<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<!--[if !mso]><style>v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style><![endif]--><style><!--
/* Font Definitions */
@font-face
        {font-family:Wingdings;
        panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
        {font-family:Wingdings;
        panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Verdana;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Yes, good question. Using Nova-Network in VlanManager mode.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Two NICs bonded together.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">One bridge and vlan for my hosts and another vlan and bridge for my single tenant.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Courier New";color:#1F497D">Eth0--\             /--bond0.972-</span><span style="font-size:11.0pt;font-family:Wingdings;color:#1F497D">à</span><span style="font-size:11.0pt;font-family:"Courier New";color:#1F497D">br972----10.10.12.xx
 host network<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Courier New";color:#1F497D">       >----bond0---<<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Courier New";color:#1F497D">Eth1--/             \--bond0.976-</span><span style="font-size:11.0pt;font-family:Wingdings;color:#1F497D">à</span><span style="font-size:11.0pt;font-family:"Courier New";color:#1F497D">br976----10.10.16.xx
 instance private IPs<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Courier New";color:#1F497D">                                         \--10.10.12.xx instance floating IPs<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Paul Robert Marino [mailto:prmarino1@gmail.com]
<br>
<b>Sent:</b> Thursday, March 07, 2013 2:01 PM<br>
<b>To:</b> Jon Thomas; Minton, Rich<br>
<b>Cc:</b> rhos-list@redhat.com; Pothapragada, Kiran<br>
<b>Subject:</b> EXTERNAL: Re: [rhos-list] Problems with metadata.<o:p></o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal" style="margin-bottom:12.0pt">Well my first question is are you using quantum or nova network?<br>
<br>
<br>
<br>
<o:p></o:p></p>
<div>
<p class="MsoNormal"><span style="font-size:9.0pt;font-family:"Arial","sans-serif";color:#999999">-- Sent from my HP Pre3<o:p></o:p></span></p>
</div>
<p class="MsoNormal"><span style="font-family:"Verdana","sans-serif";color:navy"><o:p> </o:p></span></p>
<div class="MsoNormal"><span style="font-family:"Verdana","sans-serif";color:navy">
<hr size="2" width="75%" align="left">
</span></div>
<p class="MsoNormal"><span style="font-family:"Verdana","sans-serif";color:navy">On Mar 7, 2013 1:12 PM, Jon Thomas <<a href="mailto:jthomas@redhat.com">jthomas@redhat.com</a>> wrote:
<br>
<br>
</span>On Thu, 2013-03-07 at 17:21 +0000, Minton, Rich wrote:<br>
> I know you guys are busy trying to get the new release out the door<br>
> but if someone could take a quick peek at this and provide a<br>
> suggestion on where to look, I would be very grateful. I could really<br>
> use a suggestion on compute node configuration for metadata and vnc<br>
> proxy.<br>
> <br>
> <br>
> <br>
> I’m having some problems with my instances accessing metadata from my<br>
> compute nodes… they don’t. The instances running on compute nodes are<br>
> not able to contact dhcp to get their IP and as a result I cannot pull<br>
> in the metadata for ssh keys, hostname, etc. I can ping the metadata<br>
> IP, 169.254.169.254 from my host but when I try to test the connection<br>
> using curl I get a 404 error. I’m also not sure if iptables is being<br>
What curl command?<br>
curl <a href="http://169.254.169.254">http://169.254.169.254</a><br>
should give<br>
...<br>
<p>The document has moved <a<br>
href="<a href="http://169.254.169.254/dashboard/">http://169.254.169.254/dashboard/</a>">here</a>.</p><br>
...<br>
<br>
You can open up dhcp with<br>
<br>
-A INPUT -p udp -m udp --sport 68 --dport 67 -j ACCEPT <br>
-A FORWARD -p udp -m udp --sport 68 --dport 67 -j ACCEPT<br>
<br>
> setup properly. I believe I have nova.conf configured properly. I’m<br>
> using nova-metadata-api on each of my compute nodes and have nova.conf<br>
> configured with the hosts IP for the metadata server and I do not have<br>
> “metadata” in the list of enabled apis. I also tried running<br>
> nova-metadata-api from the command line in debug mode to see if I was<br>
> getting any errors. There were none, which leads me to believe it’s<br>
> something in iptables and the VMs are never accessing the service.<br>
> Also if I flush iptables and restart the openstack services, iptables<br>
> is repopulated but it is very sparse. Seems like there should be a lot<br>
> more entries in the tables.<br>
> <br>
Sounds like something with iptables. You can compare to thsi set from a<br>
packstack based install. 192.168.2.113 is public/admin interface.<br>
<br>
<br>
$ cat /etc/sys*/iptables<br>
# Generated by iptables-save v1.4.7 on Thu Mar 7 12:29:40 2013<br>
*mangle<br>
:PREROUTING ACCEPT [63439:31483572]<br>
:INPUT ACCEPT [63439:31483572]<br>
:FORWARD ACCEPT [0:0]<br>
:OUTPUT ACCEPT [62191:32543722]<br>
:POSTROUTING ACCEPT [62191:32543722]<br>
:nova-api-POSTROUTING - [0:0]<br>
:nova-network-POSTROUTING - [0:0]<br>
-A POSTROUTING -j nova-network-POSTROUTING <br>
-A POSTROUTING -j nova-api-POSTROUTING <br>
-A POSTROUTING -o virbr0 -p udp -m udp --dport 68 -j CHECKSUM<br>
--checksum-fill <br>
COMMIT<br>
# Completed on Thu Mar 7 12:29:40 2013<br>
# Generated by iptables-save v1.4.7 on Thu Mar 7 12:29:40 2013<br>
*filter<br>
:INPUT ACCEPT [970:292442]<br>
:FORWARD ACCEPT [0:0]<br>
:OUTPUT ACCEPT [1291:434252]<br>
:nova-api-FORWARD - [0:0]<br>
:nova-api-INPUT - [0:0]<br>
:nova-api-OUTPUT - [0:0]<br>
:nova-api-local - [0:0]<br>
:nova-filter-top - [0:0]<br>
:nova-network-FORWARD - [0:0]<br>
:nova-network-INPUT - [0:0]<br>
:nova-network-OUTPUT - [0:0]<br>
:nova-network-local - [0:0]<br>
-A INPUT -j nova-network-INPUT <br>
-A INPUT -j nova-api-INPUT <br>
-A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT <br>
-A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT <br>
-A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT <br>
-A INPUT -p tcp -m multiport --dports 5000,35357 -m comment --comment<br>
"001 keystone incoming" -j ACCEPT <br>
-A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT <br>
-A INPUT -p tcp -m multiport --dports 3260,8776 -m comment --comment<br>
"001 cinder incoming" -j ACCEPT <br>
-A INPUT -p udp -m udp --sport 68 --dport 67 -j ACCEPT <br>
-A INPUT -p tcp -m multiport --dports 8773,8774,8775 -m comment<br>
--comment "001 novaapi incoming" -j ACCEPT <br>
-A INPUT -p tcp -m multiport --dports 8773,8774,8775 -m comment<br>
--comment "001 novaapi incoming" -j ACCEPT <br>
-A INPUT -p tcp -m multiport --dports 9292 -m comment --comment "001<br>
glance incoming" -j ACCEPT <br>
-A INPUT -p tcp -m multiport --dports 80 -m comment --comment "001<br>
horizon incoming" -j ACCEPT <br>
-A INPUT -p tcp -m multiport --dports 8773,8774,8775 -m comment<br>
--comment "001 novaapi incoming" -j ACCEPT <br>
-A INPUT -p tcp -m multiport --dports 80 -m comment --comment "001<br>
horizon incomming" -j ACCEPT <br>
-A INPUT -p tcp -m multiport --dports 3306 -m comment --comment "001<br>
mysql incoming" -j ACCEPT <br>
-A INPUT -p tcp -m multiport --dports 9292 -m comment --comment "001<br>
glance incomming" -j ACCEPT <br>
-A INPUT -p tcp -m multiport --dports 8773,8774 -m comment --comment<br>
"001 novaapi incoming" -j ACCEPT <br>
-A INPUT -p tcp -m multiport --dports 5000,35357 -m comment --comment<br>
"001 keystone incomming" -j ACCEPT <br>
-A INPUT -p tcp -m multiport --dports 5900:5999 -m comment --comment<br>
"001 nove compute incoming" -j ACCEPT <br>
-A INPUT -p tcp -m multiport --dports 6080 -m comment --comment "001<br>
novncproxy incoming" -j ACCEPT <br>
-A INPUT -p tcp -m multiport --dports 5672 -m comment --comment "001<br>
qpid incoming" -j ACCEPT <br>
-A INPUT -p tcp -m multiport --dports 3306 -m comment --comment "001<br>
mysql incomming" -j ACCEPT <br>
-A INPUT -p tcp -m multiport --dports 8773,8774 -m comment --comment<br>
"001 novaapi incomming" -j ACCEPT <br>
-A INPUT -p tcp -m multiport --dports 5672 -m comment --comment "001<br>
qpid incomming" -j ACCEPT <br>
-A FORWARD -j nova-filter-top <br>
-A FORWARD -j nova-network-FORWARD <br>
-A FORWARD -j nova-api-FORWARD <br>
-A FORWARD -d 192.168.122.0/24 -o virbr0 -m state --state<br>
RELATED,ESTABLISHED -j ACCEPT <br>
-A FORWARD -s 192.168.122.0/24 -i virbr0 -j ACCEPT <br>
-A FORWARD -i virbr0 -o virbr0 -j ACCEPT <br>
-A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable <br>
-A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable <br>
-A FORWARD -p udp -m udp --sport 68 --dport 67 -j ACCEPT <br>
-A OUTPUT -j nova-filter-top <br>
-A OUTPUT -j nova-network-OUTPUT <br>
-A OUTPUT -j nova-api-OUTPUT <br>
-A nova-api-INPUT -d 192.168.2.113/32 -p tcp -m tcp --dport 8775 -j<br>
ACCEPT <br>
-A nova-filter-top -j nova-network-local <br>
-A nova-filter-top -j nova-api-local <br>
-A nova-network-FORWARD -i br100 -j ACCEPT <br>
-A nova-network-FORWARD -o br100 -j ACCEPT <br>
-A nova-network-INPUT -i br100 -p udp -m udp --dport 67 -j ACCEPT <br>
-A nova-network-INPUT -i br100 -p tcp -m tcp --dport 67 -j ACCEPT <br>
-A nova-network-INPUT -i br100 -p udp -m udp --dport 53 -j ACCEPT <br>
-A nova-network-INPUT -i br100 -p tcp -m tcp --dport 53 -j ACCEPT <br>
COMMIT<br>
# Completed on Thu Mar 7 12:29:40 2013<br>
# Generated by iptables-save v1.4.7 on Thu Mar 7 12:29:40 2013<br>
*nat<br>
:PREROUTING ACCEPT [13:752]<br>
:POSTROUTING ACCEPT [589:137435]<br>
:OUTPUT ACCEPT [589:137435]<br>
:nova-api-OUTPUT - [0:0]<br>
:nova-api-POSTROUTING - [0:0]<br>
:nova-api-PREROUTING - [0:0]<br>
:nova-api-float-snat - [0:0]<br>
:nova-api-snat - [0:0]<br>
:nova-network-OUTPUT - [0:0]<br>
:nova-network-POSTROUTING - [0:0]<br>
:nova-network-PREROUTING - [0:0]<br>
:nova-network-float-snat - [0:0]<br>
:nova-network-snat - [0:0]<br>
:nova-postrouting-bottom - [0:0]<br>
-A PREROUTING -j nova-network-PREROUTING <br>
-A PREROUTING -j nova-api-PREROUTING <br>
-A POSTROUTING -j nova-network-POSTROUTING <br>
-A POSTROUTING -j nova-api-POSTROUTING <br>
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p tcp -j<br>
MASQUERADE --to-ports 1024-65535 <br>
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p udp -j<br>
MASQUERADE --to-ports 1024-65535 <br>
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -j MASQUERADE <br>
-A POSTROUTING -j nova-postrouting-bottom <br>
-A OUTPUT -j nova-network-OUTPUT <br>
-A OUTPUT -j nova-api-OUTPUT <br>
-A nova-api-snat -j nova-api-float-snat <br>
-A nova-network-POSTROUTING -s 192.168.32.0/22 -d 192.168.2.113/32 -j<br>
ACCEPT <br>
-A nova-network-POSTROUTING -s 192.168.32.0/22 -d 192.168.32.0/22 -m<br>
conntrack ! --ctstate DNAT -j ACCEPT <br>
-A nova-network-PREROUTING -d 169.254.169.254/32 -p tcp -m tcp --dport<br>
80 -j DNAT --to-destination 192.168.2.113:8775 <br>
-A nova-network-snat -j nova-network-float-snat <br>
-A nova-network-snat -s 192.168.32.0/22 -o eth0 -j SNAT --to-source<br>
192.168.2.113 <br>
-A nova-postrouting-bottom -j nova-network-snat <br>
-A nova-postrouting-bottom -j nova-api-snat <br>
COMMIT<br>
# Completed on Thu Mar 7 12:29:40 2013<br>
> <br>
> <br>
> Also, when I try to access the vnc console on instances running on<br>
> compute nodes (not the controller) I get a connection failure. I have<br>
> the vnc service running on each compute node and set the variables in<br>
> nova.conf to point to the compute node instead of the controller. I<br>
> actually had this working at one point and then something went wrong…<br>
> again maybe iptables.<br>
> <br>
> <br>
> <br>
> I just need some hints on where to look to find out what’s going on.<br>
> <br>
> <br>
> <br>
> Thanks in advance.<br>
> <br>
> Rick<br>
> <br>
> <br>
> <br>
> <br>
> <br>
> <br>
> <br>
> Richard Minton<br>
> <br>
> LMICC Systems Administrator<br>
> <br>
> 4000 Geerdes Blvd, 13D31<br>
> <br>
> King of Prussia, PA 19406<br>
> <br>
> Phone: 610-354-5482<br>
> <br>
> <br>
> <br>
> <br>
> _______________________________________________<br>
> rhos-list mailing list<br>
> <a href="mailto:rhos-list@redhat.com">rhos-list@redhat.com</a><br>
> <a href="https://www.redhat.com/mailman/listinfo/rhos-list">https://www.redhat.com/mailman/listinfo/rhos-list</a><br>
<br>
<br>
_______________________________________________<br>
rhos-list mailing list<br>
<a href="mailto:rhos-list@redhat.com">rhos-list@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/rhos-list">https://www.redhat.com/mailman/listinfo/rhos-list</a><o:p></o:p></p>
</div>
</body>
</html>