Bonjour, Sur toutes les version que j'ai pu utiliser, il n'est pas possible de reconstruire le default SG avec Horizon. Il y a forcément un passage en CLI: GROUP=`id du nouveau SG default` openstack security group rule create --remote-group $GROUP --ethertype IPv6 $GROUP openstack security group rule create --remote-group $GROUP --ethertype IPv4 $GROUP Avec ma configuration Horizon oblige de spécifier le protocole. L'impact dans un projet normal c'est que les VMs ne pourront plus communiquer entre elles. Dans le cadre du projet service, comme Tristan l'a dit, le seul impact -que je vois aussi- est sur les LBaaS. Cordialement, Romain On Wed, 2024-04-17 at 13:24 +0200, Tristan Le Toullec wrote:
Bonjour Ken, sur l'impact, ça dépend. Le security group ne s'applique que sur les ressources du projet. S'il n'y a pas de ressources sur le projet, il n'y aura sans doute pas d'effet de bord. * si tu n'as pas de LBaaS (octavia), je pense que l'impact est nul * si tu as un load-balancer (mais il semble que non), il y a un risque (en tout cas, j'ai des Security Groups sur mon project Service a propos du lbaas) Tu peux facilement le reconstruire : (kolla-ansible-noocloud) tletou@aquarius:~/work/system/noocloud-kolla-ansible$ openstack security group show f51be746-ae4c-46eb-ac51-f443f0c00ac3 +-----------------+----------------------------------------------------------- ------------------------------------------------------------------------------ ------------------------------------------------------------------------------ ----------------+ | Field | Value | +-----------------+----------------------------------------------------------- ------------------------------------------------------------------------------ ------------------------------------------------------------------------------ ----------------+ | created_at | 2022-11-22T21:58:06Z | | description | Default security group | | id | f51be746-ae4c-46eb-ac51-f443f0c00ac3 | | name | default | | project_id | d2dc0ab32d1d41859cb38ed93a78f7db | | revision_number | 1 | | rules | created_at='2022-11-22T21:58:06Z', direction='egress', ethertype='IPv4', id='1a05d280-06c5-4347-aea3-c3b1261231fe', standard_attr_id='66', updated_at='2022-11-22T21:58:06Z' | | | created_at='2022-11-22T21:58:06Z', direction='egress', ethertype='IPv6', id='1c144fdb-ce4f-4789-bddd-8e1fb01f2aaa', standard_attr_id='72', updated_at='2022-11-22T21:58:06Z' | | | created_at='2022-11-22T21:58:06Z', direction='ingress', ethertype='IPv4', id='4a698783-e658-42f2-9417-48008ac54e2b', remote_group_id='f51be746-ae4c-46eb-ac51-f443f0c00ac3', standard_attr_id='63', updated_at='2022-11-22T21:58:06Z' | | | created_at='2022-11-22T21:58:06Z', direction='ingress', ethertype='IPv6', id='71c1f692-cb77-4431-b478-a0cebd79d225', remote_group_id='f51be746-ae4c-46eb-ac51-f443f0c00ac3', standard_attr_id='69', updated_at='2022-11-22T21:58:06Z' | | shared | False | | stateful | True | | tags | [] | | updated_at | 2022-11-22T21:58:06Z | +-----------------+----------------------------------------------------------- ------------------------------------------------------------------------------ ------------------------------------------------------------------------------ ----------------+ Pour les règles, si tu le reconstruis à partir d'Horizon * En sortie (egress), tout IPv4 * En sortie (egress), tout IPv6 * En entrée (ingress), tout IPv4 à partir du security group 'default' * En entrée (ingress), tout IPv6 à partir du security group 'default' Question bête, as-tu tenté un `kolla-ansible reconfigure` pour voir s'il reconstruisait le secgroup ? ou si cela est une étape de bootstrap seulement ? Bon courage et "have fun with Kolla", Tristan
Le 17/04/2024 à 12:19, kenshan@free.fr a écrit :
Bonjour à tous, Mon openstack installé avec Kolla-ansible dispose d'un projet admin et d'un projet service. (venv) user@alpha:~$ openstack user list +----------------------------------+-----------+ | ID | Name | +----------------------------------+-----------+ | 7ef70b0348f2449ea658fc097435851f | admin | | 6f562d7e9e77446dbd1524f198bf50a9 | glance | | 89acc491db414e50aac314bc7b7b815e | placement | | 6e8130e6297f4908abe272e36948132d | nova | | 58f8ceb2b84b435bbaffab8fc5894503 | neutron | | fcb9799f500d4fb1a4e9952272ac6592 | heat | +----------------------------------+-----------+ (venv) user@alpha:~/tasks$ openstack project list +----------------------------------+---------+ | ID | Name | +----------------------------------+---------+ | 04f760d715174caa8ab046abed371566 | service | | 2e4cf06ee12f454395b1f53bb4369353 | admin | +----------------------------------+---------+ J'ai malencontreusement supprimé le security group default associé au project service. (venv) user@alpha:~$ openstack security group list +--------------------------------------+--------------------+--------------- ---------+----------------------------------+------+ | ID | Name | Description | Project | Tags | +--------------------------------------+--------------------+--------------- ---------+----------------------------------+------+ | 025e36ef-bd64-4456-bdd2-2ef93629e28e | default | Default security group | 4da0d7b54ecb4a26bc2bcbd0ba581ef8 | [] | | 2b5ade55-cdf2-486f-940a-78cacd567e37 | default | Default security group | 2e4cf06ee12f454395b1f53bb4369353 | [] | | e2a2115d-2b0d-455a-8782-639fef8ea1e7 | default | Default security group | df55718f447a46a6a8c72a4978ed3777 | [] | +--------------------------------------+--------------------+--------------- ---------+----------------------------------+------+ Pourriez-vous m'indiquer comment le reconstruire (avec quelles règles) (ou le bon endroit dans la doc à ce sujet)! Quelles sont les conséquences de cette suppression ? Merci pour votre aide, Ken, openstack newbie _______________________________________________ Liste de diffusion OpenStack-fr -- openstack-fr@lists.openstack.org Pour vous désinscrire, envoyez un courriel à openstack-fr-leave@lists.openstack.org
Liste de diffusion OpenStack-fr -- openstack-fr@lists.openstack.org Pour vous désinscrire, envoyez un courriel à openstack-fr-leave@lists.openstack.org