<div dir="ltr"><font style="vertical-align:inherit"><font style="vertical-align:inherit">Thank you very much! M</font></font>elanie<div>I should read the Nova installation documentation carefully.<br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">melanie witt <<a href="mailto:melwittt@gmail.com" target="_blank">melwittt@gmail.com</a>> 于2020年11月20日周五 上午5:25写道:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 11/19/20 01:35, Ankele zhang wrote:<br>
> Hello~<br>
>      I have a OpenStack Rocky platform. My nova.cfg has configured <br>
> "[consoleauth] token_ttl=360000 [workarounds] enable_consoleauth=true", <br>
> I get the console url and access my VM console in web. the console url <br>
> invalid after two or one minutes not 360000s.<br>
>      How can I resolve this?<br>
>      Look forward to hearing from you.<br>
<br>
Hi Ankele,<br>
<br>
I'm sure you have already read this but for reference, this is the blurb <br>
in the release notes around the console proxy changes [1]. Note that the <br>
[workarounds]enable_consoleauth option has been removed in the Train <br>
release, so to avoid interruptions in consoles during an upgrade to <br>
Train, you must ensure your deployment has fully migrated to the new <br>
per-cell console proxy model in Rocky or Stein.<br>
<br>
In Rocky, console token auths are stored in the cell database(s) (new <br>
way) and if [workarounds]enable_consoleauth=true on the nova-api nodes, <br>
they are additionally stored in the nova-consoleauth service (old way). <br>
Then, on the console proxy side, if [workarounds]enable_consoleauth=true <br>
on the nova-novncproxy nodes, the proxy will first try to validate the <br>
token in the nova-consoleauth service (old way) and if that's not <br>
successful, it will fall back to contacting the cell database to <br>
validate the token (new way). In order for it to succeed at validating <br>
the token in the cell database, the nova-novncproxy needs to be deployed <br>
per cell and have access to the cell database [database]connection.<br>
<br>
If you need to use nova-consoleauth to transition to the <br>
database-backend model, you must set <br>
[workarounds]enable_consoleauth=true on both the nova-novncproxy nodes <br>
(for token validation) and the nova-api nodes (for token auth storage in <br>
the old way). The [consoleauth]token_ttl option needs to be set to the <br>
value you desire on both the nova-consoleauth nodes (old way) and <br>
nova-compute nodes (new way).<br>
<br>
So, I suspect the issue is you need to set the aforementioned config <br>
options on nodes where you don't yet have them set.<br>
<br>
To transition to the new way without console interruption, you will need <br>
to (1) deploy nova-novncproxy services to each of your cells and make <br>
sure they have [database]connection set to the corresponding cell <br>
database, (2) wait until all token auths generated before Rocky are <br>
expired, (3) set [workarounds]enable_consoleauth=false on <br>
nova-novncproxy and nova-api nodes, (4) remove the nova-consoleauth <br>
service from your deployment.<br>
<br>
Hope this helps,<br>
-melanie<br>
<br>
[1] <br>
<a href="https://docs.openstack.org/releasenotes/nova/rocky.html#relnotes-18-0-0-stable-rocky-upgrade-notes" rel="noreferrer" target="_blank">https://docs.openstack.org/releasenotes/nova/rocky.html#relnotes-18-0-0-stable-rocky-upgrade-notes</a><br>
<br>
</blockquote></div></div></div>