Тут ты не прав, ты не путаешь с passthrough?
Ну это же он и есть?
SR-IOV для видюшки и виртуальные видюшки на кторые режется физическая прокидываются в виртуальные машины. Нет?
J
Artem
Sergei
Пока не понял зачем одна плоская сеть. Я не чтоб поумничать спрашиваю, а потому что нормальных вариантов так сделать нет, в общем то.
Все будет дерьмово и проще архитектуру попытаться пересмотреть.
ну так хочу для удобства одну плоскую ip сеть, почему arp proxy не подходит?
J
Artem
А, GVT-G.
Ну пока не очень работает, судя по тому чо видел у ребят.
Так я вот выше скинул, nvidia что то там наобещала
J
ну так хочу для удобства одну плоскую ip сеть, почему arp proxy не подходит?
Все равно что два бродкаст домена в эзернете и делать между ними arp прокси.
Дурной тон, как по мне. Запутаешься рано или поздно. К тому же, L2 и коммутация эт почти всегда хуже чем маршрутизация, как в плане гибкости, так и в плане беспроблемности)
J
Так я вот выше скинул, nvidia что то там наобещала
Ну, дай б-г.
Сделали бы, уроды,попенсорсную реализацию rcuda. Вот тут спасибо им сказал бы)
Sergei
Все равно что два бродкаст домена в эзернете и делать между ними arp прокси.
Дурной тон, как по мне. Запутаешься рано или поздно. К тому же, L2 и коммутация эт почти всегда хуже чем маршрутизация, как в плане гибкости, так и в плане беспроблемности)
вот оно у меня заработало только что (фаервол мешал:)), блин теперь думаю передывать с apr proxy на маршрутизацию или нет :)
J
вот оно у меня заработало только что (фаервол мешал:)), блин теперь думаю передывать с apr proxy на маршрутизацию или нет :)
Да работать то будет, только как-то это противненько)
Вся суть ipv6 и инфинибенда, например, это избавиться от бродкастов и заменить arp более приятными механизмами. А тут ты берешь IB и поверх него натягиваешь обратно все это)
Но не настаиваю. Я так вижу просто)
Sergei
ну не знаю у меня IP работает по IB и там арп летает
Sergei
да и хостов совсем немного, соотвественно трафика крохи
Sergei
получилось что сейчас у меня сеть IPoIB на дефолтном pkey летает в Vlan88 еще дополнительно
J
ну не знаю у меня IP работает по IB и там арп летает
Ну сам смотри, я предложил просто. Сам такое хотел воротить и даже использовал немножко, но все время беспокоило что это какое-то не такое решение)
Sergei
согласен, костыли какие-то этот арп прокси
Sergei
пойду думать как переделать на static route
Sergei
хотелось еще поиграться с этим arp proxy в linux просто) интересно было запашит или нет
J
хотелось еще поиграться с этим arp proxy в linux просто) интересно было запашит или нет
Да работает, это ж довольно примитивная штука)
Sergei
ну да)
Sergei
arp в ib и en просто вроде как разный
J
пойду думать как переделать на static route
А почему просто отдельную physical network в ml2 плагине не определить и поверх нее не создавать self-service сети там где виртуалкам нужен IB?
Sergei
хотелось попробавать
Sergei
ой это вообще не мой случай
Sergei
у меня виртуалки это просто виртуалки
Sergei
не инстансы опен стека
Sergei
я изначально писал что срашиваю немного не по теме
J
Ну и тем не менее)
Отдельную сеть, которую по мере надобности пристегивать просто.
Sergei
то есть в отрыве от опенстака в данном случаи, хотя вообще на IB у меня опенстек летает...
Sergei
и ceph
Sergei
а это я просто controller (он у меня пока просто VM) в IB доступ даю
Sergei
как то так… :)
J
а это я просто controller (он у меня пока просто VM) в IB доступ даю
Ну тогда тем более лучше не надо одну ip сеть растягивать и туда и туда)
Sergei
не охото просто везде маршруты прописывть …
Sergei
хотя у меня в данный момент внутри /16 живет /23 с arp proxy
Sergei
ну арп общий…
Sergei
хотя не это одна /16 сеть все таки у меня
Sergei
вот разве что babel пощупать)
Sergei
но это конечно все усложнит, проще уж статиком строчку)
Ilya
Коллеги, а кто сейчас на саммите?
Евгений
+2
Artem
Что за обман 😂😂😂
Евгений
Artem
Да нажал на /16 оно дважды написалось
Alexey
Ребят, кто нить в designate вот такое ловил
Alexey
Stderr: u"rndc: 'addzone' failed: permission denied\n".
J
Stderr: u"rndc: 'addzone' failed: permission denied\n".
Ну так это дело не в designate, а в DNS сервере скорее)
Какой используешь?
Alexey
Ну так это дело не в designate, а в DNS сервере скорее)
Какой используешь?
бекенд bind, через rndc
Alexey
да судя по пути, походу кривой путь в dns до файла отправляет designate
Alexey
May 22 12:36:04 designate named[11961]: received control channel command 'addzone supertest.lan { type slave; masters { 127.0.0.1 port 5354;}; file "slave.supertest.lan.176b43dd-5b8f-42e7-bc20-d2e66a78968f"; };'
J
May 22 12:36:04 designate named[11961]: received control channel command 'addzone supertest.lan { type slave; masters { 127.0.0.1 port 5354;}; file "slave.supertest.lan.176b43dd-5b8f-42e7-bc20-d2e66a78968f"; };'
В секции controls у bind над проверить чтоб был верно указан ключ и адреса с которых разрешено обращаться для начала.
Плюс наличие ключа от rndc на designate.
Alexey
Да все разрешено
J
Если все ок, возможно, конфигурации пулов смотреть.
Alexey
вот этого файла в каталоге /var/lib/designate нету
Alexey
slave.supertest.lan.176b43dd-5b8f-42e7-bc20-d2e66a78968f
Alexey
Да так и есть, designate не создает файлы зон почему то
Alexey
Если все ок, возможно, конфигурации пулов смотреть.
Да c named все в порядке - [root@designate designate]# rndc -k /etc/designate/rndc.key reload
server reload successful
J
Да c named все в порядке - [root@designate designate]# rndc -k /etc/designate/rndc.key reload
server reload successful
А вручную пытался создать зону через rndc?
Alexey
А вручную пытался создать зону через rndc?
спасибо, и правда, проблема оказалась в кривых правах на named папке
J
спасибо, и правда, проблема оказалась в кривых правах на named папке
Не за что)
Я только к этому подводить начал, а не подсказал верное решение)
Alexey
я не правильно понял что записано. тут { 127.0.0.1 port 5354;}; file «test.lan.22e6480e-7108-4862-924c-e7a37e1b742b"; } Первое это ОТКУДА забрать зону, а второе куда положить )) А я думал что второе это откуда взять
Georgii
Можете подсказать по файрволу для openstack controller в centos - сети selfservice.
По умолчанию политика для INPUT и FORWARD drop.
Я добавил
-A INPUT -i vxla -j ACCEPT
-A FORWARD -j ACCEPT
Может есть какие то более правильные правила по открытию ?
Andrey
Не совсем понятно чего вы хотите добиться
Andrey
В любом случае iptables правила вероятно будут перекручены соответствующими агентами
Andrey
Или я чего-то не понял
Georgii
В любом случае iptables правила вероятно будут перекручены соответствующими агентами
По умолчанию в centos все закрыто. Агенты это поведение не меняют. Вопрос в том насколько правильно / безопасно открывать все
Andrey
Хороший вопрос, на который я не отвечу. У нас все открыто и фв на сетевом оборудовании
Alexey
По умолчанию в centos все закрыто. Агенты это поведение не меняют. Вопрос в том насколько правильно / безопасно открывать все
systemctl firewalld stop
systemctl disable firewalld
Все остальное сделает сам агент нейтрона
Georgii
systemctl firewalld stop
systemctl disable firewalld
Все остальное сделает сам агент нейтрона
Гм, ок, на следующей ноде попробую, спасибо
Georgii
Гм, ок, на следующей ноде попробую, спасибо
проверил, правила он выстраивает, но по умолчанию всё открыто на контрол ноды
Georgii
вопрос как правильно закрывать )
J
вопрос как правильно закрывать )
Правильно, кажется, закрывать доступ к техническим сетям на сетевом оборудовании)
Georgii
Правильно, кажется, закрывать доступ к техническим сетям на сетевом оборудовании)
ну технические сети в vlan которые не роутятся, так что туда так просто не попасть )
J
ну технические сети в vlan которые не роутятся, так что туда так просто не попасть )
Ну вот и все, в общем то)
Alexey
вопрос как правильно закрывать )
тут вопрос дизайна, гипервизоры должны быть в транзите, но сами не слушать бриджи (уберите адреса с бриджей)
Georgii
тогда донастроил всё и протестировал окончательно )
скорость дисков из виртуалок норм, выдают 14000 IOPS на 4k блоках.
виртуалки из имеджа запускаются в пределах 10 секунд.
Единственное что не понятно это с загрузкой имеджа , debian raw 2 Gb - 48 минут (
Alexey
Ребят, кто нить designate-ui ванильный поднимал ? Странный баг, не могу понять куда копать. В дашборде зоны добавляет но не отображает. Ошибок нет, дебаг включать смысла нет, я там все равно ничего не пойму, может кто сталкивался и знает как лечить
Alexey
Да, с cli все ок, только веб. морда дурит ((