
<div dir="ltr">Darragh updated the docs, there's now a warning here: <div><br></div><div><a href="http://docs.openstack.org/trunk/openstack-network/admin/content/install_neutron_agent_ovs.html">http://docs.openstack.org/trunk/openstack-network/admin/content/install_neutron_agent_ovs.html</a></div>

<div><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Sep 2, 2013 at 3:12 PM, Sebastian Porombka <span dir="ltr"><<a href="mailto:porombka@uni-paderborn.de" target="_blank">porombka@uni-paderborn.de</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Hi<br>

<br>

Yes, openvswitch-brcompat (as ubuntu package) was installed.<br>

Uninstalling the package removes the qbr* interfaces in<br>

'ovs-vsctl show' and solved the problem. Big thanks to you.<br>

<br>

Maybe a short sentence in the documentation would be nice. :)<br>

<br>

Greetings<br>

  Sebastian<br>

<div class="im"><br>

--<br>

Sebastian Porombka, M.Sc.<br>

Zentrum für Informations- und Medientechnologien (IMT)<br>

Universität Paderborn<br>

<br>

E-Mail: <a href="mailto:porombka@uni-paderborn.de">porombka@uni-paderborn.de</a><br>

Tel.: 05251/60-5999<br>

Fax: 05251/60-48-5999<br>

Raum: N5.314<br>

<br>

--------------------------------------------<br>

Q: Why is this email five sentences or less?<br>

A: <a href="http://five.sentenc.es" target="_blank">http://five.sentenc.es</a><br>

<br>

Please consider the environment before printing this email.<br>

<br>

<br>

<br>

<br>

<br>

</div>Am 02.09.13 17:28 schrieb "Darragh O'Reilly" unter<br>

<<a href="mailto:dara2002-openstack@yahoo.com">dara2002-openstack@yahoo.com</a>>:<br>

<div><div class="h5"><br>

>Hi Lorin,<br>

><br>

>sure, sorry for the beverity. It seems the brcompat is being used because<br>

>qbr0188455b-25 appears in the 'ovs-vsctl show' output - so it was created<br>

>as an OVS bridge, but it should have been created as a Linux bridge. I<br>

>have never used brcompat, but I believe it intercepts calls from brctl<br>

>and configures OVS bridges instead of Linux bridges. I'm not sure how to<br>

>uninstall/disable it - it's probably an Operating System package.<br>

><br>

>I don't think any Openstack doc says to install/enable it.<br>

><br>

>Re,<br>

>Darragh.<br>

><br>

>>________________________________<br>

>> From: Lorin Hochstein <<a href="mailto:lorin@nimbisservices.com">lorin@nimbisservices.com</a>><br>

>>To: Darragh O'Reilly <<a href="mailto:dara2002-openstack@yahoo.com">dara2002-openstack@yahoo.com</a>><br>

>>Cc: Sebastian Porombka <<a href="mailto:porombka@uni-paderborn.de">porombka@uni-paderborn.de</a>>;<br>

>>"<a href="mailto:openstack-operators@lists.openstack.org">openstack-operators@lists.openstack.org</a>"<br>

>><<a href="mailto:openstack-operators@lists.openstack.org">openstack-operators@lists.openstack.org</a>><br>

>>Sent: Monday, 2 September 2013, 16:00<br>

>>Subject: Re: [Openstack-operators] Quantum Security Groups not working -<br>

>>iptables rules are not Evaluated<br>

>><br>

>><br>

>><br>

>>Darragh:<br>

>><br>

>><br>

>>Can you elaborate on this a little more? Do you mean that the "brcompat"<br>

>>kernel module has been loaded, and this breaks security groups with the<br>

>>ovs plugin? Should we add something in the documentation about this?<br>

>><br>

>><br>

>>Lorin<br>

>><br>

>><br>

>><br>

>><br>

>>Do you mean that the problem is that the ovs-brcompatd service is<br>

>>running?<br>

>><br>

>><br>

>>openvswitch-brcompat package is installed?<br>

>><br>

>><br>

>><br>

>>On Mon, Sep 2, 2013 at 10:21 AM, Darragh O'Reilly<br>

>><<a href="mailto:dara2002-openstack@yahoo.com">dara2002-openstack@yahoo.com</a>> wrote:<br>

>><br>

>><br>

>>>it is not working because you are using the ovs bridge compatibility<br>

>>>module.<br>

>>><br>

>>>Re,<br>

>>>Darragh.<br>

>>><br>

>>>>________________________________<br>

>>>> From: Sebastian Porombka <<a href="mailto:porombka@uni-paderborn.de">porombka@uni-paderborn.de</a>><br>

>>>>To: "<a href="mailto:openstack-operators@lists.openstack.org">openstack-operators@lists.openstack.org</a>"<br>

>>>><<a href="mailto:openstack-operators@lists.openstack.org">openstack-operators@lists.openstack.org</a>><br>

>>>>Sent: Monday, 2 September 2013, 14:48<br>

>>>>Subject: [Openstack-operators] Quantum Security Groups not working -<br>

>>>>iptables rules are not Evaluated<br>

>>><br>

>>>><br>

>>>><br>

>>>><br>

>>>>Hi folks.<br>

>>>><br>

>>>><br>

>>>>We're currently on the way to deploy an openstack (grizzly) cloud<br>

>>>>environment<br>

>>>>and suffering in problems implementing the security groups like<br>

>>>>described in [1].<br>

>>>><br>

>>>><br>

>>>>The (hopefully) relevant configuration settings are:<br>

>>>><br>

>>>><br>

>>>>/etc/nova/nova.conf<br>

</div></div>>>>>[Š]<br>

>>>>security_group_api=quantum<br>

>>>>network_api_class=nova.network.quantumv2.api.API<br>

>>>>libvirt_vif_driver=nova.virt.libvirt.vif.LibvirtHybridOVSBridgeDriver<br>

>>>>firewall_driver=nova.virt.firewall.NoopFirewallDriver<br>

>>>>[Š]<br>

>>>><br>

>>>><br>

>>>>/etc/quantum/plugins/openvswitch/ovs_quantum_plugin.ini<br>

>>>>[Š]<br>

>>>>firewall_driver =<br>

>>>>quantum.agent.linux.iptables_firewall.OVSHybridIptablesFirewallDriver<br>

>>>>[Š]<br>

<div class="im">>>>><br>

>>>><br>

>>>>The Networks for the vm's are attached to the compute-nodes via VLAN<br>

>>>>encapsulation and correctly mapped to the vm's.<br>

>>>><br>

>>>><br>

>>>>From our point of view - we're understanding the need of the<br>

>>>>"ovs-bridge <> veth glue <> linux-bridge (for filtering) <><br>

>>>>vm"-construction<br>

>>>>and observed the single components in our deployment. See [2]<br>

>>>><br>

>>>><br>

>>>>Everything is working except the security groups.<br>

>>>>We observed that ip-tables rules are generated for the<br>

>>>>quantum-openvswi-* chains of iptables.<br>

>>>>And the traffic arriving untagged (native vlan for management) on the<br>

>>>>machine is processed by iptables but not<br>

>>>>the traffic which arrived encapsulated.<br>

>>>><br>

>>>><br>

>>>>The traffic which is unpacked by openvswitch and is bridged via the<br>

>>>>veth and the tap into<br>

>>>>the machine isn't processed by the iptables rules.<br>

>>>><br>

>>>><br>

</div>>>>>We have no remaining clue/idea how to solve this issueŠ :(<br>

<div class=""><div class="h5">>>>><br>

>>>><br>

>>>>Greetings<br>

>>>>   Sebastian<br>

>>>><br>

>>>><br>

>>>>[1]<br>

>>>><a href="http://docs.openstack.org/trunk/openstack-network/admin/content/under_t" target="_blank">http://docs.openstack.org/trunk/openstack-network/admin/content/under_t</a><br>

>>>>he_hood_openvswitch.html<br>

>>>>[2] <a href="http://pastebin.com/WXMH6y4A" target="_blank">http://pastebin.com/WXMH6y4A</a><br>

>>>><br>

>>>><br>

>>>>--<br>

>>>>Sebastian Porombka, M.Sc.<br>

>>>>Zentrum für Informations- und Medientechnologien (IMT)<br>

>>>>Universität Paderborn<br>

>>>><br>

>>>><br>

>>>>E-Mail: <a href="mailto:porombka@uni-paderborn.de">porombka@uni-paderborn.de</a><br>

>>>>Tel.: 05251/60-5999<br>

>>>>Fax: 05251/60-48-5999<br>

>>>>Raum: N5.314<br>

>>>><br>

>>>><br>

>>>>--------------------------------------------<br>

>>>>Q: Why is this email five sentences or less?<br>

>>>>A: <a href="http://five.sentenc.es" target="_blank">http://five.sentenc.es</a><br>

>>>><br>

>>>><br>

>>>>Please consider the environment before printing this email.<br>

>>>>_______________________________________________<br>

>>>>OpenStack-operators mailing list<br>

>>>><a href="mailto:OpenStack-operators@lists.openstack.org">OpenStack-operators@lists.openstack.org</a><br>

>>>><a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators</a><br>

>>>><br>

>>>><br>

>>>><br>

>>><br>

>>>_______________________________________________<br>

>>>OpenStack-operators mailing list<br>

>>><a href="mailto:OpenStack-operators@lists.openstack.org">OpenStack-operators@lists.openstack.org</a><br>

>>><a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators</a><br>

>>><br>

>><br>

>><br>

>><br>

>>--<br>

>><br>

>>Lorin Hochstein<br>

>><br>

>>Lead Architect - Cloud Services<br>

>>Nimbis Services, Inc.<br>

>><a href="http://www.nimbisservices.com" target="_blank">www.nimbisservices.com</a><br>

>><br>

>><br>

</div></div><br>_______________________________________________<br>

OpenStack-operators mailing list<br>

<a href="mailto:OpenStack-operators@lists.openstack.org">OpenStack-operators@lists.openstack.org</a><br>

<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators</a><br>

<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div dir="ltr">Lorin Hochstein<br><div>Lead Architect - Cloud Services</div><div>Nimbis Services, Inc.</div><div><a href="http://www.nimbisservices.com" target="_blank">www.nimbisservices.com</a></div>

</div>

</div></div></div>