Есть вм с 2мя интерфейсами. Необходимо чтобы трафик роутился между ними. На данный момент так: при подключенных группах безопасности с разрешением на все, траффик не ходит между интерфесами. При полном отключении групп- теряется связность полностью. Как мне объяснили, необходимо отключить фаерволл на уровне гипервизора. Где это сделать (на ноде или контроллере ) и как? Мб есть мануал? Простите за вопрос, я нуб в опенстеке, но ситуация безвыходная.

Необходимо отключить port security для обеих сетей.
В neutron на портах по-умолчанию разрешается только трафик с парой src_mac+src_ip принадлежащих этому порту.

А при маршрутизации у тебя получается что с интерфейсов выходит трафик с правильным маком, но с чужим адресом. Выключишь port security и все будет ок.

не надо отключать порт сесурити

настроте allow_pairs

полностью сесурити вырубать глупо

Андрей, j спасибо! У меня несколько компьют год и несколько контроллеров. Подскажите, где это все сделать?

Нод*

Это делается либо для сети целиком через api либо для нужных портов, если разрешаешь allowed address pairs.
Выше команды даже скинули)

Да, так оно умнее)

О! А что, для сети целиком тоже можно отключать?

да

Спасибо. Пойду плейбуки переделаю, выкину часть кода.

хм...иногда этот чат кому то приносит пользу =)

С неожиданной стороны.

я начал понимать, но тут сразу возник вопрос:

| 88f278a3-480a-4336-97d8-68ed9380e5a2 |                                                 | fa:16:3e:7b:e1:d2 | {"subnet_id": "1bd1314d-9a7e-41fa-a4af-8a24cfa1e942", "ip_address": "188.0.145.180"}   ---первый интерфейс

3a2d78f8-dd0a-45d3-b264-6271e4132562 |                                                 | fa:16:3e:d2:e8:25 | {"subnet_id": "2c90e49f-a78f-432b-8312-595344a250ae", "ip_address": "192.168.88.6"} ----второй интерфейс

дальше делаю так neutron port-update 3a2d78f8-dd0a-45d3-b264-6271e4132562 --allowed_address_pairs list=true type=dict mac_address=fa:16:3e:7b:e1:d2,ip_address=188.0.145.180
neutron port-update 88f278a3-480a-4336-97d8-68ed9380e5a2 --allowed_address_pairs list=true type=dict mac_address=fa:16:3e:d2:e8:25,ip_address=192.168.88.6