<div dir="ltr">Hi,<div><br></div><div>General answer:</div><div>if you check your processes running on the host you will see which config files are used:</div><div>$ ps -ef |grep neutron-server<br></div><div>lajoska+ 32072     1  2 09:51 ?        00:00:03 /usr/bin/python3.6 /usr/local/bin/neutron-server --config-file /etc/neutron/neutron.conf --config-file /etc/neutron/plugins/ml2/ml2_conf.ini --config-file /etc/neutron/taas_plugin.ini<br></div><div>....</div><div><br></div><div>Similarly you can check your ovs-agent:</div><div>$ ps -ef |grep neutron-openvswitch-agent<br></div><div>....</div><div><br></div><div>For the documentation of the config files check the configuration reference:</div><div><a href="https://docs.openstack.org/neutron/latest/configuration/config.html">https://docs.openstack.org/neutron/latest/configuration/config.html</a> (this is the latest, so I suppose you need some older one like train or similar)<br></div><div><br></div><div>Regards</div><div>Lajos</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr"><<a href="mailto:ahmed.zaky.abdallah@gmail.com" target="_blank">ahmed.zaky.abdallah@gmail.com</a>> ezt írta (időpont: 2019. dec. 27., P, 15:42):<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div lang="FR"><div><p><span lang="EN-US">Thank you very much, Slawek.<u></u><u></u></span></p><p><span lang="EN-US"><u></u> <u></u></span></p><p><span lang="EN-US">In case I have multiple configuration files, how to know which one is currently loaded in neutron?<u></u><u></u></span></p><p><span lang="EN-US">For example, in my environment I have:<u></u><u></u></span></p><ul style="margin-top:0cm" type="disc"><li><span lang="EN-US">ml2_conf.ini<u></u><u></u></span></li><li><span style="font-size:9pt;font-family:"Lucida Console"">ml2_conf_odl.ini </span><span lang="EN-US"><u></u><u></u></span></li><li><span style="font-size:9pt;font-family:"Lucida Console"">ml2_conf_sriov.ini </span><span lang="EN-US"><u></u><u></u></span></li><li><span style="font-size:9pt;font-family:"Lucida Console"">openvswitch_agent.ini </span><span lang="EN-US"><u></u><u></u></span></li><li style="margin-left:0cm"><span style="font-size:9pt;font-family:"Lucida Console"">sriov_agent.ini<u></u><u></u></span></li></ul><p style="margin-left:36pt"><span lang="EN-US"><u></u> <u></u></span></p><p><span lang="EN-US"><u></u> <u></u></span></p><p class="MsoNormal"><span style="font-size:9pt;font-family:"Lucida Console"">[root@overcloud-controller-0 cbis-admin]# cd /etc/neutron/plugins/ml2/<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:9pt;font-family:"Lucida Console"">[root@overcloud-controller-0 ml2]# ls<u></u><u></u></span></p><p class="MsoNormal"><span style="font-size:9pt;font-family:"Lucida Console"">ml2_conf.ini  ml2_conf_odl.ini  ml2_conf_sriov.ini  openvswitch_agent.ini  sriov_agent.ini<u></u><u></u></span></p><p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p><p><span lang="EN-US"><u></u> <u></u></span></p><p><span lang="EN-US">Which one of these is used?<u></u><u></u></span></p><p><span lang="EN-US"><u></u> <u></u></span></p><p><span lang="EN-US">Cheers,<u></u><u></u></span></p><p><span lang="EN-US">Ahmed<u></u><u></u></span></p><p><span lang="EN-US"><u></u> <u></u></span></p><p><span lang="EN-US"><u></u> <u></u></span></p><p><span lang="EN-US"><u></u> <u></u></span></p><p><span lang="EN-US">-----Original Message-----<br>From: Slawek Kaplonski <<a href="mailto:skaplons@redhat.com" target="_blank">skaplons@redhat.com</a>> <br>Sent: Friday, December 27, 2019 10:28 AM<br>To: <a href="mailto:ahmed.zaky.abdallah@gmail.com" target="_blank">ahmed.zaky.abdallah@gmail.com</a><br>Cc: <a href="mailto:openstack-discuss@lists.openstack.org" target="_blank">openstack-discuss@lists.openstack.org</a><br>Subject: Re: About the use of security groups with neutron ports</span><span lang="EN-US"><u></u><u></u></span></p><p><span lang="EN-US"><u></u> <u></u></span></p><p><span lang="EN-US">Hi,<u></u><u></u></span></p><p><span lang="EN-US"><u></u> <u></u></span></p><p><span lang="EN-US">> On 27 Dec 2019, at 00:14, </span><a href="mailto:ahmed.zaky.abdallah@gmail.com" target="_blank"><span lang="EN-US" style="color:windowtext;text-decoration:none">ahmed.zaky.abdallah@gmail.com</span></a><span lang="EN-US"> wrote:<u></u><u></u></span></p><p><span lang="EN-US">> <u></u><u></u></span></p><p><span lang="EN-US">> Hi All,<u></u><u></u></span></p><p><span lang="EN-US">>  <u></u><u></u></span></p><p><span lang="EN-US">> I am trying to wrap my head around something I came across in one of the OpenStack deployments. I am running Telco VNFs one of them is having different VMs using SR-IOV interfaces. <u></u><u></u></span></p><p><span lang="EN-US">>  <u></u><u></u></span></p><p><span lang="EN-US">> On one of my VNFs on Openstack, I defined a wrong IPv6 Gm bearer interface to be exactly the same as the IPv6 Gateway. As I hate re-onboarding, I decided to embark on a journey of changing the IPv6 of the Gm bearer interface manually on the application side, everything went on fine.<u></u><u></u></span></p><p><span lang="EN-US">>  <u></u><u></u></span></p><p><span lang="EN-US">> After two weeks, my customer started complaining about one way RTP flow. The customer was reluctant to blame the operation I carried out because everything worked smooth after my modification. <u></u><u></u></span></p><p><span lang="EN-US">> After days of investigation, I remembered that I have port-security enabled and this means AAP “Allowed-Address-Pairs” are defined per vPort (AAP contain the floating IP address of the VM so that  the security to allow traffic to and from this VIP). I gave it a try and edited AAP “Allowed-Address-Pairs” to include the correct new IPv6 address. Doing that everything started working fine.<u></u><u></u></span></p><p><span lang="EN-US">>  <u></u><u></u></span></p><p><span lang="EN-US">> The only logical explanation at that time is security group rules are really invoked. <u></u><u></u></span></p><p><span lang="EN-US">>  <u></u><u></u></span></p><p><span lang="EN-US">> Now, I am trying to understand how the iptables are really invoked. I did some digging and it seems like we can control the firewall drivers on two levels:<u></u><u></u></span></p><p><span lang="EN-US">>  <u></u><u></u></span></p><p><span lang="EN-US">>             • Nova compute <u></u><u></u></span></p><p><span lang="EN-US">>             • ML2 plugin<u></u><u></u></span></p><p><span lang="EN-US">>  <u></u><u></u></span></p><p><span lang="EN-US">> I was curious to check nova.conf and it has already the following line: firewall_driver=nova.virt.firewall.NoopFirewallDriver<u></u><u></u></span></p><p><span lang="EN-US">>  <u></u><u></u></span></p><p><span lang="EN-US">> However, checking the ml2 plugin configuration, the following is found:<u></u><u></u></span></p><p><span lang="EN-US">>  <u></u><u></u></span></p><p><span lang="EN-US">>     230 [securitygroup]<u></u><u></u></span></p><p><span lang="EN-US">>     231<u></u><u></u></span></p><p><span lang="EN-US">>     232 #<u></u><u></u></span></p><p><span lang="EN-US">>     233 # From neutron.ml2<u></u><u></u></span></p><p><span lang="EN-US">>     234 #<u></u><u></u></span></p><p><span lang="EN-US">>     235<u></u><u></u></span></p><p><span lang="EN-US">>     236 # Driver for security groups firewall in the L2 agent (string value)<u></u><u></u></span></p><p><span lang="EN-US">>     237 #firewall_driver = <None><u></u><u></u></span></p><p><span lang="EN-US">>     238 firewall_driver = openvswitch<u></u><u></u></span></p><p><span lang="EN-US">>  <u></u><u></u></span></p><p><span lang="EN-US">> So, I am jumping to a conclusion that ml2 plugin is the one responsible for enforcing the firewall rules in my case.<u></u><u></u></span></p><p><span lang="EN-US">>  <u></u><u></u></span></p><p><span lang="EN-US">> Have you had a similar experience?<u></u><u></u></span></p><p><span lang="EN-US">> Is my assumption correct: If I comment out the ml2 plugin firewall driver then the port security carries no sense at all and security groups won’t be invoked?<u></u><u></u></span></p><p><span lang="EN-US"><u></u> <u></u></span></p><p><span lang="EN-US">Firewall_driver config option has to be set to some value. You can set “noop” as firewall_driver to completely disable this feature for all ports.<u></u><u></u></span></p><p><span lang="EN-US">But please remember that You need to set it on agent’s side so it’s on compute nodes, not on neutron-server side.<u></u><u></u></span></p><p><span lang="EN-US">Also, if You want to disable it only for some ports, You can set “port_security_enabled” to False and than SG will not be applied for such port and You will not need to configure any additional IPs in allowed address pairs for this port.<u></u><u></u></span></p><p><span lang="EN-US"><u></u> <u></u></span></p><p><span lang="EN-US">>  <u></u><u></u></span></p><p><span lang="EN-US">> Cheers,<u></u><u></u></span></p><p><span lang="EN-US">> Ahmed<u></u><u></u></span></p><p><span lang="EN-US"><u></u> <u></u></span></p><p><span lang="EN-US">— <u></u><u></u></span></p><p><span lang="EN-US">Slawek Kaplonski<u></u><u></u></span></p><p><span lang="EN-US">Senior software engineer<u></u><u></u></span></p><p>Red Hat<u></u><u></u></p><p><u></u> <u></u></p></div></div></blockquote></div>