<div dir="ltr">Alternatively, you could drop the 'external' attribute and attach your instances directly to the provider network (no routers or private networks).</div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Oct 3, 2016 at 1:16 AM, Saverio Proto <span dir="ltr"><<a href="mailto:zioproto@gmail.com" target="_blank">zioproto@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Sorry I missed the Mailing List in the Cc:<br>
Saverio<br>
<br>
2016-10-03 9:15 GMT+02:00 Saverio Proto <<a href="mailto:zioproto@gmail.com">zioproto@gmail.com</a>>:<br>
> Hello Kevin,<br>
><br>
> thanks for your answer.<br>
><br>
> so far I managed to make the network not shared just by making it not<br>
> external. Because I dont need NAT and floatingips this will match my<br>
> use case.<br>
><br>
> As an admin I create the network like:<br>
> openstack network create --no-share --project user_project_uuid<br>
> --provider-physical-network physnet2 --provider-network-type flat<br>
> NETWORKNAME<br>
><br>
> In this way only the users that belong to user_project_uuid see the<br>
> network with 'list' and 'show' operations.<br>
><br>
> I still have to test carefully if Openstack will allow isolation to<br>
> brake in case a user or admin tries to create more networks mapped to<br>
> physnet2<br>
><br>
> I hope I will upgrade to Mitaka as soon as possible.<br>
><br>
> thank you<br>
><br>
> Saverio<br>
<div class="HOEnZb"><div class="h5">><br>
><br>
><br>
><br>
><br>
> 2016-10-03 7:00 GMT+02:00 Kevin Benton <kevin@benton.pub>:<br>
>> You will need mitaka to get an external network that is only available to<br>
>> specific tenants. That is what the 'access_as_external' you identified does.<br>
>><br>
>> Search for the section "Allowing a network to be used as an external<br>
>> network" in<br>
>> <a href="http://docs.openstack.org/mitaka/networking-guide/config-rbac.html" rel="noreferrer" target="_blank">http://docs.openstack.org/<wbr>mitaka/networking-guide/<wbr>config-rbac.html</a>.<br>
>><br>
>> On Thu, Sep 29, 2016 at 5:01 AM, Saverio Proto <<a href="mailto:zioproto@gmail.com">zioproto@gmail.com</a>> wrote:<br>
>>><br>
>>> Hello,<br>
>>><br>
>>> Context:<br>
>>> - openstack liberty<br>
>>> - ubuntu trusty<br>
>>> - neutron networking with vxlan tunnels<br>
>>><br>
>>> we have been running Openstack with a single external network so far.<br>
>>><br>
>>> Now we have a specific VLAN in our datacenter with some hardware boxes<br>
>>> that need a connection to a specific tenant network.<br>
>>><br>
>>> To make this possible I changed the configuration of the network node<br>
>>> to support multiple external networks. I am able to create a router<br>
>>> and set as external network the new physnet where the boxes are.<br>
>>><br>
>>> Everything looks nice except that all the projects can benefit from<br>
>>> this new external network. In any tenant I can create a router, and<br>
>>> set the external network and connect to the boxes. I cannot restrict<br>
>>> it to a specific tenant.<br>
>>><br>
>>> I found this piece of documentation:<br>
>>><br>
>>><br>
>>> <a href="https://wiki.openstack.org/wiki/Neutron/sharing-model-for-external-networks" rel="noreferrer" target="_blank">https://wiki.openstack.org/<wbr>wiki/Neutron/sharing-model-<wbr>for-external-networks</a><br>
>>><br>
>>> So it looks like it is impossible to have a flat external network<br>
>>> reserved for 1 specific tenant.<br>
>>><br>
>>> I also tried to follow this documentation:<br>
>>><br>
>>> <a href="http://docs.openstack.org/liberty/networking-guide/adv-config-network-rbac.html" rel="noreferrer" target="_blank">http://docs.openstack.org/<wbr>liberty/networking-guide/adv-<wbr>config-network-rbac.html</a><br>
>>><br>
>>> But it does not specify if it is possible to specify a policy for an<br>
>>> external network to limit the sharing.<br>
>>><br>
>>> It did not work for me so I guess this does not work when the secret<br>
>>> network I want to create is external.<br>
>>><br>
>>> There is an action --action access_as_external that is not clear to me.<br>
>>><br>
>>> Also look like this feature is evolving in Newton:<br>
>>> <a href="http://docs.openstack.org/draft/networking-guide/config-rbac.html" rel="noreferrer" target="_blank">http://docs.openstack.org/<wbr>draft/networking-guide/config-<wbr>rbac.html</a><br>
>>><br>
>>> Anyone has tried similar setups ? What is the minimum openstack<br>
>>> version to get this done ?<br>
>>><br>
>>> thank you<br>
>>><br>
>>> Saverio<br>
>>><br>
>>> ______________________________<wbr>_________________<br>
>>> OpenStack-operators mailing list<br>
>>> <a href="mailto:OpenStack-operators@lists.openstack.org">OpenStack-operators@lists.<wbr>openstack.org</a><br>
>>> <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators" rel="noreferrer" target="_blank">http://lists.openstack.org/<wbr>cgi-bin/mailman/listinfo/<wbr>openstack-operators</a><br>
>><br>
>><br>
<br>
______________________________<wbr>_________________<br>
OpenStack-operators mailing list<br>
<a href="mailto:OpenStack-operators@lists.openstack.org">OpenStack-operators@lists.<wbr>openstack.org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators" rel="noreferrer" target="_blank">http://lists.openstack.org/<wbr>cgi-bin/mailman/listinfo/<wbr>openstack-operators</a><br>
</div></div></blockquote></div><br></div>