<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, May 3, 2019 at 4:11 PM Matt Riedemann <<a href="mailto:mriedemos@gmail.com">mriedemos@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 5/3/2019 3:35 PM, Balázs Gibizer wrote:<br>
> 2) Matt had a point after the session that if Neutron enforces that<br>
> only unbound port can be deleted then not only Nova needs to be changed<br>
> to unbound a port before delete it, but possibly other Neutron<br>
> consumers (Octavia?).<br>
<br>
And potentially Zun, there might be others, Magnum, Heat, idk?<br>
<br>
Anyway, this is a thing that has been around forever which admins <br>
shouldn't do, do we need to prioritize making this change in both <br>
neutron and nova to make two requests to delete a bound port? Or is just <br>
logging the ERROR that you've leaked allocations, tsk tsk, enough? I <br>
tend to think the latter is fine until someone comes along saying this <br>
is really hurting them and they have a valid use case for deleting bound <br>
ports out of band from nova.<br></blockquote><div><br></div><div>neutron deines a special role called "advsvc"  for advanced network services [1].</div><div>I think we can change neutron to block deletion of bound ports for regular users and</div><div>allow users with "advsvc" role to delete bound ports.</div><div>I haven't checked which projects currently use "advsvc".</div><div><br></div><div>[1] <a href="https://opendev.org/openstack/neutron/src/branch/master/neutron/conf/policies/port.py#L53-L59">https://opendev.org/openstack/neutron/src/branch/master/neutron/conf/policies/port.py#L53-L59</a></div><div> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
-- <br>
<br>
Thanks,<br>
<br>
Matt<br>
<br>
</blockquote></div></div>