
<div dir="ltr">Hi Chris, <div><br></div><div>If you care a lot about performance, try to make sure that you either:</div><div><br></div><div>a) Increase MTU on all your tunneling interfaces to avoid fragmentation.</div><div><br></div><div>or</div><div><br></div><div>b) work with VLANs instead of VXLAN/GRE.</div><div><br></div><div>Best regards.</div><div>Miguel Ángel.</div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature"><div dir="ltr"><div>---</div><div>irc: ajo / mangelajo</div>Miguel Angel Ajo Pelayo<br>+34 636 52 25 69<br>skype: ajoajoajo</div></div></div>

<br><div class="gmail_quote">2014-11-11 4:24 GMT+01:00 Chris <span dir="ltr"><<a href="mailto:contact@progbau.de" target="_blank">contact@progbau.de</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello Ihar,<br>

<br>

Thanks for taking care of this! Let's hope the backport for Icehouse will be<br>

available soon.<br>

We will use it in our setup!<br>

<span class="im HOEnZb"><br>

Cheers<br>

Chris<br>

<br>

-----Original Message-----<br>

From: <a href="mailto:rdo-list-bounces@redhat.com">rdo-list-bounces@redhat.com</a> [mailto:<a href="mailto:rdo-list-bounces@redhat.com">rdo-list-bounces@redhat.com</a>] On<br>

Behalf Of Ihar Hrachyshka<br>

</span><span class="im HOEnZb">Sent: Monday, November 10, 2014 17:53<br>

To: <a href="mailto:rdo-list@redhat.com">rdo-list@redhat.com</a><br>

Subject: Re: [Rdo-list] Compute Node without firewall (iptables) and Linux<br>

bridge<br>

<br>

</span><div class="HOEnZb"><div class="h5">-----BEGIN PGP SIGNED MESSAGE-----<br>

Hash: SHA512<br>

<br>

Hey,<br>

<br>

I've looked closer into the issue. Indeed, neutron does not send proper VIF<br>

details flags to disable hybrid bridging on nova side. The issue was fixed<br>

with the following patch in master:<br>

<br>

- - <a href="https://review.openstack.org/#/c/104240/" target="_blank">https://review.openstack.org/#/c/104240/</a><br>

<br>

I've requested a backport for the patch for Icehouse and Juno:<br>

<br>

- - <a href="https://review.openstack.org/133421" target="_blank">https://review.openstack.org/133421</a> (Icehouse)<br>

- - <a href="https://review.openstack.org/132759" target="_blank">https://review.openstack.org/132759</a> (Juno)<br>

<br>

We'll need to wait for the patch to be merged in corresponding branches and<br>

be released to reach RDO repos though. So if you're keen to get the<br>

functionality ASAP, you can apply the patch to your setup in the meantime.<br>

<br>

Cheers,<br>

/Ihar<br>

<br>

On 30/10/14 13:32, Ihar Hrachyshka wrote:<br>

> Do you use monolithic OVS plugin or ML2 mechanism? If the latter, then<br>

> the file is not involved, and you should instead try to change the<br>

> value in:<br>

><br>

> /usr/lib/python2.6/site-packages/neutron/plugins/ml2/drivers/mech_open<br>

> vswitch.py<br>

><br>

>  That said, removal of .py file is not enough to make sure it's not<br>

> involved since .pyc file is still there and is used when there is no<br>

> .py counterpart.<br>

><br>

> On 30/10/14 11:56, Chris wrote:<br>

>> I just found out that the file in the compute node:<br>

>> /usr/lib/python2.6/site-packages/neutron/plugins/openvswitch/ovs_neut<br>

>> ron_plu<br>

><br>

>><br>

><br>

> gin.py<br>

>> where I edit the portbindings.OVS_HYBRID_PLUG doesn't has any effect.<br>

>> I even can delete the whole file, the bridge is still being created<br>

>> and everything works normal.<br>

><br>

>> Where I can edit the code to prevent the bridge creation?<br>

><br>

>> Cheers Chris<br>

><br>

>> -----Original Message----- From: Chris [mailto:<a href="mailto:contact@progbau.de">contact@progbau.de</a>]<br>

>> Sent: Thursday, October 30, 2014<br>

>> 01:28 To: 'Ihar Hrachyshka'; '<a href="mailto:rdo-list@redhat.com">rdo-list@redhat.com</a>' Subject: RE:<br>

>> [Rdo-list] Compute Node without firewall (iptables) and Linux bridge<br>

><br>

>> What do you mean with re-plugged? During my testing I always delete<br>

>> and create new Instances and every time the Linux<br>

>> bridge+interfaces gets deleted and created as well.<br>

><br>

>> Cheers Chris<br>

><br>

>> -----Original Message----- From: Ihar Hrachyshka<br>

>> [mailto:<a href="mailto:ihrachys@redhat.com">ihrachys@redhat.com</a>] Sent: Thursday, October 30, 2014<br>

>> 00:04 To: Chris; <a href="mailto:rdo-list@redhat.com">rdo-list@redhat.com</a> Subject: Re: [Rdo-list] Compute<br>

>> Node without firewall (iptables) and Linux bridge<br>

><br>

>> Have you replugged your instances? VIF objects are persisted in db, I<br>

>> guess with flags including the one that control whether a bridge<br>

>> should be created.<br>

><br>

>> Do you still see those bridges created for new instances?<br>

><br>

>> /Ihar<br>

><br>

>> On 29/10/14 11:26, Chris wrote:<br>

>>> Hello,<br>

><br>

>>> 1) we just don't need it, we are using the provider network which<br>

>>> includes hardware firewalls. 2) We have huge performance problems<br>

>>> regarding TCP_CRR / TCP_RR. The OpenStack VMs can deal just half of<br>

>>> TCP connections per second compared to our bare metal installations.<br>

>>> Throughput (10Gbit NIC) is fine though. Specs VMs and bare metal are<br>

>>> of course equal (RAM, Cores, etc.)<br>

><br>

>>> Did a lot of testing regarding the performance issues, it happens<br>

>>> "after" the both (br-int/br-ex) openvswitches. Upgraded ovs to<br>

>>> version 2.3 just fyi.<br>

><br>

>>> Cheers Chris<br>

><br>

><br>

>>> -----Original Message----- From: <a href="mailto:rdo-list-bounces@redhat.com">rdo-list-bounces@redhat.com</a><br>

>>> [mailto:<a href="mailto:rdo-list-bounces@redhat.com">rdo-list-bounces@redhat.com</a>] On Behalf Of Ihar Hrachyshka<br>

>>> Sent: Wednesday, October 29, 2014 16:51 To:<br>

>>> <a href="mailto:rdo-list@redhat.com">rdo-list@redhat.com</a> Subject: Re: [Rdo-list] Compute Node without<br>

>>> firewall (iptables) and Linux bridge<br>

><br>

>>> On 29/10/14 09:33, Chris wrote:<br>

>>>> Hello<br>

><br>

><br>

><br>

>>>> I?m looking for a way to disable any firewall feature in one of our<br>

>>>> compute nodes and prevent the creation of the Linux bridge in the<br>

>>>> data path inside of this compute node.<br>

><br>

>>> Can you elaborate on reasons to disable it? Of course it sounds a<br>

>>> bit not optimal, but do you have any performance concerns that you<br>

>>> try to address in this way?<br>

><br>

><br>

>>>> We using the RDO Icehouse release.<br>

><br>

><br>

><br>

>>>> Here is the configuration in the compute node:<br>

><br>

>>>> #/etc/neutron/plugin.ini<br>

><br>

>>>> [securitygroup]<br>

><br>

>>>> #firewall_driver =<br>

>>>> neutron.agent.linux.iptables_firewall.OVSHybridIptablesFirewallDriv<br>

>>>> er<br>

><br>

>>>>  firewall_driver = neutron.agent.firewall.NoopFirewall<br>

><br>

>>>> # enable_security_group = True<br>

><br>

>>>> enable_security_group = False<br>

><br>

><br>

><br>

>>>> #/etc/nova/nova.conf<br>

><br>

>>>> firewall_driver = nova.virt.firewall.NoopFirewallDriver<br>

><br>

>>>> #security_group_api = neutron<br>

><br>

><br>

><br>

>>>> #/etc/neutron/plugins/openvswitch/ovs_neutron_plugin.ini<br>

><br>

>>>> [securitygroup]<br>

><br>

>>>> firewall_driver = neutron.agent.firewall.NoopFirewallDriver<br>

><br>

>>>> enable_security_group = False<br>

><br>

><br>

><br>

>>>> The firewall seems to be disabled but the bridge and the interfaces<br>

>>>> are being still created.<br>

><br>

>>>> I found an older post about it:<br>

>>>> <a href="http://lists.openstack.org/pipermail/openstack/2014-May/007079.html" target="_blank">http://lists.openstack.org/pipermail/openstack/2014-May/007079.html</a><br>

><br>

>>>>  But changing ?portbindings.OVS_HYBRID_PLUG" from a hard-coded<br>

>>>> "True" to "False" didn?t change anything.<br>

><br>

><br>

><br>

>>>> Please advise!<br>

><br>

><br>

><br>

>>>> Cheers<br>

><br>

>>>> Chris<br>

><br>

><br>

><br>

><br>

><br>

>>>> _______________________________________________ Rdo-list mailing<br>

>>>> list <a href="mailto:Rdo-list@redhat.com">Rdo-list@redhat.com</a><br>

>>>> <a href="https://www.redhat.com/mailman/listinfo/rdo-list" target="_blank">https://www.redhat.com/mailman/listinfo/rdo-list</a><br>

><br>

><br>

>>> _______________________________________________ Rdo-list mailing<br>

>>> list <a href="mailto:Rdo-list@redhat.com">Rdo-list@redhat.com</a><br>

>>> <a href="https://www.redhat.com/mailman/listinfo/rdo-list" target="_blank">https://www.redhat.com/mailman/listinfo/rdo-list</a><br>

><br>

><br>

><br>

><br>

><br>

> _______________________________________________ Rdo-list mailing list<br>

> <a href="mailto:Rdo-list@redhat.com">Rdo-list@redhat.com</a> <a href="https://www.redhat.com/mailman/listinfo/rdo-list" target="_blank">https://www.redhat.com/mailman/listinfo/rdo-list</a><br>

><br>

-----BEGIN PGP SIGNATURE-----<br>

Version: GnuPG/MacGPG2 v2.0.22 (Darwin)<br>

<br>

iQEcBAEBCgAGBQJUYJkAAAoJEC5aWaUY1u57WZkIAII4LUJWK1dMh1BCM+fnZrJl<br>

wKsNXNs7kgIT4rmStz2UsNo6m+nwnwT+OM36Jigi4N7XZEDLMOvujx27Efd3o6M7<br>

F1Tl3Ld/To4te0Ayvd1CF+xV6jW6u/NegSrPSeT7edosi8cBeFlOdh3F5NN6lyJe<br>

c6LDspyCh8thX71bSlswMK4uHMlX4N856197r3/tuWpDPcRRy9g9n9+wF0avV3pv<br>

j8sf2zZupyR54xJbNdjAbOp/qwBmAEeFG+dapWYg5IvMcfH0g9eatbfGRegEb2XU<br>

F5AA0q/yve36FCG5FSZFVZLApwpIp5i4u2Dl7pygSUT5UdY9rsxVsHQhs8DlSkw=<br>

=DpTW<br>

-----END PGP SIGNATURE-----<br>

<br>

_______________________________________________<br>

Rdo-list mailing list<br>

<a href="mailto:Rdo-list@redhat.com">Rdo-list@redhat.com</a><br>

<a href="https://www.redhat.com/mailman/listinfo/rdo-list" target="_blank">https://www.redhat.com/mailman/listinfo/rdo-list</a><br>

<br>

<br>

_______________________________________________<br>

Rdo-list mailing list<br>

<a href="mailto:Rdo-list@redhat.com">Rdo-list@redhat.com</a><br>

<a href="https://www.redhat.com/mailman/listinfo/rdo-list" target="_blank">https://www.redhat.com/mailman/listinfo/rdo-list</a><br>

</div></div></blockquote></div><br></div>