<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">
<div><font color="#ff0000"><font face="Calibri,sans-serif">Comments in red. I'm tired, so hopefully most of what I say makes sense. :)</font></font></div>
<div style="font-family: Calibri, sans-serif; font-size: 14px; color: rgb(0, 0, 0); ">
<br>
</div>
<span id="OLK_SRC_BODY_SECTION" style="font-family: Calibri, sans-serif; font-size: 14px; color: rgb(0, 0, 0); ">
<div style="font-family:Calibri; font-size:11pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">
<span style="font-weight:bold">From: </span>Stephen Balukoff <<a href="mailto:sbalukoff@bluebox.net">sbalukoff@bluebox.net</a>><br>
<span style="font-weight:bold">Reply-To: </span>"OpenStack Development Mailing List (not for usage questions)" <<a href="mailto:openstack-dev@lists.openstack.org">openstack-dev@lists.openstack.org</a>><br>
<span style="font-weight:bold">Date: </span>Thursday, May 1, 2014 7:48 PM<br>
<span style="font-weight:bold">To: </span>"OpenStack Development Mailing List (not for usage questions)" <<a href="mailto:openstack-dev@lists.openstack.org">openstack-dev@lists.openstack.org</a>><br>
<span style="font-weight:bold">Subject: </span>Re: [openstack-dev] [Neutron][LBaaS] Use-Cases with VPNs Distinction<br>
</div>
<div><br>
</div>
<div>
<div>
<div dir="ltr">Hi Trevor,
<div><br>
</div>
<div>I was the one who wrote that use case based on discussion that came out of the question I wrote the list last week about SSL re-encryption:  Someone had stated that sometimes pool members are local, and sometimes they are hosts across the internet, accessible
 either through the usual default route, or via a VPN tunnel.</div>
<div><br>
</div>
<div>The point of this use case is to make the distinction that if we associate a neutron_subnet with the pool (rather than with the member), then some members of the pool that don't exist in that neutron_subnet might not be accessible from that neutron_subnet.
  However, if the behavior of the system is such that attempting to reach a host through the subnet's "default route" still works (whether that leads to communication over a VPN or the usual internet routes), then this might not be a problem.</div>
</div>
</div>
</div>
</span>
<div style="font-family: Calibri, sans-serif; font-size: 14px; "><br>
</div>
<div><font color="#ff0000"><font face="Calibri,sans-serif">Right, we list a subnet that theoretically most of the pool members use, but it's not STRICTLY enforced. As long as there is a route out from the host, they should work (and assuming your VIP is public,
 you will have a route to the internet, so any external member should be fine). Really, the subnet is just used as a hint for for assigning VIFs to whatever device is handling the load balancing (e.g., if the LB is HAProxy running on a Nova VM, we will know
 to create the VM with an IP on the VIP's subnet and an IP on the Pool's subnet).</font></font></div>
<span id="OLK_SRC_BODY_SECTION" style="font-family: Calibri, sans-serif; font-size: 14px; color: rgb(0, 0, 0); ">
<div>
<div>
<div dir="ltr">
<div><br>
</div>
<div>The other option is to associate the neutron_subnet with a pool member. But in this case there might be problems too. Namely:</div>
<div>
<ul>
<li>The device or software that does the load balancing may need to have an interface on each of the member subnets, and presumably an IP address from which to originate requests.<br>
</li><li>How does one resolve cases where subnets have overlapping IP ranges?</li></ul>
</div>
</div>
</div>
</div>
</span>
<div><font color="#ff0000">This would also work, and is more flexible, in the case that you wanted members that are on multiple private subnets. When deciding which VIFs to assign a machine, you'd just make a set of subnet_ids from all members, and assign one
 VIF for each. As for overlapping IP ranges, I honestly don't think this needs to be a use-case we should consider. If you're setting up your network topology using overlapping CIDRs, you deserve whatever messed up result you get. I don't think there's ANY
 way to handle that properly, just given how routing works on the machine…</font></div>
<div><font color="#ff0000"><br>
</font></div>
<span id="OLK_SRC_BODY_SECTION" style="font-family: Calibri, sans-serif; font-size: 14px; color: rgb(0, 0, 0); ">
<div>
<div>
<div dir="ltr">
<div>
<div>In the end, it may be simpler not to associate neutron_subnet with a pool at all. Maybe it only makes sense to do this for a VIP, and then the assumption would be that any member addresses one adds to pools must be accessible from the VIP subnet.  (Which
 is easy, if the VIP exists on the same neutron_subnet. But this might require special routing within Neutron itself if it doesn't.)</div>
</div>
</div>
</div>
</div>
</span>
<div><br>
</div>
<div><font color="#ff0000">I don't think it's safe to assume all members are accessible on the same subnet as the VIP, as I'd assume the
<span style="font-weight: bold; ">most common use case</span> would actually be a VIP on a public network and members on private networks. We will need the subnet_id
<span style="font-weight: bold; ">somewhere</span>.</font></div>
<span id="OLK_SRC_BODY_SECTION" style="font-family: Calibri, sans-serif; font-size: 14px; color: rgb(0, 0, 0); ">
<div>
<div>
<div dir="ltr">
<div><br>
</div>
<div>This topology question (ie. what is feasible, what do people actually want to do, and what is supported by the model) is one of the more difficult ones to answer, especially given that users of OpenStack that I've come in contact with barely understand
 the Neutron networking model, if at all.</div>
<div><br>
</div>
<div>In our case, we don't actually have any users in the scenario of having members spread across different subnets that might not be be routable, so the use case is somewhat contrived, but I thought it was worth mentioning based on what people were saying
 in the SSL re-encryption discussion last week.</div>
</div>
</div>
</div>
</span>
<div><br>
</div>
<div><font color="#ff0000">I believe one of the things we were really hoping to do is exactly that — allow member nodes to be on private networks so they are only accessible to the public via the public VIP. I'd recommend we maintain this case (at least, allowing
 ONE private subnet, so at a minimum attaching subnet_id to the pool)</font><span style="color: rgb(255, 0, 0); ">.</span></div>
<div><span style="color: rgb(255, 0, 0); "><br>
</span></div>
<div><span style="color: rgb(255, 0, 0); ">    --Adam</span></div>
<span id="OLK_SRC_BODY_SECTION" style="font-family: Calibri, sans-serif; font-size: 14px; color: rgb(0, 0, 0); ">
<div>
<div>
<div class="gmail_extra"><br>
<br>
<div class="gmail_quote">On Thu, May 1, 2014 at 1:52 PM, Trevor Vardeman <span dir="ltr">
<<a href="mailto:trevor.vardeman@rackspace.com" target="_blank">trevor.vardeman@rackspace.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hello,<br>
<br>
After going back through the use-cases to double check some of my<br>
understanding, I realized I didn't quite understand the ones I had<br>
already answered.  I'll use a specific use-case as an example of my<br>
misunderstanding here, and hopefully the clarification can be easily<br>
adapted to the rest of the use-cases that are similar.<br>
<br>
Use Case 13:  A project-user has an HTTPS application in which some of<br>
the back-end servers serving this application are in the same subnet,<br>
and others are across the internet, accessible via VPN. He wants this<br>
HTTPS application to be available to web clients via a single IP<br>
address.<br>
<br>
In this use-case, is the Load Balancer going to act as a node in the<br>
VPN?  What I mean here, is the Load Balancer supposed to establish a<br>
connection to this VPN for the client, and simulate itself as a computer<br>
on the VPN?  If this is not the case, wouldn't the VPN have a subnet ID,<br>
and simply be added to a pool during its creation?  If the latter is<br>
accurate, would this not just be a basic HTTPS Load Balancer creation?<br>
After looking through the VPNaaS API, you would provide a subnet ID to<br>
the create VPN service request, and it establishes a VPN on said subnet.<br>
Couldn't this be provided to the Load Balancer pool as its subnet?<br>
<br>
Forgive me for requiring so much distinction here, but what may be clear<br>
to the creator of this use-case, it has left me confused.  This same<br>
type of clarity would be very helpful across many of the other<br>
VPN-related use-cases.  Thanks again!<br>
<br>
-Trevor<br>
_______________________________________________<br>
OpenStack-dev mailing list<br>
<a href="mailto:OpenStack-dev@lists.openstack.org">OpenStack-dev@lists.openstack.org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
</blockquote>
</div>
<br>
<br clear="all">
<div><br>
</div>
-- <br>
<span></span>Stephen Balukoff <br>
Blue Box Group, LLC <br>
(800)613-4305 x807 </div>
</div>
</div>
</span>
</body>
</html>