<div dir="ltr">I believe you can actually do this in Liberty.. <div><br></div><div><a href="http://docs.openstack.org/liberty/networking-guide/adv-config-network-rbac.html">http://docs.openstack.org/liberty/networking-guide/adv-config-network-rbac.html</a><br></div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Oct 3, 2016 at 1:00 AM, Kevin Benton <span dir="ltr"><<a href="mailto:kevin@benton.pub" target="_blank">kevin@benton.pub</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">You will need mitaka to get an external network that is only available to specific tenants. That is what the 'access_as_external' you identified does.<div><br></div><div>Search for the section "Allowing a network to be used as an external network" in <a href="http://docs.openstack.org/mitaka/networking-guide/config-rbac.html" target="_blank">http://docs.openstack.org/<wbr>mitaka/networking-guide/<wbr>config-rbac.html</a>.</div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Sep 29, 2016 at 5:01 AM, Saverio Proto <span dir="ltr"><<a href="mailto:zioproto@gmail.com" target="_blank">zioproto@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello,<br>
<br>
Context:<br>
- openstack liberty<br>
- ubuntu trusty<br>
- neutron networking with vxlan tunnels<br>
<br>
we have been running Openstack with a single external network so far.<br>
<br>
Now we have a specific VLAN in our datacenter with some hardware boxes<br>
that need a connection to a specific tenant network.<br>
<br>
To make this possible I changed the configuration of the network node<br>
to support multiple external networks. I am able to create a router<br>
and set as external network the new physnet where the boxes are.<br>
<br>
Everything looks nice except that all the projects can benefit from<br>
this new external network. In any tenant I can create a router, and<br>
set the external network and connect to the boxes. I cannot restrict<br>
it to a specific tenant.<br>
<br>
I found this piece of documentation:<br>
<br>
<a href="https://wiki.openstack.org/wiki/Neutron/sharing-model-for-external-networks" rel="noreferrer" target="_blank">https://wiki.openstack.org/wik<wbr>i/Neutron/sharing-model-for-<wbr>external-networks</a><br>
<br>
So it looks like it is impossible to have a flat external network<br>
reserved for 1 specific tenant.<br>
<br>
I also tried to follow this documentation:<br>
<a href="http://docs.openstack.org/liberty/networking-guide/adv-config-network-rbac.html" rel="noreferrer" target="_blank">http://docs.openstack.org/libe<wbr>rty/networking-guide/adv-confi<wbr>g-network-rbac.html</a><br>
<br>
But it does not specify if it is possible to specify a policy for an<br>
external network to limit the sharing.<br>
<br>
It did not work for me so I guess this does not work when the secret<br>
network I want to create is external.<br>
<br>
There is an action --action access_as_external that is not clear to me.<br>
<br>
Also look like this feature is evolving in Newton:<br>
<a href="http://docs.openstack.org/draft/networking-guide/config-rbac.html" rel="noreferrer" target="_blank">http://docs.openstack.org/draf<wbr>t/networking-guide/config-rbac<wbr>.html</a><br>
<br>
Anyone has tried similar setups ? What is the minimum openstack<br>
version to get this done ?<br>
<br>
thank you<br>
<br>
Saverio<br>
<br>
______________________________<wbr>_________________<br>
OpenStack-operators mailing list<br>
<a href="mailto:OpenStack-operators@lists.openstack.org" target="_blank">OpenStack-operators@lists.open<wbr>stack.org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi<wbr>-bin/mailman/listinfo/openstac<wbr>k-operators</a><br>
</blockquote></div><br></div>
</div></div><br>______________________________<wbr>_________________<br>
OpenStack-operators mailing list<br>
<a href="mailto:OpenStack-operators@lists.openstack.org">OpenStack-operators@lists.<wbr>openstack.org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators" rel="noreferrer" target="_blank">http://lists.openstack.org/<wbr>cgi-bin/mailman/listinfo/<wbr>openstack-operators</a><br>
<br></blockquote></div><br></div>