<div dir="ltr">Hi Rodolfo,<div><br></div><div>Thanks for the reply, restart the agent fixed the issue. </div><div>The cookies are replaced with a new single cookie. It look weird to me when I saw multiple cookies on the bridge.  Do you think it should be fixed?</div><div><br></div><div>Thanks .,</div><div>Mohankumar N</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Nov 3, 2021 at 1:10 PM Rodolfo Alonso Hernandez <<a href="mailto:ralonsoh@redhat.com">ralonsoh@redhat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Hello Mohan:</div><div><br></div><div>Each OVS agent extension (QoS) or service (firewall), will have its own "OVSCookieBridge" instance of a specific bridge; in this case br-int. That means any service or extension will write OF rules using its own cookie.</div><div><br></div><div>By default, if you are only using OVS FW (no QoS or any other extension), only one cookie should be present in br-int. Any new rule added to the FW should have the same cookie as the other present rules.</div><div><br></div><div>Did you restart the agent? When the OVS agent is restarted, all rules are set again, deleting the previous ones. The OVS agent generates new cookies each time. No stale flows should remain after the restart.</div><div><br></div><div>Regards.<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Nov 3, 2021 at 7:33 AM Mohan Kumar <<a href="mailto:nmohankumar1011@gmail.com" target="_blank">nmohankumar1011@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><font face="arial, sans-serif">Team,</font><div><font face="arial, sans-serif"><br></font><div><font face="arial, sans-serif"><font color="#172b4d">   </font>I've created a security group with a remote<span style="color:rgb(51,51,51)"> security group attached to it.</span></font></div><div><span style="color:rgb(51,51,51)"><font face="arial, sans-serif"><br></font></span></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span style="color:rgb(51,51,51)"><font face="arial, sans-serif">openstack security group rule create --ethertype=IPv4 --protocol tcp --remote-group server-grp --ingress --dst-port=22 application-grp</font></span></blockquote><div><span style="color:rgb(51,51,51)"><font face="arial, sans-serif"><br></font></span></div><div><font face="arial, sans-serif"><font color="#333333">when I create VM with server-grp , I can see two cookies in br-int ovs bridge, </font>one with default cookie and another new cookie with conjunction flows,  <font color="#333333">is it expected behavior?</font><span style="color:rgb(51,51,51)"> </span></font></div><div><span style="color:rgb(51,51,51)"><font face="arial, sans-serif"><br></font></span></div><div><pre style="margin-top:0px;margin-bottom:0px;padding:9px 12px;max-height:30em;overflow:auto;word-break:normal;color:rgb(23,43,77);background-color:rgb(244,245,247);outline:currentcolor none medium"><font face="arial, sans-serif">ubuntu@req-generic-65-d012-mn:~$ sudo ovs-ofctl dump-flows br-int | awk '{print $1}' | sort -n | uniq
cookie=0x12b7adbe73614620,
cookie=0x207d02d6bbcf499e,
NXST_FLOW
ubuntu@req-generic-65-d012-mn:~$ sudo ovs-ofctl dump-flows br-int |  grep "0x207d02d6bbcf499e"
 cookie=0x207d02d6bbcf499e, duration=335.421s, table=82, n_packets=0, n_bytes=0, idle_age=335, priority=70,ct_state=+est-rel-rpl,ipv6,reg6=0x1,ipv6_src=fdd8:a3ce:31ae:0:f816:3eff:fe8a:f751 actions=conjunction(8,1/2)
 cookie=0x207d02d6bbcf499e, duration=335.420s, table=82, n_packets=0, n_bytes=0, idle_age=335, priority=70,ct_state=+new-est,ipv6,reg6=0x1,ipv6_src=fdd8:a3ce:31ae:0:f816:3eff:fe8a:f751 actions=conjunction(9,1/2)
 cookie=0x207d02d6bbcf499e, duration=335.420s, table=82, n_packets=0, n_bytes=0, idle_age=335, priority=70,ct_state=+est-rel-rpl,ip,reg6=0x1,nw_src=10.0.0.38 actions=conjunction(16,1/2)
 cookie=0x207d02d6bbcf499e, duration=335.420s, table=82, n_packets=0, n_bytes=0, idle_age=335, priority=70,ct_state=+new-est,ip,reg6=0x1,nw_src=10.0.0.38 actions=conjunction(17,1/2)</font></pre></div></div></div>
</blockquote></div>
</blockquote></div>