Intervento su infrastruttura di rete openstack

Buongiorno,
Giovedi 18 dalle ore 10:00 alle ore 13:00 circa e’ previsto un intervento su una parte dell’ infrastruttura di rete che ospita openstack.
Non prevediamo alcun tipo di disservizio ma Vi preghiamo di considerare il presente avviso nella gestione delle segnalazioni.
Cordiali Saluti

Aggiornamento infrastruttura di rete

Cari colleghi,

come purtroppo avrete notato, l’aggiornamento degli apparati di rete effettuato oggi ha causato gravi interruzioni di servizio.

Si e’ trattato chiaramente di una situazione non prevista sulla quale stiamo indagando anche in collaborazione con il produttore degli switch al quale abbiamo aperto una richiesta di supporto: prenderemo tutti i provvedimenti necessari per risolvere il problema in modo definitivo affinche’ non si ripresenti.

Al momento tutti i servizi essenziali sono stati ripristinati e gli unici problemi a noi noti riguardano le istanze virtuali windows ospitate sulla piattaforma v.unipi.it: vi invitiamo a contattarci per effettuare insieme l’eventuale ripristino.

Per ogni segnalazione relativa alla giornata di oggi potete scrivere a <sys-operations@noc.unipi.it>: non si tratta del sistema di ticket ma di un forward diretto ai tecnici.

Ci scusiamo per i disagi, che non sono stati causati dalla nostra volonta’ e vi terremo informati sugli sviluppi.

Grazie a tutti per la collaborazione.

Security Groups

Le Security Groups sono gruppi di regole IP che vengono applicate alle macchine virtuali e che ne regolano il traffico di rete.
In altre parole e’ un firewall di base per l’istanza in esecuzione.

Quando viene creata una VM, viene applicata, a meno che non sia esplicitamente rimossa dal form di creazione, la Security Group “default”.
Tale politica di sicurezza:

  1. Abilita tutto il traffico in uscita verso qualsiasi direzione.
  2. abilita tutto il traffico in ingresso proveniente da tutte le istanze a cui e’ applicata la Security Group “default”.

Ogni tenant (Polo) può gestire le proprie Security Groups andando nel menu’ Project -> Compute -> Access & Security della dashboard.

Attualmente ogni istanza che, oltre ad avere la Security Group “default”, appartiene anche ad una rete privata con router virtuale impostato come gateway verso la rete esterna, è automaticamente abilitata ad uscire su internet anche senza avere un floating ip associato (ip pubblico).

In tal caso, quando deve raggiungere l’esterno, l’istanza prende l’ip pubblico del gateway assegnato alla tenant (tramite SNAT).

Stiamo valutando le implicazioni e le soluzioni alternative al funzionamento attuale della SNAT e vi terremo aggiornati tramite il blog su eventuali modifiche.