Думал, им уж и не пользуется никто)
Клиент просит и ногой топает
Danila
Danila
Коллеги, всем доброе утро! Хочу запилить пограничный сервер в виде Керио, для корректной работы грести в сторону allowed addresses pairs?
Все легко сделал, 2 инта на керио. Отключил port security ( Спасибо @ddpechkin ) и полетели.
Михаил
Все легко сделал, 2 инта на керио. Отключил port security ( Спасибо @ddpechkin ) и полетели.
Керио на опенстек это сильно)
Михаил
Клиент просит и ногой топает
Скажи ему, что ты сделал NFV. И это дико модно. Пусть порадуется)
Danila
Скажи ему, что ты сделал NFV. И это дико модно. Пусть порадуется)
Так я сразу же и разчехлил эту фразу. Но был развернут в сторону установки Керио ))
NS 🇷🇺
коллеги, а живые есть... никто не встречал такую хуйню
NS 🇷🇺
UnknownConnectionError: Unexpected exception for http://10.64.237.10:5000admin/v2.0/tokens: Failed to parse: 10.64.237.10:5000admin
NS 🇷🇺
какая то падла жрет /
Dmitry
а чем спрашиваешь - клиентом каким-нибудь?
Dmitry
похоже на баг в клиенте - неправильно формирует запрос в реквестс
NS 🇷🇺
openstack cli
NS 🇷🇺
причем разными версиями
Dmitry
ничего через пип не тащил стороннего?
Dmitry
можно попробовать отлогировать, что передается в реквест
NS 🇷🇺
ничего через пип не тащил стороннего?
нет, прод решил вот обновить и вылезла эта херня... чую надо будет откат делать и дебажить уже по утрам =(
Artem
Нихуя себе, пятница ночь, самое время прод обновить? =)
NS 🇷🇺
так на то и расчет, что если что-то пойдет не так на выходных закрыть
NS 🇷🇺
но вопрос не в этом... сука... почему я тесте этого то не ловил =(
NS 🇷🇺
падла... nginx режет... осталось раскурить где
NS 🇷🇺
коллеги, а никто не подскажет способа оторвать конфиг драйв от тачки?
J
Налей пивка себе или чо покрепче)
NS 🇷🇺
СПС ) впереди теперь Квинс 😂
NS 🇷🇺
Точно
Nick
Всем привет! Сделал кастомного юзера для удаления вмок, но не могу им детачить вольюмы. Хотя удаляет нормально.
nova volume-detach выдает
ERROR (Forbidden): Access was denied to this resource. (HTTP 403)
DELETE реквест с виду правильный, все айдишники в нем верны. Разрешил в полисях новы всё volume deatach delete discovery. Ничего не меняется. Может кто-нибудь знает в каком направлении копать?
NS 🇷🇺
1) cinder policy
2) код
NS 🇷🇺
ибо там много прибито гвоздями
Nick
А есть какие-нибудь проекты реализующие альтернативный role-based access для опенстека? Мы уже думаем что-то такое сами начать делать, но нашими мощностями в 3 человека врядли потянем
NS 🇷🇺
Nick
)
Dmitry
RBAC - одна из самых больших пробоин в опенстэке
Nick
это была грустная улыбка)
NS 🇷🇺
@aa_abramov ковырял плотно эту тему и беда с правами там реальная
NS 🇷🇺
он там вроде как со стеком соединится нормальной учеткой, а на своем уровне разграничит права... ну и работать соотвественно с ними надо будет из MIQ
Nick
пишут что сделан для TripleO-based
Nick
мы возможно будем переезжать на TripleO
Nick
может попробую тестовый энвайромент развернуть
Andrey
Всем привет! Сделал кастомного юзера для удаления вмок, но не могу им детачить вольюмы. Хотя удаляет нормально.
nova volume-detach выдает
ERROR (Forbidden): Access was denied to this resource. (HTTP 403)
DELETE реквест с виду правильный, все айдишники в нем верны. Разрешил в полисях новы всё volume deatach delete discovery. Ничего не меняется. Может кто-нибудь знает в каком направлении копать?
Нова работает с полиси корректно. Есть проблемы у синдера, но запрос на детач - запрос в нова-апи, хз каким образом там нова с синдером синхронизируется в этом случае. Учитываются ли полиси синдера при этом или нет - я не в курсе.
Nick
http://manageiq.org/docs/guides/providers/openstack_infra_provider
The OpenStack infrastructure provider is designed to work with a TripleO-based OpenStack deployment.
Nick
Нова работает с полиси корректно. Есть проблемы у синдера, но запрос на детач - запрос в нова-апи, хз каким образом там нова с синдером синхронизируется в этом случае. Учитываются ли полиси синдера при этом или нет - я не в курсе.
я предполагаю что именно в нове какой-то прикол, хотя бы потому что в horizon кнопка для детача не отображается, а значит скорее всего os-volume-discovery не разрешился
Nick
а можно как-то форс детач при удалении сделать?
Andrey
Покажите правило новы, которое вы написали
Nick
https://pastebin.com/UenUypFH
Nick
у юзера роли shredder и viewer
Andrey
owner может детачить и так, зачем отдельная роль?
Ilya
переписать почти весь код
Ну чего уж так категорично... Как нам говорит дока по синтаксу: https://docs.openstack.org/ocata/config-reference/policy-json-file.html там есть така штука:
Special checks are:
<role>:<role name>, a test whether the API credentials contain this role.
<rule>:<rule name>, the definition of an alias.
http:<target URL>, which delegates the check to a remote server. The API is authorized when the server returns True.
откуда следует мораль - можно написать сторонний сервис который будет проверять RBAC.
Была даже мысль такое замутить, впрочем мысль еще пока не умерла =) Так что если есть желающие замутить такую фигню - можем обсудить =)
NS 🇷🇺
ну окей. не переписать весь код, а написать новую систему рядом :D
Ilya
Nick
owner может детачить и так, зачем отдельная роль?
у нас есть бот, который ходит и удаляет виртуалки, которые он по статусу выгребает из отдельной базы. Понятно что сам факт существования такой базы - это уже указывает на не очень облачный подход. Но суть в том, что теперь этого юзера нужно еще и вольюмы научить удалять, а он без детача не могет =)
Nick
возможно проще будет научить его делать ресет стэйт после того как виртуалка умрет
Ilya
возможно проще будет научить его делать ресет стэйт после того как виртуалка умрет
а зачем у вас так сложно? может типа тенант под задачу - а потом пурдж на тенант от админа? =)
NS 🇷🇺
а зачем у вас так сложно? может типа тенант под задачу - а потом пурдж на тенант от админа? =)
А тут надо версию стека спросить, а то помнится местами он тупо сносит тенант а все ниже оставляет
Nick
а зачем у вас так сложно? может типа тенант под задачу - а потом пурдж на тенант от админа? =)
Я уже думал просто сделать отдельный тенант куда будут переезжать обреченные вмки, где их будет удалять тенант админ =)
NS 🇷🇺
поэтому мы и разбираемся, почему nova volume-detach не фурычит
На Рут диске он не фурычит в принципе
Ilya
А тут надо версию стека спросить, а то помнится местами он тупо сносит тенант а все ниже оставляет
если просто удалять - то да, пурджить надо сначала
Vladislav
cinder policy.json: volume_extension:volume_admin_actions:force_delete": "rule:admin_api" - можно попробовать сюда добавить роль purger и просто удалять диск in-use с force
Ilya
я бы поучавствовал =)
супер! давайте замутим. тут митап будет в Москве 30го ноября можем пособирать заинтересованных товарищей и там устроить обсуждение, а можем исключительно в виртуальном пространстве
Ilya
кстати....
Vladislav
думаю пойдет
Но вообще nova должна при удалении инстанса отключать диск. Так как пишется ошибка 403, лучше в логах nova-api и cinder-api посмотреть, в каком именно месте и почему случается запрет.
Dmitry
Ilya
Уважаемые коллеги! 30го ноября 2018 года на площадке в офисе Mail.ru планируется проведение OpenStack meetupа! Если вы хотите выступить с докладом - пишите в личку!