Hi Akihiro, <br><br>Thanks for your feedback. Responses inline.<br><br><div class="gmail_quote">On Sat, Jan 12, 2013 at 2:44 AM, Akihiro MOTOKI <span dir="ltr"><<a href="mailto:amotoki@gmail.com" target="_blank">amotoki@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Aaron,<br>
<br>
Sorry for the late feedback.<br>
<br>
I have some comments on the spec.<br>
<br>
- Who can change the port security? If the network physical<br>
infrastructure provides an address<br>
space isolation among logical network, a tenant (a regular use) may<br>
change port security freely.<br>
On the other hand, if the network physical infrastructure requires MAC<br>
uniqueness (for example,<br>
network_type == flat), only admin should change port security.<br>
<br></blockquote><div>Correct, I was thinking about building a flag (require_port_security_on_shared_networks and require_port_security_on_provider_networks) in which it would force all ports created on that network to use port security (and would require the admin to remove that setting). Do you think this is something we should build in? <br>
<br> <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
- Why can we disable port security when a port is associated with a<br>
security group?<br>
The limitation section in the spec document says "if a port is<br>
associated with a security group<br>
one cannot remove the port security setting as port security is<br>
required for security groups to work."<br></blockquote><div><br>The reason for this is if we allow the vm to change it's source ip then it would be possible for them to get around the security group applied to the port. <br>
 </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
A usual case is a case where a VM wants to another IP address in<br>
addition to its IP address assigned,<br>
but it is likely a user still wants to use security group (to drop<br>
incoming packets to undesired L4 ports).<br></blockquote><div><br>In this use case you are talking about, are you meaning on the same vif using ip aliases? If so then the user should update the port to include this ipaddress and then add the desired security group settings for the communication they want. It's not possible to support port security on a port for only one ipaddress and not the other because of the reason i mentioned previously. The user could create another port with out port security though. <br>
</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
The current secgroup implementation honors the original security group<br>
implementation in nova<br>
and IP/MAC spoofing rules are added automatically as provider rules.<br>
We can change the provider rules according to port security state for the port.<br>
<br>
I hope my understanding it correct.<br>
<br>
Thanks,<br>
Akihiro<br>
<br>
2013/1/5 Aaron Rosen <<a href="mailto:arosen@nicira.com">arosen@nicira.com</a>>:<br>
<div><div class="h5">> Hi,<br>
><br>
> I'm starting to work on the following blueprint<br>
> (<a href="https://blueprints.launchpad.net/quantum/+spec/port-security-api-base-class" target="_blank">https://blueprints.launchpad.net/quantum/+spec/port-security-api-base-class</a>)<br>
> and would like to run this spec by the community for feedback.<br>
><br>
> <a href="https://docs.google.com/document/d/18trYtq3wb0eJK2CapktN415FRIVasr7UkTpWn9mLq5M/edit" target="_blank">https://docs.google.com/document/d/18trYtq3wb0eJK2CapktN415FRIVasr7UkTpWn9mLq5M/edit</a><br>
><br>
> Thanks,<br>
><br>
> Aaron<br>
><br>
</div></div>> _______________________________________________<br>
> OpenStack-dev mailing list<br>
> <a href="mailto:OpenStack-dev@lists.openstack.org">OpenStack-dev@lists.openstack.org</a><br>
> <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
<br>
--<br>
Akihiro MOTOKI <<a href="mailto:amotoki@gmail.com">amotoki@gmail.com</a>><br>
<br>
--<br>
Mailing list: <a href="https://launchpad.net/~quantum-core" target="_blank">https://launchpad.net/~quantum-core</a><br>
Post to     : <a href="mailto:quantum-core@lists.launchpad.net">quantum-core@lists.launchpad.net</a><br>
Unsubscribe : <a href="https://launchpad.net/~quantum-core" target="_blank">https://launchpad.net/~quantum-core</a><br>
More help   : <a href="https://help.launchpad.net/ListHelp" target="_blank">https://help.launchpad.net/ListHelp</a><br>
</font></span></blockquote></div><br>