<div dir="auto">Hi, I think the problem is the migration from iptables_hybrid  to openvswitch firewall :<div dir="auto"><a href="https://docs.openstack.org/neutron/rocky/contributor/internals/openvswitch_firewall.html">https://docs.openstack.org/neutron/rocky/contributor/internals/openvswitch_firewall.html</a><br></div><div dir="auto">Thanks</div><div dir="auto">Ignazio</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Il Dom 8 Mar 2020, 15:07 Slawek Kaplonski <<a href="mailto:skaplons@redhat.com">skaplons@redhat.com</a>> ha scritto:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
> On 7 Mar 2020, at 21:45, Ignazio Cassano <<a href="mailto:ignaziocassano@gmail.com" target="_blank" rel="noreferrer">ignaziocassano@gmail.com</a>> wrote:<br>
> <br>
> Slawek, forgive me if I take advantage of  your patience.<br>
> <br>
> Before rebooting nodes,  I modified nodes and controllers with security groups logs, modifying neutron.conf, ml2 and openvswitch agents, moving from iptables_hybrid to openvswitch firewall etc etc.....<br>
> I only restarted neutron components and before rebooting nodes and controllers, I saw security groups logs and I was able to migrate instances.<br>
> Why after rebooting not ?<br>
<br>
To be honest I don’t know why it’s like that. You probably will need to give more info there, what errors You have exactly during the migration.<br>
<br>
> And, please, what about “multiple port bindings” ?<br>
<br>
Spec for this feature is at <a href="https://specs.openstack.org/openstack/neutron-specs/specs/ocata/portbinding_information_for_nova.html" rel="noreferrer noreferrer" target="_blank">https://specs.openstack.org/openstack/neutron-specs/specs/ocata/portbinding_information_for_nova.html</a> - You should find more details about it there.<br>
<br>
> <br>
> Thanks<br>
> Ignazio<br>
> <br>
> <br>
> <br>
> Il giorno sab 7 mar 2020 alle ore 19:02 Slawek Kaplonski <<a href="mailto:skaplons@redhat.com" target="_blank" rel="noreferrer">skaplons@redhat.com</a>> ha scritto:<br>
> Hi,<br>
> <br>
> > On 7 Mar 2020, at 18:45, Ignazio Cassano <<a href="mailto:ignaziocassano@gmail.com" target="_blank" rel="noreferrer">ignaziocassano@gmail.com</a>> wrote:<br>
> > <br>
> > Hello, I have  queens installation based on centos7.<br>
> > <br>
> > Before implementing security groups logs, I had the following configuration in <br>
> > /etc/neutron/plugins/ml2/openvswitch_agent.ini:<br>
> > <br>
> > firewall_driver = iptables_hybrid<br>
> > <br>
> > <br>
> > Enabling security groups log I had to change it in :<br>
> > <br>
> > firewall_driver = openvswitch<br>
> > <br>
> > <br>
> > It seems to work end security logs are logged .<br>
> > After restarting kvm nodes and controllers, virtual machines do not live migrate.<br>
> > The firewall driver change could be the cause of my problem ?<br>
> <br>
> Yes, In queens there wasn’t yet migration between various firewall drivers so that can be an issue. It should works fine since Rocky release with “multiple port bindings” feature.<br>
> <br>
> > firewall_driver = openvswitch is mandatory for security groups log ?<br>
> <br>
> Yes, logging isn’t supported by iptables_hybrid driver.<br>
> <br>
> > <br>
> > Please, any help ?<br>
> > <br>
> > <br>
> > I cannot reproduce the problem  rebooting all my nodes.<br>
> > I rebooted them because I hat to transfer from a rack to another.<br>
> > <br>
> > Ignazio<br>
> > <br>
> > <br>
> <br>
> — <br>
> Slawek Kaplonski<br>
> Senior software engineer<br>
> Red Hat<br>
> <br>
<br>
— <br>
Slawek Kaplonski<br>
Senior software engineer<br>
Red Hat<br>
<br>
</blockquote></div>