« Rev
@openstack_ru   175
Fwd »


J
ну это сам mysql чот фокусничает.
J
Может в диск или память упирается?
Georgii
Может в диск или память упирается?
буду смотреть, но там ресурсов куча
J
а в логах Mysql и nova-api есть чо?
Georgii
2018-03-07 21:46:50 139867534112960 [Warning] GSSAPI plugin : default principal 'mariadb/openstack-controller1@' not found in keytab 2018-03-07 21:46:50 139867534112960 [ERROR] mysqld: Server GSSAPI error (major 851968, minor 2529639093) : gss_acquire_cred failed -Unspecified GSS failure. Minor code may provide more information. Keytab FILE:/etc/krb5.keytab is nonexistent or empty. 2018-03-07 21:46:50 139867534112960 [ERROR] Plugin 'gssapi' init function returned error.
J
Эт керберос, нхой он там ваще) Выключи) https://dba.stackexchange.com/questions/160099/mariadb-disable-the-gssapi-plugin
Georgii
Расскажи потом что было)
Пока то что вижу 2018-03-07 22:02:12.447 8179 INFO neutron.plugins.ml2.drivers.agent._common_agent [req-8763b744-75e8-4ccc-a262-a6da424f4666 - - - - -] Linux bridge agent Agent out of sync with plugin! 2018-03-07 22:02:12.448 8179 INFO neutron.agent.securitygroups_rpc [req-8763b744-75e8-4ccc-a262-a6da424f4666 - - - - -] Remove device filter for set(['tap723c9e1a-c5']) 2018-03-07 22:02:12.450 8179 ERROR neutron.agent.linux.utils [req-8763b744-75e8-4ccc-a262-a6da424f4666 - - - - -] Rootwrap error running command: ['conntrack', '-D', '-f', 'ipv4', '-d', '172.16.1.8', '-w', '1']: RemoteError: —------------------------------------------------------------------------- Unserializable message: ('#ERROR', ValueError('I/O operation on closed file',)) —------------------------------------------------------------------------- 2018-03-07 22:02:12.476 8179 ERROR neutron.plugins.ml2.drivers.agent._common_agent [req-8763b744-75e8-4ccc-a262-a6da424f4666 - - - - -] Error in agent loop. Devices info: {'current': set([]), 'timestamps': {}, 'removed': set(['tap723c9e1a-c5']), 'added': set([]), 'updated': set([])}: RemoteError: —------------------------------------------------------------------------- Unserializable message: ('#ERROR', ValueError('I/O operation on closed file',))
J
хм. перезапусти-ка агент чтоль)
Georgii
хм. перезапусти-ка агент чтоль)
уже - презапускаю и это в логах
Georgii
neutron-sanity-check может чем то помочь?
J
о! А conntrack то установлен в системе?
Georgii
640db510-aa1e-47dc-a51a-579344c58326 | provider-instance | BUILD
Georgii
посыпаю голову пеплом как говорится
Georgii
physical_interface_mappings
Georgii
буковку "p" при копировании пропустил
Georgii
странно что система не проверяет переменные
Georgii
но тут я тупак
J
странно что система не проверяет переменные
там еле успевают тесты писать, не то что прикручивать к проектам валидаторы конфигов) Такая специфика у попенстека.
Georgii
там еле успевают тесты писать, не то что прикручивать к проектам валидаторы конфигов) Такая специфика у попенстека.
Так а как в данной ситуации жить? Не обновляться если работает? Или держать тестовый кластер, и там все тестировать перед обновлением?
J
Так а как в данной ситуации жить? Не обновляться если работает? Или держать тестовый кластер, и там все тестировать перед обновлением?
держать в контейнерах, например, все что можно. Держать по несколько экземпляров каждого сервиса и обновлять не все сразу, а по очереди. Ну и так далее. Ну а тестовый - хорошо, но не все себе могут позволить)
Михаил
@LuckyBirds я смотрю ты потихоньку продвигаешься)
Georgii
@LuckyBirds я смотрю ты потихоньку продвигаешься)
Отступать некуда, позади hyperv)
Georgii
А как тебя спасут контейнеры от апдейта базы?)
Ну от проблем со службой спасут
J
А опенстак в контейнерах есть готовый?
kolla, редхатовские приблуды и, конечно, openstack-ansbile (им тут пользуюсь я и еще пара человек).
J
А как тебя спасут контейнеры от апдейта базы?)
Никак. Базу или контейнер целиком тож надо бекапить перед обновлением схемы, логично ж)
Михаил
Никак. Базу или контейнер целиком тож надо бекапить перед обновлением схемы, логично ж)
ну то есть роллинг апдейт опенстека всё равно череват простоем) я про это
J
ну то есть роллинг апдейт опенстека всё равно череват простоем) я про это
А) Тут и правда разумно, пожалуй, держать несколько регионов\ячеек и их поочередно обновлять резервируя критичные ресурсы. Дело нихрена не простое)
J
С архитектурной то точки зрения Cells v2 - самое то для этого случая. Но я не читал о том чтоб кто-то ими пользовался. CERN, разве что.
Georgii
проще отключить port_security на порту тогда
Я правильно понимаю что так openstack server remove security group provider-instance default я убираю все ограничения на порт ?
Andrey
L
Alexey
@SinTeZoiD
Михаил
да как они задрали
Igor
Интересно, только у меня эта херь с биткоином в телеге интерфейсе появилась?
Nick
Извините, я не хотел спамить
Igor
И каким образом это у меня появилось? Чото не пойму
Nikita
Я репортил этот баг в телегу года три назад
Nikita
Так и не пофиксили
Nick
Добрый вечер, снова есть вопрос по хорайзону. Пытаюсь настроить себе роль и юзера для управления пользователями в проекте. Сейчас при попытке сохранить изменения в проекте, путем нажатия кнопки save в horizon, получаю следующее: Error: Failed to modify 0 project members, update project groups and update project quotas. Error: Unable to modify project "GJ" С админской ролью всё работает нормально Мой policy.json по ссылке https://paste.pound-python.org/show/EHJGdGbVaRH1vANI1FNn/
NS 🇷🇺
Парни, есть у кого опыт дебага cell_v2 такое чувство, что при апдейте с окаты на пайк что то пошло не так и у меня теперь идет задвоение сервисов
NS 🇷🇺
Коллеги, вопрос с cell v2 актуален. Никто не в курсе, какие таблицы надо вычистить, чтобы удалить ячейку с замапленными хостами и инстансами, пока —force ключик не занесли в тулзы
Dan
как бы попроще, зная название сервера, получить сеть и сабнет к которой он прицеплен? пока что только по связке мак/порт/сабнет/сеть получилось, может есть попроще как то?
Georgii
Что то у меня пока не выходит - не заволится инстанс. В логах комп ноды : ERROR neutron.agent.linux.utils [req-edfa9d22-3031-43ed-810b-9322bd88269a - - - - -] Rootwrap error running command: ['conntrack', '-D', '-f', 'ipv4', '-d', '186.68.209.11', '-w', '2']: RemoteError: —------------------------------------------------------------------------- Unserializable message: ('#ERROR', ValueError('I/O operation on closed file',))
Georgii
libnetfilter_conntrack.x86_64 установлен
Georgii
neutron-sanity-check —bridge_firewalling Guru meditation now registers SIGUSR1 and SIGUSR2 by default for backward compatibility. SIGUSR1 will no longer be registered in a future release, so please use SIGUSR2 to generate reports. 2018-03-13 12:04:53.227 15063 INFO neutron.common.config [-] Logging enabled! 2018-03-13 12:04:53.228 15063 INFO neutron.common.config [-] /usr/bin/neutron-sanity-check version 11.0.2 2018-03-13 12:04:54.291 15063 ERROR neutron.cmd.sanity_check [-] Bridge firewalling is not enabled. It may be the case that bridge and/or br_netfilter kernel modules are not loaded. Alternatively, corresponding sysctl settings may be overridden to disable it by default.
Georgii
модуль br_netfilter загружен
Ruslan
Сама команда conntrack в консоли на агенте доступна/выполняется? А по чекам вроде понятно, что нужно модули посмотреть да настройки sysctl в соответствие привести.
Georgii
выполняется
J
rhel б%^^&%дь ваш)
Ruslan
В официальной документации были настройки в свое время для нейтрон агента.
J
в соответствии с чем приводить sysctl ? в доку просто ничего нет про него
То есть, надо сделать наоборот: net.bridge.bridge-nf-call-arptables = 1 net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-call-iptables = 1 И потом применить эту хренотню.
Georgii
сразу пинг появляется до ip
Georgii
если 1 - то нет
Georgii
причем либвирта
J
Ну когда выставляешь в ноль - ядро перестает пропускать пакеты через netfilter и правила блокирующие трафик перестают работать. А надо чтобы работали.
J
linuxbridge агент этими правилами должен иметь возможность рулить.
J
Не мешай все в кучу) Получается что по какой-то причине агент не может нормально выполнять conntrack. Вот и надо искать почему. Я предположил что по-умолчанию у тебя стоят нули для этих параметров, но не в этом дело, похоже.
Georgii
Не мешай все в кучу) Получается что по какой-то причине агент не может нормально выполнять conntrack. Вот и надо искать почему. Я предположил что по-умолчанию у тебя стоят нули для этих параметров, но не в этом дело, похоже.
переустановил python-openstackclient и openstack-selinux. В логах ошибок не вижу. neutron-sanity-check —bridge_firewalling все также покарывает ошибку. Ну и пинг не работает до созданнного узла. Ессли установить net.bridge.bridge-nf-call-arptables = 0 net.bridge.bridge-nf-call-ip6tables = 0 net.bridge.bridge-nf-call-iptables = 0 то пинг сразу появляется, на узел появляется доступ по ssh
Georgii
а selinux включен ?)
я выключил для теста
Georgii
но если включить - пинги также не идут
J
но если включить - пинги также не идут
Ты чего-то в кучу все смешиваешь.
J
Подожди пока с пингами.
Dan
повторюсь, раз народ проснулся: как бы попроще, зная название сервера, получить сеть и сабнет к которой он прицеплен? пока что только по связке мак/порт/сабнет/сеть получилось, может есть попроще как то?
J
но если включить - пинги также не идут
Сейчас проблема в том что Linuxbridge-agent не может дергать conntrack. Попробуй для начала вручную выполнить команду которую он пытается выполнить.
J
Так ошибки же в логах linuxbridgr agent ушли
Я пропустил значит где ты писал об этом. Так, хорошо.
Georgii
Я пропустил значит где ты писал об этом. Так, хорошо.
Сейчас без ошибок, но пинга нет пока nf-call-iptables=0 не поставишь
« Rev
@openstack_ru   175
Fwd »