<div dir="auto">Hu Jakub, migrating vm from a not with hybrid_itatabes ti a node switched on openvswitch works fine . The problem is this migration create the qbr on the mode switched to openvswitch.<div dir="auto">But when I switch another compute node to openvswitch and I try to live migrate the same vm (openvswitch to qopenswitch) it does not work because the qbr presence.</div><div dir="auto">I verified on nova logs.</div><div dir="auto">Ignazio</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Il Gio 12 Mar 2020, 23:15 Jakub Libosvar <<a href="mailto:jlibosva@redhat.com">jlibosva@redhat.com</a>> ha scritto:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 12/03/2020 11:38, Ignazio Cassano wrote:<br>
> Hello All, I am facing some problems migrating from iptables_hybrid<br>
> frirewall to openvswitch firewall on centos 7 queens,<br>
> I am doing this because I want enable security groups logs which require<br>
> openvswitch firewall.<br>
> I would like to migrate without restarting my instances.<br>
> I startded moving all instances from compute node 1.<br>
> Then I configured openvswitch firewall on compute node 1,<br>
> Instances migrated from compute node 2 to compute node 1 without problems.<br>
> Once the compute node 2 was empty, I migrated it to openvswitch.<br>
> But now instances does not migrate from node 1 to node 2 because it<br>
> requires the presence of qbr bridge on node 2<br>
> <br>
> This happened because migrating instances from node2 with iptables_hybrid<br>
> to compute node 1 with openvswitch, does not put the tap under br-int as<br>
> requested by  openvswich firewall, but qbr is still present on compute node<br>
> 1.<br>
> Once I enabled openvswitch on compute node 2, migration from compute node 1<br>
> fails because it exprects qbr on compute node 2 .<br>
> So I think I should moving on the fly tap interfaces from qbr to br-int on<br>
> compute node 1 before migrating to compute node 2 but it is a huge work on<br>
> a lot of instances.<br>
> <br>
> Any workaround, please ?<br>
> <br>
> Ignazio<br>
> <br>
<br>
I may be a little outdated here but to the best of my knowledge there<br>
are two ways how to migrate from iptables to openvswitch.<br>
<br>
1) If you don't mind the intermediate linux bridge and you care about<br>
logs, you can just change the config file on compute node to start using<br>
openvswitch firewall and restart the ovs agent. That should trigger a<br>
mechanism that deletes iptables rules and starts using openflow rules.<br>
It will leave the intermediate bridge there but except the extra hop in<br>
networking stack, it doesn't mind.<br>
<br>
2) With multiple-port binding feature, what you described above should<br>
be working. I know Miguel spent some time working on that so perhaps he<br>
has more information about which release it should be functional at, I<br>
think it was Queens. Not sure if any Nova work was required to make it work.<br>
<br>
Hope that helps.<br>
Kuba<br>
<br>
<br>
<br>
</blockquote></div>