Роль ограничивает права, к примеру на удаление VM. Эта роль будет для всех проектов такая ? Или для каждого можно свои роли заводить ?
роли общие для всех проектов, роль назначается пользователю (или группе), которому даешь доступ в проект
Inna
Georgii
роли общие для всех проектов, роль назначается пользователю (или группе), которому даешь доступ в проект
Ясно, понял, спасибо. Тогда вопросов больше нет, надо расписывать политику ролей. Думал что в ходе инсталяции будет создаваться роль с определенными правами, оказалось не так.
Danila
Коллеги, подскажите куда отправиться читать про backing file, никак не могу найти толковой информации про механизм работы
Georgii
роли общие для всех проектов, роль назначается пользователю (или группе), которому даешь доступ в проект
А есть какой-либо бест практис по наименованию пользователей ? К примеру стандатрые user и admin для всех проектов, и внутри проекта к примеру имяпользователя.проект ?
Inna
вроде нет, назвала как смогла) и как это policy.json пустой, у меня были вроде такого https://docs.openstack.org/nova/pike/configuration/sample-policy.html (только без описания, одни правила)
Georgii
вроде нет, назвала как смогла) и как это policy.json пустой, у меня были вроде такого https://docs.openstack.org/nova/pike/configuration/sample-policy.html (только без описания, одни правила)
Вот я поэтому и удивился. Думал что там что то должно быть.
cat /etc/nova/policy.json
{
}
Вот вывод с контрол ноды
Georgii
Ilya
Дима, привет!
Ivan
пробовал запретить обычным пользователям проссматривать и редактировать security group, нашел нужные опции, но их изменение ни к чему не привело. хотя когда пытался скрыть информацию о ключах, всё сработало
Я там выше скидывал ссылку на видос с последнего саммита в Sydney:
https://www.openstack.org/videos/sydney-2017/custom-rbac-can-i-do-that
Если не ошибаюсь, разработчики говорили, что любая роль наследует все разрешения от _member_ => делая ограниченную роль, нужно в policy запрещать для неё всё, к чему доступа быть не должно
но в эту модель не очень вписывается нормальная работа с ключами о_О
Dmitry
Привет всем:)
Georgii
Может кто сталкивался - при указании how_image_direct_url = True для glance, vm не создаются, в логах
В horizont - Error: No valid host was found. There are not enough hosts available.
В nova-compute - error reading header from volume-865696a7-7339-43ca-87b1-cf8727399d88: Operation not permitted
Cinder подключен к ceph, rbd default features = 61.
Если эту опцию убрать то вм долго создаётся (
Georgii
добавил
images_type = rbd
images_rbd_pool = openstask-images
images_rbd_ceph_conf = /etc/ceph/ceph.conf
rbd_user = cinder
Теперь в логах
Instance failed to spawn: ObjectNotFound: [errno 2] error opening pool 'openstask-images'
хотя этому пользователю ринг доступен
Georgii
имеджи в этом пуле вижу
rbd ls —pool openstack-images
64cc0b4c-d4be-4013-beb7-9dbeacbad349
af34d8e4-d03a-430e-bc2e-1c4d1dd2943e
J
>openstask-images
Georgii
Вопрос, я правильно понимаю что волшебной кнопки "вернуться к снепшоту" не cуществует для клиента ?
Создавать волум, отсоадинять старый, присоединять новый только ?
Inna
Вопрос, я правильно понимаю что волшебной кнопки "вернуться к снепшоту" не cуществует для клиента ?
Создавать волум, отсоадинять старый, присоединять новый только ?
только из снапшота создать новый инстанс (единственный вольюм вроде нельзя отсоединить от инстанса и заменить)
Georgii
только из снапшота создать новый инстанс (единственный вольюм вроде нельзя отсоединить от инстанса и заменить)
Но после того как он стартанет у него изменится ip получаемый по dhcp ?
Andrey
Да, это больно. Если надо быстро и костыльно, то можно в зависимости от вашего бэкенда сделать это руками.
Andrey
У пользователя такой возможности нет (за newton+ не подскажу)
Andrey
А, был кажется ребилд
Andrey
Снапшот -> image -> rebuild from image
Inna
с цефом у меня не работает rebuild(
Dmitry
ребилд же только для эфемерки? не?
Dmitry
ну а на сефе/локально/где-либо еще - не принципиально
Georgii
У меня только сreate volume есть
Georgii
ребилда не вижу
Georgii
да, и у меня ceph (
Georgii
а ip вернуть можно как-то просто ?
Andrey
В опенстеке все непросто
Georgii
это я в разреде того что у примеру у клиента на виртуалке AD, который надо откатить
J
Откатиться к снапшоту == сделать ребилд виртуалки указав в качестве источника образ-снапшот.
У меня цеф и работает, вроде.
J
Адрес при ребилде останется тот же.
Georgii
Сейчач поищу где этот ребилд
J
это я в разреде того что у примеру у клиента на виртуалке AD, который надо откатить
С AD такие фокусы проделывать не стал бы даже за сто тыщ мильёнов.
Georgii
С AD такие фокусы проделывать не стал бы даже за сто тыщ мильёнов.
Тогда вопрос - а как бэкапите ?
Georgii
))
Fox
у меня 1С в опенстеке))) один раз снапшот сделал, а так она сама базу бэкапит, там же ничего больше не меняется))
Fox
а я так бэкаплю rbd export volumes/volume-c7c5941b-1d85-4f0f-ae31-f62329cec426 /mnt/nfs
Fox
так же можно? )
Fox
а у cinder-backup какое преимущество перед таким решением?
Georgii
Fox
ограничено только сетевым интерфейсом на nfs
Fox
1Гиг
Fox
к сожалению пока...
J
а у cinder-backup какое преимущество перед таким решением?
consistency-groups (одновременный бекап привязанных друг к другу дисков), типа чтобы снапшот диска с базой делался в тот же момент времени что и снапшот диска со всякой статикой, например.
J
Freezer попробовать бы...
Dmitry
С AD такие фокусы проделывать не стал бы даже за сто тыщ мильёнов.
У microsoft посмотрите best practice
2 вида рестора есть.
Vm бэкапить это самый последний вариант когда ничего терятт уже
J
Georgii
У microsoft посмотрите best practice
2 вида рестора есть.
Vm бэкапить это самый последний вариант когда ничего терятт уже
Для этого есть несколько AD контрорллеров, понятно.
Просто в том же ovirt к снепшоту можно откатиться
Georgii
Откатиться к снапшоту == сделать ребилд виртуалки указав в качестве источника образ-снапшот.
У меня цеф и работает, вроде.
Сделал ребилд указав снепшот - горизонт сказал что всё ок, но изменения я не увидел (создал тестовый файл после снятия снапшта, и после ребилда он остался)
V
ребята что скажете про openstack довольны ли им?
V
как часто проблемы серьёзные возникают, советуете ли вы его использовать если серверов до 4
Georgii
Народ. а ещё кроме "J" у кого-нибудь работает ребилд со снапшота ?
J
Народ. а ещё кроме "J" у кого-нибудь работает ребилд со снапшота ?
Так а у тебя в чем проблема то?
Что происходит когда ребилд пытаешься сделать?
Georgii
Так а у тебя в чем проблема то?
Что происходит когда ребилд пытаешься сделать?
Он делается, но то что было сделано после снятия снапшота - остаётся
Georgii
Он делается, но то что было сделано после снятия снапшота - остаётся
То что он делает - сужу по горизонту, логи пока не нашёл
Dmitry
Он делается, но то что было сделано после снятия снапшота - остаётся
а оно не на доп диске лежит? =) можно по подробнее - какой инстанс, чего меняешь, проверяешь?
Fox
Потому что три сервера только под контрелер
V
Потому что три сервера только под контрелер
да ну что за фигня, три физ сервера под один service на каждом?
V
какая то магия
V
ноды ведь в порядке пусть у них будет ha
V
у нод нет ha
я имею ввиду упала нода разве на другой не может подняться виртуалка которая была на упавшей
Georgii
а оно не на доп диске лежит? =) можно по подробнее - какой инстанс, чего меняешь, проверяешь?
Запустил инстанс centos 7. Волум лежит на ceph. Снял снапшот , он тоже на ceph. Далее я заходу в систему, создаю там файл для теста, далее ребилд использую диск снапшота - тачка загружается. а файл остаётся
Dmitry
я имею ввиду упала нода разве на другой не может подняться виртуалка которая была на упавшей
вот тут магия и начнется. по дефолту - нет