Yuriy
Служба ovs-vswitchd не стартует, и все валится
Yuriy
nova-compute туда же
У тебя там нету настроек сертификатов, они все с nova-controller подтянут.
Yuriy
Потому что ovs не стартанул.
Yuriy
А конкретно служба ovs-vswitchd - Open vSwitch Forwarding Unit.
Yuriy
Я вот думаю,. может предыдущий пакет OVS накатить.
Alexey
placement тоже серсив openstack ?
Yuriy
LXD и apparmor выключил, сейчас посмотрю.
Yuriy
Тоже такая мысль закралась
Alexey
Yuriy
Если у тебя кластер, балансировщик на разные инстансы кидает..
Yuriy
И сертик на всех инстансах не проставился.
Alexey
он сам как то обновит ?
Alexey
прсото время нужно ?
Alexey
или надо предпринимать шаги и действия ?
Yuriy
Обычно 5 минут.
Alexey
Alexey
серт сменился но теперь пишет
Alexey
Failed to discover available identity versions when contacting https://keystone.os.site.ru:5000/v3. Attempting to parse version from URL.
SSL exception connecting to https://keystone.os.site.ru:5000/v3/auth/tokens: HTTPSConnectionPool(host='keystone.os.site.ru', port=5000): Max retries exceeded with url: /v3/auth/tokens (Caused by SSLError(SSLError(1, '[SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:852)'),))
Alexey
хотя тот же серт на horizon не выдает ошибку
Alexey
https://keystone.os.site.ru:5000/v3/auth/tokens в браузере тоже все ок открывается
Alexey
Alexey
keystone
glance
cinder
nova-cloud-controller
neutron-api
placement
openstack-dashboard
серт заменил и отвязал от ваулт
NS 🇷🇺
если не самоподписанный, то CA по идее не нужен
Илья | 😶☮️🐸
а почему бы просто через инстанс с 2 портами (паблик и приватный влан) не прокидывать ?
Илья | 😶☮️🐸
а там хоть какой серт
NS 🇷🇺
так у тебя куча CA удостоверяющих лежит в системе
Alexey
а пароли точно в кейстоне хранятся ?
Илья | 😶☮️🐸
а где ещё ?
Илья | 😶☮️🐸
keystone как входная точка, без него ничего фурычить не будет
Илья | 😶☮️🐸
на самом деле они хранятся на диске
Alexey
Alexey
Alexey
это все один и тот же кейстоне
Alexey
так и должно быть ?
Alexey
а блин да
Alexey
))
Alexey
туплю
Alexey
серт на имя же
Alexey
на mysql-innodb-cluster и rabbitmq-server лучше не менять серт ?)
Yuriy
на mysql-innodb-cluster и rabbitmq-server лучше не менять серт ?)
Только на сервисах OpenStack.
Alexey
почему аторизация могла пропасть
Alexey
ошибок нету вроде
Alexey
да
Alexey
и его
Alexey
я везде апачь ребутнул на всех сервисах опенстек
Alexey
keystone-hacluster ?
Alexey
не адет туда добавить
Alexey
в конфиге нет настроек ssl
Alexey
2023-04-24 11:34:37.969537 oslo_db.exception.DBConnectionError: (pymysql.err.OperationalError) (2003, "Can't connect to MySQL server on '127.0.0.1' ([SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate in certificate chain (_ssl.c:1131))")
2023-04-24 11:34:37.969540 (Background on this error at: https://sqlalche.me/e/14/e3q8)
Alexey
root@juju-44d201-2-lxd-2:/var/log/apache2# cat keystone_access.log
Alexey
это тут
Oleg
Там ток в случае с hacluster keystone ssl прям на апаче, haproxy просто раскидывает, но не терминирует)
Alexey
но если отвязать БД от ваулта все пойдет по одному месту ?
Alexey
так ваулт будет давать серт
Alexey
а как починить связку ?
Alexey
да что бы с ним случилось все же работало до смены серта
Alexey
одна и та же цепочка
Alexey
хорайзен открывается страница авторизации без проблем ошибок нету
Alexey
Unexpected API Error. Please report this at http://bugs.launchpad.net/nova/ and attach the Nova API log if possible.
<class 'neutronclient.common.exceptions.InternalServerError'> (HTTP 500) (Request-ID: req-bfe5e96a-a3ee-44f4-949d-05125dc20de7)
Alexey
Alexey
@Millagart подскажи плиз при смене сертификата на опенстек сервисах нужно отвязывать от ваулта ? (удалять relation) ??
Alexey
@Millagart если закинуть свой серт в mysql-innodb-cluster и отрубить от ваулт будет фиаско ?
Yuriy
Причем тут vault и Mysql?
Yuriy
Просто отвязать тебе нужно OpenStack cервисы отвязать от vaul, ничего более.
Alexey
Can't connect to MySQL server on '127.0.0.1' ([SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate in certificate chain
Alexey
эта ошибка не св]занна что в mysql не тот серт ?
Alexey
В mysql нужно загружать свой серт?
Михаил
Can't connect to MySQL server on '127.0.0.1' ([SSL: CERTIFICATE_VERIFY_FAILED] certificate verify failed: self signed certificate in certificate chain
Начиная с какой-то версии вроде бы галера друг к другу ходит по SSL
Alexey
кароче все что я надобавлял можно удалять )
Alexey
тот
Alexey
как я понял он упирается на серт в mysql
Alexey
а ему выдает серт ваулт
Alexey
а отвязывать mysql от vault не вариант
Alexey
я же верно понимаю что на всех сервисах openstack и на mysql должны быть одинаковые сертификаты чтоб они общались ?
Yuriy
Сертик для MySQL совсем другая тема
Alexey
keystone не может достучаться до mysql и ругается на сертификат