в /var/log/neutron/neutron-openvswitch-agent.log только 1 запись за сегодня. 2018-05-25 17:03:37.078 7837 INFO neutron.agent.securitygroups_rpc [req-ec798698-6bc8-4a4b-b5d7-d5ac856ac401 b3934b6b96e54babbdf2c6f608880d5c ec42486884314ed0a9f74eba95c82c1b - - -] Security group member updated [u'37416318-ab33-48ef-ae4c-f1ed880b0b2d'] да все нормально как бы видимо теперь снова все создается, но вопрос в другом пока я смоделирую эту ошибку пройдет время. Был у меня значит инстанс zabbix'а недели две назад у него переполнилось место, тк он был в докере соотвественно вычистить мне его не удалось тк нужно было запустить сначало. подумал я и дай думаю сделаю ресайз другими словами изменю инстансу flavor попробовал значит сделать openstack server resize --flavor 188d450a-28fa-4f9d-b046-b39eb9828b60 86989ecd-7f46-47fb-996f-410bb9c4f943 где 188d450a-28fa-4f9d-b046-b39eb9828b60 - flavor новый 86989ecd-7f46-47fb-996f-410bb9c4f943 - инстанс мой и после симптомы проявились точно те же что и ранее при создании. винтуалка сейчас в статусе error сбросил статус на active но не помогло. меня больше беспокоит ошибки где упоминается я полагаю мне проще перезагрузить гипервизор тогда он будет считаться как мертвый и повторить перенос машины.

ладно спасибо вообщем за советы, помучаю сейчас заббикс если заработает, забуду об опенстеке. я туда последний месяц полтора очень редко вхожу, в последствии хочу избавится от него вовсе.

Ребята, такой вопрос: обновления винды сейчас работает? его не заблокировал случайно роскомнадзор? а то готовлю образы винды для опенстека, а она не может скачать обнову…

Всё работает, сеть функционирует, доступ к инстансу есть. Хотим разобраться.

немного не туда направил, qrouter спейсы, iptables-save на компут нодах

да, кстати, с floating ip, нашли его в iptables qrouter-неймспейса на компьют-ноде, плохо смотрели >_<

хотя уже и сами нашли =)

Ребята, такой вопрос: обновления винды сейчас работает? его не заблокировал случайно роскомнадзор? а то готовлю образы винды для опенстека, а она не может скачать обнову…

Сколько висит? :) мы обновляли почти сутки :)

@j52089ec7e87 @nsuvorov но всё равно спасибо)

Сколько висит? :) мы обновляли почти сутки :)

часов 12, но дело в том что оно буквально 800 мб скачало и все

дальше не хочет

Из-за войны Роскомнадзора и Telegram пострадали, как известно, и другие ресурсы — и одним из них стал технический домен Microsoft, с которого качаются ISO-файлы обновления Windows и программа Media Creation Tool

Похоже оно …

Знает кто: в чтиве Learning openstack high availability действительно что-то стоящее есть или там копипаст ХА гайда с сайта жопенстека?

Ну я, честно сказать, сомневаюсь что такие узкоспециализированные книжки по опенстеку вообще имеют смысл. Слишком быстро все меняется и довольно сложно одному человеку учесть все и уследить.

Опять же, двухлетней давности.

Ну я, честно сказать, сомневаюсь что такие узкоспециализированные книжки по опенстеку вообще имеют смысл. Слишком быстро все меняется и довольно сложно одному человеку учесть все и уследить.

Дело в том, что официальная документация тоже нифига не релевантна и подробна

Дело в том, что официальная документация тоже нифига не релевантна и подробна

Это потому что там и нечего писать особо.

Все API сервисы - эт REST API, обычный stateless веб.

С ними делай чо хочешь.

Из сложного - cinder-volume (для некоторых бекэндов). Там может понадобиться pacemaker. И то не обязательно. Ну и плюс база данных кластеризованная.

Ну и про сеть аналогично) Это все техники не имеющие прямого отношения к опенстеку)

А в книжке по сути да, расширенная версия документации и большой набор howto разжеванных.

http://file.allitebooks.com/20151217/Learning%20OpenStack%20High%20Availability.pdf

Из сложного - cinder-volume (для некоторых бекэндов). Там может понадобиться pacemaker. И то не обязательно. Ну и плюс база данных кластеризованная.

а что там для ceph? тоже pacemaker надо?

народ, а вот такое кто-то ловил? 2017-10-30T13:32:47.461019Z qemu-kvm: -vnc хх.хх.8.25:0: Failed to start VNC server: Failed to listen on socket: Address already in use но фишка в том что я сам то никаких сервисов есессно не поднимал, это сам либвирт нова.

Не хочу конечно некропостить, но тоже такое словили, compute node с нуля налита, так же как и остальные гипервизоры. Два гипервизора, в одной зоне, создаём проект с 80 инстансами, получается по 40 инстансов примерно на гипервизор, но несколько из них не создаются, что сопровождается такой же ошибкой vnc. После этого инстанс пытается создаться на другом гипервизоре, но получает два адреса и как итог не работает сеть. Если у вас получилось полечить, то буду рад совету.

а что там для ceph? тоже pacemaker надо?

Зачем? Нееет, в таком случае любой cinder-volume работает прост как прослойка дополнительная. Он на самом деле и не нужен, если логически мыслить, можно было бы теж функции в случае с цефом и на API возложить. Но архитектуру сервиса не менять же из-за одного цефа) Поэтому вот так. Все чо он делает - эт отдает нове libvirt secret uuid, вроде как.

а что там для ceph? тоже pacemaker надо?

Ceph из коробки HA, ещё нужно постараться сделать его не НА

Ceph из коробки HA, ещё нужно постараться сделать его не НА

Я про cinder-volume с бэком на ceph

Ceph из коробки HA, ещё нужно постараться сделать его не НА

легко, 1 mon, реплика фактор 2, через опу настроеный скраб и его приоритет, дефолтный крушмап

легко, 1 mon, реплика фактор 2, через опу настроеный скраб и его приоритет, дефолтный крушмап

Картинка про велосипед и палку

Картинка про велосипед и палку

ну это другой разговор, изначально посыл был - надо постораться, а оно все просто, но самое смешное - это просто выдержка краткая из того, как народ сэтапит ceph

так что любителей вставить палку в колесо своему велику, когда он едет на нем - домужскогополовогооргана

забыл добавить, денег на ssd не дали, втащука я журналы osd в озу, без дампов на диск хотя бы изредка

Лол

у народа до сих пор мнение, что на ceph можно сделать сторедж за бесплатно

Ну это законодательные недоработки, не дают инвалидность долбоебам, вот они и работают, а так бы катали дотку и не строили такие системы )

У меня у самого ceph mon x3, replica factor x2, about 100TB data

Но я знаю что я делаю

И почему так делаю

у меня был ceph с вообще без репликафактора и с журналами в озу, но мне можно было пролюбить все данные

Зачем? Нееет, в таком случае любой cinder-volume работает прост как прослойка дополнительная. Он на самом деле и не нужен, если логически мыслить, можно было бы теж функции в случае с цефом и на API возложить. Но архитектуру сервиса не менять же из-за одного цефа) Поэтому вот так. Все чо он делает - эт отдает нове libvirt secret uuid, вроде как.

А нет ли риска того, что нет локов и в один и тот же момент cinder-volume будет маунтить, а другой удалять image?

А нет ли риска того, что нет локов и в один и тот же момент cinder-volume будет маунтить, а другой удалять image?

Именно поэтому они должны пахать в active/passive

Именно поэтому они должны пахать в active/passive

Тогда давайте синхронизируемся, можно ли cinder-volume для ceph в active-active или нет?

В гайдах пишут, что нет

А почему тогда в доках для haproxy listen cinder_api_cluster bind <Virtual IP>:8776 balance source option tcpka option httpchk option tcplog server controller1 10.0.0.12:8776 check inter 2000 rise 2 fall 5 server controller2 10.0.0.13:8776 check inter 2000 rise 2 fall 5 server controller3 10.0.0.14:8776 check inter 2000 rise 2 fall 5

?

Хотя к оф гайде In theory, you can run the Block Storage service as active/active. However, because of sufficient concerns, we recommend running the volume component as active/passive only.

Тогда давайте синхронизируемся, можно ли cinder-volume для ceph в active-active или нет?

Ну тут как. Вообще, не стоит, но и шанс что чо-то катастрофическое произойдет - мал. Из самого частого - залипание при удалении и других операциях. Щас, как понял, активно пропишиваютикацию где локальные блокировки заменяются на tooz с кластерным менеджером в качестве бекэнда. https://specs.openstack.org/openstack/cinder-specs/specs/mitaka/ha-aa-tooz-locks.html Ну а до той поры пока нормально внедрят можно в haproxy для cinder-volume указывать один активный сервер и остальные в качестве резерва.

А почему тогда в доках для haproxy listen cinder_api_cluster bind <Virtual IP>:8776 balance source option tcpka option httpchk option tcplog server controller1 10.0.0.12:8776 check inter 2000 rise 2 fall 5 server controller2 10.0.0.13:8776 check inter 2000 rise 2 fall 5 server controller3 10.0.0.14:8776 check inter 2000 rise 2 fall 5

Ну это про api)

А volume вот посложнее.

А volume вот посложнее.

Ну так нарезка новых волумов через api идёт?

Ну так нарезка новых волумов через api идёт?

Да, апи сервисы можно в active\active)

Да, апи сервисы можно в active\active)

Ну а работу с волумами можно по идее через vip и pacemaker?

Ну а работу с волумами можно по идее через vip и pacemaker?

Просто правильная конфигурация haproxy, скорее, нужна. Хотя, конечно, это не исключит полностью проблему отсутствия глобальных блокировок. Но такое может возникнуть в ситуации, разве что, когда используется несколько независимых балансировщиков.

Ну а работу с волумами можно по идее через vip и pacemaker?

А pacemaker нужен в таких местах где при переключении с основного на резерв надо обязательно гасить основной (чтоб наверняка удостовериться что не будет два активных сервера)

хотяя

кстати, вы лучше расскажите как сеть организовываете и ha точки входа/выхода трафика

кстати, вы лучше расскажите как сеть организовываете и ha точки входа/выхода трафика

Насколько подробно?)

Насколько подробно?)

да как не захарит

просто я тут чешу репу как собирать, послдений раз тыкал труп в 2015 году, вот теперь опять предстоит

А pacemaker нужен в таких местах где при переключении с основного на резерв надо обязательно гасить основной (чтоб наверняка удостовериться что не будет два активных сервера)

Ну можно как через haproxy, только балансировать весь трафик на одну доступную ноду, или напрямую на локальный cinder через vip, ну и pacemaker правильно настраивать

и строить сеть на “дефолтном” нетроне я чет как-то очкую

и строить сеть на “дефолтном” нетроне я чет как-то очкую

?

меня больше интересует кто как организовывает сеть для опенстека

я все думаю opencontrail или вендорское железо

да как не захарит

Да ну даже хз. У меня очень маленький кластер и трафик между серверами полностью маршрутизируется, анонсы через OSPF. haproxy три штуки, они балансируют трафик между сервисами раскиданными по трем серверам. haproxy работает в каждый момент времени только один (анонсируется с лучшей метрикой) потому что у меня микротик и что-то говенно на нем ECMP работает. Не per-flow, как обещают, а будто ваще рандомно пакеты распихивает по ECMP гейтам.

как деофлтный гейт резервируете?

и кто в качестве него выстцупает

меня интересуют и приват сети и публичные

как вообще организация хождения трафика из вне организована?

Да ну даже хз. У меня очень маленький кластер и трафик между серверами полностью маршрутизируется, анонсы через OSPF. haproxy три штуки, они балансируют трафик между сервисами раскиданными по трем серверам. haproxy работает в каждый момент времени только один (анонсируется с лучшей метрикой) потому что у меня микротик и что-то говенно на нем ECMP работает. Не per-flow, как обещают, а будто ваще рандомно пакеты распихивает по ECMP гейтам.

На каждый сервер либо 10Г либо бонд для эзернета + старенькие Infiniband QDR\FDR карточки. ДЛя инфинибенда, соответсно, IPoIB.

через ECMP (на самих серверах, слава богу, в более-менее свежих ядрах работает неплохо). Просто 2 гейта в дефолтном маршруте.

как деофлтный гейт резервируете?

Ну так смотря для чего, если для provider то на уровне маршрутизаторов с ospf сверху

А снизу свитчи с бондами

через ECMP (на самих серверах, слава богу, в более-менее свежих ядрах работает неплохо). Просто 2 гейта в дефолтном маршруте.

Используются микротики CCR1036

Используются микротики CCR1036

Елсли нет угрозу ddos то можно. При ddos у них проц ложиться

я больше в сторону джунов

я больше в сторону джунов

У нас все на них

Ex и mx