<div dir="ltr">Yup lovely BUT... i already tried out that combination and rules are not getting applied on nova, if you take a look at what i uploaded im using containers with DockerIO, i was wondering if theres an issue just there, that security groups with neutron are not working with containers yet or the rules should be applied on the proper container namespace ... <div>
<br></div><div style>I tried : </div><div style><br>firewall_driver = neutron.agent.linux.iptables_firewall.OVSHybridIptablesFirewallDriver</div><div style>firewall_driver = neutron.agent.linux.iptables_firewall.IptablesFirewallDriver</div>
<div style><br></div><div style>And the noop both on nova conf and ovs plugin.ini without luck thats why i was asking this to the list, cause i run out of ideas/docs to look up to</div><div style><br></div><div style>Best</div>
</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Oct 23, 2013 at 11:58 PM, Robert Collins <span dir="ltr"><<a href="mailto:robertc@robertcollins.net" target="_blank">robertc@robertcollins.net</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">(dropping -dev, this is a deployment question).<br>
<br>
firewall_driver=neutron.agent.firewall.NoopFirewallDriver<br>
<br>
^ thats your problem. It's a no-op driver, which means no firewall<br>
rules are applied.<br>
<br>
<a href="http://docs.openstack.org/havana/install-guide/install/yum/content/install-neutron.install-plugin-compute.ovs.html" target="_blank">http://docs.openstack.org/havana/install-guide/install/yum/content/install-neutron.install-plugin-compute.ovs.html</a><br>

<br>
(applies to apt etc as well - just the first hit from google :))<br>
covers this part of the setup.<br>
<br>
-Rob<br>
<div><div class="h5"><br>
On 24 October 2013 01:57, Leandro Reox <<a href="mailto:leandro.reox@gmail.com">leandro.reox@gmail.com</a>> wrote:<br>
> Hi guys,<br>
><br>
> Seem that i cant find the right combination to get neutron security groups<br>
> working with nova and OVS<br>
><br>
> - I see the logs on the ovs agent like sec group updated or rule updated<br>
> - I can configure the rules on neutron without an issue<br>
><br>
> BUT<br>
><br>
> Seems like nova is not doing anything with the the rules itself, i dont see<br>
> any root-wrap event trying to apply an iptables chain, its like the the<br>
> agent is not passing the order to apply the rules to nova<br>
><br>
> Here is all the nova.conf stuff, and agent logs, and iptables chains:<br>
> <a href="http://pastebin.com/RMgQxFyN" target="_blank">http://pastebin.com/RMgQxFyN</a><br>
><br>
><br>
> I dont know what to try to get this working , maybe im using the wrong<br>
> firewall driver or something ? or do i need for example that neutron and<br>
> nova connects to the same queue??<br>
><br>
> Best<br>
> Lean<br>
><br>
</div></div>> _______________________________________________<br>
> OpenStack-dev mailing list<br>
> <a href="mailto:OpenStack-dev@lists.openstack.org">OpenStack-dev@lists.openstack.org</a><br>
> <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
><br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
<br>
--<br>
Robert Collins <<a href="mailto:rbtcollins@hp.com">rbtcollins@hp.com</a>><br>
Distinguished Technologist<br>
HP Converged Cloud<br>
<br>
_______________________________________________<br>
Mailing list: <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack</a><br>
Post to     : <a href="mailto:openstack@lists.openstack.org">openstack@lists.openstack.org</a><br>
Unsubscribe : <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack</a><br>
</font></span></blockquote></div><br></div>