
<p dir="ltr">I have a question. If I want to add any public network, do I need to statically assign every compute node to the same network on one of the interfaces? I mean, in order to access to VMs which have the floating IP on that network. </p>

<p dir="ltr">For example, having the VMs on <a href="http://172.16.58.0/24">172.16.58.0/24</a> external network and compute nodes with interfaces assigned with different networks. </p>

<div class="gmail_quote">Il 21/feb/2015 21:34 "Dan Sneddon" <<a href="mailto:dsneddon@redhat.com">dsneddon@redhat.com</a>> ha scritto:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">-----BEGIN PGP SIGNED MESSAGE-----<br>

Hash: SHA1<br>

<br>

On 02/21/2015 12:14 AM, Pasquale Salza wrote:<br>

> Thank you! Yes you were right, I meant to chose 6 VMs and give them<br>

> 6 IPs. I forgot the router IP.<br>

><br>

> Is there any problem in not giving direct internet access to<br>

> machines, but using IP forwarding on controller?<br>

><br>

> Il 21/feb/2015 01:35 "Dan Sneddon" <<a href="mailto:dsneddon@redhat.com">dsneddon@redhat.com</a><br>

> <mailto:<a href="mailto:dsneddon@redhat.com">dsneddon@redhat.com</a>>> ha scritto:<br>

><br>

> On 02/20/2015 03:29 PM, Pasquale Salza wrote:<br>

>> Whops! I figured out just few seconds after I sent the mail! Ok,<br>

>> tomorrow I'll try with it. :) I'd like to share how I want to<br>

>> organise my network in order to get some advices.<br>

><br>

>> Let's say I have 7 machines and 7 spare IPs on the network<br>

>> <a href="http://172.16.58.0/24" target="_blank">172.16.58.0/24</a> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>><br>

> which are also associated to<br>

>> 7 public (internet) IPs.<br>

><br>

>> I'd like to reserve 6 IPs for 6 VMs I could instanciate on<br>

>> OpenStack.<br>

><br>

>> So I planned to do this: the controller node has a static IP on<br>

>> eth0 of the 7 in <a href="http://172.16.58.50/24" target="_blank">172.16.58.50/24</a> <<a href="http://172.16.58.50/24" target="_blank">http://172.16.58.50/24</a>><br>

> <<a href="http://172.16.58.50/24" target="_blank">http://172.16.58.50/24</a>> network<br>

>> so as I can access it from outside. I add an alias eth0:0 with<br>

>> which I connect the controller to the Management network of<br>

>> OpenStack, the <a href="http://10.0.1.0/24" target="_blank">10.0.1.0/24</a> <<a href="http://10.0.1.0/24" target="_blank">http://10.0.1.0/24</a>><br>

> <<a href="http://10.0.1.0/24" target="_blank">http://10.0.1.0/24</a>> network. Also on<br>

>> the controller,  I set statically the IP for eth1 with one of<br>

>> float IPs network <a href="http://192.168.0.0/16" target="_blank">192.168.0.0/16</a> <<a href="http://192.168.0.0/16" target="_blank">http://192.168.0.0/16</a>><br>

> <<a href="http://192.168.0.0/16" target="_blank">http://192.168.0.0/16</a>> network. With<br>

>> iptables, I add the rule of forwarding everithing on eth0 and<br>

>> eth1, so the other nodes can get Internet access on network<br>

>> <a href="http://10.0.1.0/24" target="_blank">10.0.1.0/24</a> <<a href="http://10.0.1.0/24" target="_blank">http://10.0.1.0/24</a>> <<a href="http://10.0.1.0/24" target="_blank">http://10.0.1.0/24</a>>.<br>

><br>

>> On the compute nodes I set eth0 as one of IPs on <a href="http://10.0.1.0/24" target="_blank">10.0.1.0/24</a><br>

> <<a href="http://10.0.1.0/24" target="_blank">http://10.0.1.0/24</a>><br>

>> <<a href="http://10.0.1.0/24" target="_blank">http://10.0.1.0/24</a>> management network and eth1 as one on<br>

>> <a href="http://192.168.0.0/16" target="_blank">192.168.0.0/16</a> <<a href="http://192.168.0.0/16" target="_blank">http://192.168.0.0/16</a>> <<a href="http://192.168.0.0/16" target="_blank">http://192.168.0.0/16</a>>.<br>

><br>

>> Om each  node I put the bridge on eth1.<br>

><br>

>> With RDO I put virtualisation and tunneling only on eth1.<br>

><br>

>> When the installatation has finished, I create a private neutron<br>

>> network <a href="http://10.100.0.0/16" target="_blank">10.100.0.0/16</a> <<a href="http://10.100.0.0/16" target="_blank">http://10.100.0.0/16</a>><br>

> <<a href="http://10.100.0.0/16" target="_blank">http://10.100.0.0/16</a>> and two public<br>

>> networks of floating IPs. The first is <a href="http://192.168.0.0/24" target="_blank">192.168.0.0/24</a><br>

> <<a href="http://192.168.0.0/24" target="_blank">http://192.168.0.0/24</a>><br>

>> <<a href="http://192.168.0.0/24" target="_blank">http://192.168.0.0/24</a>> for any kind of VM. The other is the<br>

>> <a href="http://172.16.58.0/24" target="_blank">172.16.58.0/24</a> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>><br>

> network, limited to the 6<br>

>> available IPs with which I can put virtual machines on Internet.<br>

><br>

>> Does it make sense or I'm doing some mistakes? Do you have any<br>

>> other idea?<br>

><br>

>> Thank you very much indeed!<br>

><br>

>> Pasquale<br>

><br>

>> On 02/20/2015 02:07 PM, Pasquale Salza wrote:<br>

>>> Hi Rhys, I suppose so, because these are my iptables rules:<br>

><br>

>>> iptables -F iptables -t nat -F iptables -P INPUT ACCEPT<br>

>>> iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables<br>

>>> -A INPUT -d <a href="http://172.16.58.0/24" target="_blank">172.16.58.0/24</a> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>><br>

>>> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>><br>

> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>><br>

>>> -m<br>

>> state --state<br>

>>> ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -d<br>

>>> <a href="http://172.16.58.0/24" target="_blank">172.16.58.0/24</a> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>><br>

>> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>><br>

>>> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>> -p tcp --dport ssh -j ACCEPT iptables<br>

>>> -A INPUT -d <a href="http://172.16.58.0/24" target="_blank">172.16.58.0/24</a> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>><br>

> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>><br>

>> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>> -p tcp --dport www<br>

>>> -j ACCEPT iptables -A INPUT -d <a href="http://172.16.58.0/24" target="_blank">172.16.58.0/24</a><br>

>>> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>><br>

>>> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>> -p tcp --dport pptp -j ACCEPT iptables<br>

>>> -A INPUT -d <a href="http://172.16.58.0/24" target="_blank">172.16.58.0/24</a><br>

> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>><br>

>>> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>><br>

>> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>> -p tcp --sport<br>

>>> domain -j ACCEPT iptables -A INPUT -d <a href="http://172.16.58.0/24" target="_blank">172.16.58.0/24</a><br>

> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>><br>

>> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>><br>

>>> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>> -p tcp --dport domain -j ACCEPT<br>

>>> iptables -A INPUT -d <a href="http://172.16.58.0/24" target="_blank">172.16.58.0/24</a> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>><br>

> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>><br>

>> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>> -p udp --sport<br>

>>> domain -j ACCEPT iptables -A INPUT -d <a href="http://172.16.58.0/24" target="_blank">172.16.58.0/24</a><br>

> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>><br>

>> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>><br>

>>> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>> -p udp --dport domain -j ACCEPT<br>

>>> iptables -A INPUT -d <a href="http://172.16.58.0/24" target="_blank">172.16.58.0/24</a> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>><br>

> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>><br>

>> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>> -p gre -j ACCEPT<br>

>>> iptables -A INPUT -d <a href="http://172.16.58.0/24" target="_blank">172.16.58.0/24</a> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>><br>

> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>><br>

>> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>> -p icmp<br>

>>> -j ACCEPT iptables -A INPUT -d <a href="http://172.16.58.0/24" target="_blank">172.16.58.0/24</a><br>

>>> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>><br>

>>> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>> -j DROP iptables -t nat -A POSTROUTING<br>

>>> -o eth0 -j MASQUERADE service iptables save<br>

><br>

>>> Firstly, do you think I planned the network organisation well?<br>

>>> Do you have other suggestion (best practices) with 2<br>

>>> interfaces?<br>

><br>

><br>

>>> 2015-02-20 18:30 GMT+01:00 Rhys Oxenham <<a href="mailto:roxenham@redhat.com">roxenham@redhat.com</a><br>

> <mailto:<a href="mailto:roxenham@redhat.com">roxenham@redhat.com</a>><br>

>> <mailto:<a href="mailto:roxenham@redhat.com">roxenham@redhat.com</a> <mailto:<a href="mailto:roxenham@redhat.com">roxenham@redhat.com</a>>><br>

>>> <mailto:<a href="mailto:roxenham@redhat.com">roxenham@redhat.com</a> <mailto:<a href="mailto:roxenham@redhat.com">roxenham@redhat.com</a>><br>

> <mailto:<a href="mailto:roxenham@redhat.com">roxenham@redhat.com</a> <mailto:<a href="mailto:roxenham@redhat.com">roxenham@redhat.com</a>>>>>:<br>

><br>

>>> Hi Pasquale,<br>

><br>

>>> Did you modify your security group rules to allow ICMP and/or<br>

>>> 22:tcp access?<br>

><br>

>>> Many thanks Rhys<br>

><br>

>>>> On 20 Feb 2015, at 17:11, Pasquale Salza<br>

>>>> <<a href="mailto:pasquale.salza@gmail.com">pasquale.salza@gmail.com</a> <mailto:<a href="mailto:pasquale.salza@gmail.com">pasquale.salza@gmail.com</a>><br>

> <mailto:<a href="mailto:pasquale.salza@gmail.com">pasquale.salza@gmail.com</a><br>

> <mailto:<a href="mailto:pasquale.salza@gmail.com">pasquale.salza@gmail.com</a>>><br>

>>> <mailto:<a href="mailto:pasquale.salza@gmail.com">pasquale.salza@gmail.com</a><br>

>>> <mailto:<a href="mailto:pasquale.salza@gmail.com">pasquale.salza@gmail.com</a>><br>

>>> <mailto:<a href="mailto:pasquale.salza@gmail.com">pasquale.salza@gmail.com</a><br>

>>> <mailto:<a href="mailto:pasquale.salza@gmail.com">pasquale.salza@gmail.com</a>>>>><br>

>> wrote:<br>

>>>><br>

>>>> Hi there, I have a lot of problems with RDO/OpenStack<br>

>>> configuration. Firstly, I need to describe my network<br>

>>> situation.<br>

>>>><br>

>>>> I have 7 machine, each of them with 2 NIC. I would like to<br>

>>>> use one<br>

>>> machine as a controller/network node and the others as compute<br>

>>> nodes.<br>

>>>><br>

>>>> I would like to use the eth0 to connect nodes to internet<br>

>>>> (and get<br>

>>> access by remote sessions) with the network "<a href="http://172.16.58.0/24" target="_blank">172.16.58.0/24</a><br>

> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>><br>

>> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>><br>

>>> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>>", in which I have just 7 available<br>

>>> IPs, and eth1 as configuration network on the network<br>

>>> <a href="http://10.42.100.0/42" target="_blank">10.42.100.0/42</a><br>

> <<a href="http://10.42.100.0/42" target="_blank">http://10.42.100.0/42</a>><br>

>> <<a href="http://10.42.100.0/42" target="_blank">http://10.42.100.0/42</a>><br>

>>> <<a href="http://10.42.100.0/42" target="_blank">http://10.42.100.0/42</a>>.<br>

>>>><br>

>>>> This is my current configuration, for each node (varying the<br>

>>>> IPs<br>

>>> on each machine):<br>

>>>><br>

>>>> eth0: DEVICE=eth0 TYPE=Ethernet ONBOOT=yes BOOTPROTO=static<br>

>>>> IPADDR=172.16.58.50 NETMASK=255.255.255.0<br>

>>>> GATEWAY=172.16.58.254 DNS1=172.16.58.50 DOMAIN=###<br>

>>>> DEFROUTE="yes"<br>

>>>><br>

>>>> eth1: DEVICE=eth1 TYPE=OVSPort DEVICETYPE=ovs<br>

>>>> OVS_BRIDGE=br-ex ONBOOT=yes<br>

>>>><br>

>>>> br-ex: DEVICE=br-ex DEVICETYPE=ovs TYPE=OVSBridge<br>

>>>> BOOTPROTO=static IPADDR=10.42.100.1 NETMASK=255.255.255.0<br>

>>>> ONBOOT=yes<br>

>>>><br>

>>>> I'd like to have instances on <a href="http://10.42.200.0/24" target="_blank">10.42.200.0/24</a><br>

>>>> <<a href="http://10.42.200.0/24" target="_blank">http://10.42.200.0/24</a>> <<a href="http://10.42.200.0/24" target="_blank">http://10.42.200.0/24</a>><br>

>>> <<a href="http://10.42.200.0/24" target="_blank">http://10.42.200.0/24</a>> virtual private network and the<br>

>>> remaining IPs of <a href="http://10.42.100.0/24" target="_blank">10.42.100.0/24</a> <<a href="http://10.42.100.0/24" target="_blank">http://10.42.100.0/24</a>><br>

> <<a href="http://10.42.100.0/24" target="_blank">http://10.42.100.0/24</a>><br>

>>> <<a href="http://10.42.100.0/24" target="_blank">http://10.42.100.0/24</a>><br>

>> network as floating<br>

>>> IPs.<br>

>>>><br>

>>>> These are the relevant parts of my answers.txt file:<br>

>>>><br>

>>>> CONFIG_CONTROLLER_HOST=10.42.100.1<br>

>>>><br>

><br>

><br>

> CONFIG_COMPUTE_HOSTS=10.42.100.10,10.42.100.11,10.42.100.12,10.42.100.13,10.42.100.14,10.42.100.15<br>

><br>

><br>

><br>

>>> CONFIG_NETWORK_HOSTS=10.42.100.1<br>

>>>> CONFIG_AMQP_HOST=10.42.100.1 CONFIG_MARIADB_HOST=10.42.100.1<br>

>>>> CONFIG_NOVA_COMPUTE_PRIVIF=eth1<br>

>>>> CONFIG_NOVA_NETWORK_PUBIF=eth1<br>

>>>> CONFIG_NOVA_NETWORK_PRIVIF=eth1<br>

>>>> CONFIG_NOVA_NETWORK_FIXEDRANGE=<a href="http://10.42.200.0/24" target="_blank">10.42.200.0/24</a><br>

> <<a href="http://10.42.200.0/24" target="_blank">http://10.42.200.0/24</a>><br>

>>>> <<a href="http://10.42.200.0/24" target="_blank">http://10.42.200.0/24</a>><br>

>>> <<a href="http://10.42.200.0/24" target="_blank">http://10.42.200.0/24</a>><br>

>>>> CONFIG_NOVA_NETWORK_FLOATRANGE=<a href="http://10.42.100.0/24" target="_blank">10.42.100.0/24</a><br>

> <<a href="http://10.42.100.0/24" target="_blank">http://10.42.100.0/24</a>><br>

>>>> <<a href="http://10.42.100.0/24" target="_blank">http://10.42.100.0/24</a>><br>

>>> <<a href="http://10.42.100.0/24" target="_blank">http://10.42.100.0/24</a>><br>

>>>> CONFIG_NEUTRON_L3_EXT_BRIDGE=br-ex<br>

>>>> CONFIG_NEUTRON_ML2_TYPE_DRIVERS=vxlan<br>

>>>> CONFIG_NEUTRON_ML2_TENANT_NETWORK_TYPES=vxlan<br>

>>>> CONFIG_NEUTRON_ML2_VNI_RANGES=10:100<br>

>>>> CONFIG_NEUTRON_LB_INTERFACE_MAPPINGS=<br>

>>>> CONFIG_NEUTRON_OVS_BRIDGE_MAPPINGS=<br>

>>>> CONFIG_NEUTRON_OVS_BRIDGE_IFACES=<br>

>>>> CONFIG_NEUTRON_OVS_TUNNEL_IF=eth1<br>

>>>><br>

>>>> After the installation, I configure the network like this:<br>

>>>><br>

>>>> neutron router-create router neutron net-create private<br>

>>>> neutron subnet-create private <a href="http://10.42.200.0/24" target="_blank">10.42.200.0/24</a><br>

>>>> <<a href="http://10.42.200.0/24" target="_blank">http://10.42.200.0/24</a>> <<a href="http://10.42.200.0/24" target="_blank">http://10.42.200.0/24</a>><br>

>>> <<a href="http://10.42.200.0/24" target="_blank">http://10.42.200.0/24</a>> --name private-subnet<br>

>>>> neutron router-interface-add router private-subnet neutron<br>

>>>> net-create public --router:external=True neutron<br>

>>>> subnet-create public <a href="http://10.42.100.0/24" target="_blank">10.42.100.0/24</a> <<a href="http://10.42.100.0/24" target="_blank">http://10.42.100.0/24</a>><br>

> <<a href="http://10.42.100.0/24" target="_blank">http://10.42.100.0/24</a>><br>

>>> <<a href="http://10.42.100.0/24" target="_blank">http://10.42.100.0/24</a>> --name public-subnet<br>

>>> --enable_dhcp=False --allocation-pool<br>

>>> start=10.42.100.100,end=10.42.100.200 --no-gateway<br>

>>>> neutron router-gateway-set router public<br>

>>>><br>

>>>> I'm able to launch instances but I can't get access<br>

>>>> (ping/ssh) to<br>

>>> them.<br>

>>>><br>

>>>> I don't know if I'm doing something wrong starting from<br>

>>>> planning.<br>

>>>><br>

>>>> Please, help me!<br>

>>>><br>

>>>> _______________________________________________ Rdo-list<br>

>>>> mailing list <a href="mailto:Rdo-list@redhat.com">Rdo-list@redhat.com</a><br>

>>>> <mailto:<a href="mailto:Rdo-list@redhat.com">Rdo-list@redhat.com</a>><br>

> <mailto:<a href="mailto:Rdo-list@redhat.com">Rdo-list@redhat.com</a> <mailto:<a href="mailto:Rdo-list@redhat.com">Rdo-list@redhat.com</a>>><br>

>> <mailto:<a href="mailto:Rdo-list@redhat.com">Rdo-list@redhat.com</a> <mailto:<a href="mailto:Rdo-list@redhat.com">Rdo-list@redhat.com</a>><br>

> <mailto:<a href="mailto:Rdo-list@redhat.com">Rdo-list@redhat.com</a> <mailto:<a href="mailto:Rdo-list@redhat.com">Rdo-list@redhat.com</a>>>><br>

>>>> <a href="https://www.redhat.com/mailman/listinfo/rdo-list" target="_blank">https://www.redhat.com/mailman/listinfo/rdo-list</a><br>

>>>><br>

>>>> To unsubscribe: <a href="mailto:rdo-list-unsubscribe@redhat.com">rdo-list-unsubscribe@redhat.com</a><br>

> <mailto:<a href="mailto:rdo-list-unsubscribe@redhat.com">rdo-list-unsubscribe@redhat.com</a>><br>

>> <mailto:<a href="mailto:rdo-list-unsubscribe@redhat.com">rdo-list-unsubscribe@redhat.com</a><br>

> <mailto:<a href="mailto:rdo-list-unsubscribe@redhat.com">rdo-list-unsubscribe@redhat.com</a>>><br>

>>> <mailto:<a href="mailto:rdo-list-unsubscribe@redhat.com">rdo-list-unsubscribe@redhat.com</a><br>

> <mailto:<a href="mailto:rdo-list-unsubscribe@redhat.com">rdo-list-unsubscribe@redhat.com</a>><br>

>> <mailto:<a href="mailto:rdo-list-unsubscribe@redhat.com">rdo-list-unsubscribe@redhat.com</a><br>

> <mailto:<a href="mailto:rdo-list-unsubscribe@redhat.com">rdo-list-unsubscribe@redhat.com</a>>>><br>

><br>

><br>

><br>

><br>

>>> -- Pasquale Salza<br>

><br>

>>> e-mail: <a href="mailto:pasquale.salza@gmail.com">pasquale.salza@gmail.com</a><br>

>>> <mailto:<a href="mailto:pasquale.salza@gmail.com">pasquale.salza@gmail.com</a>><br>

>>> <mailto:<a href="mailto:pasquale.salza@gmail.com">pasquale.salza@gmail.com</a><br>

>>> <mailto:<a href="mailto:pasquale.salza@gmail.com">pasquale.salza@gmail.com</a>>><br>

>> <mailto:<a href="mailto:pasquale.salza@gmail.com">pasquale.salza@gmail.com</a><br>

>> <mailto:<a href="mailto:pasquale.salza@gmail.com">pasquale.salza@gmail.com</a>><br>

>> <mailto:<a href="mailto:pasquale.salza@gmail.com">pasquale.salza@gmail.com</a><br>

>> <mailto:<a href="mailto:pasquale.salza@gmail.com">pasquale.salza@gmail.com</a>>>><br>

>>> phone: <a href="tel:%2B39%20393%204415978" value="+393934415978">+39 393 4415978</a> <tel:%2B39%20393%204415978><br>

> <tel:%2B39%20393%204415978> fax: +39 089<br>

>> 8422939 <tel:%2B39%20089%208422939> skype: pasquale.salza<br>

>>> linkedin: <a href="http://it.linkedin.com/in/psalza/" target="_blank">http://it.linkedin.com/in/psalza/</a><br>

><br>

><br>

>>> _______________________________________________ Rdo-list<br>

>>> mailing list <a href="mailto:Rdo-list@redhat.com">Rdo-list@redhat.com</a> <mailto:<a href="mailto:Rdo-list@redhat.com">Rdo-list@redhat.com</a>><br>

> <mailto:<a href="mailto:Rdo-list@redhat.com">Rdo-list@redhat.com</a> <mailto:<a href="mailto:Rdo-list@redhat.com">Rdo-list@redhat.com</a>>><br>

>>> <a href="https://www.redhat.com/mailman/listinfo/rdo-list" target="_blank">https://www.redhat.com/mailman/listinfo/rdo-list</a><br>

><br>

>>> To unsubscribe: <a href="mailto:rdo-list-unsubscribe@redhat.com">rdo-list-unsubscribe@redhat.com</a><br>

> <mailto:<a href="mailto:rdo-list-unsubscribe@redhat.com">rdo-list-unsubscribe@redhat.com</a>><br>

>> <mailto:<a href="mailto:rdo-list-unsubscribe@redhat.com">rdo-list-unsubscribe@redhat.com</a><br>

> <mailto:<a href="mailto:rdo-list-unsubscribe@redhat.com">rdo-list-unsubscribe@redhat.com</a>>><br>

><br>

><br>

>> Those look like the iptables rule on the hypervisor. Rhys is<br>

>> talking about the Neutron security group rules. By default, ssh<br>

>> into VMs is not allowed. You need to permit ICMP and SSH in the<br>

>> security rules on the neutron network.<br>

><br>

>> I don't see anything wrong with your network architecture at<br>

>> first glance, but floating IPs can be tricky at first. Start with<br>

>> basic VM-to-VM connectivity and add on from there.<br>

><br>

>> Good luck!<br>

><br>

><br>

>> _______________________________________________ Rdo-list mailing<br>

>> list <a href="mailto:Rdo-list@redhat.com">Rdo-list@redhat.com</a> <mailto:<a href="mailto:Rdo-list@redhat.com">Rdo-list@redhat.com</a>><br>

> <mailto:<a href="mailto:Rdo-list@redhat.com">Rdo-list@redhat.com</a> <mailto:<a href="mailto:Rdo-list@redhat.com">Rdo-list@redhat.com</a>>><br>

>> <a href="https://www.redhat.com/mailman/listinfo/rdo-list" target="_blank">https://www.redhat.com/mailman/listinfo/rdo-list</a><br>

><br>

>> To unsubscribe: <a href="mailto:rdo-list-unsubscribe@redhat.com">rdo-list-unsubscribe@redhat.com</a><br>

> <mailto:<a href="mailto:rdo-list-unsubscribe@redhat.com">rdo-list-unsubscribe@redhat.com</a>><br>

>> <mailto:<a href="mailto:rdo-list-unsubscribe@redhat.com">rdo-list-unsubscribe@redhat.com</a><br>

> <mailto:<a href="mailto:rdo-list-unsubscribe@redhat.com">rdo-list-unsubscribe@redhat.com</a>>><br>

><br>

> That sounds like it should work, but one of those 6 IP addresses<br>

> will need to be used for the Neutron router (that IP will be used<br>

> for SNAT for VMs that have no floating IP).<br>

><br>

> I'm not sure what you mean when you say "I'd like to reserve 6 IPs<br>

> for 6 VMs I could instanciate on OpenStack." You can instantiate<br>

> more than one VM on each compute node, and if you have 6 compute<br>

> nodes then depending on size you could have dozens of VMs. Maybe<br>

> you just mean you could instantiate 6 VMs with public IPs?<br>

> Actually, due to the router IP, you would be limited to 5.<br>

><br>

> Make sure you add the floating IP network as an external net.<br>

> Since your router will not be taking the .1 address, you will need<br>

> to create the port by hand with the chosen IP and add it to the<br>

> router.<br>

><br>

> $ neutron net-create externalnet -- --router:external=True $<br>

> neutron subnet-create externalnet <a href="http://172.16.58.0/24" target="_blank">172.16.58.0/24</a><br>

> <<a href="http://172.16.58.0/24" target="_blank">http://172.16.58.0/24</a>> --name external \ --enable_dhcp=False<br>

> --allocation_pool start=172.16.58.x,\ end=172.16.58.x --gateway<br>

> 172.16.58.x (use your network gateway here - change the IP<br>

> addresses in the allocation range to match what is available on<br>

> your network) $ neutron router-create extrouter (name of your<br>

> router) $ neutron port-create externalnet --fixed-ip 172.16.58.x<br>

> (use desired router IP) $ neutron router-interface-add extrouter<br>

> port=$portid (port id from previous command) $ neutron<br>

> router-interface-add extrouter subnet=public (replace public with<br>

> the name of the <a href="http://192.168.0.0/24" target="_blank">192.168.0.0/24</a> <<a href="http://192.168.0.0/24" target="_blank">http://192.168.0.0/24</a>> network)<br>

><br>

> Once that is done, you should be able to assign a floating IP to<br>

> any VM that has an interface on the <a href="http://192.168.0.0/24" target="_blank">192.168.0.0/24</a><br>

> <<a href="http://192.168.0.0/24" target="_blank">http://192.168.0.0/24</a>> network.<br>

><br>

> P.S. - Several times in your email you mentioned <a href="http://192.168.0.0/16" target="_blank">192.168.0.0/16</a><br>

> <<a href="http://192.168.0.0/16" target="_blank">http://192.168.0.0/16</a>>, but that's not a valid network. I assume<br>

> you mean <a href="http://192.168.0.0/24" target="_blank">192.168.0.0/24</a> <<a href="http://192.168.0.0/24" target="_blank">http://192.168.0.0/24</a>>.<br>

><br>

><br>

<br>

That depends what you are trying to do. There are plenty of reasons<br>

why it might not work at first. You may need to troubleshoot.<br>

<br>

One issue that might come up is that you will be doing multiple levels<br>

of NAT. Some protocols won't work with multiple layers of translation.<br>

<br>

If your goal is to eventually make these VMs reachable from the<br>

Internet, there are a lot of factors in play above the OpenStack cloud.<br>

<br>

- --<br>

Dan Sneddon         |  Principal OpenStack Engineer<br>

<a href="mailto:dsneddon@redhat.com">dsneddon@redhat.com</a> |  <a href="http://redhat.com/openstack" target="_blank">redhat.com/openstack</a><br>

650.254.4025        |  @dxs on twitter<br>

-----BEGIN PGP SIGNATURE-----<br>

Version: GnuPG v1<br>

<br>

iQEcBAEBAgAGBQJU6OvEAAoJEFkV3ypsGNbjPyAH/1IAaeow2xMa5jn3Qm5x1OvZ<br>

o1trjIuR3VoYCwGYhM8s6lv1spAq44xFEG/bBjX6FDQlTgbpUFWeJupS6DeTyx9J<br>

k3k7MCtnM0hcEsoOfYoq3J/rRXhPk/fvYKHpknbA89xsby91qq9aLoEUdAABFzEJ<br>

5Z3sa2mvf3D68VP9XBicRdi+ZWmsO+LF25kdpNxmZncanShj+EFkyJbkUgZOCfkR<br>

YiXswP4khAL91afY2VXkzVYG9DgRqmZGMq7SFXOVPsKZ4VnBwbZwduVQJFrVBGzg<br>

FSTIKE+kMucPB3VRetezY0tqI+g/PMkZk+/4pDM8EGM4RfjHGCZhKSrlZ5h/1H4=<br>

=BElH<br>

-----END PGP SIGNATURE-----<br>

</blockquote></div>