Andrey
Или у вас белая (или серая проначеная) провайдер сеть?..
Andrey
Все адреса в одной подсети? Кто занимается распределением адресов в ней? Вы же?
Evgeny Demin
Andrey
Allowed address pairs
Andrey
У вас на машине сколько интерфейсов? Один?
Andrey
Neutron port
Andrey
Ну и последний вопрос - управление адресами внутри вм на ручном приводе?
Andrey
Или по dhcp?
Andrey
100% смотрите в сторону allowed address pairs. neutron help | grep allowed, дальше разберетесь.
Evgeny Demin
NS 🇷🇺
100% смотрите в сторону allowed address pairs. neutron help | grep allowed, дальше разберетесь.
можно просто порт сесурити выключить с таким кейсом
J
Ух, адовая история) Раз такой интерес, не постесняюсь спросить для чего конкретно нужно 250 адресов на одном интерфейсе)
NS 🇷🇺
Ух, адовая история) Раз такой интерес, не постесняюсь спросить для чего конкретно нужно 250 адресов на одном интерфейсе)
Так писали же, хостинг сайтов )
NS 🇷🇺
Это уже не ко мне )
NS 🇷🇺
Может там очень жирная виртуалка )
Pavel
Тот самый момент, когда у тебя шаред хостинг, но руководство сказало, что сейчас мейнстрим IaaS
Михаил
Михаил
мейнстрим же k8s
✠ FLASh ✠
Та не, кубер уже моветон
✠ FLASh ✠
Как ни странно иаас)
Slava
шо там нынче за бугром в моде? :D
Стоит уточнить, наверное, что в небольшом проценте компаний.
Aleksey
Кто-нибудь встречался с таким?
Время от времени(достаточно редко) получаем ошибку при создании инстанса.
Компьют ловит эксепшен при коннекте к cinder-api.
RemoteDisconnected('Remote end closed connection without response’,)
При этом на cider-api ничего страшного нет.
Знаю что надо смотреть на сеть и вообще на cinder-api и всё что между ним и compute, но мало ли, может уже кто сталкивался.
Aleksey
2018-10-04 20:52:40.426 24 ERROR nova.compute.manager [req-e9495011-7a12-4b8b-b53c-8d6d82fd6205 c7374bc709334e00a079430bebe65d15 8ac8bdea3365416ea6220b963192738c - default default] [instance: 8bb81576-47b3-4d0d-a8b1-759f02035c13] Instance failed block device setup: nova.exception.CinderConnectionFailed: Connection to cinder host failed: Unable to establish connection to http://openstack-main-queens-cinder-api:8776/: ('Connection aborted.', RemoteDisconnected('Remote end closed connection without response’,))
Aleksey
кто-то дропает коннект
Kristaps
a kakoi backend u cindera?
J
кто-то дропает коннект
Ну вот трафик и смотри на обеих сторонах.
Надо понять чо происходит. ВЕроятно, cinder по какой-то причине rst шлет и сбрасывает соединение)
Aleksey
Ну вот трафик и смотри на обеих сторонах.
Надо понять чо происходит. ВЕроятно, cinder по какой-то причине rst шлет и сбрасывает соединение)
я бы подампил, но к сожалению она стреляет раз в день или раз в два дня
J
я бы подампил, но к сожалению она стреляет раз в день или раз в два дня
Ну на постоянку значит нужно дамп ставить, ничо не поделаешь.
Для начала можно обрезать же пакеты в дампе, оставляя только заголовки. Так отсечешь проблему с tcp. А если выглядеть будет нормально, то надо уже рыть дальше, да.
Но вообще это крайний случай)
J
В логах самого cinder-api что-нибудь видно?
Aleksey
ладно, не встречали так не встречали, возможно это вообще не в cindere, у нас ОС в k8s 🙂
J
нет, сплошные 200
Ну а ты смог идентифицировать именно те запросы которые compute считает неуспешными?
Aleksey
Ну а ты смог идентифицировать именно те запросы которые compute считает неуспешными?
кстати, а ID у запроса на compute и в логах cinder должны совпадать?
типа вот такой? req-e9495011-7a12-4b8b-b53c-8d6d82fd6205
J
кстати, а ID у запроса на compute и в логах cinder должны совпадать?
типа вот такой? req-e9495011-7a12-4b8b-b53c-8d6d82fd6205
Неа, в том и беда.
https://blueprints.launchpad.net/nova/+spec/log-request-id-mappings
J
По таймштампам только если пытаться.
J
Ну да.
Ваще, судя по логу, проблема на уровне tcp или ниже.
Поэтому боюсь что и правда придется в трафик закапываться. А кубернетесы и балансировщики в таких ситуациях делают все гораздо сложнее, это да.
J
если по ним, то всё ок 🙂
Вот еще какая дрянь.
https://specs.openstack.org/openstack/openstack-specs/specs/return-request-id.html
В glance осилили, а в cinder нет, похоже.
NS 🇷🇺
Коллеги, а никто не реализовывал такой странный кейс, как одну vlan сеточку пихают разным клиентам, но при этом взаимодействие между клиентами запрещено по этой сети.
Dmitry
Anna
Коллеги, а никто не реализовывал такой странный кейс, как одну vlan сеточку пихают разным клиентам, но при этом взаимодействие между клиентами запрещено по этой сети.
можно еще на коммутаторах настроить порт изоляцию внутри одного влана
Anna
это уже на доступе
Anna
но это такое себе
Ilya
Коллеги, а никто не реализовывал такой странный кейс, как одну vlan сеточку пихают разным клиентам, но при этом взаимодействие между клиентами запрещено по этой сети.
А чем оверлейные сети в этом влане не подходят?
NS 🇷🇺
А чем оверлейные сети в этом влане не подходят?
там по nfs будут шары подключаться к разным ВМ
Aidar
Так дефолтные правила в секьюрити группах разрешают входящий трафик только для вм подключенной к заданной группе? Или этого не достаточно?
J
Так дефолтные правила в секьюрити группах разрешают входящий трафик только для вм подключенной к заданной группе? Или этого не достаточно?
обсуждали уже такую схему и пришли именно к секьюрити группам.
Evgeny Demin
Всем привет! Есть инстанс с 250 ip адресами, вот хочу приаттачить еще один из другой подсети и получаю 500 ошибку
ClientException: Unexpected API Error. Please report this at http://bugs.launchpad.net/nova/ and attach the Nova API log if possible.
Также в логах nova-compute
42109:2018-09-26 14:29:20.644 17535 ERROR nova.compute.manager [instance: 506260c2-343b-4f56-9409-5c4b5ea9d269] File "/usr/lib/python2.7/dist-packages/neutronclient/client.py", line 306, in _check_uri_length
42110:2018-09-26 14:29:20.644 17535 ERROR nova.compute.manager [instance: 506260c2-343b-4f56-9409-5c4b5ea9d269] excess=uri_len - MAX_URI_LEN)
42111:2018-09-26 14:29:20.644 17535 ERROR nova.compute.manager [instance: 506260c2-343b-4f56-9409-5c4b5ea9d269] RequestURITooLong: An unknown exception occurred.
Буду благодарен за любую помощь
Ранее писал 👆, в общем завел баг на лаунчпаде, там посоветовали фикс, который решил проблему, может кому-то это пригодится, будут фиксить в версиях Ocata, Pike, Queens, Rocky
https://bugs.launchpad.net/python-novaclient/+bug/1796074
Mikhail
Кто может подсказать - где еще, помимо базы (таблицы keystone.region) хранятся данные о регионах keystone?
NS 🇷🇺
обсуждали уже такую схему и пришли именно к секьюрити группам.
Сесурити в одном л2 не режут трафик, если конечно это прям не запрещать )
J
Сесурити в одном л2 не режут трафик, если конечно это прям не запрещать )
Да ладно? С ovs не режут?
NS 🇷🇺
Из коробки нет. У тебя спокойна доступна 192...1 например с 2 и наоборот
J
Из коробки нет. У тебя спокойна доступна 192...1 например с 2 и наоборот
И порты при этом в разных security группах?
NS 🇷🇺
А одной. Чет я про разные неподумал =)
J
А одной. Чет я про разные неподумал =)
Бгг)
Вот в том и суть что l2 сеть одна, но порты в ней в разных группах) При таком раскладе должно получиться как раз как ты хочешь)
NS 🇷🇺
Попробую, спс
J
Да, в мае такая ж тема была)
Slava
посоветуйте актуальный ман по установке swift.
Anonymous
@s88283 будет жить. Поприветствуем!
Anonymous
Приветствую! Как бороться с таким? 9696/v2.0/lbaas/loadbalancers: net/http: request canceled (Client.Timeout exceeded while awaiting headers)
Есть OpenStack Newton
Anonymous
плюс проблема всегда с кубом, Error creating load balancer (will retry): failed to ensure load balancer for service kube-system/kube-state-metrics: error getting loadbalancer a8b4af6dbc93311e8903ffa163ef8b3f: multiple results where only one expected. Приходиться руками удалять lb
Anonymous
плагин lbaasv2
Anonymous
не octavia
Slava
Какая версия OpenStack?
queens, в на сайте описаны ocata и newton.
дело в том, что у меня убунту18 и подключенный реп, но пакет swift Package swift is not available, but is referred to by another package. This may mean that the package is missing, has been obsoleted, or is only available from another source
вот и думаю, может где-то хранятся секретные знания?
Slava
отбой, я плюнул на всё и обновился до rocky, там все пакеты есть =) спасибо.
Dmitry
отбой, я плюнул на всё и обновился до rocky, там все пакеты есть =) спасибо.
эх, круто когда можно так легко обновиться…
Slava
эх, круто когда можно так легко обновиться…
ну, у меня дома, не в продакшене, для личных проектов. могу такое позволить )))
хотя ругнулся только neutron, не были указаны некоторые параметры в конфиге
Anonymous
эх, круто когда можно так легко обновиться…
я не могу у клиента сменить newton, устал пачить