<div dir="ltr">Hi,<div>You have to consider your needs for selection.</div><div>For example the hybrid driver has the extra iptables/nftables in the traffic loop, and for that you need an extra linuxbrdge between the instance port and the firewall (nftables or in the past iptables).</div><div>The extra components give performance and scalability cost (see [0])</div><div>The OVS driver installs flows to br-int and that will do the filtering based on the security group rules defined on the API, so everything is done on OVS ports/bridges. No extra component in the traffic no extra cost.</div><div>The bad things is that for first debugging and understanding ovs flows based rules not easy at first.</div><div><br></div><div>[0]: <a href="https://docs.openstack.org/neutron/latest/admin/config-ovsfwdriver.html">https://docs.openstack.org/neutron/latest/admin/config-ovsfwdriver.html</a></div><div><br></div><div>Best wishes</div><div>Lajos Katona</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">ETP <<a href="mailto:erkki@peurat.net">erkki@peurat.net</a>> ezt írta (időpont: 2022. szept. 7., Sze, 16:28):<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><u></u><div>Hi,<br><br>what is the recommended openvswich agent driver for security groups? <br><br>Two options on my table are now OVS native firewall driver vs. OVSHybridIptablesFirewall driver<br><br>Br,<br><br>    - Eki -<br><br></div></blockquote></div>