<div dir="auto">How can I do that?<div dir="auto">Where I must write the exact process?</div><div dir="auto">Ignazio</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Il Ven 13 Mar 2020, 18:59 James Denton <<a href="mailto:james.denton@rackspace.com">james.denton@rackspace.com</a>> ha scritto:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">





<div lang="EN-US" link="blue" vlink="purple">
<div class="m_442347973960771972WordSection1">
<p class="MsoNormal">Thanks for the update! If you can work out the exact process for someone else to follow, I’m sure the docs team would appreciate your input!<u></u><u></u></p>
<p class="MsoNormal"><u></u> <u></u></p>
<div>
<p class="MsoNormal">James <u></u><u></u></p>
</div>
<p class="MsoNormal"><u></u> <u></u></p>
<div style="border:none;border-top:solid #b5c4df 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span style="font-size:12.0pt;color:black">From: </span></b><span style="font-size:12.0pt;color:black">Ignazio Cassano <<a href="mailto:ignaziocassano@gmail.com" target="_blank" rel="noreferrer">ignaziocassano@gmail.com</a>><br>
<b>Date: </b>Friday, March 13, 2020 at 1:38 PM<br>
<b>To: </b>Slawek Kaplonski <<a href="mailto:skaplons@redhat.com" target="_blank" rel="noreferrer">skaplons@redhat.com</a>><br>
<b>Cc: </b>James Denton <<a href="mailto:james.denton@rackspace.com" target="_blank" rel="noreferrer">james.denton@rackspace.com</a>>, openstack-discuss <<a href="mailto:openstack-discuss@lists.openstack.org" target="_blank" rel="noreferrer">openstack-discuss@lists.openstack.org</a>><br>
<b>Subject: </b>Re: [qeeens][neutron] migrating from iptables_hybrid to openvswitch<u></u><u></u></span></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div style="border:solid #9c6500 1.0pt;padding:2.0pt 2.0pt 2.0pt 2.0pt">
<p class="MsoNormal" style="line-height:12.0pt;background:#ffeb9c"><b><span style="font-size:10.0pt;color:#9c6500">CAUTION:</span></b><span style="font-size:10.0pt;color:black"> This message originated externally, please use caution when clicking on links or
 opening attachments!<u></u><u></u></span></p>
</div>
<p class="MsoNormal"><u></u> <u></u></p>
<div>
<div>
<div>
<p class="MsoNormal">Hi All,  first of all I want to thank everyone for help me.<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">I I tried all your suggestions but without rebooting instances does not work.
<u></u><u></u></p>
<div>
<p class="MsoNormal">The following steps do the job well:<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">- evacuate node A and switch to openvswitch<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">- migrate (no live) instances from node B<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">- switch node B to openvswitch but before activating the agent, clean Its openswitch entries otherwhise live migration from node A does not work<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">- and so on for all remaing nodes<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal">Ignazio<u></u><u></u></p>
</div>
</div>
<p class="MsoNormal"><u></u> <u></u></p>
<div>
<div>
<p class="MsoNormal">Il Gio 12 Mar 2020, 22:22 Slawek Kaplonski <<a href="mailto:skaplons@redhat.com" target="_blank" rel="noreferrer">skaplons@redhat.com</a>> ha scritto:<u></u><u></u></p>
</div>
<blockquote style="border:none;border-left:solid #cccccc 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">
<p class="MsoNormal" style="margin-bottom:12.0pt">Hi,<br>
<br>
IIRC, if You want to manually change Your database to force nova to not use hybrid connection anymore and to not require qbr bridge You may need to update also one of the tables in Nova’s db. It’s called “instance_info_network_cache” or something similar.<br>
But TBH I’m not sure if live migration then will work or not as I’m not sure if instance’s libvirt.xml file isn’t going from src to dest node during the live migration.<br>
<br>
If You don’t need to do live migration, You can switch firewall_driver in the L2 agent’s config file and restart it. Even instances which has got hybrid connectivity (so are plugged through qbr bridge) will have SG working in new way. It shouldn’t be problem
 that those instances are plugged through qbr bridge as it finally ends up in br-int and there SG rules will be applied. You will need to manually clean iptables rules for such ports as it will not be cleaned automatically.<br>
New instances on such host should works fine and will be plugged in “new way”, directly to br-int.<br>
The only problem with this approach is that You will not be able to do live-migration for those old vms.<br>
<br>
If You want to do it properly, You should do “nova interface-detach” and then “nova interface-attach” for each of such instances. Then new ports plugged to the instances will be bound in new way and plugged directly to br-int.
<br>
<br>
> On 12 Mar 2020, at 19:09, Ignazio Cassano <<a href="mailto:ignaziocassano@gmail.com" target="_blank" rel="noreferrer">ignaziocassano@gmail.com</a>> wrote:<br>
> <br>
> James, I checked again with your method. While live migration phase, the informations on neutron db are changed automatically and returns with "system", "ovs_hybrid_plug": True} ......<br>
> This is because the instance migrated has got interface under qbr.<br>
> Ignazio<br>
> <br>
> Il giorno gio 12 mar 2020 alle ore 13:30 James Denton <<a href="mailto:james.denton@rackspace.com" target="_blank" rel="noreferrer">james.denton@rackspace.com</a>> ha scritto:<br>
> Hi Ignazio,<br>
> <br>
>  <br>
> <br>
> I  tested a process that converted iptables_hybrid to openvswitch in-place, but not without a hard reboot of the VM and some massaging of the existing bridges/veths. Since you are live-migrating, though, you might be able to get around that.<br>
> <br>
>  <br>
> <br>
> Regardless, to make this work, I had to update the port’s vif_details in the Neutron DB and set ‘ovs_hybrid_plug’ to false. Something like this:<br>
> <br>
>  <br>
> <br>
> > use neutron;<br>
> <br>
> > update ml2_port_bindings set vif_details='{"port_filter": true, "bridge_name": "br-int", "datapath_type": "system", "ovs_hybrid_plug": false}' where port_id='3d88982a-6b39-4f7e-8772-69367c442939' limit 1;<br>
> <br>
>  <br>
> <br>
> So, perhaps making that change prior to moving the VM back to the other compute node will do the trick.<br>
> <br>
>  <br>
> <br>
> Good luck!<br>
> <br>
>  <br>
> <br>
> James<br>
> <br>
>  <br>
> <br>
> From: Ignazio Cassano <<a href="mailto:ignaziocassano@gmail.com" target="_blank" rel="noreferrer">ignaziocassano@gmail.com</a>><br>
> Date: Thursday, March 12, 2020 at 6:41 AM<br>
> To: openstack-discuss <<a href="mailto:openstack-discuss@lists.openstack.org" target="_blank" rel="noreferrer">openstack-discuss@lists.openstack.org</a>><br>
> Subject: [qeeens][neutron] migrating from iptables_hybrid to openvswitch<br>
> <br>
>  <br>
> <br>
> CAUTION: This message originated externally, please use caution when clicking on links or opening attachments!<br>
> <br>
>  <br>
> <br>
> Hello All, I am facing some problems migrating from iptables_hybrid frirewall to openvswitch firewall on centos 7 queens,<br>
> <br>
> I am doing this because I want enable security groups logs which require openvswitch firewall.<br>
> <br>
> I would like to migrate without restarting my instances.<br>
> <br>
> I startded moving all instances from compute node 1.<br>
> <br>
> Then I configured openvswitch firewall on compute node 1,<br>
> <br>
> Instances migrated from compute node 2 to compute node 1 without problems.<br>
> <br>
> Once the compute node 2 was empty, I migrated it to openvswitch.<br>
> <br>
> But now instances does not migrate from node 1 to node 2 because it requires the presence of qbr bridge on node 2<br>
> <br>
>  <br>
> <br>
> This happened because migrating instances from node2 with iptables_hybrid to compute node 1 with openvswitch, does not put the tap under br-int as requested by  openvswich firewall, but qbr is still present on compute node 1.<br>
> <br>
> Once I enabled openvswitch on compute node 2, migration from compute node 1 fails because it exprects qbr on compute node 2 .<br>
> <br>
> So I think I should moving on the fly tap interfaces from qbr to br-int on compute node 1 before migrating to compute node 2 but it is a huge work on a lot of instances.<br>
> <br>
>  <br>
> <br>
> Any workaround, please ?<br>
> <br>
>  <br>
> <br>
> Ignazio<br>
> <br>
<br>
— <br>
Slawek Kaplonski<br>
Senior software engineer<br>
Red Hat<u></u><u></u></p>
</blockquote>
</div>
</div>
</div>
</div>
</div>

</blockquote></div>