A
у меня ноды гластера отдельно от рабочих нод стоят т.е. есть две рабочие ноды, а есть три ноды, которые отдают диски для облака
Size: a a a
2018 April 17
A
если ноды гластера внести в группу [nodes] он будет проверять на них наличие докера...а нужно просто чтобы эти ноды отдавали диски и все) они не инфраструктура, не мозги, просто диски)
A
Igor вот настройки для гластера в инвентаре
"
# GlusterFS внутри облака или нет
openshift_storage_glusterfs_is_native=false
# Является ли GlusterFS хранилищем по умолчанию
openshift_storage_glusterfs_storageclass=true
# контейниризирован-ли heketi
openshift_storage_glusterfs_heketi_is_native=true
# Настройки heketi
openshift_storage_glusterfs_heketi_executor=ssh
openshift_storage_glusterfs_heketi_ssh_port=22
openshift_storage_glusterfs_heketi_ssh_user=root
openshift_storage_glusterfs_heketi_ssh_sudo=false
openshift_storage_glusterfs_heketi_ssh_keyfile="/root/.ssh/id_rsa"
# Wipe дисков, которыми будет управлять gluster
openshift_storage_glusterfs_wipe=True
"
"
# GlusterFS внутри облака или нет
openshift_storage_glusterfs_is_native=false
# Является ли GlusterFS хранилищем по умолчанию
openshift_storage_glusterfs_storageclass=true
# контейниризирован-ли heketi
openshift_storage_glusterfs_heketi_is_native=true
# Настройки heketi
openshift_storage_glusterfs_heketi_executor=ssh
openshift_storage_glusterfs_heketi_ssh_port=22
openshift_storage_glusterfs_heketi_ssh_user=root
openshift_storage_glusterfs_heketi_ssh_sudo=false
openshift_storage_glusterfs_heketi_ssh_keyfile="/root/.ssh/id_rsa"
# Wipe дисков, которыми будет управлять gluster
openshift_storage_glusterfs_wipe=True
"
IZ
openshift_storage_glusterfs_heketi_ssh_keyfile="/root/.ssh/id_rsa"
этот ключ на нодах гластера присутствует?
этот ключ на нодах гластера присутствует?
IZ
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state —state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state —state NEW -m tcp —dport 22 -j ACCEPT
-A INPUT -j REJECT —reject-with icmp-host-prohibited
то, что у тебя INPUT ACCEPT это прекрасно, НО - правило после 22 порта у тебя режектит весь входящий трафик
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state —state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state —state NEW -m tcp —dport 22 -j ACCEPT
-A INPUT -j REJECT —reject-with icmp-host-prohibited
то, что у тебя INPUT ACCEPT это прекрасно, НО - правило после 22 порта у тебя режектит весь входящий трафик
IZ
порты гластера то добавь
A
так установка перезаписывает все правила и делает перед этим сброс в дефолт. разве нет?
IZ
так установка перезаписывает все правила и делает перед этим сброс в дефолт. разве нет?
установка формирует файл /etc/sysconfig/iptables - на случай перезагрузок
IZ
а любой рестарт пода и т.д. перегенерит цепочки nat
IZ
но это на нодах
A
погоди...разве это правило не для firewalld?
IZ
как на нодах гластера, которые не совмещают функции с origin-node не могу сказать. Так не разворачивали
IZ
iptables тоже работает с этими портами
IZ
- when: r_openshift_storage_glusterfs_firewall_enabled | bool and not r_openshift_storage_glusterfs_use_firewalld | bool
block:
- name: Add iptables allow rules
os_firewall_manage_iptables:
name: "{{ item.service }}"
action: add
protocol: "{{ item.port.split('/')[1] }}"
port: "{{ item.port.split('/')[0] }}"
when: item.cond | default(True)
with_items: "{{ r_openshift_storage_glusterfs_os_firewall_allow }}"
.....
block:
- name: Add iptables allow rules
os_firewall_manage_iptables:
name: "{{ item.service }}"
action: add
protocol: "{{ item.port.split('/')[1] }}"
port: "{{ item.port.split('/')[0] }}"
when: item.cond | default(True)
with_items: "{{ r_openshift_storage_glusterfs_os_firewall_allow }}"
.....
IZ
r_openshift_storage_glusterfs_firewall_enabled - надо вот эту переменную видать еще передавать
IZ
чтобы правила формировались автоматически
IZ
как эта переменная будет выглядеть в inventory - наверное лучше у @vrutkovs спросить.
VR
счас глянем. А какая ветка openshift-ansible?
A
os_firewall_use_firewalld=true - нашел так....т.е. с iptables это поломано...сча затестим с firewalld