<div dir="ltr">Hi Michael,<br><br>Thanks for your reply.  You are right.<div><br>I found that from the OpenStack documentation as well:<br><br>"Ideally, the TAP device vnet0 would be connected directly to the integration bridge, br-int. Unfortunately, this isn't possible because of how OpenStack security groups are currently implemented. OpenStack uses iptables rules on the TAP devices such as vnet0 to implement security groups, and Open vSwitch is not compatible with iptables rules that are applied directly on TAP devices that are connected to an Open vSwitch port."<div>
<br></div><div><a href="http://docs.openstack.org/grizzly/openstack-network/admin/content/under_the_hood_openvswitch.html">http://docs.openstack.org/grizzly/openstack-network/admin/content/under_the_hood_openvswitch.html</a></div>
<div><br></div><div>Thanks again for your clarification.</div><div><br></div><div>-Dan</div><div><br></div><div><div><br></div></div></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Mar 11, 2014 at 10:22 AM, Michael Dorman <span dir="ltr"><<a href="mailto:mdorman@godaddy.com" target="_blank">mdorman@godaddy.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



<div style="font-size:14px;font-family:Calibri,sans-serif;word-wrap:break-word">
<div>I believe this is so that security groups can be applied using iptables on those qbrXXX interfaces.  At least that's how it works in our implementation under Havana.</div>
<div><br>
</div>
<div><br>
</div>
<span>
<div style="border-right:medium none;padding-right:0in;padding-left:0in;padding-top:3pt;text-align:left;font-size:11pt;border-bottom:medium none;font-family:Calibri;border-top:#b5c4df 1pt solid;padding-bottom:0in;border-left:medium none">

<span style="font-weight:bold">From: </span>Dan Nanni <<a href="mailto:xmodulo@gmail.com" target="_blank">xmodulo@gmail.com</a>><br>
<span style="font-weight:bold">Date: </span>Tuesday, March 11, 2014 8:06 AM<br>
<span style="font-weight:bold">To: </span>"<a href="mailto:openstack@lists.openstack.org" target="_blank">openstack@lists.openstack.org</a>" <<a href="mailto:openstack@lists.openstack.org" target="_blank">openstack@lists.openstack.org</a>><br>

<span style="font-weight:bold">Subject: </span>[Openstack] Why is Neutron OVS topology the way it is?<br>
</div><div><div class="h5">
<div><br>
</div>
<div>
<div>
<div dir="ltr">
<div class="gmail_quote">
<div dir="ltr">Hi,<br>
<br>
I was playing with OpenStack Neutron with OVS plugin. When I launch VMs, I noticed that there is a Linux bridge (qbrxxx) created for each VM, which is then connected to the OVS bridge (ovs-int). See the following.<br>
<br>
        VM0           VM2<br>
           |                 |<br>
      qbrXXX        qbrYYY  (per-VM linux bridges)<br>
           |                 |<br>
           |                 |                  <br>
        br-int (OVS bridge)<br>
                    |<br>
                 br-eth<br>
<br>
My question is, why couldn't VMs be directly connected to br-int (without qbr Linux bridges)? Why do we create additional Linux bridges between OVS bridge and VMs? What is the role of Linux bridges here?<br>
<br>
Thanks!<span><font color="#888888"><br>
-Dan</font></span></div>
</div>
<div dir="ltr">
<div><br>
</div>
</div>
</div>
</div>
</div>
</div></div></span>
</div>

</blockquote></div><br><br clear="all"><div><br></div>-- <br><div dir="ltr">-Dan<div><br></div></div>
</div>