Забавно, по прямому назначению opeflow используется мало, а вот в openvswitch в виде комбайна для всего на свете прижился)
В смысле мало? NSX, Nexus
Rus
Rus
Родитель первого ovs и породил по сути. Там куча регисторов наследована.
Vladislav
Суток! Почти оффтоп, но рядом ходит. =) Коллеги, а не ковырял ли кто ovs в попытках на нем full-nat делать. То есть над одним пакетом делать и snat и dnat в один проход.
Именно с использованием conntrack? Так-то ovn snat_and_dnat умеет и stateless делать. По части stateful не помню, сколько там рециркуляций через conntrack.
Rus
Именно с использованием conntrack? Так-то ovn snat_and_dnat умеет и stateless делать. По части stateful не помню, сколько там рециркуляций через conntrack.
Нет, именно чистый ovs. OVN это вроде по отдельности тоже делает только. Хотя надо будет попробовать его в извращенные условия загнать, может что полезного из flow удастся подрезать.
Vladislav
J
Я, честно сказать, не представляю как на одних только flow таблицах сделать стейтфул нат или файрвол.
В нём же нет никаких структур для хранения данных о соединении.
Через learn сотни тысяч флоу определять?
Vladislav
Я, честно сказать, не представляю как на одних только flow таблицах сделать стейтфул нат или файрвол.
В нём же нет никаких структур для хранения данных о соединении.
Через learn сотни тысяч флоу определять?
Это подход старого NSX. Сейчас есть action ct() с флагом commit
Rus
Я, честно сказать, не представляю как на одних только flow таблицах сделать стейтфул нат или файрвол.
В нём же нет никаких структур для хранения данных о соединении.
Через learn сотни тысяч флоу определять?
Так он же кернельный conntraсk пользует в итоге + свои флаги добавляет.
J
Ну так это получается всё равно с conntrack. А вы, ребята, про "чистое" решение, вроде, говорите.
Vladislav
Ну так это получается всё равно с conntrack. А вы, ребята, про "чистое" решение, вроде, говорите.
С conntrack. Либо learn, либо ct. Иначе никак.
Rus
С conntrack. Либо learn, либо ct. Иначе никак.
C learn как то совсем жестко. Я вокруг ct пляшу. Но кто то явно путается в зонах толи я, толи ovs...
Vladislav
C learn как то совсем жестко. Я вокруг ct пляшу. Но кто то явно путается в зонах толи я, толи ovs...
Активно используем OVS под OVN’ом с conntrack. Проблем нету.
Rus
Ну я к тому, что работает все ок.
Чуть позже стенд соберу, посмотрю какие потоки он под dnat_and_snat строит. За наводку спасибо!
Vladislav
Чуть позже стенд соберу, посмотрю какие потоки он под dnat_and_snat строит. За наводку спасибо!
Собственно, чтобы сделать snat_and_dnat, не нужен conntrack (только если очень хочется). Достаточно переписать l3 заголовки
Vyacheslav
Собственно, чтобы сделать snat_and_dnat, не нужен conntrack (только если очень хочется). Достаточно переписать l3 заголовки
проблема в том, что не зная какие порты в какие мепить - не получится получить рабочий TCP
Rus
Собственно, чтобы сделать snat_and_dnat, не нужен conntrack (только если очень хочется). Достаточно переписать l3 заголовки
А в обработку как? Внешний ип, откуда пришли тогда надо хранить где то.
Vladislav
Речь же идет о статическом nat? 1:1?
Vladislav
Если нет, то увы)
J
Собственно, чтобы сделать snat_and_dnat, не нужен conntrack (только если очень хочется). Достаточно переписать l3 заголовки
Это ты говоришь не про конусный сорс нат где много в один)
Vladislav
С маскарадом всё понятно. Просто речь шла о snat and dnat. Подумал, что есть однозначный маппинг заранее.
Nikolay
Напомните как называется консольный SSH который как anydesk работает? Там запускаешь он токен дает, потом по нему коннектишся
Evgeniy
NS 🇷🇺
Nikolay
ну тут такие времена, некторые без гуи запускать не умют
Nikolay
ИБ лютует
NS 🇷🇺
ну тут такие времена, некторые без гуи запускать не умют
так все равно не понятно, tmate - это же форк tmux
Nikolay
tmux умеет сам прорываться через nat?
NS 🇷🇺
нет
icewolf
самому придется собрать
Andrey
Всем привет! Можно сделать штатными средствами, чтобы админ проекта мог создавать пользователей для этого проекта, но был ограничен только своим проектом и не видел лишнего.
Slava I.
Для всех проектов (т.е чтоб только identity крутить) можно было.
Aleksandr
Всем привет! Можно сделать штатными средствами, чтобы админ проекта мог создавать пользователей для этого проекта, но был ограничен только своим проектом и не видел лишнего.
https://docs.openstack.org/security-guide/identity/policies.html
Aleksandr
вот сюда смотрите
icewolf
ну policy.json?
Aleksandr
ну policy.json?
ну я последний раз лет 5 назад его менял ))) тогда работал ))) собственно а чего бы ему ломаться ?
Nikolay
Не через кейклок такие кейсы решаются?
Vyacheslav
Vyacheslav
дока не актуальная уже для yoga и правила не переписать - он где-то их ещё ведёт и жалуется что ты написал дубль в policy keystone
icewolf
Не через кейклок такие кейсы решаются?
Security manager, есть такое самоличное решение которое даже админу перекроет работу прям в horizon
icewolf
оно просто по ссылкам закрывает доступ к херам
icewolf
словенское, сделано с любовью
NS 🇷🇺
Всем привет! Можно сделать штатными средствами, чтобы админ проекта мог создавать пользователей для этого проекта, но был ограничен только своим проектом и не видел лишнего.
а там не подвезли для этого разве роль owner?
Aleksandr
дока не актуальная уже для yoga и правила не переписать - он где-то их ещё ведёт и жалуется что ты написал дубль в policy keystone
я всегда говорил что кейстоун пишут рукоблудеры
Slava I.
Опенсорс жеж)
icewolf
не ну webguard топчик
icewolf
там еще есть accentos acl там им вообще можно даже api перекрыть
icewolf
специально сделано для администраторов рукожопов
J
дока не актуальная уже для yoga и правила не переписать - он где-то их ещё ведёт и жалуется что ты написал дубль в policy keystone
А есть у тебя ссылки на багрепорты или мейл листы какие-нибудь?
Vyacheslav
А есть у тебя ссылки на багрепорты или мейл листы какие-нибудь?
у меня нет :( мы попробовали и нам не понравилось. Дальше не нашли причину и пока забили.
При этом для nova policy правили и там всё ок
icewolf
Это шо за зверь, кроме как с отсылом на ацентос не гуглится
это кого надо зверь, Михиала Владимировича корочь
J
Vyacheslav
А то ведь могли и починить)
не, мы искали актуальную доку, но с yoga по bobcat она не менялась
J
не, мы искали актуальную доку, но с yoga по bobcat она не менялась
Да не, я не про документацию.
Домуентация то могла и не меняться.
Мож вот тут что-то менялось?
https://docs.openstack.org/keystone/latest/configuration/samples/policy-yaml.html
icewolf
Да не, я не про документацию.
Домуентация то могла и не меняться.
Мож вот тут что-то менялось?
https://docs.openstack.org/keystone/latest/configuration/samples/policy-yaml.html
Тут прикол в том что оно то не менялось и в приципе оно работает, но от релиза к релизу, переодически контейнер с кейстоуном падает от таких вот policy
J
icewolf
Ну мож контейнер какой не такой)
дело не в контейнере.. а в том что фактически мы пытаемся закатывать солнце в ручную, во всяком случае при деплое колой это заранее надо переопределять.
J
дело не в контейнере.. а в том что фактически мы пытаемся закатывать солнце в ручную, во всяком случае при деплое колой это заранее надо переопределять.
Не понял тебя.
Конкетно что переопределять?
J
Почему?
icewolf
Почему?
потому что переопределение в ручную потом на bobcat у меня не получилось. Ну может потому что я рукожоп🙂
icewolf
я забил и подключил freeIPA