<div dir="ltr">So for clarification, just so we're all on the same page. You have dedicated network nodes, which are running the agent, and the bare metal nodes are obviously wired into them on the same logical network,<div><br></div><div><a href="https://bugs.launchpad.net/neutron/+bug/1934666">https://bugs.launchpad.net/neutron/+bug/1934666</a> refers only to on compute nodes, which seems different from this configuration.<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Dec 12, 2022 at 6:36 AM Arnaud Morin <<a href="mailto:arnaud.morin@gmail.com">arnaud.morin@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hello,<br>
<br>
I am not, on computes I am using agent_mode=dvr<br>
on network nodes, I am using agent_mode=dvr_snat<br>
<br>
Note that the computes routers are also answering as soon an instance<br>
lives on it (or a dhcp agent hosting the network).<br>
<br>
Arnaud<br>
<br>
On 12.12.22 - 09:19, Brian Haley wrote:<br>
> Hi Arnaud,<br>
> <br>
> Are you using agent_mode=dvr_snat on computes? That is unsupported:<br>
> <br>
> <a href="https://review.opendev.org/c/openstack/neutron/+/801503" rel="noreferrer" target="_blank">https://review.opendev.org/c/openstack/neutron/+/801503</a><br>
> <br>
> -Brian<br>
> <br>
> On 12/12/22 4:30 AM, Arnaud Morin wrote:<br>
> > Hello,<br>
> > <br>
> > My subnet is: <a href="http://192.168.43.0/24" rel="noreferrer" target="_blank">192.168.43.0/24</a><br>
> > <br>
> > My router is: 192.168.43.1<br>
> > <br>
> > My ironic server is: 192.168.43.43<br>
> > <br>
> > When I do a ping against router from server:<br>
> > $ ping -c5 192.168.43.1<br>
> > PING 192.168.43.1 (192.168.43.1) 56(84) bytes of data.<br>
> > 64 bytes from <a href="http://192.168.43.1" rel="noreferrer" target="_blank">192.168.43.1</a>: icmp_seq=1 ttl=64 time=0.458 ms<br>
> > 64 bytes from <a href="http://192.168.43.1" rel="noreferrer" target="_blank">192.168.43.1</a>: icmp_seq=1 ttl=64 time=0.899 ms (DUP!)<br>
> > 64 bytes from <a href="http://192.168.43.1" rel="noreferrer" target="_blank">192.168.43.1</a>: icmp_seq=2 ttl=64 time=0.372 ms<br>
> > 64 bytes from <a href="http://192.168.43.1" rel="noreferrer" target="_blank">192.168.43.1</a>: icmp_seq=2 ttl=64 time=0.399 ms (DUP!)<br>
> > 64 bytes from <a href="http://192.168.43.1" rel="noreferrer" target="_blank">192.168.43.1</a>: icmp_seq=3 ttl=64 time=0.484 ms<br>
> > 64 bytes from <a href="http://192.168.43.1" rel="noreferrer" target="_blank">192.168.43.1</a>: icmp_seq=3 ttl=64 time=0.485 ms (DUP!)<br>
> > 64 bytes from <a href="http://192.168.43.1" rel="noreferrer" target="_blank">192.168.43.1</a>: icmp_seq=4 ttl=64 time=0.411 ms<br>
> > 64 bytes from <a href="http://192.168.43.1" rel="noreferrer" target="_blank">192.168.43.1</a>: icmp_seq=4 ttl=64 time=0.411 ms (DUP!)<br>
> > 64 bytes from <a href="http://192.168.43.1" rel="noreferrer" target="_blank">192.168.43.1</a>: icmp_seq=5 ttl=64 time=0.299 ms<br>
> > <br>
> > --- 192.168.43.1 ping statistics ---<br>
> > 5 packets transmitted, 5 received, +4 duplicates, 0% packet loss, time<br>
> > 4101ms<br>
> > rtt min/avg/max/mdev = 0.299/0.468/0.899/0.161 ms<br>
> > <br>
> > <br>
> > <br>
> > <br>
> > We can see the DUP! which are coming from the 2 SNAT nodes that I have<br>
> > (I am using max_l3_agents_per_router=2).<br>
> > <br>
> > <br>
> > <br>
> > Cheers<br>
> > <br>
> > <br>
> > On 12.12.22 - 10:11, Rodolfo Alonso Hernandez wrote:<br>
> > > Hello Arnaud:<br>
> > > <br>
> > > You said "all distributed routers are answering to ARP and ICMP, thus<br>
> > > creating duplicates in the network". To what IP addresses are the DVR<br>
> > > routers replying?<br>
> > > <br>
> > > Regards.<br>
> > > <br>
> > > <br>
> > > On Mon, Dec 12, 2022 at 10:01 AM Arnaud Morin <<a href="mailto:arnaud.morin@gmail.com" target="_blank">arnaud.morin@gmail.com</a>><br>
> > > wrote:<br>
> > > <br>
> > > > Hello team,<br>
> > > > <br>
> > > > When using router in DVR (+ HA), we end-up having the router on all<br>
> > > > computes where needed.<br>
> > > > <br>
> > > > So far, this is nice.<br>
> > > > <br>
> > > > We want to introduce Ironic baremetal servers, with a private network<br>
> > > > access.<br>
> > > > DVR won't apply on such baremetal servers, and we know floating IP are<br>
> > > > not going to work.<br>
> > > > <br>
> > > > Anyway, we were thinking that SNAT part would be OK.<br>
> > > > After doing few tests, we noticed that all distributed routers are<br>
> > > > answering to ARP and ICMP, thus creating duplicates in the network.<br>
> > > > <br>
> > > > $ arping -c1 192.168.43.1<br>
> > > > ARPING 192.168.43.1<br>
> > > > 60 bytes from fa:16:3f:67:97:6a (192.168.43.1): index=0 time=634.700 usec<br>
> > > > 60 bytes from fa:16:3f:dc:67:91 (192.168.43.1): index=1 time=750.298 usec<br>
> > > > <br>
> > > > --- 192.168.43.1 statistics ---<br>
> > > > 1 packets transmitted, 2 packets received,   0% unanswered (1 extra)<br>
> > > > <br>
> > > > <br>
> > > > <br>
> > > > Is there anything possible on neutron side to prevent this?<br>
> > > > <br>
> > > > <br>
> > > > FYI, I did a comparison with routers in centralized mode (+ HA).<br>
> > > > In that situation, keepalived is putting the qr-xxx interface down in<br>
> > > > qrouter namespace.<br>
> > > > In distributed mode, keepalives is running in snat- namespace and cannot<br>
> > > > manage the router interface.<br>
> > > > <br>
> > > > Any help / tip would be appreciated.<br>
> > > > <br>
> > > > Thanks!<br>
> > > > <br>
> > > > Arnaud.<br>
> > > > <br>
> > > > <br>
> > <br>
<br>
</blockquote></div>