный эффекта нету
Alexey
добавил к серту промежуточный и рут и апач поднялся )
Alexey
всем спасибО !)
Alexey
а если у меня серт *.site.ru а horizon cp.os.site.ru он же все равно будет алертить что серт не к этому домену ?
Aleksandr
да
Yuriy
J
Не должно, это wildcard.
Как это не должно?
Это вайлдкард на домены третьего уровня.
Для четвертого уровня не пойдет уже.
Yuriy
J
Дело раскрыто)
Ilya
Всем привет.
Никак не получается настроить публичную сеть.
Интерфейс для публичной сети:
# cat /etc/sysconfig/network-scripts/ifcfg-ens224
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=none
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=no
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
NAME=ens224
UUID=415e8ef7-3cbd-4316-be7e-1f79c54a543c
DEVICE=ens224
ONBOOT=yes
IPV6_DISABLED=yes
В ovs:
Bridge br-ext
Controller "tcp:127.0.0.1:6633"
is_connected: true
fail_mode: secure
datapath_type: system
Port br-ext
Interface br-ext
type: internal
Port ens224
Interface ens224
Port phy-br-ext
Interface phy-br-ext
type: patch
options: {peer=int-br-ext}
В openvswitch_agent.ini:
[ovs]
bridge_mappings = external:br-ext
local_ip = 10.8.12.135
В ml2.conf:
[ml2_type_flat]
flat_networks = external
Сеть и подсеть создаю так:
openstack network create \
--provider-physical-network external \
--provider-network-type flat --external public
и:
openstack subnet create public-subnet \
--network public --subnet-range 193.xx.xx.0/24 \
--allocation-pool start=193.xx.xx.200,end=193.xx.xx.221 \
--gateway 193.xx.xx.1 --dns-nameserver 8.8.8.8 --no-dhcp
Роутер между приватной и публичной сетью тоже настроил:
# openstack router show router_test
+-------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| Field | Value |
+-------------------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| admin_state_up | UP |
| availability_zone_hints | |
| availability_zones | nova |
| created_at | 2023-02-01T06:36:47Z |
| description | |
| distributed | False |
| external_gateway_info | {"network_id": "64c3307e-e55f-4834-88c5-f0eab6cbe2e4", "external_fixed_ips": [{"subnet_id": "c6592070-e2cb-416f-a196-495436a490d6", "ip_address": "193.xx.xx.211"}], "enable_snat": true} |
| flavor_id | None |
| ha | False |
Лучше всё-таки поднять себе ВМку и поставить Kolla или Kayobe AIO инсталляцию и оттуда подглядывать в конфиги. А то читать примеры конфигураций и выбирать из них опции нужные и нет - не просто.
В ml2 нужно хотя бы описать тайп драйвера - они определяют типы сетей, с которыми мы планируем работать и механизм драйвер - он отвечает за управление нужным типом бэкенда, который будет создавать сетевые объекты. Как я понял в твоём случае механизм драйвер это OVS, но может я не так понял...
тайп драйверы можно смело все перечислить, даже если ты только одним будешь пользоваться - код всё равно весь прилетает...
cat /etc/kolla/neutron-server/ml2_conf.ini
[ml2]
type_drivers = flat,vlan,vxlan
tenant_network_types = flat,vlan,vxlan
mechanism_drivers = openvswitch,l2population
extension_drivers = port_security
[ml2_type_flat]
flat_networks = external
Ilya
Да и логи надо посмотреть - нейтрон наверное грустит и ругается у тебя. Что-то дельное можно будет найти
Андрей
Андрей
NS 🇷🇺
NS 🇷🇺
@j52089ec7e87 ты вчера скрины заказывал :D
NS 🇷🇺
NS 🇷🇺
ну и до кучи дебаг команды дайте, только ссылкой в чат, а не плейнтекстом
Андрей
тут немного не по теме, у вас на локалхосте развернут стек?
и второе вы там размер памяти и диска не перепутали?
нет 300 это 300мб
и 1 гиг диска
Андрей
ну и до кучи дебаг команды дайте, только ссылкой в чат, а не плейнтекстом
http://pastie.org/p/11fkuQZsdXXSc7zn4qKYoF
Андрей
http://pastie.org/p/11fkuQZsdXXSc7zn4qKYoF
ошибка из за
http://controller:8774 "GET /v2.1/flavors/m1.tiny HTTP/1.1" 404 80
RESP: [404] Openstack-Api-Version: compute 2.1 X-Openstack-Nova-Api-Version: 2.1 Vary: OpenStack-API-Version, X-OpenStack-Nova-API-Version Content-Type: application/json; charset=UTF-8 Content-Length: 80 X-Openstack-Request-Id: req-56811b19-3453-4412-a6e8-1dd8d0a5b772 X-Compute-Request-Id: req-56811b19-3453-4412-a6e8-1dd8d0a5b772 Date: Tue, 21 Feb 2023 08:48:57 GMT Connection: keep-alive
RESP BODY: {"itemNotFound": {"message": "Flavor m1.tiny could not be found.", "code": 404}}
Андрей
пробовал
Андрей
такое ощущение что он в базе не может найти айди
Андрей
но в какой таблице оно хранится пока хз
Андрей
так в этом выхлопе ж все ок
нет инстанс то создается, но падает в ошибку что не может найти шаблон
Андрей
NS 🇷🇺
нет инстанс то создается, но падает в ошибку что не может найти шаблон
хм, он у тебя проставил IDишник в выхлоп.
NS 🇷🇺
покажи image show
NS 🇷🇺
HTTP exception thrown: Flavor m1.tiny could not be found.
127.0.0.1 "GET /v2.1/flavors/m1.tiny HTTP/1.1" status: 404
этого не достаточно
Андрей
Stanley
Даже не image show, а flavor show :)
Stanley
Аа, ну значит "что то случилось".
NS 🇷🇺
Аа, ну значит "что то случилось".
ну да, я там выше в дебаг лог отправил... потому что в логе я вижу адрес локалхоста =)
Stanley
О, как. Ну тогда точно чтото случилось...
Ilya
А что показывает openstack server show <ID сервака с ошибкой> ?
Stanley
Endpoint list, service list еще б до кучи
Ilya
Опенстек клиент так написан
Андрей
А что показывает openstack server show <ID сервака с ошибкой> ?
Ilya
Угу - это значит надо идти и смотреть логи шедулера