« Rev
@openstack_ru   1093
Fwd »


Stanley
Телетайп в консоль, например
Stanley
Это одно и тоже. :)
J
Все не то, все не так, ага.
Stanley
Огонь рябин...
J
А вино сухое запас?
Stanley
Коньяк. Порошковый
J
Эт смотря как пить)
Григорій
Добрый день, опенстек задеплоин с помощью kolla-ansible и пробую на прямю вольюм подключит по iscsiadm, но получаю (iscsid)[root@compute1 /]# iscsiadm -m node -T iqn.2010-10.org.openstack:volume-b7153c6f-df87-4165-b974-911b4848f5ad -p 192.168.100.133 --login Logging in to [iface: default, target: iqn.2010-10.org.openstack:volume-b7153c6f-df87-4165-b974-911b4848f5ad, portal: 192.168.100.133,3260] iscsiadm: Could not login to [iface: default, target: iqn.2010-10.org.openstack:volume-b7153c6f-df87-4165-b974-911b4848f5ad, portal: 192.168.100.133,3260]. iscsiadm: initiator reported error (24 - iSCSI login failed due to authorization failure) iscsiadm: Could not log into all portals Никто не практиковал такое или подскажет, почему логин фейлится?
Artemy
Слова не мальчика, но алкоголика
Artemy
То что наркоман - все давно поняли. Алкоголизм - это ортогональное
P
Вопрос не тупой, но спросил не очень понятно, судя по ответам) Можно вот так: https://docs.openstack.org/nova/latest/cli/nova-serialproxy.html
Спасибо за ответ! Попробую покопать в эту сторону. Я пока что нашёл только вот такой вариант - https://docs.openstack.org/newton/user-guide/cli-access-instance-through-a-console.html Но, это не com-порт, само-собой.
Nikolay
Оу Ньютон, это какой год ?
P
Не лохмотья - а винтаж! :)
P
А тебе для чего удаленный доступ к serial консоли?
Есть виртуалка, на ней крутится какой-то виртуальный роутер, который иногда требует (пере)настройки. У него есть mgmt0, понятное дело, но, если вдруг отвалился, или его испортили - надо как-то либо к локальной консоли (по аналогии с vmware) - напрямую присоединиться, либо к com-порту. Раньше это работало на kvm, там всё просто - либо virsh console, либо telnet на заранее перенаправленный порт. Теперь поднимают это же в openstack, хотелось бы понимать, можно ли сделать это с минимальными кастомизациями и, желательно, без двойной авторизации (сначала в openstack - потом в самой vm).
P
Ну если консольный порт незапароленным держать, то без двойной.
Да, но тогда авторизация на openstack делаться будет, а это дополнительный геморрой - не технический, организационный.
J
И ещё вопрос. А что, тот роутер в графическую консоль ничо не выплёвывает?
J
И какой там организационный геморрой то?)
P
А как ты без авторизации хочешь доступ получать?
в идеале - чтобы была только внутренняя авторизация самой виртуалки. Ну и да, роутер плюётся и в графическую консоль и в com-порт.
P
я не думаю, что команду, которая админит роутер впустят в кишки опенстака :).
P
И какой там организационный геморрой то?)
Разные команды, плюс безопасность над всем надзирает.
P
чтобы набрать virsh console - надо для начала залогиниться по ssh на compute node, не так ли?
P
Ну вот. Этого и не дадут сделать, скорее всего.
J
я не думаю, что команду, которая админит роутер впустят в кишки опенстака :).
Зачем в кишки? Через политики или app credentials команде сетевиков можно оставить минимум прав
J
Ну вот. Этого и не дадут сделать, скорее всего.
А в браузере открыть novnc консоль тоже не дадут?)
P
Зачем в кишки? Через политики или app credentials команде сетевиков можно оставить минимум прав
Я думаю, сам факт локального логина по ssh вызовет паранойю. Тем более, если надо будет что-то крутить, чтобы virsh заработал для их юзера. А если ещё и виртуалка мигрирует между compute хостами - ещё сложнее становится.
J
Но в целом ясно. Тоталитаризм, безопасники судаки и могут только бумажки, а операторы облака или не знают как сделать или не могут из-за безопасной безопасности)
P
А в браузере открыть novnc консоль тоже не дадут?)
Ну, это, вроде как, выглядит чуть менее подозрительным (я пытаюсь заранее представить аргументы), но - если есть техническая возможность вообще не прикасаться к openstack - было бы неплохо. Ну, если нет - значит нет.
J
Я думаю, сам факт локального логина по ssh вызовет паранойю. Тем более, если надо будет что-то крутить, чтобы virsh заработал для их юзера. А если ещё и виртуалка мигрирует между compute хостами - ещё сложнее становится.
Тебе не надо никуда логиниться. Тебе надо как обычному пользователю через api или консольным клиентом получить ссылку на novnc консоль и дальше в браузере ее открыть.
P
Но в целом ясно. Тоталитаризм, безопасники судаки и могут только бумажки, а операторы облака или не знают как сделать или не могут из-за безопасной безопасности)
Ну, хз, я без оценки на это смотрю, как данность. Есть задача, есть контекст, надо придумать, как решить. А кто там судак, кто там ангел - мне всё равно.
J
Ну вот, чтобы ссылку получить - надо же для начала пройти авторизацию в самом openstack, я же правильно понимаю?
Да. Но там же гибкие политики и можно пользователю вообще все запретить кроме получения ссылки на консоль.
P
Да. Но там же гибкие политики и можно пользователю вообще все запретить кроме получения ссылки на консоль.
Ну, значит, если нет других вариантов - остаётся этот. А он, кстати, только на гуёвую консоль умеет редиректить, или на com-порт тоже?
P
Ну штош... Будем думать :). Спасибо за подсказку!
Рустам
💸Здравствуйте! Набираю людей в команду для Apбитрaжа кpиптовaлют💸 🟢Готовые связки с пpибылью 4-6% к начальному депозиту за 20-30 минут вашего времени. 🟢Не беру ваши деньги на свои счета, а также никаких предоплат 🟢Набираю даже новичков, научу и покажу очень доступно ❗️Беру 20% от вашего ежедневного заработка.
J
Ну, значит, если нет других вариантов - остаётся этот. А он, кстати, только на гуёвую консоль умеет редиректить, или на com-порт тоже?
Ссылка на serial консоль будет через websocket. Нужна какая-то реализация websocket клиента, как в ссылке что я кидал. Терминальным эмулятором напрямую по ней не цепанешься. Смотри. Вот про app credentials: https://docs.openstack.org/keystone/latest/user/application_credentials.html Можно сгенерировать себе типа промежуточный токен, не давая доступ к пользователю в опенстеке напрямую. И через access rules разрешить только получать доступ к консолям. https://docs.openstack.org/api-ref/compute/#get-serial-console-os-getserialconsole-action-deprecated https://docs.openstack.org/api-ref/compute/?expanded=get-serial-console-os-getserialconsole-action-deprecated-detail,create-console-detail#create-console
J
Ох. Надеюсь, им будет хватать гуёвой консоли...
Я же тебе вот, сообщением выше скинул реализацию клиента)
P
Я же тебе вот, сообщением выше скинул реализацию клиента)
Да это понятно, я просто хочу обойтись минимальным количеством сущностей. Хрен его знает, откуда они будут пытаться ломиться на эту консоль и с какими локальными правами... Как бы то ни было - спасибо за наводку :)
P
virsh console с гипервизора так и продолжает работать, пользуйтесь ею, если нравится
Это, скорее всего, не выйдет по административным соображениям.
J
Та черт с ними) Решений полдюжины точно можно придумать, которые ваще с опенстеком не связаны и при этом безопасны с практической точки зрения.
J
Так что, нехай пишут свои модели угроз и политики анального огораживания безопасности.
P
Ради одного хоста такое городить не будут, скорее просто в задницу пошлют сходу.
J
Кстати про задницы) Конечно, меня изумляет и восхищает как в крупных конторах разные подразделения между собой не дружат) А безопасники дык ваще отдельно стоят и для них все говно посягающее на драгоценные корпоративные секреты)
J
Когда палкой тыкали запах был?)
Den
А что делает параметр OS-DCF:diskConfig под капотом? https://docs.openstack.org/api-ref/compute/?expanded=create-server-detail#:~:text=255%20bytes%20each.-,OS%2DDCF%3AdiskConfig,-(Optional) По описанию всё понятно, но как то это работать не хочет. Логически должно в клауд-инит добавлять growpart: mode: off. Если руками в юзер_дату пишу,то всё нормально. И в коде не могу найти, на что это влияет. Со стороны АПИ всё понятно, этот параметр берётся, добавляется и.т.д. а вот со стороны конечного исполнения не вижу, на что виляет.
Den
Могу ошибаться монтирует /dev/sr0
Это конфиг_драйв его монтирует :)
Den
Точнее просто создаёт сей девайс, а монтирует и читает его клауд-инит
Jürgen
Это конфиг_драйв его монтирует :)
Если у тебя нет dhcp конфиг драйв например настроит тебе сеть
Jürgen
https://docs.openstack.org/nova/queens/user/config-drive.html
Den
Если у тебя нет dhcp конфиг драйв например настроит тебе сеть
Да, но тот параметр не про конфиг_драйв. Он там отдельно есть
Den
Это не для локальных ли дисков опция
Ну про это не говорится. Хотя сейчас проверю. По описанию, когда стоит в АВТО, то корневой раздел автоматически расширяется на всё доступное пространство. А если выключаем, то будет как в имадже.
Nikolay
создай вольюм из image с опцие и без, потом подцепи и посмотри что внутри полйчаетс
Den
создай вольюм из image с опцие и без, потом подцепи и посмотри что внутри полйчаетс
Это же опция для инстанса т.е. я могу создавать только инстанс с ней/без неё. Я внутри вижу, что в клауд-инит отрабатывает growpart и раздел расширяется. cc_growpart.py[DEBUG]: No 'growpart' entry in cfg. Using default: {'mode': 'auto', 'devices': ['/'], 'ignore_growroot_disabled': False} cc_growpart.py[INFO]: '/' resized: changed (/dev/sda, 1) from 2244984320 to 42833264128
Alexey
зззздрасьте)
Alexey
джу джу топ )
Den
В ней нет проблем с опенстаком? 😂
Alexey
пытаюсь добавить новый диск в OSD juju run-action --wait ceph-osd/3 add-disk osd-devices=/dev/sde он пишет мне такую херню Stderr: | partx: /dev/sde: failed to read partition table Volume group name has invalid characters Run `lvcreate --help' for more information. status: failed Диск новый чистый, в системе он как sde без разделов
Alexey
В ней нет проблем с опенстаком? 😂
с джу джу вообще нет проблем :D
Alexey
джу джу идеальный
Alexey
ПРивет )
Den
Ну порти человеку мантру
Alexey
как то диск нужно готовить при добавлении в OSD ?
Den
Ладно, а если по другому спросить. Где рендерятся шаблоны клауд-инита в нове? С апи ->метадата, описано только как отдавать, в какие файлы пихать и.т.д. А данные где формируются?
Den
как то диск нужно готовить при добавлении в OSD ?
В цефе были команды для подготовки. В идеальном джу-джу не знаю, может он сам всё делает
« Rev
@openstack_ru   1093
Fwd »