Может, жирные дяди предусмотрели какой-то свой инструмент чтобы логи выдергивать и показывать, но это у них тогда надо спрашивать.

Из полезного в cli это nova console-log, но чтобы там что-то увидеть надо чтобы виртуалка включилась)

понял, спасибо. скорее всего, просто выдадут ошибку без ручек, а мы, надеюсь, свичнемся

Из полезного в cli это nova console-log, но чтобы там что-то увидеть надо чтобы виртуалка включилась)

если это выдаёт лог из tty, то точно не то, что нужно

возможно не стартовало из-за нехватки ресурсов - их было почти впритык, но вообще-то достаточно. после миграции на менее нагруженный хост всё заработало

хочется просто конкретную ошибку, а не то что я смог накопать, потому что просто "failure" как-то недостаточно

Scheduler не разворачивает же на гиперах с трейтом COMPUTE_DISABLED

на /detail роуте отобразится ошибка, а значит и в server get поле какое-то с логом ошибки будет

Не, это только для админов, простой юзер видит только статус error

Жабогадюкинг какой-то

Не, спасибо. Мой уровень - kolla-ansible. Для тырпрайзов не хватает ни ума, ни деняк

скрепстэк

remote compute ?

даже cloudstack кстати совсем вчера добавил интеграшку к tungstenfabric :)

https://www.shapeblue.com/whats-new-in-apache-cloudstack-4-18/

404

А что будет вместо овс

Чем плох ovn, кроме отсутствия full sync'а?

Бридж, емнип, только для netfilter фильтрации. Овёс плох в стыке с neutron, но это не вина овса

Выполнил деплой ZED c LVM, в логах сыпет 2023-11-28 06:55:16.106696 /var/lib/kolla/venv/lib/python3.10/site-packages/oslo_policy/policy.py:809: UserWarning: Policy "volume_extension:types_extra_specs:index":"" was deprecated in X in favor of "volume_extension:types_extra_specs:index":"rule:xena_system_admin_or_project_reader". Reason: Default policies now support the three Keystone default roles, namely 'admin', 'member', and 'reader' to implement three Cinder "personas". See "Policy Personas and Permissions" in the "Cinder Service Configuration" documentation (Xena release) for details.. Either ensure your deployment is ready for the new default or copy/paste the deprecated policy into your policy file and maintain it manually. 2023-11-28 06:55:16.106700 warnings.warn(deprecated_msg).

Не могу понять где политику поправить

привет, в Ansible можно ограничить сбор фактов, используя gather_subset: https://docs.ansible.com/ansible/latest/collections/ansible/builtin/setup_module.html#parameter-gather_subset то же самое есть в kolla. Может кто подсказать какие subset можно игнорировать и не собирать факты? Выглядит как универсальное значение +-

Привет! А закончилось исследование чем-то интересным? Я тут посмотрел шо наши фильтры внезапно не настолько хороши как я думал)

ниче не понял) но если что то лбаас в овн если не амфора а именно ОВН - работает на уровне самого ОВНа и его флоу но поддерживается крайне лимитированное кол-во кейсов

Following actions are not supported by OVN Driver: Creating a LoadBalancer/Listener/Pool with L7 Protocol. - Only TCP Creating HealthMonitors Currently only one algorithm is supported for pool management - ONLY SOURCE_IP_PORT Creating Listeners and Pools with different protocols. They should be of the same protocol type. You can create this type of LB only using CLI

вот примерно так

#create LB openstack loadbalancer create --name lb_int_net --vip-network-id $ID_TEST_INT_NETWORK --provider ovn #create Listener openstack loadbalancer listener create --name port80 --protocol TCP --protocol-port 80 test_int #create Pool openstack loadbalancer pool create --name pool1 --lb-algorithm SOURCE_IP_PORT --listener port80 --protocol TCP ну и вперед - тестируйте

ну какого то прям в коммунити овн не видел, а так то есть всякие дизигн доки со стеком и овн в разной степени прожаренности

Привет! А закончилось исследование чем-то интересным? Я тут посмотрел шо наши фильтры внезапно не настолько хороши как я думал)

Колла ансибл зависала на моменте сбора фактов, подозрение сразу было на вольюмы на гипервизоре или тому подобное, но по итогу оказалось, что колла при скане запускала ряд команд lvm, данные команды пытались отсканить мигрировавшие вольюмы или залипшие, во избежании этого делают lvm’s global_filter, чтобы вольюмы инстансов не сканить. Данные фильтры были применены только на самой ос, но колла каким то образом попадала в контейнер multipathd и пыталась засканить вольюмы оттуда и команды lvm зависали, так как внутри контейнера фильтра не было, в общем помогло прокинуть global_filter в контейнер multipathd Касательно самих сабсет и фильтров, большого профита нет в том, чтобы их исключать, но колле необходим минимальный набор фактов с хоста, точно сетевые интерфейсы/айпи адреса и еще какие то вещи 🤔

Колла ансибл зависала на моменте сбора фактов, подозрение сразу было на вольюмы на гипервизоре или тому подобное, но по итогу оказалось, что колла при скане запускала ряд команд lvm, данные команды пытались отсканить мигрировавшие вольюмы или залипшие, во избежании этого делают lvm’s global_filter, чтобы вольюмы инстансов не сканить. Данные фильтры были применены только на самой ос, но колла каким то образом попадала в контейнер multipathd и пыталась засканить вольюмы оттуда и команды lvm зависали, так как внутри контейнера фильтра не было, в общем помогло прокинуть global_filter в контейнер multipathd Касательно самих сабсет и фильтров, большого профита нет в том, чтобы их исключать, но колле необходим минимальный набор фактов с хоста, точно сетевые интерфейсы/айпи адреса и еще какие то вещи 🤔

круто, спасибо большое

Колла ансибл зависала на моменте сбора фактов, подозрение сразу было на вольюмы на гипервизоре или тому подобное, но по итогу оказалось, что колла при скане запускала ряд команд lvm, данные команды пытались отсканить мигрировавшие вольюмы или залипшие, во избежании этого делают lvm’s global_filter, чтобы вольюмы инстансов не сканить. Данные фильтры были применены только на самой ос, но колла каким то образом попадала в контейнер multipathd и пыталась засканить вольюмы оттуда и команды lvm зависали, так как внутри контейнера фильтра не было, в общем помогло прокинуть global_filter в контейнер multipathd Касательно самих сабсет и фильтров, большого профита нет в том, чтобы их исключать, но колле необходим минимальный набор фактов с хоста, точно сетевые интерфейсы/айпи адреса и еще какие то вещи 🤔

сетёвку мы выкидываем. когда большое количество tap/qbr интерфейсов, сильно мешает

ридми исчерпывающее)

Колла ансибл зависала на моменте сбора фактов, подозрение сразу было на вольюмы на гипервизоре или тому подобное, но по итогу оказалось, что колла при скане запускала ряд команд lvm, данные команды пытались отсканить мигрировавшие вольюмы или залипшие, во избежании этого делают lvm’s global_filter, чтобы вольюмы инстансов не сканить. Данные фильтры были применены только на самой ос, но колла каким то образом попадала в контейнер multipathd и пыталась засканить вольюмы оттуда и команды lvm зависали, так как внутри контейнера фильтра не было, в общем помогло прокинуть global_filter в контейнер multipathd Касательно самих сабсет и фильтров, большого профита нет в том, чтобы их исключать, но колле необходим минимальный набор фактов с хоста, точно сетевые интерфейсы/айпи адреса и еще какие то вещи 🤔

Агась, натыкался на такое

сетёвку мы выкидываем. когда большое количество tap/qbr интерфейсов, сильно мешает

тапчики да, их дофига, но не помню можно ли их отдельно убрать

есть тут интересно автор этого доклада) https://highload.ru/moscow/2023/abstracts/11072 очень хочется пощупать этот evpn-connector

тапчики да, их дофига, но не помню можно ли их отдельно убрать

kolla_ansible_setup_filter: "ansible_[!qt]*" если правильно понимаю

а точно, такое вроде делал

не надо его трогать

а тут спамер был))

Все привет. Стало интересно, а как кто работает с регионами в опенстек, интересует момент имено с кистоном, лично у меня сейчас есть два региона, А и Б, и кистон стоит только в регионе А, а Б делает конект к А, и мне эта модель не очень нравится, если что-то случиться с кластером А, то управлять другими кластерами будет невозможно

Все привет. Стало интересно, а как кто работает с регионами в опенстек, интересует момент имено с кистоном, лично у меня сейчас есть два региона, А и Б, и кистон стоит только в регионе А, а Б делает конект к А, и мне эта модель не очень нравится, если что-то случиться с кластером А, то управлять другими кластерами будет невозможно

Не очень твоя претензия понятна. Ну сделай так чтобы keystone был отказоустойчивым. Альтернатива просто не пользоваться регионами и держать независимые инсталляции.

есть тут интересно автор этого доклада) https://highload.ru/moscow/2023/abstracts/11072 очень хочется пощупать этот evpn-connector

Мы написали такой коннектор для OVN. В VK же вроде свой SDN, как даст его щупать?)

Не очень твоя претензия понятна. Ну сделай так чтобы keystone был отказоустойчивым. Альтернатива просто не пользоваться регионами и держать независимые инсталляции.

Ну это не претензия, просто интересно как кто добивается этой высокодоступности)))

Мы написали такой коннектор для OVN. В VK же вроде свой SDN, как даст его щупать?)

А все, прочитал описание)

Ну это не претензия, просто интересно как кто добивается этой высокодоступности)))

Три копии в разных реках под лоадбалансером

Три копии в разных реках под лоадбалансером

+ галера?

+ галера?

Ну в целом, галера вариант, в опенстеке нет прямо сумасшедшей скорости записи в базу, там скорее кролика надо тюнить на отказоустойчивость. А галера при правильном управлении там будет реже всех неприятности приносить

Ну в целом, галера вариант, в опенстеке нет прямо сумасшедшей скорости записи в базу, там скорее кролика надо тюнить на отказоустойчивость. А галера при правильном управлении там будет реже всех неприятности приносить

Понял, спасибо

Все привет. Стало интересно, а как кто работает с регионами в опенстек, интересует момент имено с кистоном, лично у меня сейчас есть два региона, А и Б, и кистон стоит только в регионе А, а Б делает конект к А, и мне эта модель не очень нравится, если что-то случиться с кластером А, то управлять другими кластерами будет невозможно

Oauth или лдап можно прикрутить и деплоить по кейстоуну в регион. Или самому провайдер для авторизации написать. Только страдай потом, если отвалится провайдер)

До сих пор не попробовал тот кеклоак, вечно другие приколы с тем опенстеком)

Регионы в стеке если честно - говно)

танг... кхм... стен

у яндекса так сделано

Крч, про регионы я понял, вариантов много. Спасибо за инфу)

Я из Украины

Ну пока я не вижу особо проблем, по факту этот отдельный кластер в каждом дц, если сделать нормальный оркестратор не вижу проблем)

есть тут интересно автор этого доклада) https://highload.ru/moscow/2023/abstracts/11072 очень хочется пощупать этот evpn-connector

Автор есть. Но, как я сказал на самой конфе процесс опенсорсинга мы пока еще не закончили

Вот спрута пока не опенсорсим, да. Там сильно сложнее

Спасибо

Нет никакой привязки, спрут же замена нейтрона, как он может быть к окате привязан. Просто получить одобрение от бизнеса и ИБ сложнее

Какое модное название для такой бесхитростной схемы) На слух крутое, а на деле ШЛЯПА)

Нет никакой привязки, спрут же замена нейтрона, как он может быть к окате привязан. Просто получить одобрение от бизнеса и ИБ сложнее

Ну и размеры сильно больше одного коннектора)

угу и встают вопросики, много вопросиков, в том числе ipam

мы до такого не додумались, честно говорю. Вероятно мало нам поставляют того, чем можно укуриться. Но в целом мы играем роль core plugin нейтрона, как и остальные, альтернативные sdn

ну я кстати подумал сильно (устал) и понял почему в нейтроне после подключения тангстена показывается подсеть 0.0.0.0/0 (потому что ipam'ом в этом случае рулит уже TF)

Ну вот Федя правильно пишет. Лдап можно сделать в каждом регионе по инстансу и реплицироваться, кейстоуны каждый в свой кластер с оаусом на единственный лдап за балансером. Вин вин. Ничего локального, всё в лдапе который размазан и синхронизируется своими силами. Например DirSRV

Ну вот Федя правильно пишет. Лдап можно сделать в каждом регионе по инстансу и реплицироваться, кейстоуны каждый в свой кластер с оаусом на единственный лдап за балансером. Вин вин. Ничего локального, всё в лдапе который размазан и синхронизируется своими силами. Например DirSRV

Нужно еще под разабратся с этим😅

ну не то что бы на самом деле, в паре мест изменить чтобы нейтрон подхватило

а вот тесты... тесты надо обкатывать там по полной, чтобы это в проде не взорвалось

там же в 1 ядро упёрлось

Автор есть. Но, как я сказал на самой конфе процесс опенсорсинга мы пока еще не закончили

Ждемс)

из-за того что конфиг генерируется "на лету" при запуске контейнера ?

Ждемс)

Мы потегаем. ИБ и Бизнес одобрили, ждем юристов....

Да мы не такие пафосные, просто на github выложим

есть тут интересно автор этого доклада) https://highload.ru/moscow/2023/abstracts/11072 очень хочется пощупать этот evpn-connector

Кому интересно этот же доклад есть на NextHOP, даже чуть более технический https://nexthopconf.com/broadcast Зал 2, примерно 15:15 по времени. Или 5:14 по времени записи.

Всем привет! Прошу помощи в вопросе: накатываю облако через коллу-ансибл, цеф подготовлен с двумя пулами для синдера - пулл с хдд дисками и пулл с ссд дисками. Имеет ли колла возможность указать несколько пулов для синдера? И если да, это возможно - как это в колле сформировать? У меня не выходит(

Всем привет! Прошу помощи в вопросе: накатываю облако через коллу-ансибл, цеф подготовлен с двумя пулами для синдера - пулл с хдд дисками и пулл с ссд дисками. Имеет ли колла возможность указать несколько пулов для синдера? И если да, это возможно - как это в колле сформировать? У меня не выходит(

Если цеф один, то нет проблем подсунуть несколько бекендов

Структура конфигов как для ансибля

Ручками через .conf файл имеется в виду?

Всем привет! Прошу помощи в вопросе: накатываю облако через коллу-ансибл, цеф подготовлен с двумя пулами для синдера - пулл с хдд дисками и пулл с ссд дисками. Имеет ли колла возможность указать несколько пулов для синдера? И если да, это возможно - как это в колле сформировать? У меня не выходит(

https://docs.openstack.org/kolla-ansible/latest/reference/storage/external-ceph-guide.html