<div dir="ltr"><div><div>Hi Sumit, <br><br></div>Neutron has a concept of a bulk 
creation where multiple things can be created in one api request rather 
that N (and then be implemented atomically on the backend). In my 
opinion, I think it would be better to implement a bulk update/delete 
operation rather than a commit. I think that having something like this 
that is generic could be useful to other api's in neutron.<br><br>I do 
agree that one has to keep track of the order they are 
changing/adding/delete rules so that they don't allow two things to 
communicate that shouldn't be allowed to. If someone wanted to perform 
this type of bulk atomic change now could they create a new profile with
 the rules they desire and then switch out which profile is attached to 
the firewall? <br><br>Best,<br><br></div>Aaron</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Aug 7, 2013 at 3:40 PM, Sumit Naiksatam <span dir="ltr"><<a href="mailto:sumitnaiksatam@gmail.com" target="_blank">sumitnaiksatam@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">We had some discussion on this during the Neutron IRC meeting, and per<br>
that discussion I have created a blueprint for this:<br>
<a href="https://blueprints.launchpad.net/neutron/+spec/neutron-fwaas-explicit-commit" target="_blank">https://blueprints.launchpad.net/neutron/+spec/neutron-fwaas-explicit-commit</a><br>
<br>
Further comments can be posted on the blueprint whiteboard and/or the<br>
design spec doc.<br>
<br>
Thanks,<br>
~Sumit.<br>
<div class="HOEnZb"><div class="h5"><br>
On Fri, Aug 2, 2013 at 6:43 PM, Sumit Naiksatam<br>
<<a href="mailto:sumitnaiksatam@gmail.com">sumitnaiksatam@gmail.com</a>> wrote:<br>
> Hi All,<br>
><br>
> In Neutron Firewall as a Service (FWaaS), we currently support an<br>
> implicit commit mode, wherein a change made to a firewall_rule is<br>
> propagated immediately to all the firewalls that use this rule (via<br>
> the firewall_policy association), and the rule gets applied in the<br>
> backend firewalls. This might be acceptable, however this is different<br>
> from the explicit commit semantics which most firewalls support.<br>
> Having an explicit commit operation ensures that multiple rules can be<br>
> applied atomically, as opposed to in the implicit case where each rule<br>
> is applied atomically and thus opens up the possibility of security<br>
> holes between two successive rule applications.<br>
><br>
> So the proposal here is quite simple -<br>
><br>
> * When any changes are made to the firewall_rules<br>
> (added/deleted/updated), no changes will happen on the firewall (only<br>
> the corresponding firewall_rule resources are modified).<br>
><br>
> * We will support an explicit commit operation on the firewall<br>
> resource. Any changes made to the rules since the last commit will now<br>
> be applied to the firewall when this commit operation is invoked.<br>
><br>
> * A show operation on the firewall will show a list of the currently<br>
> committed rules, and also the pending changes.<br>
><br>
> Kindly respond if you have any comments on this.<br>
><br>
> Thanks,<br>
> ~Sumit.<br>
<br>
_______________________________________________<br>
OpenStack-dev mailing list<br>
<a href="mailto:OpenStack-dev@lists.openstack.org">OpenStack-dev@lists.openstack.org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
</div></div></blockquote></div><br></div>