<div dir="ltr">Another alternative is to use the Linux bridge agent with VXLAN tunneling instead of OVS.<div>Why you want to use OVS ?</div><div><br></div><div>With LB and VXLAN the host topology is clear and understandable.</div>
<div>For example a compute node with 2 VM (a and b) attached to a virtual network (VNI #1) and another VM (c) attached to another virtual network (VNI #2), looks like:</div><div><br></div><div>VM a       VM b     VM c</div>
<div>   \             /            |</div><div>     \         /              |</div><div>       \     /                |</div><div>       brq-#1            brq-#2</div><div>         |                    |</div><div>         |                    |<br>
</div><div>     vxlan-#1          vxlan-#2</div><div><br></div><div>And of course, Netfilter functionalities used for security groups works well with this Linux bridging environment.</div><div>But, I recommend to use at least version 3.11 of the Linux kernel (that the version use by Ubuntu LTS 12.04.4)</div>
<div><br></div><div>Regards,</div><div>Édouard.</div><div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Mar 11, 2014 at 3:57 PM, Robert van Leeuwen <span dir="ltr"><<a href="mailto:Robert.vanLeeuwen@spilgames.com" target="_blank">Robert.vanLeeuwen@spilgames.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="">> I was playing with OpenStack Neutron with OVS plugin. When I launch VMs, I noticed that there is a Linux<br>

> bridge (qbrxxx) created for each VM, which is then connected to the OVS bridge (ovs-int). See the following.<br>
</div><div class="">> My question is, why couldn't VMs be directly connected to br-int (without qbr Linux bridges)? Why do we create<br>
> additional Linux bridges between OVS bridge and VMs? What is the role of Linux bridges here?<br>
<br>
</div>This is, depending on your setup, not strictly necessary.<br>
Depending on the plugin you select you will get these.<br>
Note that the openvswitch setup with security groups enabled needs these devices.<br>
This is because without them traffic will never hit iptables on the compute node.<br>
<br>
There is currently work in progress to copy the iptables functionality to openvswitch/openflow rules so this setup is no longer needed.<br>
<br>
Cheers,<br>
Robert van Leeuwen<br>
<br>
<br>
_______________________________________________<br>
Mailing list: <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack</a><br>
Post to     : <a href="mailto:openstack@lists.openstack.org">openstack@lists.openstack.org</a><br>
Unsubscribe : <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack</a><br>
</blockquote></div><br></div>