<div class="gmail_quote">On Wed, Aug 15, 2012 at 4:16 AM, Lorin Hochstein <span dir="ltr"><<a href="mailto:lorin@nimbisservices.com" target="_blank">lorin@nimbisservices.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div style="word-wrap:break-word"><div><div class="im"><div>On Jul 5, 2012, at 11:47 AM, Christian Parpart <<a href="mailto:trapni@gmail.com" target="_blank">trapni@gmail.com</a>> wrote:</div><br><blockquote type="cite">
Hi all,<div><br></div><div>I am running multiple compute nodes and a single nova-network node, that is to act</div><div>as a central gateway for the tenant's VMs.</div><div><br></div><div>However, since this nova-network node (of course) knows all routes, every VM of</div>

<div>any tenant can talk to each other, including to the physical nodes, which</div><div>I highly disagree with and would like to restrict that. :-)</div><div><br></div></blockquote><div><br></div></div><div>If you add this to nova.conf:</div>
<div><br></div><div>allow_same_net_traffic=false</div><div><br></div><div>It should prevent the VMs from communicating with each other. From </div><div><br></div><div><a href="http://docs.openstack.org/essex/openstack-compute/admin/content/compute-options-reference.html#d6e3133" target="_blank">http://docs.openstack.org/essex/openstack-compute/admin/content/compute-options-reference.html#d6e3133</a></div>
</div></div></blockquote><div><br></div><div style="text-align:left">Hey <font color="#222222" face="arial, sans-serif"><span style="white-space:nowrap">Lorin,</span></font></div><div style="text-align:left"><font color="#222222" face="arial, sans-serif"><span style="white-space:nowrap"><br>
</span></font></div><div style="text-align:left"><font color="#222222" face="arial, sans-serif"><span style="white-space:nowrap">according to this rather short documentation for that flag, it is unfortunately very unclear what they meant with "from same network" - I hope to misread that line :-)</span></font></div>
<div style="text-align:left"><font color="#222222" face="arial, sans-serif"><span style="white-space:nowrap"><br></span></font></div><div style="text-align:left"><font color="#222222" face="arial, sans-serif"><span style="white-space:nowrap">That is, it sounds like it does prevent communication with ANY of the other VMs, but I just want to disallow communication from one tenant to another.</span></font></div>
<div style="text-align:left"><font color="#222222" face="arial, sans-serif"><span style="white-space:nowrap">Like, having a production tenant and a staging tenant, they should not be able to talk to each other but a VM from the production tenant should be able to</span></font></div>
<div style="text-align:left"><font color="#222222" face="arial, sans-serif"><span style="white-space:nowrap">talk to another VM within the same tenant.</span></font></div><div style="text-align:left"><font color="#222222" face="arial, sans-serif"><span style="white-space:nowrap"><br>
</span></font></div><div style="text-align:left"><font color="#222222" face="arial, sans-serif"><span style="white-space:nowrap">It might be helpful, if one may want to find some more clear words to this flag within the flag reference :-)</span></font></div>
<div style="text-align:left"><font color="#222222" face="arial, sans-serif"><span style="white-space:nowrap"><br></span></font></div><div>I would also like to know on what physical hosts I need this flag to be applied, too. I mean, is it just the nova-network node(s) or all compute nodes, that this flag takes affect?</div>
<div><br></div><div>Many thanks in advance,</div><div>Christian Parpart.</div><div> </div></div><br>