<div dir="auto"><div>Hello Jakub, in my previous email I asked about multiple port binding but I forgot to discuss about the point 1 of your email (qbr).</div><div dir="auto">I do not mind about intermediate bridge but the following is what happen:</div><div dir="auto"><br></div><div dir="auto">A) evacuate node  1 and after changing its openvswitch agent configuration and restarting it, I can migrate vm1 form node 2.</div><div dir="auto">Intermediate qbr bridge is created for vm1 on node 1</div><div dir="auto">B) evacuate node 2 and after changing its openvswitch agent configuration and restarting it, live migrating vm1 form node 1 to mode 2 does not works because no qbr is created on node 2 (this is reported on nova logs)</div><div dir="auto"><br></div><div dir="auto">Probably without restarting instances live migration works from hybrid_iptables to openvswitch but does not work fron openvswitch to openvswitch.</div><div dir="auto"><br></div><div dir="auto">If the first migration is not live, qbr is not created and all works fine.</div><div dir="auto">Regards</div><div dir="auto">Ignazio</div><div dir="auto"><br><div dir="auto"><div dir="auto"><br></div></div><br><br><div class="gmail_quote" dir="auto"><div dir="ltr" class="gmail_attr">Il Gio 12 Mar 2020, 23:15 Jakub Libosvar <<a href="mailto:jlibosva@redhat.com">jlibosva@redhat.com</a>> ha scritto:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 12/03/2020 11:38, Ignazio Cassano wrote:<br>
> Hello All, I am facing some problems migrating from iptables_hybrid<br>
> frirewall to openvswitch firewall on centos 7 queens,<br>
> I am doing this because I want enable security groups logs which require<br>
> openvswitch firewall.<br>
> I would like to migrate without restarting my instances.<br>
> I startded moving all instances from compute node 1.<br>
> Then I configured openvswitch firewall on compute node 1,<br>
> Instances migrated from compute node 2 to compute node 1 without problems.<br>
> Once the compute node 2 was empty, I migrated it to openvswitch.<br>
> But now instances does not migrate from node 1 to node 2 because it<br>
> requires the presence of qbr bridge on node 2<br>
> <br>
> This happened because migrating instances from node2 with iptables_hybrid<br>
> to compute node 1 with openvswitch, does not put the tap under br-int as<br>
> requested by  openvswich firewall, but qbr is still present on compute node<br>
> 1.<br>
> Once I enabled openvswitch on compute node 2, migration from compute node 1<br>
> fails because it exprects qbr on compute node 2 .<br>
> So I think I should moving on the fly tap interfaces from qbr to br-int on<br>
> compute node 1 before migrating to compute node 2 but it is a huge work on<br>
> a lot of instances.<br>
> <br>
> Any workaround, please ?<br>
> <br>
> Ignazio<br>
> <br>
<br>
I may be a little outdated here but to the best of my knowledge there<br>
are two ways how to migrate from iptables to openvswitch.<br>
<br>
1) If you don't mind the intermediate linux bridge and you care about<br>
logs, you can just change the config file on compute node to start using<br>
openvswitch firewall and restart the ovs agent. That should trigger a<br>
mechanism that deletes iptables rules and starts using openflow rules.<br>
It will leave the intermediate bridge there but except the extra hop in<br>
networking stack, it doesn't mind.<br>
<br>
2) With multiple-port binding feature, what you described above should<br>
be working. I know Miguel spent some time working on that so perhaps he<br>
has more information about which release it should be functional at, I<br>
think it was Queens. Not sure if any Nova work was required to make it work.<br>
<br>
Hope that helps.<br>
Kuba<br>
<br>
<br>
<br>
</blockquote></div></div></div>