Nikolay
Т.е. в трейне был эктив бэкап, но потом мы увидели горизонты и обосрались
🖖🏼Stas
А кто то использует у себя?
[securitygroup]
firewall_driver = openvswitch
Вопрос в том, что не проходят ответы на IPv6 RA Unicast. С muticast RA все хорошо.
Илья | 😶☮️🐸
Denis
Denis
бери)
🖖🏼Stas
Port security тут не причем. + на драйвере iptables такой проблемы небыло.
🖖🏼Stas
Решили перейти с iptables на openvswitch. И вот заметили что такая проблема появилась.
🖖🏼Stas
ussuri
🖖🏼Stas
неймспейсов нет, это компьют нода.
🖖🏼Stas
centos 8 stream
🖖🏼Stas
пусто
🖖🏼Stas
на zed и centos 9 stream та же история
Илья | 😶☮️🐸
а в сесурити группах для в6 есть правило ?
Илья | 😶☮️🐸
а то я так 1 раз пару часов копал, оказалось что дело в них было
🖖🏼Stas
Сейчас попробую
Denis
nftables же
Denis
/etc/firewalld/firewalld.conf
# FirewallBackend
# Selects the firewall backend implementation.
# Choices are:
# - nftables (default)
# - iptables (iptables, ip6tables, ebtables and ipset)
# Note: The iptables backend is deprecated. It will be removed in a future
# release.
FirewallBackend=nftables
Denis
в el9 удалили iptables-legacy насколько я помню. как там болженосы форкнули я хз)
Denis
на федоре 37 пока доступно все, а она сильно дальше ушла, чем el9
Denis
да бесанул меня "ихний" centos )) в итоге ушол в "апстрим" - федору
Denis
а не вот это вот ваше всякое бякое
Denis
Denis
но пакеты и фичи встречаем там первыми, потом через несколько лет может быть увидим в древних EL. Например El8 сделан из 28 федоры, а сейчас уже 37 :)
Denis
вот ядро какой версии в рако-линуксе?
Denis
эм,.. а причем тут шапка?))
Denis
xfs как "современная" fs создавалась изначально чтобы "только расти"
Denis
$ uname -r
6.2.7-200.fc37.x86_64
Denis
ну хоть 5.14+ уже хорошо, cilium можно накатывать полноценно
Denis
кстати, а амазонолинукс из чего в итоге стали делать? 😏
Denis
кажется нет)
Denis
https://docs.aws.amazon.com/linux/al2023/ug/relationship-to-fedora.html
Denis
они тоже бесанули с EL
Denis
да их тоже видимо задрал плесвенелый софт
Denis
ну эт так для примера было)
Denis
а раньше да, они чот заморочались и на rh базировались
Denis
https://arm.fedoraproject.org/
а кто знает, тот пользуется норм ОС на армах ;)
Denis
на малинке отлично себя чувствует
Denis
да да)
🖖🏼Stas
ovs-vswitchd (Open vSwitch) 2.13.11
🖖🏼Stas
Да, конечно могу. Но я не очень понял, а зачем ему понимать nftables, насколько я понимаю, на compute при использовании драйвера openvswitch, nftables не используется?
Denis
$ dnf provides /usr/sbin/iptables-legacy
iptables-legacy-1.8.8-3.fc37.x86_64 : Legacy tools for managing Linux kernel packet filtering capabilities
Denis
если прям хочется на iptables и не бодаться в nft
Denis
ну те же кубы вон через долбияны и legacy бинари прикручивались на el8
Denis
да тут в обе стороны можно тянуть эту тянитолкайку)
Denis
интересней когда на хосте нету legacy бинаря, а модуль загружен и в iptables есть правила. которые не показывает и не видит nft 😈
Denis
уух горячо
Denis
nft list ruleset
iptables-save
и такой чево о_О
Denis
по ощущениям, какбуд-то у тебя Outpost firewall и KIS одновременно одеты на хрюшу)
Denis
ага, прямиком из 2004
Denis
вот те же чувства, когда начинаешь дебажить это под el8 где нету iptables-legacy....
Denis
а куб себе правил понапихал и радовается сидит
Denis
а кто мешает просто принести бинари и запустить их? я так деплою везде)
Denis
скачал containerd, cni плагины, kubectl и kubeadm хоба хоба и у тя куб
Denis
да хоть 800, ансиблятсвом же
Denis
я и на 1 не пойду)
Denis
я тот же докер на малину ставил как раз тоже бинарями, федора слишком быстро выходила, что docker.com не успевали выпускать пакеты, а бинари у них есть (tar). В итоге так всем зашло, что катаем теперь везде так
Denis
https://github.com/metajiji/ansible_docker
о, надо будет прикалюх туда подлить
Denis
пакеты всегда отстают, а красношляпые из IBM пытаются тебе впарить подмана и блеклистят containerd, приходится изчать все эти интимные подробности, а оно те нада? Принес бинарь, дернул alternatives и збс.
Надо версию поменять, циферку потрогал в ямлике и готово
Denis
там один фиг бинари статически собраны, а конфиги из коробки все равно кривые, тот же containerd имеет маленький лимит на файлы, что в итоге довольно не каждым девопесом может быть понято и починено
Denis
[Service]
LimitNOFILE=1048576
а по симптомам - "yum долго работает"
Denis
а ты попробуй пойми и найди, почему сегодня yum/apt медленно работает в контейнерах, а иногда нормально после ребута, а потом опять висит)
Denis
# alternatives --list
runc manual /opt/runc/runc-v1.0.2-amd64
containerd manual /opt/containerd/containerd
ctr manual /opt/containerd/ctr
containerd-shim manual /opt/containerd/containerd-shim
У - удобно жеж
Denis
оно даже на долбиянах работает
Stanley
Сострадальцы, а у кого nova_libvirt растет, как не в себя?
Раскрою вопрос. Контейнер nova_libvirt выжирает от 5 до 15Гб памяти за пару мес. и обратно не падает, то есть, рост тупо линейный и только вверх.
Stanley
Это вообще нормально?
Aleksandr
Я сейчас с Астрой не работаю пока ))) В другой отдел перешел )))
Aleksandr
Михаил
cat 0004_dhcp_domain.patch
--- /usr/lib/python3/dist-packages/neutron/agent/linux/dhcp.py.bak 2020-09-01 09:33:59.151634117 +0000
+++ /usr/lib/python3/dist-packages/neutron/agent/linux/dhcp.py 2020-09-01 09:39:38.454310987 +0000
@@ -465,8 +465,12 @@
for server in self.conf.dnsmasq_dns_servers:
cmd.append('--server=%s' % server)
- if self.conf.dns_domain:
- cmd.append('--domain=%s' % self.conf.dns_domain)
+ if self.network.dns_domain:
+ cmd.append('--domain=%s' % self.network.dns_domain)
+
+ if self.network.dns_domain == None or self.network.dns_domain == "":
+ if self.conf.dns_domain:
+ cmd.append('--domain=%s' % self.conf.dns_domain)
if self.conf.dhcp_broadcast_reply:
cmd.append('--dhcp-broadcast')
Сделал похожий патч для OVN. Только он не строит хостнейм, а прописывает DHCP опцию dns_domain беря её из нейтрона (—dns-domain для сети) #OVN #dhcp #domain
root@myhost:~# cat dns_domain.patch
--- /usr/lib/python3/dist-packages/neutron/plugins/ml2/drivers/ovn/mech_driver/ovsdb/ovn_client.py 2023-03-28 14:52:02.849827350 +0300
+++ ovn_client-pathed.py 2023-03-28 14:44:35.110662928 +0300
@@ -2023,6 +2023,9 @@
# NOTE(mjozefcz): String field should be with quotes,
# otherwise ovn will try to resolve it as variable.
options['domain_name'] = '"%s"' % cfg.CONF.dns_domain
+ elif network['dns_domain']:
+ LOG.info("Set dhcp domain option %s for subnet %s", network['dns_domain'], subnet['id'])
+ options['domain_name'] = '"%s"' % network['dns_domain']
if subnet['gateway_ip']:
options['router'] = subnet['gateway_ip']
Slava I.
ну т/е пришел через полгода человек и катнул овн на ноду без патча)
Slava I.
понятно
Михаил
ну т/е пришел через полгода человек и катнул овн на ноду без патча)
Оно на сервер нейтрона надо. Не на ovn-агенты
Михаил
Но горюшко это не отменяет, конешно
Slava I.
ну окей
не суть)
Slava I.
свою репу держите?
Slava I.
или просто типа - Петя лил патч не забудьте спросить у него и патч лежит на его локальном компе в локальной папке)