<div>Hi Sumit,</div>
<div> </div>
<div>So all the other Network Services like LBaaS, VPNaaS as well also has to support  implicit and explicit  'Commit' modes for configuration.</div>
<div><br>It is certainly a good idea to support implicit and explicit modes. It is good if all the other network services also follows the same.</div>
<div> </div>
<div>regards,</div>
<div>balaji<br></div>
<div class="gmail_quote">On Sat, Aug 3, 2013 at 7:13 AM, Sumit Naiksatam <span dir="ltr"><<a href="mailto:sumitnaiksatam@gmail.com" target="_blank">sumitnaiksatam@gmail.com</a>></span> wrote:<br>
<blockquote style="BORDER-LEFT:#ccc 1px solid;MARGIN:0px 0px 0px 0.8ex;PADDING-LEFT:1ex" class="gmail_quote">Hi All,<br><br>In Neutron Firewall as a Service (FWaaS), we currently support an<br>implicit commit mode, wherein a change made to a firewall_rule is<br>
propagated immediately to all the firewalls that use this rule (via<br>the firewall_policy association), and the rule gets applied in the<br>backend firewalls. This might be acceptable, however this is different<br>from the explicit commit semantics which most firewalls support.<br>
Having an explicit commit operation ensures that multiple rules can be<br>applied atomically, as opposed to in the implicit case where each rule<br>is applied atomically and thus opens up the possibility of security<br>holes between two successive rule applications.<br>
<br>So the proposal here is quite simple -<br><br>* When any changes are made to the firewall_rules<br>(added/deleted/updated), no changes will happen on the firewall (only<br>the corresponding firewall_rule resources are modified).<br>
<br>* We will support an explicit commit operation on the firewall<br>resource. Any changes made to the rules since the last commit will now<br>be applied to the firewall when this commit operation is invoked.<br><br>* A show operation on the firewall will show a list of the currently<br>
committed rules, and also the pending changes.<br><br>Kindly respond if you have any comments on this.<br><br>Thanks,<br>~Sumit.<br><br>_______________________________________________<br>OpenStack-dev mailing list<br><a href="mailto:OpenStack-dev@lists.openstack.org">OpenStack-dev@lists.openstack.org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br></blockquote></div><br>