<div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">Ășt 17. 10. 2017 v 13:06 odesĂ­latel Dan Prince <<a href="mailto:dprince@redhat.com">dprince@redhat.com</a>> napsal:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Tue, 2017-10-17 at 10:06 +0000, milanisko k wrote:<br>
><br>
> Does it mean dnsmasq was run from a stand-alone container?<br>
<br>
Yes. There are separate containers for the ironic-inspector and<br>
dnsmasq.<br>
<br>
><br>
> Could you please point me (in the patch probably) to the spot where<br>
> we configure inspector container to be able to talk to the iptables<br>
> to filter the DHCP traffic for dnsmasq?<br>
<br>
Both services (ironic-inspector and dnsmasq) are using --net=host and<br>
--privileged. This essentially has them on the same shared host network<br>
thus the services can interact with the same iptables rules.<br>
<br>
><br>
> I guess this configuration binds the dnsmasq container to be<br>
> "scheduled" together with inspector container on the same node<br>
> (because of the iptables).<br>
<br>
Both services are controlled via the same Heat template and as such<br>
even though they are in separate containers we can guarantee they<br>
should always get launched on the same machine.<br></blockquote><div><br></div><div>How about the shared container? Wouldn't it be better not have to rely on t-h-t especially if we're "scheduling" (and probably configuring) the services as a single logical entity? Also would allow us to get rid of iptables and better encapsulate the inspector services.</div><div><br></div><div>--</div><div>milan</div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
Dan<br>
<br>
__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
</blockquote></div></div>