+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Правильные права для остановки виртуальной машины с помощью "fence_pve", Proxmox Виртуальная Среда

xtavras

Guest

21.03.2016 15:37:00

Привет, я сейчас тестирую агент "fence_pve" [1] stonith, с пользователем root@pam он работает отлично, но с выделенным пользователем нет. Я создал новую роль "Stonith-role" с разрешениями "VM.PowerMgmt" и "VM.Audit" и назначил её пользователю hitman@pam. В Proxmox GUI я могу под этим пользователем спокойно заходить и выключать/включать ВМ, но при использовании "fence_pve" получаю таймаут.

Код:
redis1:~# fence_pve --action=reboot --ip=192.168.122.6 --username=hitman@pam --password=secret --plug=100
Failed: Timed out waiting to power OFF, но действие "status" работает нормально.

Код:
redis1:~# fence_pve --action=status --ip=192.168.122.6 --username=hitman@pam --password=secret --plug=100
Status: ON

Кто-нибудь знает, чего не хватает?

[1] https://www.mankier.com/8/fence_pve

xtavras Guest	#2 0 20.04.2016 16:31:00 аа, круто, спасибо за информацию!

wbumiller Guest	#3 0 13.04.2016 09:56:00 Смотрите мой пост на https://bugzilla.proxmox.com/show_bug.cgi?id=924

LnxBil Guest	#4 0 13.04.2016 18:32:00 Спасибо за рекомендацию, Вольфганг.

xtavras

Guest

18.04.2016 14:57:00

Привет, wbumiller, да, насчёт этой ошибки — это моя вина, извиняюсь. Но «fence_agent» не работает с этим пользователем. Есть ли способ это отладить? Можно ли в Proxmox отключить SSL, чтобы я мог видеть запросы через tcpdump/wireshark (без использования MITM-расшифровки)? С уважением, Стэн

LnxBil Guest	#6 0 19.04.2016 15:46:00 Wireshark имеет встроенную поддержку дешифровки SSL. Вам просто нужно предоставить Wireshark соответствующие приватные и публичные SSL-ключи/сертификаты и сессионный ключ DH.

xtavras Guest	#7 0 20.04.2016 15:17:00 LnxBil, да, я сказал «без использования MITM-декодирования», потому что, насколько я понимаю, для этого нужно запускать Wireshark прямо на сервере (импортировать tcpdump с дампом не сработает).

LnxBil Guest	#8 0 20.04.2016 16:28:00 Я проводил послемортем-анализ tcpdump с заданными SSL-сертификатами, но это было несколько лет назад. Тогда это было возможно.

xtavras Guest	#9 0 25.05.2016 17:17:00 Мой коллега исправил проблему, надеюсь, этот патч скоро сольют сюда https://github.com/ClusterLabs/fence-agents/pull/75 Вот исправление для "fence_pve": fence_pve_disable_skiplock.patch Код: --- fence_pve 2016-05-25 10:25:27.794815427 +0200 +++ fence_pve.modified 2016-05-25 10:25:01.722815492 +0200 @@ -103,7 +103,10 @@ conn.setopt(pycurl.COOKIE, options["auth"]["ticket"]) conn.setopt(pycurl.HTTPHEADER, [options["auth"]["CSRF_token"]]) if post is not None: - conn.setopt(pycurl.POSTFIELDS, urllib.urlencode(post)) + if "skiplock" in post: + conn.setopt(conn.CUSTOMREQUEST, 'POST') + else: + conn.setopt(pycurl.POSTFIELDS, urllib.urlencode(post)) conn.setopt(pycurl.WRITEFUNCTION, output_buffer.write) conn.setopt(pycurl.TIMEOUT, int(options["--shell-timeout"])) if options.has_key("--ssl") or options.has_key("--ssl-secure"):

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры