Slava
https://docs.docker.com/engine/reference/commandline/container_run/#add-host-device-to-container-device
Slava
так не поможет?
docker run --device=/dev/sdb
gwaewion
а непривилигированный контейнер разме может dev монтировать?
На "почитать" - почему бы и нет?
Slava
selinux
Slava
c openstack-ansible selinux включается, кажется
Slava
или я путаю с колай
icewolf
selinux policys чета там
icewolf
и включается оно в режиме не колы а openstack-ansible которая тоже умеет в доцкеры
Slava
kolla-ansible
Slava
и включается оно в режиме не колы а openstack-ansible которая тоже умеет в доцкеры
у меня селинукс всегда включался после деплоя
Slava
icewolf
у меня селинукс всегда включался после деплоя
2023.2 что написано в рекомендации?! выкл селинукс
icewolf
это означает что?
icewolf
post-deploy
Slava
2023.2 что написано в рекомендации?! выкл селинукс
да, в том то и дело, что в одном месте "выключите", а когда кола ансибл работает - "пристегнитесь, включаю селинукс"
icewolf
да, в том то и дело, что в одном месте "выключите", а когда кола ансибл работает - "пристегнитесь, включаю селинукс"
ну наверное что бы она не включала
icewolf
kolla_selinux_state: disabled
Slava
а, вот нашел ))
Add a new parameter for changing selinux state. The default value is
"permissive". Update a parameter named "disable_selinux", use
"change_selinux" instead of it.
Slava
но у меня конфигурация нестандартная, потому я руками всё развернул
icewolf
просто я был в запарке зобыл что его оказывается можно выключать да и с selinux идти в прод это настолько же безопасно как идти с permit root login = yes на серверах
icewolf
толку от него никакого.
Slava
ну как я понял, докер всё заносит в selinux сам, так что соглашусь
gwaewion
просто я был в запарке зобыл что его оказывается можно выключать да и с selinux идти в прод это настолько же безопасно как идти с permit root login = yes на серверах
Тотали соглы. А netfilter вообще только задержки в обработку трафика вносит. И ещё эти системные вызовы дорогостоящие, всё должно работать в kernel space!
icewolf
Тотали соглы. А netfilter вообще только задержки в обработку трафика вносит. И ещё эти системные вызовы дорогостоящие, всё должно работать в kernel space!
дело в том что selinux разработан для тех у кого хлебушек в голове, ну что бы они не сделали себе выстрел в висок. Смысл от него был бы если он ну хоть как то с средствами защиты железными работал, что бы работала модель делегирования. А так как второго фактора аппаратной защиты нет то программно оное решение добавляет проблем при обслуживании.
icewolf
а так не тебе контроля целостности системы ни взаимодействия в внешними модулями.. ну то есть получается за консоль любая бибизьяна
Artemy
Включи selinux, secure boot и поставь подпись на загрузчик
gwaewion
дело в том что selinux разработан для тех у кого хлебушек в голове, ну что бы они не сделали себе выстрел в висок. Смысл от него был бы если он ну хоть как то с средствами защиты железными работал, что бы работала модель делегирования. А так как второго фактора аппаратной защиты нет то программно оное решение добавляет проблем при обслуживании.
Я так и не смог организовать себе проблем с помощью selinux, постоянно его включая и настраивая политики =(
Artemy
И попробуй это поломать
icewolf
И попробуй это поломать
ага, только тогда получается любой из начальников подойдя к консоли и зная алгоритм может выполнить поручения другого начальника.
gwaewion
Включи selinux, secure boot и поставь подпись на загрузчик
Пароль на BIOS, пароль на загрузчик и LUKS забыли
icewolf
или злонамеренно сделать.
Slava
дело в том что selinux разработан для тех у кого хлебушек в голове, ну что бы они не сделали себе выстрел в висок. Смысл от него был бы если он ну хоть как то с средствами защиты железными работал, что бы работала модель делегирования. А так как второго фактора аппаратной защиты нет то программно оное решение добавляет проблем при обслуживании.
В моём случае селинукс не нужен, элементарно надо разобраться как система работает, а когда ты сначала гайки закрутил, и "развернул", в моём случае kolla-ansible у тебя получается нерабоающий валенок, и вместо того чтобы выяснять в чём проблема (т.е. погружение в опенстак) ты ковыряешь приколы взяимодействия докера с селинукс.
обственно я и решил для себя развернуть руками и уже потом закручивать гайки
icewolf
это по мимо паролей и ключей
gwaewion
Ну то есть соболи и gemalto зря делают хардварную защиту, с контролем доступа
Нет, абсолютно не зря. Они как Apple - доят свою ЦА. Они молодцы, нашли нишу для заработка
icewolf
Нет, абсолютно не зря. Они как Apple - доят свою ЦА. Они молодцы, нашли нишу для заработка
нет дорогой мой друг, эти две конторы производят аппаратные средства контроля доступа, потому что арм администратора так же аттестуется мы не говорим про пользователя который вообще видит графическую панельку и кнопку… так что дальнейший вопросы про selinux я считаю продолжать не стоит.. к тому же ваши пароли на биос это конечно хорошо, особенно когда вытащить батарейку с материнской платы и обесточить арм
اسم
Ну так оно для того и нужно, чтобы в случае чего получить доступ, если забыл креды. А то так гайки закрутишь все, что можно, и получишь неоткрываемое снаружи нечто, и вину скинуть не на кого/не на что. (Шутка конечно)
icewolf
Ну так оно для того и нужно, чтобы в случае чего получить доступ, если забыл креды. А то так гайки закрутишь все, что можно, и получишь неоткрываемое снаружи нечто, и вину скинуть не на кого/не на что. (Шутка конечно)
а это уже проблемы мотивации. я специально молчу про МРД и МКЦ, не для этого чатика так сказать.
icewolf
icewolf
Живой?
Nikolay
шо
Nikolay
может тебе и cinder.conf
Александр
Александр
def do_setup(self, context):
self.conf.update_config_value()
config_dict = {
'san_address': self.configuration.san_address,
'san_user': self.configuration.san_user,
'san_password': self.configuration.san_password,
'vstore_name': self.configuration.vstore_name,
'ssl_cert_verify': self.configuration.ssl_cert_verify,
'ssl_cert_path': self.configuration.ssl_cert_path,
'in_band_or_not': self.configuration.in_band_or_not,
'storage_sn': self.configuration.storage_sn
}
Александр
вот это кусок пи запуске требует, но в манах от того хуфвея про это ни слова
icewolf
вот это кусок пи запуске требует, но в манах от того хуфвея про это ни слова
Вон там где restURL где точки доступ до api твоей хранилки
Александр
типа это настройка если нужны доп фитчи
icewolf
без этого оно не знает куда и зачем
icewolf
аналогично другим которые через ssh ходят
Александр
это файло я заполнил
Александр
Nikolay
<?xml version='1.0' encoding='UTF-8'?>
<config>
<Storage>
<Product>Dorado</Product>
<Protocol>FC</Protocol>
<RestURL>https://1.1.1.1:8088/deviceManager/rest/</RestURL>
<UserName>openstack_pooladm</UserName>
<UserPassword>{{DORADO_PASSWORD}}</UserPassword>
</Storage>
<LUN>
<StoragePool>StoragePool001</StoragePool>
</LUN>
</config>
Александр
да все один в один
icewolf
Вот!! Я сторож пулю зобыл, пул должен быть на схд и там мапинг твоих схд карт должен вроде как быть
Nikolay
а я писал
icewolf
ну wwn ки их
icewolf
иначе будет болт
Nikolay
и хосты имена дожны быть один в один
icewolf
я в своих чертогах памяти порылся мы пробовали так, не смогло(вариант как у netapp тут не сработает)
Nikolay
если память не изменяет, у меня fqdn и там и там было
Александр
если память не изменяет, у меня fqdn и там и там было
имеешь ввиду так
<?xml version='1.0' encoding='UTF-8'?>
<config>
<Storage>
<Product>Dorado</Product>
<Protocol>FC</Protocol>
<RestURL>https://XXXXXXXXX:8088/deviceManager/rest/</RestURL>
<UserName>openstack</UserName>
<UserPassword>XXXXXXXX</UserPassword>
<SSLCertVerify>Fasle</SSLCertVerify>
<SSLCertPath>xxx</SSLCertPath>
</Storage>
<LUN>
<StoragePool>StoragePool001</StoragePool>
<LUNType>Thin</LUNType>
<LUNCopySpeed>3</LUNCopySpeed>
</LUN>
<FC>
<MinOnlineFCInitiator>1</MinOnlineFCInitiator>
<Initiator HostName="test1">
<Initiator HostName="test1">
</FC>
</config>
Nikolay
мой конфиг выше
Nikolay
иницторы гиперы, у них там само формируется на основе hostname
icewolf
имеешь ввиду так
<?xml version='1.0' encoding='UTF-8'?>
<config>
<Storage>
<Product>Dorado</Product>
<Protocol>FC</Protocol>
<RestURL>https://XXXXXXXXX:8088/deviceManager/rest/</RestURL>
<UserName>openstack</UserName>
<UserPassword>XXXXXXXX</UserPassword>
<SSLCertVerify>Fasle</SSLCertVerify>
<SSLCertPath>xxx</SSLCertPath>
</Storage>
<LUN>
<StoragePool>StoragePool001</StoragePool>
<LUNType>Thin</LUNType>
<LUNCopySpeed>3</LUNCopySpeed>
</LUN>
<FC>
<MinOnlineFCInitiator>1</MinOnlineFCInitiator>
<Initiator HostName="test1">
<Initiator HostName="test1">
</FC>
</config>
У тебя у твоего пула в дораде если в вебло зайти будет стораж пул, там будет такая херота как hosts для данного target..
Александр
У тебя у твоего пула в дораде если в вебло зайти будет стораж пул, там будет такая херота как hosts для данного target..
если про имена то они совпадают
icewolf
Ну то есть к этому луну по умолчанию не даст ходить пока ты не нарисуешь там wwn fc адаптера
icewolf
и wildcard там не работает, потому что «эта рыба карась!»