<div dir="ltr"><div class="gmail_extra">Clark,<br>
<br>thanks for reply.</div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Apr 10, 2017 at 6:49 PM, Clark Boylan <span dir="ltr"><<a href="mailto:cboylan@sapwetik.org" target="_blank">cboylan@sapwetik.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="gmail-HOEnZb"><div class="gmail-h5">On Mon, Apr 10, 2017, at 08:31 AM, Pavlo Shchelokovskyy wrote:<br>
> Hi infra team,<br>
><br>
> on order to test a piece of functionality I am developing, during the<br>
> devstack plugin run I need to create an extra user with password-less<br>
> sudo<br>
> permissions. As I am not sure of intricacies of our infra setup, I'd like<br>
> to clarify if it is acceptable.<br>
><br>
> TL;DR<br>
> There is 'openstack/networking-generic-<wbr>switch' project that mainly aims<br>
> to<br>
> provide a Neutron ML2 plugin suitable to manage cheap HW switches that<br>
> only<br>
> allow configuration over SSH. The problem with those is that these<br>
> switches<br>
> usually have limitations on the number of concurrent SSH sessions open on<br>
> the switch.<br>
><br>
> In order to overcome this, I am attempting to introduce DLM to<br>
> networking-generic-switch to globally limit the number of active SSH<br>
> connections to a given switch across all threads of neutron-service on<br>
> all<br>
> hosts [0].<br>
><br>
> To test this locally in my Xenial DevStack VM, I am creating and<br>
> configuring "ovsmanager" user with password-less sudo permissions (so it<br>
> is<br>
> able to manage OVS), limit the number of allowed sessions for that user<br>
> in<br>
> /etc/security/limits.d/ and configure networking-generic-switch to access<br>
> localhost via that user to simulate a switch with limited number<br>
> of allowed SSH sessions.<br>
><br>
> My questions is is it ok if I replicate this logic in the devstack plugin<br>
> of networking-generic-switch to set up gate testing for this feature?<br>
> In the end it seems it boils down to whether infra re-uses VMs it creates<br>
> to run gate jobs for anything else and if such changes can affect those<br>
> re-using these VMs, but I might be missing something else.<br>
><br>
> [0] <a href="https://review.openstack.org/#/c/452959/" rel="noreferrer" target="_blank">https://review.openstack.org/#<wbr>/c/452959/</a><br>
<br>
</div></div>The test instances that run devstack are single use VMs that are not<br>
reused. Every job running on these instances starts with sudo access,<br>
but by default we remove sudo access for the stack user which is what<br>
the OpenStack services run as. We do this to force those services to use<br>
rootwrap (or its equivalent) and test that the rootwrap rules are<br>
functional.<br>
<br>
As long as you create your new user during the initial devstack run you<br>
shouldn't have any issues with this.<br>
<br>
It wasn't mentioned above, but I would run a separate sshd for this<br>
rather than modify the existing one as ssh is the control mechanism for<br>
the test jobs. Better to run a separate independent service that won't<br>
conflict with job control.<br>
<br>
Hope this helps,<br>
Clark<br>
<br></blockquote><div><br></div>I'm not going to control the number of sessions via SSH itself and change the /etc/ssh/sshd_config, instead I'm going to create a file /etc/security/limits.d/ovsmanager.conf (this is the place on Ubuntu Xenial) with</div><div class="gmail_quote"><br></div><div class="gmail_quote"><div class="gmail_quote">#<domain>      <type>  <item>         <value></div><div class="gmail_quote">ovsmanager     -       maxlogins       2</div><div><br></div><div>AFAIU this should not interfere with any other users and the number of sessions/connections they are allowed (I would even prepend "ngs_" to the created user name so it is clear what created it).</div><div><br></div><div>Cheers,</div><br clear="all"><div><div class="gmail_signature"><div dir="ltr"><div dir="ltr">Dr. Pavlo Shchelokovskyy<div>Senior Software Engineer</div><div>Mirantis Inc</div></div></div></div></div><div><a href="http://www.mirantis.com/" target="_blank">www.mirantis.com</a> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
______________________________<wbr>______________________________<wbr>______________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.<wbr>openstack.org?subject:<wbr>unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/<wbr>cgi-bin/mailman/listinfo/<wbr>openstack-dev</a><br>
</blockquote></div><br></div></div>