<div dir="ltr">Hi:<div><br></div><div>It is a known fact and have-been discussed before. We use the same workaround as you mentioned. Alternatively, you can also set role=&quot;&quot; and it will work for both northd and ovn-controller instead of separate listeners which is also a security loop-hole. In short, some work is needed here to handle rbac for northd. </div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Nov 7, 2019 at 9:47 AM Frode Nordahl &lt;<a href="mailto:frode.nordahl@canonical.com">frode.nordahl@canonical.com</a>&gt; wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Hello all,</div><div><br></div><div>TL;DR; When enabling the `ovn-controller` role on the SB DB `ovsdb-server` listener, `ovn-northd` no longer has the necessary access to do its job when you are unable to use the local unix socket for its connection to the database.<br></div><div><br></div><div><div>AFAICT there is no northd-specifc or admin type role available, have I missed something?</div><div><br></div><div>I have worked around the issue by enabling a separate listener on a different port on the Southbound ovsdb-servers so that `ovn-northd` can connect to that.<br></div></div><div><br></div><div><br></div><div>I have a OVN deployment with central components spread across three machines, there is an instance of the Northbound and Southbound `ovsdb-server` on each of them which are clustered, and there is also an instance of `ovn-northd` on each of them.</div><div><br></div><div>The deployment is TLS-enabled and I have enabled RBAC.</div><div><br></div><div>Since the DBs are clustered I have no control of which machine will be the leader, and it may be that one machine has the leader for the Northbound DB and a different machine has the leader of the Southbound DB.</div><div><br></div><div>Because of this ovn-northd is unable to talk to the databases through a local unix socket and must use a TLS-enabled connection to the DBs, and herein lies the problem.</div><div></div><div><br></div><div><br></div><div><div>I peeked at the RBAC implementation, and it appears to me that the permission system is tied to having specific columns in each table that maps to the name of the client that wants permission.  On the surface this appears to not fit with `ovn-northd`&#39;s needs as I would think it would need full access to all tables perhaps based on a centrally managed set of hostnames.<br></div></div><div><br></div><div><div>-- <br><div dir="ltr"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div>Frode Nordahl</div><br></div></div></div></div></div></div></div></div></div></div></div></div></div>
_______________________________________________<br>
discuss mailing list<br>
<a href="mailto:discuss@openvswitch.org" target="_blank">discuss@openvswitch.org</a><br>
<a href="https://mail.openvswitch.org/mailman/listinfo/ovs-discuss" rel="noreferrer" target="_blank">https://mail.openvswitch.org/mailman/listinfo/ovs-discuss</a><br>
</blockquote></div>