<br><br><div class="gmail_quote">On Mon, May 14, 2012 at 10:36 AM, John Garbutt <span dir="ltr"><<a href="mailto:John.Garbutt@citrix.com" target="_blank">John.Garbutt@citrix.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Hi,<br>
<br>
> From Roman Sokolkov:<br>
<div class="im">> We use XCP + quantum + tenant vlans . One XCP box and one Ubuntu 12.04 box(controller). Nova-compute host it is domU on XCP. Boxes connected with patch-cord and we able to use VLANs inside. <br>
> There are problems with security groups. They not work at all. <br>
> We use firewall_driver=nova.virt.xenapi.firewall.Dom0IptablesFirewallDriver. And I see expected iptables rules on Dom0, but without any profit. As I understand iptables couldn't work with L2 openvswitch traffic?<br>


<br>
</div>Not sure that was tested with VLANs, and I don't think there has (yet) been any work to create and OpenVSwitch based firewall driver.</blockquote><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

 Have you seen specific problems with packets getting around the firewall rules when using openvswitch?<br></blockquote><div><br></div><div>With the existing vif-plugging mechanisms, iptables rules applied directly to a vif (which is the case with nova's iptables based firewall drivers) will not be enforced if openvswitch is in use.  Essentially, OVS does not call the same iptables kernel hooks as the linux bridge does.  We have some ideas of how we can deal with this, but this work is not planned until Folsom-2 .  Thanks,</div>

<div><br></div><div>Dan</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
I know there were plans for making an OpenVSwitch firewall driver, but there are some big performance issues around rule explosion. I don't think there is anything penciled in for Folsom right now.<br>
<br>
I will get in touch with the networking experts and get back to you.<br>
<br>
Thanks,<br>
John<br>
<div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
Mailing list: <a href="https://launchpad.net/~openstack" target="_blank">https://launchpad.net/~openstack</a><br>
Post to     : <a href="mailto:openstack@lists.launchpad.net">openstack@lists.launchpad.net</a><br>
Unsubscribe : <a href="https://launchpad.net/~openstack" target="_blank">https://launchpad.net/~openstack</a><br>
More help   : <a href="https://help.launchpad.net/ListHelp" target="_blank">https://help.launchpad.net/ListHelp</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br>~~~~~~~~~~~~~~~~~~~~~~~~~~~<br>Dan Wendlandt <div>Nicira, Inc: <a href="http://www.nicira.com" target="_blank">www.nicira.com</a><br><div>twitter: danwendlandt<br>

~~~~~~~~~~~~~~~~~~~~~~~~~~~<br></div></div><br>