[SOLVED] Alert: api error (status 400 = Bad request): api error (status = 501 Not implemented) während des Migrationsversuchs von Node zu Node

[m-electronics]

Hallo an die Proxmox Community!

Danke erstmal für dieses neue Produkt, was auch im Homelab sehr nützlich sein wird.

Bzgl. des oben genannten Fehlers: Gibt es irgendwelche Tricks oder Erfahrungen von euch, was man anders machen muss?
Die Nodes haben alle PVE 8.3.2 installiert und sind alle mit Keys und DNS-Namen im PDM eingetragen.

 

[l.leahu-vladucu]

Hallo m-electronics! Ich gehe davon aus, dass das Problem auftritt, wenn du versuchst, VMs zu migrieren. Die Fehlermeldung weist auf ein DNS-Problem hin - stelle also bitte sicher, dass wirklich alle Nodes, die migriert werden müssen, problemlos über DNS erreichbar sind. Dabei ist auch zu beachten, dass der Source Node den Destination Node ebenfalls über DNS erreichen kann.

Die Fehlermeldung müssen wir übrigens noch verbessern, weil sie momentan etwas verwirrend ist

 

[m-electronics]

Hallo m-electronics! Ich gehe davon aus, dass das Problem auftritt, wenn du versuchst, VMs zu migrieren. Die Fehlermeldung weist auf ein DNS-Problem hin - stelle also bitte sicher, dass wirklich alle Nodes, die migriert werden müssen, problemlos über DNS erreichbar sind. Dabei ist auch zu beachten, dass der Source Node den Destination Node ebenfalls über DNS erreichen kann.

Die Fehlermeldung müssen wir übrigens noch verbessern, weil sie momentan etwas verwirrend ist

Danke erstmal für die Antwort, aber die Fehlermeldung müsst ihr dann tatsächlich verbessern, denn bei diesem Fehler denke ich eher an noch nicht fertig implementierte Sachen oder sowas...
Aber das die Nodes sich untereinander per DNS erreichen können müssen, ist ein guter Punkt.
Bist du auch im Entwicklerteam? Steht nicht bei deinem Profil, deswegen frage ich.

 

[m-electronics]

Hallo m-electronics! Ich gehe davon aus, dass das Problem auftritt, wenn du versuchst, VMs zu migrieren. Die Fehlermeldung weist auf ein DNS-Problem hin - stelle also bitte sicher, dass wirklich alle Nodes, die migriert werden müssen, problemlos über DNS erreichbar sind. Dabei ist auch zu beachten, dass der Source Node den Destination Node ebenfalls über DNS erreichen kann.

Die Fehlermeldung müssen wir übrigens noch verbessern, weil sie momentan etwas verwirrend ist

Das mit der gegenseitigen DNS-Erreichbarkeit war es wohl. Danke für die Hilfe. Aber das steht (noch) nicht in der Doku!

 

[l.leahu-vladucu]

Super, es freut mich, dass es geholfen hat! Dass wir die Fehlermeldung verbessern steht schon auf unserer Liste, und auch, dass die Doku erwähnen sollte, dass die Nodes untereinander über DNS erreichbar sein sollen.

Wenn du ansonsten keine Fragen mehr hast, kannst du den Thread auf SOLVED setzen.

Bist du auch im Entwicklerteam? Steht nicht bei deinem Profil, deswegen frage ich.

Ja - ich habe allerdings vor noch nicht allzu langer Zeit bei Proxmox angefangen, weshalb es (noch) nicht steht - kommt aber noch

EDIT: Ich habe deine Verbesserungsvorschläge sicherheitshalber noch auf unser Bugzilla eingetragen.

 

[m-electronics]

Super, es freut mich, dass es geholfen hat! Dass wir die Fehlermeldung verbessern steht schon auf unserer Liste, und auch, dass die Doku erwähnen sollte, dass die Nodes untereinander über DNS erreichbar sein sollen.

Wenn du ansonsten keine Fragen mehr hast, kannst du den Thread auf SOLVED setzen.

Ja - ich habe allerdings vor noch nicht allzu langer Zeit bei Proxmox angefangen, weshalb es (noch) nicht steht - kommt aber noch

EDIT: Ich habe deine Verbesserungsvorschläge sicherheitshalber noch auf unser Bugzilla eingetragen.

Verbesserungsvorschlag Nr. 2: Möglichkeit zur Migration zwischen verschiedenen Storagetypen. Also z.B. zwischen ZFS und Directory

 

[m-electronics]

@l.leahu-vladucu Moin,

Ich muss hier nochmal aufmachen: Gleicher Fehler wieder. Hab aber schon überprüft, die Hosts können sich gegenseitig erreichen per DNS. Ich hab nur jetzt andere Zertifikate installiert per ACME. (Über eine interne CA) Kann das sein, dass wenn die einzelnen Nodes dieser CA nicht vertrauen das ganze auch nicht geht?

 

[m-electronics]

@l.leahu-vladucu Moin,

Ich muss hier nochmal aufmachen: Gleicher Fehler wieder. Hab aber schon überprüft, die Hosts können sich gegenseitig erreichen per DNS. Ich hab nur jetzt andere Zertifikate installiert per ACME. (Über eine interne CA) Kann das sein, dass wenn die einzelnen Nodes dieser CA nicht vertrauen das ganze auch nicht geht?

@l.leahu-vladucu Hab es gerade gefunden: Die Fingerprints der Zertifikate muss man dann scheinbar rausnehmen, weil die ja anders sind mit den neuen Zertifikaten.
Und ich hab die Root-CA auf dem PDM und auf allen Nodes eingespielt und dachte das reicht auch aus.

 

[l.leahu-vladucu]

Freut mich, dass du das Problem lösen konntest! Und danke für die Meldung! Wir haben die Fehlermeldungen im Allgemeinen bereits verbessert - der Patch ist schon auf der Mailingliste, es wartet aber noch auf ein Review. Damit sollte es zumindest klar sein, warum gewisse Tasks fehlschlagen. Du kannst die nächsten paar Versionen ausprobieren und schauen, ob es nochmal auftritt

 

[m-electronics]

Freut mich, dass du das Problem lösen konntest! Und danke für die Meldung! Wir haben die Fehlermeldungen im Allgemeinen bereits verbessert - der Patch ist schon auf der Mailingliste, es wartet aber noch auf ein Review. Damit sollte es zumindest klar sein, warum gewisse Tasks fehlschlagen. Du kannst die nächsten paar Versionen ausprobieren und schauen, ob es nochmal auftritt

Ich warte bis die Version offiziell in den Repos verfügbar ist.

 

[proxwolfe]

First of all, thank you for this new project. I have been waiting for the ability to migrate VMs out of my cluster for a long time and now it seems to be within my grasp. BTW: I was expecting this functionality to be implemented directly into PVE but your implementation is probably better.

Okay, so I am experiencing OP's issue too. And the explanation here also seems to apply in my case.

However, it does not solve my issue because in my setup the source and target nodes cannot reach each other across their networks. Well, the target can reach the source. But the source cannot reach the target, as that one sits behind a firewall (on purpose).

Is there a way to have the target pull the VM from the source or to route the migration through the PDM (that can see and reach both the source and target)?

Thanks

 

[m-electronics]

First of all, thank you for this new project. I have been waiting for the ability to migrate VMs out of my cluster for a long time and now it seems to be within my grasp. BTW: I was expecting this functionality to be implemented directly into PVE but your implementation is probably better.

Okay, so I am experiencing OP's issue too. And the explanation here also seems to apply in my case.

However, it does not solve my issue because in my setup the source and target nodes cannot reach each other across their networks. Well, the target can reach the source. But the source cannot reach the target, as that one sits behind a firewall (on purpose).

Is there a way to have the target pull the VM from the source or to route the migration through the PDM (that can see and reach both the source and target)?

Thanks

Not now I think.

 

[tt2468]

How exactly should we be checking that our DNS is valid? I've been unable to get migration working between any of my clusters, anywhere. It's always this error. I can SSH between the domain names of the clusters, they all have valid letsencrypt certificates, etc. The logs are pretty much useless, as expected. It used to give me the "Not implemented" error, but now it just gives me api error (status = 400: api error (status = 501: ))

Everyone is always asking "aRe YoUr NoDeS uP tO dAtE?" and not only are mine, but I think everyone else who has been asked that question in response to this issue has also had up to date nodes.

Is there firewall rules that need to be added, which proxmox does not automatically add, or something? I've got all of the normal proxmox ports opened in the firewall.

EDIT: Wow, after weeks of on and off troubleshooting, I seem to have finally figured out my issue. I'm using letsencrypt, but the guide (at least at one point) said to use the fingerprint from pve-ssl.pem. If you're using letsencrypt, you need to use the fingerprint from pveproxy-ssl.pem in your PDM configuration. This kind of sucks, admittedly, since this fingerprint will rotate so often. Unsure what the Proxmox devs might have in mind for tackling this issue.

 

[dcsapak]

EDIT: Wow, after weeks of on and off troubleshooting, I seem to have finally figured out my issue. I'm using letsencrypt, but the guide (at least at one point) said to use the fingerprint from pve-ssl.pem. If you're using letsencrypt, you need to use the fingerprint from pveproxy-ssl.pem in your PDM configuration. This kind of sucks, admittedly, since this fingerprint will rotate so often. Unsure what the Proxmox devs might have in mind for tackling this issue.

just wanted to say: if you have a trusted cert, you don't have to give any fingerprint. in fact this will break the next time your certificate will renew since that will get a new fingerprint.
The fingerprint is only there so we can make a secure connection to self-signed ("untrusted") certificates without having the user click a 'trust untrusted certificates" checkbox.

We know this is currently not optimal UX and we'll probably change that to something where we'll try and ask if the user wants to trust that specific fingerprint only if it's untrusted in
the first place. (Not sure how exactly that will look like yet, but i think we're able to improve here quite a bit)