<div dir="ltr">Darragh updated the docs, there's now a warning here: <div><br></div><div><a href="http://docs.openstack.org/trunk/openstack-network/admin/content/install_neutron_agent_ovs.html">http://docs.openstack.org/trunk/openstack-network/admin/content/install_neutron_agent_ovs.html</a></div>
<div><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Sep 2, 2013 at 3:12 PM, Sebastian Porombka <span dir="ltr"><<a href="mailto:porombka@uni-paderborn.de" target="_blank">porombka@uni-paderborn.de</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Hi<br>
<br>
Yes, openvswitch-brcompat (as ubuntu package) was installed.<br>
Uninstalling the package removes the qbr* interfaces in<br>
'ovs-vsctl show' and solved the problem. Big thanks to you.<br>
<br>
Maybe a short sentence in the documentation would be nice. :)<br>
<br>
Greetings<br>
  Sebastian<br>
<div class="im"><br>
--<br>
Sebastian Porombka, M.Sc.<br>
Zentrum für Informations- und Medientechnologien (IMT)<br>
Universität Paderborn<br>
<br>
E-Mail: <a href="mailto:porombka@uni-paderborn.de">porombka@uni-paderborn.de</a><br>
Tel.: 05251/60-5999<br>
Fax: 05251/60-48-5999<br>
Raum: N5.314<br>
<br>
--------------------------------------------<br>
Q: Why is this email five sentences or less?<br>
A: <a href="http://five.sentenc.es" target="_blank">http://five.sentenc.es</a><br>
<br>
Please consider the environment before printing this email.<br>
<br>
<br>
<br>
<br>
<br>
</div>Am 02.09.13 17:28 schrieb "Darragh O'Reilly" unter<br>
<<a href="mailto:dara2002-openstack@yahoo.com">dara2002-openstack@yahoo.com</a>>:<br>
<div><div class="h5"><br>
>Hi Lorin,<br>
><br>
>sure, sorry for the beverity. It seems the brcompat is being used because<br>
>qbr0188455b-25 appears in the 'ovs-vsctl show' output - so it was created<br>
>as an OVS bridge, but it should have been created as a Linux bridge. I<br>
>have never used brcompat, but I believe it intercepts calls from brctl<br>
>and configures OVS bridges instead of Linux bridges. I'm not sure how to<br>
>uninstall/disable it - it's probably an Operating System package.<br>
><br>
>I don't think any Openstack doc says to install/enable it.<br>
><br>
>Re,<br>
>Darragh.<br>
><br>
>>________________________________<br>
>> From: Lorin Hochstein <<a href="mailto:lorin@nimbisservices.com">lorin@nimbisservices.com</a>><br>
>>To: Darragh O'Reilly <<a href="mailto:dara2002-openstack@yahoo.com">dara2002-openstack@yahoo.com</a>><br>
>>Cc: Sebastian Porombka <<a href="mailto:porombka@uni-paderborn.de">porombka@uni-paderborn.de</a>>;<br>
>>"<a href="mailto:openstack-operators@lists.openstack.org">openstack-operators@lists.openstack.org</a>"<br>
>><<a href="mailto:openstack-operators@lists.openstack.org">openstack-operators@lists.openstack.org</a>><br>
>>Sent: Monday, 2 September 2013, 16:00<br>
>>Subject: Re: [Openstack-operators] Quantum Security Groups not working -<br>
>>iptables rules are not Evaluated<br>
>><br>
>><br>
>><br>
>>Darragh:<br>
>><br>
>><br>
>>Can you elaborate on this a little more? Do you mean that the "brcompat"<br>
>>kernel module has been loaded, and this breaks security groups with the<br>
>>ovs plugin? Should we add something in the documentation about this?<br>
>><br>
>><br>
>>Lorin<br>
>><br>
>><br>
>><br>
>><br>
>>Do you mean that the problem is that the ovs-brcompatd service is<br>
>>running?<br>
>><br>
>><br>
>>openvswitch-brcompat package is installed?<br>
>><br>
>><br>
>><br>
>>On Mon, Sep 2, 2013 at 10:21 AM, Darragh O'Reilly<br>
>><<a href="mailto:dara2002-openstack@yahoo.com">dara2002-openstack@yahoo.com</a>> wrote:<br>
>><br>
>><br>
>>>it is not working because you are using the ovs bridge compatibility<br>
>>>module.<br>
>>><br>
>>>Re,<br>
>>>Darragh.<br>
>>><br>
>>>>________________________________<br>
>>>> From: Sebastian Porombka <<a href="mailto:porombka@uni-paderborn.de">porombka@uni-paderborn.de</a>><br>
>>>>To: "<a href="mailto:openstack-operators@lists.openstack.org">openstack-operators@lists.openstack.org</a>"<br>
>>>><<a href="mailto:openstack-operators@lists.openstack.org">openstack-operators@lists.openstack.org</a>><br>
>>>>Sent: Monday, 2 September 2013, 14:48<br>
>>>>Subject: [Openstack-operators] Quantum Security Groups not working -<br>
>>>>iptables rules are not Evaluated<br>
>>><br>
>>>><br>
>>>><br>
>>>><br>
>>>>Hi folks.<br>
>>>><br>
>>>><br>
>>>>We're currently on the way to deploy an openstack (grizzly) cloud<br>
>>>>environment<br>
>>>>and suffering in problems implementing the security groups like<br>
>>>>described in [1].<br>
>>>><br>
>>>><br>
>>>>The (hopefully) relevant configuration settings are:<br>
>>>><br>
>>>><br>
>>>>/etc/nova/nova.conf<br>
</div></div>>>>>[Š]<br>
>>>>security_group_api=quantum<br>
>>>>network_api_class=nova.network.quantumv2.api.API<br>
>>>>libvirt_vif_driver=nova.virt.libvirt.vif.LibvirtHybridOVSBridgeDriver<br>
>>>>firewall_driver=nova.virt.firewall.NoopFirewallDriver<br>
>>>>[Š]<br>
>>>><br>
>>>><br>
>>>>/etc/quantum/plugins/openvswitch/ovs_quantum_plugin.ini<br>
>>>>[Š]<br>
>>>>firewall_driver =<br>
>>>>quantum.agent.linux.iptables_firewall.OVSHybridIptablesFirewallDriver<br>
>>>>[Š]<br>
<div class="im">>>>><br>
>>>><br>
>>>>The Networks for the vm's are attached to the compute-nodes via VLAN<br>
>>>>encapsulation and correctly mapped to the vm's.<br>
>>>><br>
>>>><br>
>>>>From our point of view - we're understanding the need of the<br>
>>>>"ovs-bridge <> veth glue <> linux-bridge (for filtering) <><br>
>>>>vm"-construction<br>
>>>>and observed the single components in our deployment. See [2]<br>
>>>><br>
>>>><br>
>>>>Everything is working except the security groups.<br>
>>>>We observed that ip-tables rules are generated for the<br>
>>>>quantum-openvswi-* chains of iptables.<br>
>>>>And the traffic arriving untagged (native vlan for management) on the<br>
>>>>machine is processed by iptables but not<br>
>>>>the traffic which arrived encapsulated.<br>
>>>><br>
>>>><br>
>>>>The traffic which is unpacked by openvswitch and is bridged via the<br>
>>>>veth and the tap into<br>
>>>>the machine isn't processed by the iptables rules.<br>
>>>><br>
>>>><br>
</div>>>>>We have no remaining clue/idea how to solve this issueŠ :(<br>
<div class=""><div class="h5">>>>><br>
>>>><br>
>>>>Greetings<br>
>>>>   Sebastian<br>
>>>><br>
>>>><br>
>>>>[1]<br>
>>>><a href="http://docs.openstack.org/trunk/openstack-network/admin/content/under_t" target="_blank">http://docs.openstack.org/trunk/openstack-network/admin/content/under_t</a><br>
>>>>he_hood_openvswitch.html<br>
>>>>[2] <a href="http://pastebin.com/WXMH6y4A" target="_blank">http://pastebin.com/WXMH6y4A</a><br>
>>>><br>
>>>><br>
>>>>--<br>
>>>>Sebastian Porombka, M.Sc.<br>
>>>>Zentrum für Informations- und Medientechnologien (IMT)<br>
>>>>Universität Paderborn<br>
>>>><br>
>>>><br>
>>>>E-Mail: <a href="mailto:porombka@uni-paderborn.de">porombka@uni-paderborn.de</a><br>
>>>>Tel.: 05251/60-5999<br>
>>>>Fax: 05251/60-48-5999<br>
>>>>Raum: N5.314<br>
>>>><br>
>>>><br>
>>>>--------------------------------------------<br>
>>>>Q: Why is this email five sentences or less?<br>
>>>>A: <a href="http://five.sentenc.es" target="_blank">http://five.sentenc.es</a><br>
>>>><br>
>>>><br>
>>>>Please consider the environment before printing this email.<br>
>>>>_______________________________________________<br>
>>>>OpenStack-operators mailing list<br>
>>>><a href="mailto:OpenStack-operators@lists.openstack.org">OpenStack-operators@lists.openstack.org</a><br>
>>>><a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators</a><br>
>>>><br>
>>>><br>
>>>><br>
>>><br>
>>>_______________________________________________<br>
>>>OpenStack-operators mailing list<br>
>>><a href="mailto:OpenStack-operators@lists.openstack.org">OpenStack-operators@lists.openstack.org</a><br>
>>><a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators</a><br>
>>><br>
>><br>
>><br>
>><br>
>>--<br>
>><br>
>>Lorin Hochstein<br>
>><br>
>>Lead Architect - Cloud Services<br>
>>Nimbis Services, Inc.<br>
>><a href="http://www.nimbisservices.com" target="_blank">www.nimbisservices.com</a><br>
>><br>
>><br>
</div></div><br>_______________________________________________<br>
OpenStack-operators mailing list<br>
<a href="mailto:OpenStack-operators@lists.openstack.org">OpenStack-operators@lists.openstack.org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div dir="ltr">Lorin Hochstein<br><div>Lead Architect - Cloud Services</div><div>Nimbis Services, Inc.</div><div><a href="http://www.nimbisservices.com" target="_blank">www.nimbisservices.com</a></div>
</div>
</div></div></div>