<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 14 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:Helvetica;

        panose-1:2 11 6 4 2 2 2 2 2 4;}

@font-face

        {font-family:Helvetica;

        panose-1:2 11 6 4 2 2 2 2 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

@font-face

        {font-family:Verdana;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal-reply;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-family:"Calibri","sans-serif";}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Thanks for the pointers Xu, we will give it a try in our testbed and let you know.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Thanks,<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Edgar<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> xchenum@gmail.com [mailto:xchenum@gmail.com]

<b>On Behalf Of </b>Xu (Simon) Chen<br>

<b>Sent:</b> Friday, July 20, 2012 8:10 AM<br>

<b>To:</b> Wael Ghandour (wghandou)<br>

<b>Cc:</b> Edgar Magana (eperdomo); openstack@lists.launchpad.net<br>

<b>Subject:</b> Re: [Openstack] Networking issue with VlanManager and Floating IPs<o:p></o:p></span></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Yes, one solution is to modify the iptables driver, so that you don't SNAT for internal subnets...<o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">So, at the beginning of the nova-network-floating-snat rules, you add something like this:<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">-A nova-network-floating-snat -s <a href="http://10.0.0.0/24">

10.0.0.0/24</a> -d <a href="http://10.0.0.0/24">10.0.0.0/24</a> -j ACCEPT<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">...<o:p></o:p></p>

</div>

<div>

<div>

<p class="MsoNormal">-A nova-network-floating-snat -s <a href="http://10.0.88.16/32">

10.0.88.16/32</a> -j SNAT --to-source pub1<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">-A nova-network-floating-snat -s <a href="http://10.0.16.7/32">

10.0.16.7/32</a> -j SNAT --to-source pub2<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal">-A nova-network-floating-snat -s <a href="http://10.0.4.11/32">

10.0.4.11/32</a> -j SNAT --to-source pub3<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Then it should solve the unnecessary NATting issue...<o:p></o:p></p>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal">On Fri, Jul 20, 2012 at 10:13 AM, Wael Ghandour (wghandou) <<a href="mailto:wghandou@cisco.com" target="_blank">wghandou@cisco.com</a>> wrote:<o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><span style="font-size:9.0pt;font-family:"Verdana","sans-serif"">I can confirm that the VM traffic is undergoing NAT with using its floating IP on the

<b><i>private</i></b> interface of the nova-compute node when it tries to reach the private address of the VMs belonging to the same tenant and on other compute nodes. That obviously is breaking internal connectivity....<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Verdana","sans-serif""><o:p> </o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Verdana","sans-serif"">Regards,<o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Verdana","sans-serif""><o:p> </o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Verdana","sans-serif"">Wael<o:p></o:p></span></p>

</div>

</div>

<div>

<p class="MsoNormal"><span style="font-size:13.5pt;font-family:"Helvetica","sans-serif""><o:p> </o:p></span></p>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<div>

<p class="MsoNormal">On Jul 20, 2012, at 5:42 AM, Xu (Simon) Chen wrote:<o:p></o:p></p>

</div>

<p class="MsoNormal"><br>

<br>

<o:p></o:p></p>

<p class="MsoNormal">There was an issue that we saw in an earlier nova-network...

<o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Due to multi_host configuration, the nova-network runs on every nova-compute node. Therefore the floating IP assignment happens on the compute nodes directly. So between two VMs within the same tenant on different hosts, private->public

 SNAT happens unnecessarily.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt">Not sure if this is fixed in Essex...<o:p></o:p></p>

<div>

<p class="MsoNormal">On Fri, Jul 20, 2012 at 3:49 AM, Edgar Magana (eperdomo) <<a href="mailto:eperdomo@cisco.com" target="_blank">eperdomo@cisco.com</a>> wrote:<o:p></o:p></p>

<div>

<div>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Folks,<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">We are using Essex for our multi-host OpenStack deployment with Vlan Manager.<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">All the private IPs are working as expected in a multi-tenant scenario but the problem that we are seen is with Floating IPs.<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">We have three tenants,  all of them are able to use  Floating IPs and then VMs are reachable from the public network but the inter VMs connectivity by private IPs is totally lost.

 Once we dissociate the Floating IPs to the corresponding VMs, the connectivity is back. The odd part is that we are seeing this behavior in just two of the three tenants that we have tested so far.

<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Is anyone aware of any bug or misconfiguration in Nova-network that could explain this behavior? We will be running more tests and we can provide detailed information of our environment

 if needed.<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Thanks for your help,<o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"> <o:p></o:p></p>

<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Edgar<o:p></o:p></p>

</div>

</div>

<p class="MsoNormal" style="margin-bottom:12.0pt"><br>

_______________________________________________<br>

Mailing list: <a href="https://launchpad.net/~openstack" target="_blank">https://launchpad.net/~openstack</a><br>

Post to     : <a href="mailto:openstack@lists.launchpad.net" target="_blank">openstack@lists.launchpad.net</a><br>

Unsubscribe : <a href="https://launchpad.net/~openstack" target="_blank">https://launchpad.net/~openstack</a><br>

More help   : <a href="https://help.launchpad.net/ListHelp" target="_blank">https://help.launchpad.net/ListHelp</a><o:p></o:p></p>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</div>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</div>

</body>

</html>