« Rev
@openstack_ru   1183
Fwd »


Костя
к сожалению нет. в дебаг моде полиси есть такое еще 2023-12-14 05:45:53.865 17042 WARNING py.warnings [None req-fa7b6dee-a15b-4e99-aa76-97924f231f8c 45a8e4338f574f45a8c42b3f176fceb0 322d6eeeb2fe4ff3b29f91687fec1b8f - - default default] /usr/lib/python3/dist-packages/oslo_policy/policy.py:1129: UserWarning: Policy "identity:create_user": "(role:admin and system_scope:all) or (role:admin and token.domain.id:%(target.user.domain_id)s)" failed scope check. The token used to make the request was project scoped but the policy requires ['system', 'domain'] scope. This behavior may change in the future where using the intended scope is required warnings.warn(msg) потом трейс от keystone.server.flask.application о том что You are not authorized to perform the requested action: identity:create_user.
Nikolay
Полиси в yaml?
Nikolay
Если есть внешне полиси, то в нем должно быть хоть одно правило
Nikolay
Есть генератор политик из сорцов
Nikolay
Т.е. генерим файлом дефолтные, подкладываем, проверяем что ок, потом крутим гайки
Nikolay
А вообще rbac в опенстеке очко
Костя
Я как раз генерил из конфига, с ними всё и сломалось
Костя
Без них всё ок, но я не могу попасть в панель
Александр
unset OS_PROJECT_DOMAIN_NAME unset OS_PROJECT_NAME export OS_USER_DOMAIN_ID=default export OS_USERNAME=admin export OS_SYSTEM_SCOPE=all это что касается openrc
Александр
чтоб дашборд получал токен с SYSTEM_SCOPE=all, в local_settings есть параметр SYSTEM_SCOPE_SERVICES
Александр
ну и сервисные пользователи тоже должны получать авторизацию с SYSTEM_SCOPE, для этого надо в конфигах в секциях с параметрами авторизации убрать project_domain_name, project_name, добавить system_scope=all, а в nova.conf [keystone_authtoken] я добавлял еще service_token_roles_required=True service_token_roles=admin service_name=identity
Александр
на виктории так завелось
Nikita
Всем привет, может кто подсказать инструмент, с помощью которого можно реализовать статус пейдж облака, желательно а апишкой
Костя
ну и сервисные пользователи тоже должны получать авторизацию с SYSTEM_SCOPE, для этого надо в конфигах в секциях с параметрами авторизации убрать project_domain_name, project_name, добавить system_scope=all, а в nova.conf [keystone_authtoken] я добавлял еще service_token_roles_required=True service_token_roles=admin service_name=identity
с cli действительно помогло, спасибо. А с панелькой (skyline) что то не прошло, возможно проблема в версии и в том что из докера ставится мастер ветка. Сейчас соберу из stable для zed, для теста.
Nikita
Что такое "стутас пейдж облака"?
Страничка, где отображаются состояние сервисов клауда
Stanley
Страничка, где отображаются состояние сервисов клауда
А, ну это просто. Настраиваешь мониторинг, собираешь метрики, делаешь триггеры, а потом рисуешь фронтенд Пейдж для отображения. Изи. На полчаса.
NS 🇷🇺
NS 🇷🇺
https://docs.openstack.org/openstack-helm/latest/
NS 🇷🇺
а тут кто-то давно топил за аэршип, там под капотом не форкнутый опенстек хельм?
John
Всем привет, ребят,для крупного проекта в офисе какой лучше агент для нейтрона брать? Как я понял linuxbridge, не совсем подойдёт. Ovs норм будет или есть альтернативы по-лучше?
Stanley
Есть. Называется VMware NSX
Stanley
Огонь
John
За изыски что берём?
NS 🇷🇺
За изыски что берём?
геораспределенные инсталяции
NS 🇷🇺
да хватит, че с ним случится? =)
NS 🇷🇺
не помню, я это гавно не юзал, кроме картинки в хорайзоне
John
А что есть ещё?
NS 🇷🇺
А что есть ещё?
соль сахар макароны
NS 🇷🇺
вы задачу то опишите, если совета хотите
Slava I.
вы задачу то опишите, если совета хотите
Ай ладно) берем первое что поднялось, года через два три перестраиваем)
Slava I.
Ну возможно прокатит, но если кейсов нет то был красивый мануал на openstack org где плюс минус разрисовано какие вообще варианты бывают
Slava I.
Потом те полтора человека который шарили за тунгстен умирают/увольняются и см пункт выше)
gwaewion
John
Задача состоит в том ,чтобы в одночасье все не рухнуло,при этом учитывая ,что нагрузки будут увеличиваться
Илья | 😶☮️🐸
но лучше ведь говорить одно и то же в чатике, чем делать, ?)
NS 🇷🇺
да я туда вообще не пойду =)
Илья | 😶☮️🐸
OVN НАДО
gwaewion
Вангую ответ "отказоустойчивую и скалируемую"
Илья | 😶☮️🐸
Помнится, эффективность тангстена в духе 3 контрола держат 10к гиперов
John
Думаю,что до 2к инстансов
Илья | 😶☮️🐸
Думаю,что до 2к инстансов
на овсе поживёшь спокойно
gwaewion
Думаю,что до 2к инстансов
ovn, чтоб не любиться со связкой neutron+ovs
Den
Привет! а может кто подсказать, есть проблема с циндером, там не может забраться метадата curl -v http://169.254.169.254/openstack/latest/meta_data.json * Trying 169.254.169.254... * TCP_NODELAY set * connect to 169.254.169.254 port 80 failed: Connection refused * Failed to connect to 169.254.169.254 port 80: Connection refused * Closing connection 0 curl: (7) Failed to connect to 169.254.169.254 port 80: Connection refused при этом $ ping 169.254.169.254 PING 169.254.169.254 (169.254.169.254) 56(84) bytes of data. 64 bytes from 169.254.169.254: icmp_seq=1 ttl=64 time=29.9 ms 64 bytes from 169.254.169.254: icmp_seq=2 ttl=64 time=1.67 ms это вот с чем проблема может быть? с сетью, или с самой нодой что-то?
Den
А при чем cinder?
ошибка из контейнера node-driver-registrar , не может завестись cinder-csi-nodeplugin на одной из нод I1213 12:20:56.097805 1 main.go:120] Received NotifyRegistrationStatus call: &RegistrationStatus{PluginRegistered:false,Error:RegisterPlugin error -- plugin registration failed with err: rpc error: code = Internal desc = [NodeGetInfo] unable to retrieve instance id of node error fetching http://169.254.169.254/openstack/latest/meta_data.json: Get "http://169.254.169.254/openstack/latest/meta_data.json": dial tcp 169.254.169.254:80: connect: connection refused,} E1213 12:20:56.097953 1 main.go:122] Registration process failed with error: RegisterPlugin error -- plugin registration failed with err: rpc error: code = Internal desc = [NodeGetInfo] unable to retrieve instance id of node error fetching http://169.254.169.254/openstack/latest/meta_data.json: Get "http://169.254.169.254/openstack/latest/meta_data.json": dial tcp 169.254.169.254:80: connect: connection refused, restarting registration container.
Den
Я хз чо у тебя за контейнеры, но ошибка в том что не отдаются метаданные. Когда пробуешь вручную с помощью curl - получается?
ну да.думаю не важно что циндер сбоит.основная проблема про метадаты (циндер уже следствие). вот в первом сообщении с ноды пробую вручную-не отдает. на других нодах отдает нормально curl -v http://169.254.169.254/openstack/latest/meta_data.json * Trying 169.254.169.254... * TCP_NODELAY set * connect to 169.254.169.254 port 80 failed: Connection refused * Failed to connect to 169.254.169.254 port 80: Connection refused * Closing connection 0 curl: (7) Failed to connect to 169.254.169.254 port 80: Connection refused не понятно что произошло.до этого все работало,вот не знаю куда смотреть,и за что хвататься
Den
Смотри на neutron-metadata-agent.
если бы с ним было что-то не так,мне наверное не отдавались бы и на других нодах метаданные?
Den
с соседней $ curl -v http://169.254.169.254/openstack/latest/meta_data.json * Trying 169.254.169.254... * TCP_NODELAY set * Connected to 169.254.169.254 (169.254.169.254) port 80 (#0) > GET /openstack/latest/meta_data.json HTTP/1.1 > Host: 169.254.169.254 > User-Agent: curl/7.61.1 > Accept: */* > < HTTP/1.1 200 OK < content-type: application/json < content-length: 1864 < date: Thu, 14 Dec 2023 13:33:41 GMT < {"uuid": "ba41bc.....
gwaewion
Там connection refused
А, ну да, так бы просто курл зависал
𝔱𝔦𝔱𝔬𝔪𝔦𝔯
Всем привет. Подскажите можно как-то иначе спарсить/узнать список доступных регионов если openstack region list отвечает The request you have made requires authentication. (HTTP 401)
モズ
а авторизации нет?
モズ
openstack region list +-----------+---------------+-------------+ | Region | Parent Region | Description | +-----------+---------------+-------------+ | RegionOne | None | | | RegionTwo | None | | +-----------+---------------+-------------+
𝔱𝔦𝔱𝔬𝔪𝔦𝔯
Есть. subnet или network я успешно вижу вывод.
モズ
в базе может быть? или кто-то тебя обрезал правами в полиси?
𝔱𝔦𝔱𝔬𝔪𝔦𝔯
Ну да ограничено админами. Вот и интересуюсь есть ли обход чтобы был результат)
モズ
а гуй есть?) или проще к админам сходить задать вопрос? типа доколе)
𝔱𝔦𝔱𝔬𝔪𝔦𝔯
в гуи тоже скрыто. Забугорный сайт нет желания узнавать и письма писать им(
モズ
в гуи тоже скрыто. Забугорный сайт нет желания узнавать и письма писать им(
а зачем тебе тогда их регионы?:) колдуй бабка колдуй дед
𝔱𝔦𝔱𝔬𝔪𝔦𝔯
Интересует весь ассортимент subnet-ов
Dzmitry
Святая вода
Святые угодники
Dzmitry
Зачем, monkeychaos included
J
Интересует весь ассортимент subnet-ов
А техподдержка или база данных RIPE тебе подсказать не могут это?
Илья | 😶☮️🐸
Интересует весь ассортимент subnet-ов
Туркменистан ?
alex
Интересует весь ассортимент subnet-ов
Это приватная информация, и хорошо что ее закрыли. Даже имея имена зон, можно наковырять то что мейнтейнер хотел бы скрыть.
alex
в гуи тоже скрыто. Забугорный сайт нет желания узнавать и письма писать им(
Простите, но ваша формулировка вопроса подсказывает что информацию вы ищите явно про место, которое вам не обязано предоставлять такой уровень информации. Это не ок.
alex
Именно, но зная что регионы часто именуют логично - можно выйти на зоны которые поддерживаются мейнтенером, например для своих/не официально
« Rev
@openstack_ru   1183
Fwd »