<div dir="ltr"><div>Greetings, Comments in-line.</div><div><br></div><div>Thanks,</div><div><br></div><div>-Julia<br></div><div><br><div class="gmail_quote"><div dir="ltr">On Sat, Sep 29, 2018 at 11:27 PM Moshe Levi <<a href="mailto:moshele@mellanox.com">moshele@mellanox.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div link="blue" vlink="purple" lang="EN-US">
<div class="m_6862800552660531478WordSection1">
<p class="MsoNormal">Hi Julia, </p>
<p class="MsoNormal"> </p>
<p class="MsoNormal">I don't mind to update the ironic spec [1]. Unfortunately, I wasn't in the PTG but I had a sync meeting with Isuku.</p>
<p class="MsoNormal"> </p>
<p class="MsoNormal">As I see it there is 2 use-cases:</p>
<ol style="margin-top:0cm" start="1" type="1">
<li class="m_6862800552660531478MsoListParagraph" style="margin-left:18.0pt">Running the neutron ovs agent in the smartnic</li><li class="m_6862800552660531478MsoListParagraph" style="margin-left:18.0pt">Running the neutron super ovs agent which manage the ovs running on the smartnic.</li></ol></div></div></blockquote><div><br></div><div>My takeaway from the meeting with neutron is that there would not be a neutron ovs agent running on the smartnic. That the configuration would need to be pushed at all times, which is ultimately better security wise if the tenant NIC is somehow compromised it reduces the control plane exposure.</div><div> <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div link="blue" vlink="purple" lang="EN-US"><div class="m_6862800552660531478WordSection1"><ol style="margin-top:0cm" start="1" type="1"><li class="m_6862800552660531478MsoListParagraph" style="margin-left:18.0pt"><br></li></ol>
<p class="MsoNormal"> </p>
<p class="MsoNormal">It seem that most of the discussion was around the second use-case.</p></div></div></blockquote></div><div class="gmail_quote"><br></div><div class="gmail_quote">By the time Ironic and Neutron met together, it seemed like the first use case was no longer under consideration. I may be wrong, but very strong preference existed for the second scenario when we met the next day.<br></div><div class="gmail_quote"><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div link="blue" vlink="purple" lang="EN-US"><div class="m_6862800552660531478WordSection1"><p class="MsoNormal"><u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">This is my understanding on the ironic neutron PTG meeting:<u></u><u></u></p>
<ol style="margin-top:0cm" start="1" type="1">
<li class="m_6862800552660531478MsoListParagraph" style="margin-left:0cm">Ironic cores don't want to change the deployment interface as proposed in [1].<u></u><u></u></li><li class="m_6862800552660531478MsoListParagraph" style="margin-left:0cm">We should  a new network_interface for use case 2. But what about the first use case? Should it be a new network_interface as well?<u></u><u></u></li><li class="m_6862800552660531478MsoListParagraph" style="margin-left:0cm">We should delay the port binding until the baremetal is powered on the ovs is running.<u></u><u></u>
<ol style="margin-top:0cm" start="1" type="a">
<li class="m_6862800552660531478MsoListParagraph" style="margin-left:0cm">For the first use case I was thinking to change the neutron server to just keep the port binding information in the neutron DB. Then when the neutron ovs agent is a live it will retrieve
 all the baremeal port , add them to the ovsdb and start the neutron ovs agent fullsync.<u></u><u></u></li><li class="m_6862800552660531478MsoListParagraph" style="margin-left:0cm">For the second use case the agent is alive so the agent itself can monitor the ovsdb of the baremetal and configure it when it up<u></u><u></u></li></ol>
</li><li class="m_6862800552660531478MsoListParagraph" style="margin-left:0cm">How to notify that neutron agent successfully/unsuccessfully bind the port ?<u></u><u></u>
<ol style="margin-top:0cm" start="1" type="a">
<li class="m_6862800552660531478MsoListParagraph" style="margin-left:0cm">In both use-cases we should use neutron-ironic notification to make sure the port binding was done successfully.<u></u><u></u></li></ol>
</li></ol>
<p class="MsoNormal"><u></u> <u></u></p>
<p class="MsoNormal">Is my understanding correct?<u></u><u></u></p>
<p class="MsoNormal"><br></p></div></div></blockquote><div>Not quite.</div><div><br></div><div>1) We as in Ironic recognize that there would need to be changes, it is the method as to how that we would prefer to be explicit and have chosen by the interface. The underlying behavior needs to be different, and the new network_interface should support both cases 1 and 2 because that interface contain needed logic for the conductor to determine the appropriate path forward. We should likely also put some guards in to prevent non-smart interfaces from being used in the same configuration due to the security issues that creates.</div><div>3) I believe this would be more of a matter of the network_interface knowing that the machine is powered up, and attempting to assert configuration through Neutron to push configuration to the smartnic.</div><div>3a) The consensus is that the information to access the smartnic is hardware configuration metadata and that ironic should be the source of truth for information about that hardware. The discussion was push that as needed into neutron to help enable the attachment. I proposed just including it in the binding profile as a possibility, since it is transient information.</div><div>3b) As I understood it, this would ultimately be the default operating behavior.<br></div><div>4) Was not discussed, but something along the path is going to have to check and retry as necessary. That item could be in the network_interface code.</div><div>4a) This doesn't exist yet.<br></div><div> <br>
</div></div></div></div>