<div dir="ltr">Hi Chris, <div><br></div><div>If you care a lot about performance, try to make sure that you either:</div><div><br></div><div>a) Increase MTU on all your tunneling interfaces to avoid fragmentation.</div><div><br></div><div>or</div><div><br></div><div>b) work with VLANs instead of VXLAN/GRE.</div><div><br></div><div>Best regards.</div><div>Miguel Ángel.</div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature"><div dir="ltr"><div>---</div><div>irc: ajo / mangelajo</div>Miguel Angel Ajo Pelayo<br>+34 636 52 25 69<br>skype: ajoajoajo</div></div></div>
<br><div class="gmail_quote">2014-11-11 4:24 GMT+01:00 Chris <span dir="ltr"><<a href="mailto:contact@progbau.de" target="_blank">contact@progbau.de</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello Ihar,<br>
<br>
Thanks for taking care of this! Let's hope the backport for Icehouse will be<br>
available soon.<br>
We will use it in our setup!<br>
<span class="im HOEnZb"><br>
Cheers<br>
Chris<br>
<br>
-----Original Message-----<br>
From: <a href="mailto:rdo-list-bounces@redhat.com">rdo-list-bounces@redhat.com</a> [mailto:<a href="mailto:rdo-list-bounces@redhat.com">rdo-list-bounces@redhat.com</a>] On<br>
Behalf Of Ihar Hrachyshka<br>
</span><span class="im HOEnZb">Sent: Monday, November 10, 2014 17:53<br>
To: <a href="mailto:rdo-list@redhat.com">rdo-list@redhat.com</a><br>
Subject: Re: [Rdo-list] Compute Node without firewall (iptables) and Linux<br>
bridge<br>
<br>
</span><div class="HOEnZb"><div class="h5">-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA512<br>
<br>
Hey,<br>
<br>
I've looked closer into the issue. Indeed, neutron does not send proper VIF<br>
details flags to disable hybrid bridging on nova side. The issue was fixed<br>
with the following patch in master:<br>
<br>
- - <a href="https://review.openstack.org/#/c/104240/" target="_blank">https://review.openstack.org/#/c/104240/</a><br>
<br>
I've requested a backport for the patch for Icehouse and Juno:<br>
<br>
- - <a href="https://review.openstack.org/133421" target="_blank">https://review.openstack.org/133421</a> (Icehouse)<br>
- - <a href="https://review.openstack.org/132759" target="_blank">https://review.openstack.org/132759</a> (Juno)<br>
<br>
We'll need to wait for the patch to be merged in corresponding branches and<br>
be released to reach RDO repos though. So if you're keen to get the<br>
functionality ASAP, you can apply the patch to your setup in the meantime.<br>
<br>
Cheers,<br>
/Ihar<br>
<br>
On 30/10/14 13:32, Ihar Hrachyshka wrote:<br>
> Do you use monolithic OVS plugin or ML2 mechanism? If the latter, then<br>
> the file is not involved, and you should instead try to change the<br>
> value in:<br>
><br>
> /usr/lib/python2.6/site-packages/neutron/plugins/ml2/drivers/mech_open<br>
> vswitch.py<br>
><br>
>  That said, removal of .py file is not enough to make sure it's not<br>
> involved since .pyc file is still there and is used when there is no<br>
> .py counterpart.<br>
><br>
> On 30/10/14 11:56, Chris wrote:<br>
>> I just found out that the file in the compute node:<br>
>> /usr/lib/python2.6/site-packages/neutron/plugins/openvswitch/ovs_neut<br>
>> ron_plu<br>
><br>
>><br>
><br>
> gin.py<br>
>> where I edit the portbindings.OVS_HYBRID_PLUG doesn't has any effect.<br>
>> I even can delete the whole file, the bridge is still being created<br>
>> and everything works normal.<br>
><br>
>> Where I can edit the code to prevent the bridge creation?<br>
><br>
>> Cheers Chris<br>
><br>
>> -----Original Message----- From: Chris [mailto:<a href="mailto:contact@progbau.de">contact@progbau.de</a>]<br>
>> Sent: Thursday, October 30, 2014<br>
>> 01:28 To: 'Ihar Hrachyshka'; '<a href="mailto:rdo-list@redhat.com">rdo-list@redhat.com</a>' Subject: RE:<br>
>> [Rdo-list] Compute Node without firewall (iptables) and Linux bridge<br>
><br>
>> What do you mean with re-plugged? During my testing I always delete<br>
>> and create new Instances and every time the Linux<br>
>> bridge+interfaces gets deleted and created as well.<br>
><br>
>> Cheers Chris<br>
><br>
>> -----Original Message----- From: Ihar Hrachyshka<br>
>> [mailto:<a href="mailto:ihrachys@redhat.com">ihrachys@redhat.com</a>] Sent: Thursday, October 30, 2014<br>
>> 00:04 To: Chris; <a href="mailto:rdo-list@redhat.com">rdo-list@redhat.com</a> Subject: Re: [Rdo-list] Compute<br>
>> Node without firewall (iptables) and Linux bridge<br>
><br>
>> Have you replugged your instances? VIF objects are persisted in db, I<br>
>> guess with flags including the one that control whether a bridge<br>
>> should be created.<br>
><br>
>> Do you still see those bridges created for new instances?<br>
><br>
>> /Ihar<br>
><br>
>> On 29/10/14 11:26, Chris wrote:<br>
>>> Hello,<br>
><br>
>>> 1) we just don't need it, we are using the provider network which<br>
>>> includes hardware firewalls. 2) We have huge performance problems<br>
>>> regarding TCP_CRR / TCP_RR. The OpenStack VMs can deal just half of<br>
>>> TCP connections per second compared to our bare metal installations.<br>
>>> Throughput (10Gbit NIC) is fine though. Specs VMs and bare metal are<br>
>>> of course equal (RAM, Cores, etc.)<br>
><br>
>>> Did a lot of testing regarding the performance issues, it happens<br>
>>> "after" the both (br-int/br-ex) openvswitches. Upgraded ovs to<br>
>>> version 2.3 just fyi.<br>
><br>
>>> Cheers Chris<br>
><br>
><br>
>>> -----Original Message----- From: <a href="mailto:rdo-list-bounces@redhat.com">rdo-list-bounces@redhat.com</a><br>
>>> [mailto:<a href="mailto:rdo-list-bounces@redhat.com">rdo-list-bounces@redhat.com</a>] On Behalf Of Ihar Hrachyshka<br>
>>> Sent: Wednesday, October 29, 2014 16:51 To:<br>
>>> <a href="mailto:rdo-list@redhat.com">rdo-list@redhat.com</a> Subject: Re: [Rdo-list] Compute Node without<br>
>>> firewall (iptables) and Linux bridge<br>
><br>
>>> On 29/10/14 09:33, Chris wrote:<br>
>>>> Hello<br>
><br>
><br>
><br>
>>>> I?m looking for a way to disable any firewall feature in one of our<br>
>>>> compute nodes and prevent the creation of the Linux bridge in the<br>
>>>> data path inside of this compute node.<br>
><br>
>>> Can you elaborate on reasons to disable it? Of course it sounds a<br>
>>> bit not optimal, but do you have any performance concerns that you<br>
>>> try to address in this way?<br>
><br>
><br>
>>>> We using the RDO Icehouse release.<br>
><br>
><br>
><br>
>>>> Here is the configuration in the compute node:<br>
><br>
>>>> #/etc/neutron/plugin.ini<br>
><br>
>>>> [securitygroup]<br>
><br>
>>>> #firewall_driver =<br>
>>>> neutron.agent.linux.iptables_firewall.OVSHybridIptablesFirewallDriv<br>
>>>> er<br>
><br>
>>>>  firewall_driver = neutron.agent.firewall.NoopFirewall<br>
><br>
>>>> # enable_security_group = True<br>
><br>
>>>> enable_security_group = False<br>
><br>
><br>
><br>
>>>> #/etc/nova/nova.conf<br>
><br>
>>>> firewall_driver = nova.virt.firewall.NoopFirewallDriver<br>
><br>
>>>> #security_group_api = neutron<br>
><br>
><br>
><br>
>>>> #/etc/neutron/plugins/openvswitch/ovs_neutron_plugin.ini<br>
><br>
>>>> [securitygroup]<br>
><br>
>>>> firewall_driver = neutron.agent.firewall.NoopFirewallDriver<br>
><br>
>>>> enable_security_group = False<br>
><br>
><br>
><br>
>>>> The firewall seems to be disabled but the bridge and the interfaces<br>
>>>> are being still created.<br>
><br>
>>>> I found an older post about it:<br>
>>>> <a href="http://lists.openstack.org/pipermail/openstack/2014-May/007079.html" target="_blank">http://lists.openstack.org/pipermail/openstack/2014-May/007079.html</a><br>
><br>
>>>>  But changing ?portbindings.OVS_HYBRID_PLUG" from a hard-coded<br>
>>>> "True" to "False" didn?t change anything.<br>
><br>
><br>
><br>
>>>> Please advise!<br>
><br>
><br>
><br>
>>>> Cheers<br>
><br>
>>>> Chris<br>
><br>
><br>
><br>
><br>
><br>
>>>> _______________________________________________ Rdo-list mailing<br>
>>>> list <a href="mailto:Rdo-list@redhat.com">Rdo-list@redhat.com</a><br>
>>>> <a href="https://www.redhat.com/mailman/listinfo/rdo-list" target="_blank">https://www.redhat.com/mailman/listinfo/rdo-list</a><br>
><br>
><br>
>>> _______________________________________________ Rdo-list mailing<br>
>>> list <a href="mailto:Rdo-list@redhat.com">Rdo-list@redhat.com</a><br>
>>> <a href="https://www.redhat.com/mailman/listinfo/rdo-list" target="_blank">https://www.redhat.com/mailman/listinfo/rdo-list</a><br>
><br>
><br>
><br>
><br>
><br>
> _______________________________________________ Rdo-list mailing list<br>
> <a href="mailto:Rdo-list@redhat.com">Rdo-list@redhat.com</a> <a href="https://www.redhat.com/mailman/listinfo/rdo-list" target="_blank">https://www.redhat.com/mailman/listinfo/rdo-list</a><br>
><br>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG/MacGPG2 v2.0.22 (Darwin)<br>
<br>
iQEcBAEBCgAGBQJUYJkAAAoJEC5aWaUY1u57WZkIAII4LUJWK1dMh1BCM+fnZrJl<br>
wKsNXNs7kgIT4rmStz2UsNo6m+nwnwT+OM36Jigi4N7XZEDLMOvujx27Efd3o6M7<br>
F1Tl3Ld/To4te0Ayvd1CF+xV6jW6u/NegSrPSeT7edosi8cBeFlOdh3F5NN6lyJe<br>
c6LDspyCh8thX71bSlswMK4uHMlX4N856197r3/tuWpDPcRRy9g9n9+wF0avV3pv<br>
j8sf2zZupyR54xJbNdjAbOp/qwBmAEeFG+dapWYg5IvMcfH0g9eatbfGRegEb2XU<br>
F5AA0q/yve36FCG5FSZFVZLApwpIp5i4u2Dl7pygSUT5UdY9rsxVsHQhs8DlSkw=<br>
=DpTW<br>
-----END PGP SIGNATURE-----<br>
<br>
_______________________________________________<br>
Rdo-list mailing list<br>
<a href="mailto:Rdo-list@redhat.com">Rdo-list@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/rdo-list" target="_blank">https://www.redhat.com/mailman/listinfo/rdo-list</a><br>
<br>
<br>
_______________________________________________<br>
Rdo-list mailing list<br>
<a href="mailto:Rdo-list@redhat.com">Rdo-list@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/rdo-list" target="_blank">https://www.redhat.com/mailman/listinfo/rdo-list</a><br>
</div></div></blockquote></div><br></div>