<div dir="ltr">Hi quantum devs, <div><br></div><div style>I was looking into Quantum Security Groups feature and I have some questions regarding default behavior for egress processing.</div><div style><br></div><div style>
>From the slide[1] linked form the BP and the document[2], it sounds like the following:</div><div style><br></div><div style> - by default, all the egress traffic would be allowed</div><div style> - once you have a egress rule, the rule processing becomes white list, meaning traffic that doesn't match on the rules would be dropped.</div>
<div style><br></div><div style>This actually sounds similar to what Amazon VPS SG document[3], although their implementation doesn't match on the statement in the doc, which I'll get to it shortly.</div><div style>
<br></div><div style>If I understand the spec correctly, when I remove the last egress rule from all the SGs bound to a port, the default behavior should change from DROP to ALLOW. Symmetrically, when I add a first egress rule in any of the SGs to which a VM is bound, the default behavior should change from ALLOW to DROP. Am I interpreting this right?</div>
<div style>However, I couldn't find a part to implement this. In fact, this processing would be annoying if you have thousands of ports referring to multiple SGs because, for each port, you would have to count numbers of egress rules for all the SGs, and depending on the count, you would have to change the default behavior.<br>
</div><div style><br></div><div style>Then, I took a look at Amazon VPC security groups in the console. Contrary to their online doc, their implementation seems more intuitive or explicit like this:</div><div style><br></div>
<div style>- When you create a SG, you get a (default) visible outbound rule that allows everything</div><div style>- When you add/delete egress rules to the SG, the default rule is not affected.</div><div style><br></div>
<div style>Basically, in VPC SG outbound behavior, just as same as the inbound, the default is DROP. There's no implicit default behavior. <br></div><div style>You merely get the default rule to allow everything for default SG, as well as when you create another SG.</div>
<div style><br></div><div style>So, I'm wondering what the right behavior for Quantum SG. To me, amazon style seems easy to understand for user's perspective and easy to implement. And, I now slightly remember that there was a discussion about having amazon compatibility flag in OS summit.</div>
<div style><br></div><div style>I'd appreciate any comments. </div><div style><br></div><div style>Thanks,</div><div style>Tomoe</div><div style><br></div><div style><br></div><div style>[1] <a href="http://docs.openstack.org/trunk/openstack-network/admin/content/securitygroups.html">http://docs.openstack.org/trunk/openstack-network/admin/content/securitygroups.html</a><br>
</div><div style>[2]: <a href="http://www.slideshare.net/delapsley1/20120417-osdesignsummitsecuritygroupsdlapsleyfinal">http://www.slideshare.net/delapsley1/20120417-osdesignsummitsecuritygroupsdlapsleyfinal</a> , slide, 13. </div>
<div style>[3]: <a href="http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html">http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html</a><br></div><div style><br></div></div>