Andrey
Привет. Пока нет, не добрались еще. Кроме того мы немного другой движок лля сборки-парсинга-анализа логов сейчас осваиваем - log insight от вмвари.
Fd
Andrey
:-D
Georgii
Может кто по ceilometer + gnocchi подсказать -
1) ceilometer должен слушать какой либо порт ? в доке для haproxy приведен для него порт 8777, но у меня этом порту ничего нет
2) есть простой способ поменять ip на который байндится gnocchi ?
Andrei
Может кто по ceilometer + gnocchi подсказать -
1) ceilometer должен слушать какой либо порт ? в доке для haproxy приведен для него порт 8777, но у меня этом порту ничего нет
2) есть простой способ поменять ip на который байндится gnocchi ?
1) ceilometer-api уже давно deprecated и вешать его за haproxy не нужно, для связки с gnocchi нужно ceilometer-agent-notification, ceilometer-agent-central запустить на controller-ноде и ceilometer-agent-compute на compute
2) проще всего запускать gnocchi-api через uwsgi и в конфиге uwsgi указать ip:port
Georgii
Спасибо!
Andrey
а
Alibek
Fd
ну дык он не обновляется с 2016 года
Fd
но как бы свободная реализация с готовыми паттернами
Fd
всегда можно украсть на https://github.com/sexibytes/sexilog/ и допилить
J
всегда можно украсть на https://github.com/sexibytes/sexilog/ и допилить
Не всегда trollface.jpg.
Для клонирования репозитория введите Microsoft Enterprise Genuine Advantage Activation Key или свяжитесь со службой технической поддержки)
gwaewion
@j52089ec7e87 в продолжение вчерашней темы, если позволите. Дхцп сервер шлёт оффер, он появляется на бридже нетворк ноды, но его нет на вхлан интерфейсе в том же бридже
J
@j52089ec7e87 в продолжение вчерашней темы, если позволите. Дхцп сервер шлёт оффер, он появляется на бридже нетворк ноды, но его нет на вхлан интерфейсе в том же бридже
Зачем на "вы" то)
Вот тут погоди. Опиши, пожалуйста, схему, какие интерфейсы и бриджи у тебя проходит пакет при движении от dhcp агента к виртуалке.
gwaewion
Использую вариант с линуксбриджем в дефолтном виде. Путь таков: интерфейс, на котором слушает днсмаск в своём нетнс -> бридж с интерфейсами в нетнс роутера, дхцп сервера и интерфейсом вхлана
gwaewion
При этом, если отключаю на нетворк ноде файервол, то инстанс получает адрес
J
А, ну чо ты сразу то не сказал)
J
А хостовая система какая?
gwaewion
Сентось 7 с файерволд. Я уже включил логирование дропнутых пакетов и увидел, что иптаблес их реджектит
J
Сентось 7 с файерволд. Я уже включил логирование дропнутых пакетов и увидел, что иптаблес их реджектит
А, бляяя. Дистрибутив созданный для страданий. firewalld выключить, сервис iptables, думаю, тоже.
neutron агенты сами разберутся какие им правила добавлять.
Georgii
А, бляяя. Дистрибутив созданный для страданий. firewalld выключить, сервис iptables, думаю, тоже.
neutron агенты сами разберутся какие им правила добавлять.
да, я тоже страдал пока не погасил firewalld )))
gwaewion
Нельзя отключать. Нужно добиться фунтициклирования с маскимальной секурностью. Даже селинупс включён
Georgii
1) ceilometer-api уже давно deprecated и вешать его за haproxy не нужно, для связки с gnocchi нужно ceilometer-agent-notification, ceilometer-agent-central запустить на controller-ноде и ceilometer-agent-compute на compute
2) проще всего запускать gnocchi-api через uwsgi и в конфиге uwsgi указать ip:port
В логах нашел py.warnings: /var/www/cgi-bin/gnocchi/app:29: RuntimeWarning: The wsgi script gnocchi/rest/app.wsgi is deprecated in version '4.0' and will be removed in version '4.1', please use gnocchi-api binary as wsgi script instead
то есть должны переменную host добавить
J
Нельзя отключать. Нужно добиться фунтициклирования с маскимальной секурностью. Даже селинупс включён
Ну и скажи своим безопасникам что зря они так.
Безопасности это все не добавляет нисколько, думаю. А вот ебаться тебе знатно на каждом шагу.
gwaewion
Ну и скажи своим безопасникам что зря они так.
Безопасности это все не добавляет нисколько, думаю. А вот ебаться тебе знатно на каждом шагу.
Я думал, что это правило хорошего тона - иметь включённый файервол и систему мандатного доступа
J
Я думал, что это правило хорошего тона - иметь включённый файервол и систему мандатного доступа
Сугубо моё мнение)
Ну это то ж самое примерно что ходить все время презерватив, респиратор и перчатки натянув.
Безопасность начинаться и заканчиваться должна на границе твоей инфраструктуры. Файрвольные правила и анализ трафика - на сетевом оборудовании. Разумная политика выдачи приватных ключей на доступ к серверам, регулярная смена токенов и сертификатов. Шифрование дисков на бекэнде, опять же.
J
А файрволы и разграничение доступа на серверах эт такое.
gwaewion
Сугубо моё мнение)
Ну это то ж самое примерно что ходить все время презерватив, респиратор и перчатки натянув.
Безопасность начинаться и заканчиваться должна на границе твоей инфраструктуры. Файрвольные правила и анализ трафика - на сетевом оборудовании. Разумная политика выдачи приватных ключей на доступ к серверам, регулярная смена токенов и сертификатов. Шифрование дисков на бекэнде, опять же.
Звучит резонно. Но постараюсь достичь поставленных целей в рамках текущих ограничений
J
Звучит резонно. Но постараюсь достичь поставленных целей в рамках текущих ограничений
Ну в твоей ситуации надо стандартные правила файрвольные менять просто. Может еще с SELinux чо вылезет.
gwaewion
Ну в твоей ситуации надо стандартные правила файрвольные менять просто. Может еще с SELinux чо вылезет.
Я так понимаю, что это нужно будет на каждый интерфейс вхланов делать по правилу?
J
А не знаю как там в центоси с политиками по-умолчанию. Возможно что и так.
Georgii
Там по молчанию drop. Самое простое отркыть тогда всё и закрывать то что требуется от службы сб
Dmitry
https://bugs.launchpad.net/neutron/+bug/1774341
Artem
J
NS 🇷🇺
Эйчар от бога
Danila
соре слотов нету
Danila
Я же просто спросил, что за стартап
Danila
нет времени
Danila
пояснять мимо проходилам
Danila
соре братик
NM
Я думал, что это правило хорошего тона - иметь включённый файервол и систему мандатного доступа
Упаси бог мандатный доступ. От него толку ноль
Михаил
Я скорее новым лицам предлагаю)
J
чому же?
Ну эт в другой чат, конечно, но в целом потому что это от мира бумажных безопасников и вояк. Дырявый штакетник к которому пристроен железобетонный портал, приставлен часовой и назначен пропускной режим)
gwaewion
но если это настолько "ненужно", то почему его и аналоги пихают повсюду? за ненужностью оно давно бы сдохло, имхо
J
но если это настолько "ненужно", то почему его и аналоги пихают повсюду? за ненужностью оно давно бы сдохло, имхо
Это способ сыграть на страхе людей)
NM
Астра, к как много в этом слове
Aleksey
И снова здравствуйте. Есть у кого-то Monasca или Ceilometer да ещё и чтобы эвенты собирали? Есть вопрос по формату предоставления ими информации об эвентах , а особенно context.
Saken
Всем привет. Есть у кого опыт kolla в проде?
Saken
Kolla-ansible
Saken
А такое в проде уже есть? Норм работает?
Aleksey
А такое в проде уже есть? Норм работает?
Вроде как большие ребята вроде AT&T, SAP и SKT используют в проде. OSH ну или какие-то своим модификации оного.
Saken
Интересно какая сетка там. K8s flannel + openstack vxlan?
Saken
Ок, спс!
Georgii
Вопрос по ceilometer - как я понимаю он будет иметь информацию о ресурсах, которые созданы уже после его запуска.
А есть ли возможность добавить те которые были созданы до запуска ceilometer ?
Анатолий
Доброго времени суток, пытаюсь эвакуировать инстанс, получаю ошибку.
в подробной информации о нем получаю такие уведомления
Анатолий
Анатолий
смотрю логи там вижу что ненаходит такой инстанс, интересно почему?
Анатолий
Анатолий
такое чувство даю команду на эвакуацию а мне в логи мол немогу его найти хотя в списке серверов он присудствует, просто был перезапущен гипервизор и мне его нужно было определить на новый.
Сами умершие гипервизоры я не удаляю без крайней необходимости пока все нужные машины не уйдут на новый.
Анатолий
никто не сталкивался с подобной проблемой?
Georgii
Сталкивался
Georgii
У меня проблема с live migration была
Georgii
Её починил, все заработало
Georgii
Сегодня же выходной, никого тут нет)
Georgii
У тебя live migration работает?
Georgii
И просто миграция
Анатолий
ну лайв миграция у меня никогда и неработала
Анатолий
мб и работала я как то проверял неполучилось больше не трогал