Kolla-ansible - Security groups sur le projet service
Bonjour à tous, Mon openstack installé avec Kolla-ansible dispose d'un projet admin et d'un projet service. (venv) user@alpha:~$ openstack user list +----------------------------------+-----------+ | ID | Name | +----------------------------------+-----------+ | 7ef70b0348f2449ea658fc097435851f | admin | | 6f562d7e9e77446dbd1524f198bf50a9 | glance | | 89acc491db414e50aac314bc7b7b815e | placement | | 6e8130e6297f4908abe272e36948132d | nova | | 58f8ceb2b84b435bbaffab8fc5894503 | neutron | | fcb9799f500d4fb1a4e9952272ac6592 | heat | +----------------------------------+-----------+ (venv) user@alpha:~/tasks$ openstack project list +----------------------------------+---------+ | ID | Name | +----------------------------------+---------+ | 04f760d715174caa8ab046abed371566 | service | | 2e4cf06ee12f454395b1f53bb4369353 | admin | +----------------------------------+---------+ J'ai malencontreusement supprimé le security group default associé au project service. (venv) user@alpha:~$ openstack security group list +--------------------------------------+--------------------+------------------------+----------------------------------+------+ | ID | Name | Description | Project | Tags | +--------------------------------------+--------------------+------------------------+----------------------------------+------+ | 025e36ef-bd64-4456-bdd2-2ef93629e28e | default | Default security group | 4da0d7b54ecb4a26bc2bcbd0ba581ef8 | [] | | 2b5ade55-cdf2-486f-940a-78cacd567e37 | default | Default security group | 2e4cf06ee12f454395b1f53bb4369353 | [] | | e2a2115d-2b0d-455a-8782-639fef8ea1e7 | default | Default security group | df55718f447a46a6a8c72a4978ed3777 | [] | +--------------------------------------+--------------------+------------------------+----------------------------------+------+ Pourriez-vous m'indiquer comment le reconstruire (avec quelles règles) (ou le bon endroit dans la doc à ce sujet)! Quelles sont les conséquences de cette suppression ? Merci pour votre aide, Ken, openstack newbie
Bonjour Ken, sur l'impact, ça dépend. Le security group ne s'applique que sur les ressources du projet. S'il n'y a pas de ressources sur le projet, il n'y aura sans doute pas d'effet de bord. * si tu n'as pas de LBaaS (octavia), je pense que l'impact est nul * si tu as un load-balancer (mais il semble que non), il y a un risque (en tout cas, j'ai des Security Groups sur mon project Service a propos du lbaas) Tu peux facilement le reconstruire : (kolla-ansible-noocloud) tletou@aquarius:~/work/system/noocloud-kolla-ansible$ openstack security group show f51be746-ae4c-46eb-ac51-f443f0c00ac3 +-----------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+ | Field | Value | +-----------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+ | created_at | 2022-11-22T21:58:06Z | | description | Default security group | | id | f51be746-ae4c-46eb-ac51-f443f0c00ac3 | | name | default | | project_id | d2dc0ab32d1d41859cb38ed93a78f7db | | revision_number | 1 | | rules | created_at='2022-11-22T21:58:06Z', direction='egress', ethertype='IPv4', id='1a05d280-06c5-4347-aea3-c3b1261231fe', standard_attr_id='66', updated_at='2022-11-22T21:58:06Z' | | | created_at='2022-11-22T21:58:06Z', direction='egress', ethertype='IPv6', id='1c144fdb-ce4f-4789-bddd-8e1fb01f2aaa', standard_attr_id='72', updated_at='2022-11-22T21:58:06Z' | | | created_at='2022-11-22T21:58:06Z', direction='ingress', ethertype='IPv4', id='4a698783-e658-42f2-9417-48008ac54e2b', remote_group_id='f51be746-ae4c-46eb-ac51-f443f0c00ac3', standard_attr_id='63', updated_at='2022-11-22T21:58:06Z' | | | created_at='2022-11-22T21:58:06Z', direction='ingress', ethertype='IPv6', id='71c1f692-cb77-4431-b478-a0cebd79d225', remote_group_id='f51be746-ae4c-46eb-ac51-f443f0c00ac3', standard_attr_id='69', updated_at='2022-11-22T21:58:06Z' | | shared | False | | stateful | True | | tags | [] | | updated_at | 2022-11-22T21:58:06Z | +-----------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+ Pour les règles, si tu le reconstruis à partir d'Horizon * En sortie (egress), tout IPv4 * En sortie (egress), tout IPv6 * En entrée (ingress), tout IPv4 à partir du security group 'default' * En entrée (ingress), tout IPv6 à partir du security group 'default' Question bête, as-tu tenté un `kolla-ansible reconfigure` pour voir s'il reconstruisait le secgroup ? ou si cela est une étape de bootstrap seulement ? Bon courage et "have fun with Kolla", Tristan Le 17/04/2024 à 12:19, kenshan@free.fr a écrit :
Bonjour à tous,
Mon openstack installé avec Kolla-ansible dispose d'un projet admin et d'un projet service.
(venv) user@alpha:~$ openstack user list +----------------------------------+-----------+ | ID | Name | +----------------------------------+-----------+ | 7ef70b0348f2449ea658fc097435851f | admin | | 6f562d7e9e77446dbd1524f198bf50a9 | glance | | 89acc491db414e50aac314bc7b7b815e | placement | | 6e8130e6297f4908abe272e36948132d | nova | | 58f8ceb2b84b435bbaffab8fc5894503 | neutron | | fcb9799f500d4fb1a4e9952272ac6592 | heat | +----------------------------------+-----------+ (venv) user@alpha:~/tasks$ openstack project list +----------------------------------+---------+ | ID | Name | +----------------------------------+---------+ | 04f760d715174caa8ab046abed371566 | service | | 2e4cf06ee12f454395b1f53bb4369353 | admin | +----------------------------------+---------+
J'ai malencontreusement supprimé le security group default associé au project service.
(venv) user@alpha:~$ openstack security group list +--------------------------------------+--------------------+------------------------+----------------------------------+------+ | ID | Name | Description | Project | Tags | +--------------------------------------+--------------------+------------------------+----------------------------------+------+ | 025e36ef-bd64-4456-bdd2-2ef93629e28e | default | Default security group | 4da0d7b54ecb4a26bc2bcbd0ba581ef8 | [] | | 2b5ade55-cdf2-486f-940a-78cacd567e37 | default | Default security group | 2e4cf06ee12f454395b1f53bb4369353 | [] | | e2a2115d-2b0d-455a-8782-639fef8ea1e7 | default | Default security group | df55718f447a46a6a8c72a4978ed3777 | [] | +--------------------------------------+--------------------+------------------------+----------------------------------+------+
Pourriez-vous m'indiquer comment le reconstruire (avec quelles règles) (ou le bon endroit dans la doc à ce sujet)!
Quelles sont les conséquences de cette suppression ?
Merci pour votre aide,
Ken, openstack newbie
_______________________________________________ Liste de diffusion OpenStack-fr --openstack-fr@lists.openstack.org Pour vous désinscrire, envoyez un courriel àopenstack-fr-leave@lists.openstack.org
Bonjour, Sur toutes les version que j'ai pu utiliser, il n'est pas possible de reconstruire le default SG avec Horizon. Il y a forcément un passage en CLI: GROUP=`id du nouveau SG default` openstack security group rule create --remote-group $GROUP --ethertype IPv6 $GROUP openstack security group rule create --remote-group $GROUP --ethertype IPv4 $GROUP Avec ma configuration Horizon oblige de spécifier le protocole. L'impact dans un projet normal c'est que les VMs ne pourront plus communiquer entre elles. Dans le cadre du projet service, comme Tristan l'a dit, le seul impact -que je vois aussi- est sur les LBaaS. Cordialement, Romain On Wed, 2024-04-17 at 13:24 +0200, Tristan Le Toullec wrote:
Bonjour Ken, sur l'impact, ça dépend. Le security group ne s'applique que sur les ressources du projet. S'il n'y a pas de ressources sur le projet, il n'y aura sans doute pas d'effet de bord. * si tu n'as pas de LBaaS (octavia), je pense que l'impact est nul * si tu as un load-balancer (mais il semble que non), il y a un risque (en tout cas, j'ai des Security Groups sur mon project Service a propos du lbaas) Tu peux facilement le reconstruire : (kolla-ansible-noocloud) tletou@aquarius:~/work/system/noocloud-kolla-ansible$ openstack security group show f51be746-ae4c-46eb-ac51-f443f0c00ac3 +-----------------+----------------------------------------------------------- ------------------------------------------------------------------------------ ------------------------------------------------------------------------------ ----------------+ | Field | Value | +-----------------+----------------------------------------------------------- ------------------------------------------------------------------------------ ------------------------------------------------------------------------------ ----------------+ | created_at | 2022-11-22T21:58:06Z | | description | Default security group | | id | f51be746-ae4c-46eb-ac51-f443f0c00ac3 | | name | default | | project_id | d2dc0ab32d1d41859cb38ed93a78f7db | | revision_number | 1 | | rules | created_at='2022-11-22T21:58:06Z', direction='egress', ethertype='IPv4', id='1a05d280-06c5-4347-aea3-c3b1261231fe', standard_attr_id='66', updated_at='2022-11-22T21:58:06Z' | | | created_at='2022-11-22T21:58:06Z', direction='egress', ethertype='IPv6', id='1c144fdb-ce4f-4789-bddd-8e1fb01f2aaa', standard_attr_id='72', updated_at='2022-11-22T21:58:06Z' | | | created_at='2022-11-22T21:58:06Z', direction='ingress', ethertype='IPv4', id='4a698783-e658-42f2-9417-48008ac54e2b', remote_group_id='f51be746-ae4c-46eb-ac51-f443f0c00ac3', standard_attr_id='63', updated_at='2022-11-22T21:58:06Z' | | | created_at='2022-11-22T21:58:06Z', direction='ingress', ethertype='IPv6', id='71c1f692-cb77-4431-b478-a0cebd79d225', remote_group_id='f51be746-ae4c-46eb-ac51-f443f0c00ac3', standard_attr_id='69', updated_at='2022-11-22T21:58:06Z' | | shared | False | | stateful | True | | tags | [] | | updated_at | 2022-11-22T21:58:06Z | +-----------------+----------------------------------------------------------- ------------------------------------------------------------------------------ ------------------------------------------------------------------------------ ----------------+ Pour les règles, si tu le reconstruis à partir d'Horizon * En sortie (egress), tout IPv4 * En sortie (egress), tout IPv6 * En entrée (ingress), tout IPv4 à partir du security group 'default' * En entrée (ingress), tout IPv6 à partir du security group 'default' Question bête, as-tu tenté un `kolla-ansible reconfigure` pour voir s'il reconstruisait le secgroup ? ou si cela est une étape de bootstrap seulement ? Bon courage et "have fun with Kolla", Tristan
Le 17/04/2024 à 12:19, kenshan@free.fr a écrit :
Bonjour à tous, Mon openstack installé avec Kolla-ansible dispose d'un projet admin et d'un projet service. (venv) user@alpha:~$ openstack user list +----------------------------------+-----------+ | ID | Name | +----------------------------------+-----------+ | 7ef70b0348f2449ea658fc097435851f | admin | | 6f562d7e9e77446dbd1524f198bf50a9 | glance | | 89acc491db414e50aac314bc7b7b815e | placement | | 6e8130e6297f4908abe272e36948132d | nova | | 58f8ceb2b84b435bbaffab8fc5894503 | neutron | | fcb9799f500d4fb1a4e9952272ac6592 | heat | +----------------------------------+-----------+ (venv) user@alpha:~/tasks$ openstack project list +----------------------------------+---------+ | ID | Name | +----------------------------------+---------+ | 04f760d715174caa8ab046abed371566 | service | | 2e4cf06ee12f454395b1f53bb4369353 | admin | +----------------------------------+---------+ J'ai malencontreusement supprimé le security group default associé au project service. (venv) user@alpha:~$ openstack security group list +--------------------------------------+--------------------+--------------- ---------+----------------------------------+------+ | ID | Name | Description | Project | Tags | +--------------------------------------+--------------------+--------------- ---------+----------------------------------+------+ | 025e36ef-bd64-4456-bdd2-2ef93629e28e | default | Default security group | 4da0d7b54ecb4a26bc2bcbd0ba581ef8 | [] | | 2b5ade55-cdf2-486f-940a-78cacd567e37 | default | Default security group | 2e4cf06ee12f454395b1f53bb4369353 | [] | | e2a2115d-2b0d-455a-8782-639fef8ea1e7 | default | Default security group | df55718f447a46a6a8c72a4978ed3777 | [] | +--------------------------------------+--------------------+--------------- ---------+----------------------------------+------+ Pourriez-vous m'indiquer comment le reconstruire (avec quelles règles) (ou le bon endroit dans la doc à ce sujet)! Quelles sont les conséquences de cette suppression ? Merci pour votre aide, Ken, openstack newbie _______________________________________________ Liste de diffusion OpenStack-fr -- openstack-fr@lists.openstack.org Pour vous désinscrire, envoyez un courriel à openstack-fr-leave@lists.openstack.org
Liste de diffusion OpenStack-fr -- openstack-fr@lists.openstack.org Pour vous désinscrire, envoyez un courriel à openstack-fr-leave@lists.openstack.org
Merci infiniment pour vos réponses rapides, J'ai testé un reconfigure n'a pas eu l'air de recréer le SG par defaut. Puis j'ai voulu me lancer dans la création d'un nouveau SG default Mais finalement, les choses semblent s'être corrigées d'elle-mêmes. Je vous donne la séquence : (venv) user@alpha:~/tasks$ openstack project list +----------------------------------+---------+ | ID | Name | +----------------------------------+---------+ | 04f760d715174caa8ab046abed371566 | service | | 2e4cf06ee12f454395b1f53bb4369353 | admin | +----------------------------------+---------+ (venv) user@alpha:~/tasks$ openstack security group list +--------------------------------------+---------+------------------------+----------------------------------+------+ | ID | Name | Description | Project | Tags | +--------------------------------------+---------+------------------------+----------------------------------+------+ | 2b5ade55-cdf2-486f-940a-78cacd567e37 | default | Default security group | 2e4cf06ee12f454395b1f53bb4369353 | [] | +--------------------------------------+---------+------------------------+----------------------------------+------+ Donc jusque-là mon sg semble avoir disparu pour le projet service (venv) user@alpha:~/tasks$ openstack security group create --project service default Error while executing command: ConflictException: 409, Default security group already exists. Bizare... (venv) user@alpha:~/tasks$ openstack security group list --project service +--------------------------------------+---------+------------------------+----------------------------------+------+ | ID | Name | Description | Project | Tags | +--------------------------------------+---------+------------------------+----------------------------------+------+ | a0e69380-dd51-4a33-b11d-66aad037dff1 | default | Default security group | 04f760d715174caa8ab046abed371566 | [] | +--------------------------------------+---------+------------------------+----------------------------------+------+ (venv) user@alpha:~/tasks$ openstack security group list +--------------------------------------+---------+------------------------+----------------------------------+------+ | ID | Name | Description | Project | Tags | +--------------------------------------+---------+------------------------+----------------------------------+------+ | 2b5ade55-cdf2-486f-940a-78cacd567e37 | default | Default security group | 2e4cf06ee12f454395b1f53bb4369353 | [] | | a0e69380-dd51-4a33-b11d-66aad037dff1 | default | Default security group | 04f760d715174caa8ab046abed371566 | [] | +--------------------------------------+---------+------------------------+----------------------------------+------+ Mon SG semble donc avoir réapparu ! (venv) user@alpha:~/tasks$ openstack security group rule list a0e69380-dd51-4a33-b11d-66aad037dff1 +--------------------------------------+-------------+-----------+-----------+------------+-----------+--------------------------------------+----------------------+ | ID | IP Protocol | Ethertype | IP Range | Port Range | Direction | Remote Security Group | Remote Address Group | +--------------------------------------+-------------+-----------+-----------+------------+-----------+--------------------------------------+----------------------+ | 0dfe6095-ba28-4958-a03c-effac1a3f7b4 | None | IPv4 | 0.0.0.0/0 | | egress | None | None | | 1384fa2b-448b-409f-b5b8-513982609e4f | None | IPv6 | ::/0 | | ingress | a0e69380-dd51-4a33-b11d-66aad037dff1 | None | | 71f8ba96-5da3-487a-812d-d1abddf48a1f | None | IPv4 | 0.0.0.0/0 | | ingress | a0e69380-dd51-4a33-b11d-66aad037dff1 | None | | 738bb33e-7240-4ee6-b84c-319a1bc9fdc4 | None | IPv6 | ::/0 | | egress | None | None | +--------------------------------------+-------------+-----------+-----------+------------+-----------+--------------------------------------+----------------------+ Les règles semblent conforme à vos recommandations. . Comme je n'ai pas envie de supprimer le SG pour retester, je vais en rester là Donc tout ça à l'air ok Merci bien pour votre aide ! Ken ----- Mail original ----- De: "CHANU ROMAIN" <romain.chanu@univ-lyon1.fr> À: "openstack-fr" <openstack-fr@lists.openstack.org> Envoyé: Mercredi 17 Avril 2024 14:21:11 Objet: [OpenStack-fr] Re: Kolla-ansible - Security groups sur le projet service Bonjour, Sur toutes les version que j'ai pu utiliser, il n'est pas possible de reconstruire le default SG avec Horizon. Il y a forcément un passage en CLI: GROUP=`id du nouveau SG default` openstack security group rule create --remote-group $GROUP --ethertype IPv6 $GROUP openstack security group rule create --remote-group $GROUP --ethertype IPv4 $GROUP Avec ma configuration Horizon oblige de spécifier le protocole. L'impact dans un projet normal c'est que les VMs ne pourront plus communiquer entre elles. Dans le cadre du projet service, comme Tristan l'a dit, le seul impact -que je vois aussi- est sur les LBaaS. Cordialement, Romain On Wed, 2024-04-17 at 13:24 +0200, Tristan Le Toullec wrote:
Bonjour Ken, sur l'impact, ça dépend. Le security group ne s'applique que sur les ressources du projet. S'il n'y a pas de ressources sur le projet, il n'y aura sans doute pas d'effet de bord. * si tu n'as pas de LBaaS (octavia), je pense que l'impact est nul * si tu as un load-balancer (mais il semble que non), il y a un risque (en tout cas, j'ai des Security Groups sur mon project Service a propos du lbaas) Tu peux facilement le reconstruire : (kolla-ansible-noocloud) tletou@aquarius:~/work/system/noocloud-kolla-ansible$ openstack security group show f51be746-ae4c-46eb-ac51-f443f0c00ac3 +-----------------+----------------------------------------------------------- ------------------------------------------------------------------------------ ------------------------------------------------------------------------------ ----------------+ | Field | Value | +-----------------+----------------------------------------------------------- ------------------------------------------------------------------------------ ------------------------------------------------------------------------------ ----------------+ | created_at | 2022-11-22T21:58:06Z | | description | Default security group | | id | f51be746-ae4c-46eb-ac51-f443f0c00ac3 | | name | default | | project_id | d2dc0ab32d1d41859cb38ed93a78f7db | | revision_number | 1 | | rules | created_at='2022-11-22T21:58:06Z', direction='egress', ethertype='IPv4', id='1a05d280-06c5-4347-aea3-c3b1261231fe', standard_attr_id='66', updated_at='2022-11-22T21:58:06Z' | | | created_at='2022-11-22T21:58:06Z', direction='egress', ethertype='IPv6', id='1c144fdb-ce4f-4789-bddd-8e1fb01f2aaa', standard_attr_id='72', updated_at='2022-11-22T21:58:06Z' | | | created_at='2022-11-22T21:58:06Z', direction='ingress', ethertype='IPv4', id='4a698783-e658-42f2-9417-48008ac54e2b', remote_group_id='f51be746-ae4c-46eb-ac51-f443f0c00ac3', standard_attr_id='63', updated_at='2022-11-22T21:58:06Z' | | | created_at='2022-11-22T21:58:06Z', direction='ingress', ethertype='IPv6', id='71c1f692-cb77-4431-b478-a0cebd79d225', remote_group_id='f51be746-ae4c-46eb-ac51-f443f0c00ac3', standard_attr_id='69', updated_at='2022-11-22T21:58:06Z' | | shared | False | | stateful | True | | tags | [] | | updated_at | 2022-11-22T21:58:06Z | +-----------------+----------------------------------------------------------- ------------------------------------------------------------------------------ ------------------------------------------------------------------------------ ----------------+ Pour les règles, si tu le reconstruis à partir d'Horizon * En sortie (egress), tout IPv4 * En sortie (egress), tout IPv6 * En entrée (ingress), tout IPv4 à partir du security group 'default' * En entrée (ingress), tout IPv6 à partir du security group 'default' Question bête, as-tu tenté un `kolla-ansible reconfigure` pour voir s'il reconstruisait le secgroup ? ou si cela est une étape de bootstrap seulement ? Bon courage et "have fun with Kolla", Tristan
Le 17/04/2024 à 12:19, kenshan@free.fr a écrit :
Bonjour à tous, Mon openstack installé avec Kolla-ansible dispose d'un projet admin et d'un projet service. (venv) user@alpha:~$ openstack user list +----------------------------------+-----------+ | ID | Name | +----------------------------------+-----------+ | 7ef70b0348f2449ea658fc097435851f | admin | | 6f562d7e9e77446dbd1524f198bf50a9 | glance | | 89acc491db414e50aac314bc7b7b815e | placement | | 6e8130e6297f4908abe272e36948132d | nova | | 58f8ceb2b84b435bbaffab8fc5894503 | neutron | | fcb9799f500d4fb1a4e9952272ac6592 | heat | +----------------------------------+-----------+ (venv) user@alpha:~/tasks$ openstack project list +----------------------------------+---------+ | ID | Name | +----------------------------------+---------+ | 04f760d715174caa8ab046abed371566 | service | | 2e4cf06ee12f454395b1f53bb4369353 | admin | +----------------------------------+---------+ J'ai malencontreusement supprimé le security group default associé au project service. (venv) user@alpha:~$ openstack security group list +--------------------------------------+--------------------+--------------- ---------+----------------------------------+------+ | ID | Name | Description | Project | Tags | +--------------------------------------+--------------------+--------------- ---------+----------------------------------+------+ | 025e36ef-bd64-4456-bdd2-2ef93629e28e | default | Default security group | 4da0d7b54ecb4a26bc2bcbd0ba581ef8 | [] | | 2b5ade55-cdf2-486f-940a-78cacd567e37 | default | Default security group | 2e4cf06ee12f454395b1f53bb4369353 | [] | | e2a2115d-2b0d-455a-8782-639fef8ea1e7 | default | Default security group | df55718f447a46a6a8c72a4978ed3777 | [] | +--------------------------------------+--------------------+--------------- ---------+----------------------------------+------+ Pourriez-vous m'indiquer comment le reconstruire (avec quelles règles) (ou le bon endroit dans la doc à ce sujet)! Quelles sont les conséquences de cette suppression ? Merci pour votre aide, Ken, openstack newbie _______________________________________________ Liste de diffusion OpenStack-fr -- openstack-fr@lists.openstack.org Pour vous désinscrire, envoyez un courriel à openstack-fr-leave@lists.openstack.org
Liste de diffusion OpenStack-fr -- openstack-fr@lists.openstack.org Pour vous désinscrire, envoyez un courriel à openstack-fr-leave@lists.openstack.org
_______________________________________________ Liste de diffusion OpenStack-fr -- openstack-fr@lists.openstack.org Pour vous désinscrire, envoyez un courriel à openstack-fr-leave@lists.openstack.org
participants (3)
-
CHANU ROMAIN
-
kenshan@free.fr
-
Tristan Le Toullec