Alexey

Я на всякий случай

Alexey

Так и хочу

Alexey

Я не грешу ) так общаемся )

Alexey

Еще вопрос для поболтать. Что в ваулту кроме сертов лежит ?

Alexey

Я правильно понимаю что бд и ваулт не вариант полностью реинсталисть с полным удалением

Alexey

А кейстоун что хранит тогда ?

Alexey

Понял

gwaewion

Аромат свежести

gwaewion

Человек уже использует опенстек =)

Alexey

Это для безопасности что ваулт лучше вообще не трогать )

gwaewion

А в качестве бэкэнда консул =)

gwaewion

Моё имя слишком известно, чтобы его называть (нет) =)

Pavel

У волта одна и самых самодостаточнх схем кластеризации

Alexey

Он у меня кластеризирован )

Ilya

Если кому интересно: "Meanwhile, TripleO has switched to a distributed project leadership model, and is initiating the process of deprecation.[4]" [4]. https://review.opendev.org/c/openstack/governance/+/877132

Ilya

As discussed in openstack-discuss[1], TripleO is going to be deprecated and will be maintained until stable/wallaby. There are some repo under TripleO project have stable/zed branch cut and team is not going to maintained it. We discussed this case in TC meeting and decided[2] to keep stable/zed as 'supported but no maintainers' (will update this information in stable/zed README.rst file).

Ilya

Всё верно. Это из рассылки OpenStackDiscuss

Alexey

ну чтож продолжим. Как я понял вайлкард в ваулт не запихать он не умеет подписывать сам. ОК. какова полный разеб если я запихаю вайлкард руками в хорайзен, кейстоне?

Alexey

или нужно при таком раскладе пихать его везде

Alexey

от ваулта не получится же отказаться ? он там пароли хранит

Alexey

Ага

Alexey

https://stackoverflow.com/questions/26715415/use-a-wildcard-ssl-cert-to-sign-other-certs

Yuriy

от ваулта не получится же отказаться ? он там пароли хранит

Пароли хранит keystone. В твоем случае, если ты не используешь покупные сертики для сервисов OpenStack он генерит их для них.

Yuriy

Так же он обязателен для OVN, потому что он хранит сертики для него.

Alexey

опасно OVN трогать ))) в прошлый раз его и развалило

Alexey

я добавил серт в хорайзен все ок палет нормальный

Alexey

нужно так же добавить в кейстоне и овн ?

Alexey

их все надо отвязывать от ваулта ?

Yuriy

опасно OVN трогать ))) в прошлый раз его и развалило

OVN тебе и не надо отвязвать

Yuriy

Он только с Vault работает.

Yuriy

Для всех остальных сервисов. если хочешь с ними нормально работать с внешки нее прописывая на каждом клиенте свой CA, тогда покупные ставить.

Alexey

у меня покупной вайлкард

Yuriy

Народ, приветствую, у кого Ubuntu 22.04 ядром 5.15.0-69-generic с установленным OpenVSwitch?

Илья | 😶☮️🐸

Народ, приветствую, у кого Ubuntu 22.04 ядром 5.15.0-69-generic с установленным OpenVSwitch?

QoS не работает ?

Yuriy

Нет, принципе сеть не стартует.

Yuriy

Возвращаюсь на ядро 5.15.0-56-generic, все нормально.

Yuriy

Притом логах везде пусто.

Yuriy

2.17.3-0ubuntu0.22.04.2

Yuriy

Ага.

gwaewion

Ну, некоторым netplan нравится =)

Yuriy

Хотя если в безопасном режиме без бута сети загрузится, а потом ручками сервисы systemd-resoolved и openvswitch-switch бутнуть, а потом уже Netplan apply, то все работает.

Yuriy

Проблема возникает именно при буте ОС.

Yuriy

Долбаный netplan-ovs-cleanup.

Yuriy

Еще страннее что в логах ничего нету.

Yuriy

При буте просто сервис ovs-vswitchd не стартует.

Yuriy

netplan что то пытается с выключенным ovs сделать и умирает.

Yuriy

Он завязан на сервис openvswitch-switch, а он включен.

Yuriy

Притом после бута, если выключить сеть и ее запустить ручками, все работает.

Yuriy

Я грешу на баг в openvswitch потому что в Дебиане похожая бага была и ее пофиксили.

Yuriy

2.17.3-0ubuntu0.22.04.2

жду 2.17.5.

Yuriy

То же, я с нуля уже ОС поднимаю и подсовываю ему конфиг.

Yuriy

Но как вариант попробую.

NS 🇷🇺

а кто dev вообще берет в прод? =)

NS 🇷🇺

ну смотри че ставишь )

Yuriy

Знаяешь еще на что я грешу.. на LXD.

Yuriy

Когда порт в OVS создает и пытается контейнер стартануть.

Alexey

после добавления серта в keystone и отключения его от vault

Alexey

он с бд перестал общатся ?

Yuriy

У тебя на всех сервисах должен быть CA прописан один.

Yuriy

Чтобы keystone пропускал аутенттификацию.

Alexey

У тебя на всех сервисах должен быть CA прописан один.

ну если на OVN прописать серт он же не применится без отключения от ваулт

Alexey

Он только с Vault работает.

!

Yuriy

ну если на OVN прописать серт он же не применится без отключения от ваулт

Зачем тебе OVN отвязывать от Vault?

Alexey

ну если везде один серт должен быть )

Alexey

я чет запутался

Yuriy

На сервисах OpenStack.

Yuriy

OVN это не сервис OpenStack.

Yuriy

Серисы OpenStack - keystone, nova, cinder, glance, neutron и т.д.

Alexey

keystone glance cinder nova-cloud-controller neutron-api

Alexey

понял

Yuriy

Даже vault это не сервис OpenStack (модуль).

Yuriy

Я о том же.

Alexey

теперь понял

Alexey

спасибо

Yuriy

@mixroot Вот как то вот так это выглядит.

Alexey

keystone glance cinder nova-cloud-controller neutron-api

nova-compute туда же

Alexey

?

Yuriy