OpenStack Grizzlyを1年運用して起きた認証システム障害 | 外道父の匠
とてもツマらない障害対応のメモとなります。 が、英語圏には多少の情報はあったけど日本語になかったので、書き留めておきます。 障害内容 ある日、突然、OpenStack Grizzlyの管理画面からインスタンス作成などの操作が全てできなくなりました。 既存のインスタンスには特に影響なく稼働していました。 原因 動作的には、認証システムであるKeystoneと、それ以外の全てのコンポーネントとの認証が失敗することが原因となりました。 nova list や glance image-list などが Unauthorized 401 になる状態です。 根本的な原因は、Keystone管理のSSL証明書の期限が切れたことによるものでした。 調査内容 初めはトークンデータが溢れて記録できなくなったのかと思いましたが、keystone-manage token-flush を実行しても特に解決できず
Keystone+LDAP+LAMでOpenStack管理 | 外道父の匠
Quantum周りのたった1つの問題に1週間以上ハマって絶望するも、 絞りだすような勘で生還してブログ再開!! 今回はなんとっ!KeystoneデータをLDAPで管理するという一風変わった情報をお届けします! LDAPを採用した理由 どうしてわざわざLDAPにしたのか、というと、 まず、既にLDAPが存在し、他の複数のソフトウェアのアカウント管理に用いていたため、OpenStackも同様に既存のLDAPユーザでログインしたかった、というのが1つ。 次に、LDAPユーザから削除された(例えば退職したとか)場合に、そのユーザが管理していたVMを自動的に(もしくは一括して)削除できるようにすることで、VMをより管理しやすくしたかったから。Horizonの表示上は見えませんが、実は novadb.instances テーブルには user_id が保存されているし、nova-manage vm l
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
