<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On 1 March 2016 at 14:52, Kevin Benton <span dir="ltr"><<a href="mailto:kevin@benton.pub" target="_blank">kevin@benton.pub</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi,<div><br></div><div>I know this has come up in the past, but some folks in the infra channel brought up the topic of changing the default security groups to allow all traffic.</div><div><br></div><div>They had a few reasons for this that I will try to summarize here:</div><div>* Ports 'just work' out of the box so there is no troubleshooting to eventually find out that ingress is blocked by default. </div></div></blockquote><div><br></div><div>What troubleshooting? If users were educated enough they would know that's the behavior to expect.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>* Instances without ingress are useless so a bunch of API calls are required to make them useful.</div></div></blockquote><div><br></div><div>There are not. Besides, you're justing solving a problem to create another: a bunch of API calls to close ingress traffic!</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>* Some cloud providers allow all traffic by default (e.g. Digital Ocean, RAX).</div></div></blockquote><div><br></div><div>IMO, I think that's a loophole that should be closed. We should all strive to make OpenStack clouds behave alike.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>* It violates the end-to-end principle of the Internet to have a middle-box meddling with traffic (the compute node in this case).</div><div>* Neutron cannot be trusted to do what it says it's doing with the security groups API so users want to orchestrate firewalls directly on their instances.</div></div></blockquote><div><br></div><div>On what basis you're justifying these two last claims?</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><br></div><div><br></div><div>So this ultimately brings up two big questions. First, can we agree on a set of defaults that is different than the one we have now; and, if so, how could we possibly manage upgrades where this will completely change the default filtering for users using the API?</div><div><br></div><div>Second, would it be acceptable to make this operator configurable? This would mean users could receive different default filtering as they moved between clouds.</div></div></blockquote><div><br></div><div>A user can customize his/her own security groups rules ahead of booting instances, for all instances. Why wouldn't that suffice to address your needs?</div><div> <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><br></div><div><br></div><div>Cheers,</div><div>Kevin Benton</div></div>
<br>__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
<br></blockquote></div><br></div></div>