<div dir="ltr">Thanks Frode for covering that. Added minor comments too your PR and you can send formal patch. <div><br></div><div><br><div><br></div><div><br></div><div><br></div><div><br></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Nov 7, 2019 at 2:00 PM Frode Nordahl &lt;<a href="mailto:frode.nordahl@canonical.com" target="_blank">frode.nordahl@canonical.com</a>&gt; wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto">fwiw; I proposed this small note earlier this evening: <a href="https://github.com/ovn-org/ovn/pull/25" target="_blank">https://github.com/ovn-org/ovn/pull/25</a></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">tor. 7. nov. 2019, 21:47 skrev Ben Pfaff &lt;<a href="mailto:blp@ovn.org" target="_blank">blp@ovn.org</a>&gt;:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Sure, anything helps.<br>
<br>
On Thu, Nov 07, 2019 at 12:27:44PM -0800, aginwala wrote:<br>
&gt; Hi Ben:<br>
&gt; <br>
&gt; It seems RBAC doc<br>
&gt; <a href="http://docs.openvswitch.org/en/stable/tutorials/ovn-rbac/#configuring-rbac" rel="noreferrer noreferrer" target="_blank">http://docs.openvswitch.org/en/stable/tutorials/ovn-rbac/#configuring-rbac</a><br>
&gt; only talks<br>
&gt; about chassis and not mentioning about northd. I can submit a patch to<br>
&gt; update that as a todo for northd and mention the workaround until we add<br>
&gt; formal support. Is that ok?<br>
&gt; <br>
&gt; <br>
&gt; <br>
&gt; <br>
&gt; On Thu, Nov 7, 2019 at 12:14 PM Ben Pfaff &lt;<a href="mailto:blp@ovn.org" rel="noreferrer" target="_blank">blp@ovn.org</a>&gt; wrote:<br>
&gt; <br>
&gt; &gt; Have we documented this?  Should we?<br>
&gt; &gt;<br>
&gt; &gt; On Thu, Nov 07, 2019 at 10:20:22AM -0800, aginwala wrote:<br>
&gt; &gt; &gt; Hi:<br>
&gt; &gt; &gt;<br>
&gt; &gt; &gt; It is a known fact and have-been discussed before. We use the same<br>
&gt; &gt; &gt; workaround as you mentioned. Alternatively, you can also set role=&quot;&quot; and<br>
&gt; &gt; it<br>
&gt; &gt; &gt; will work for both northd and ovn-controller instead of separate<br>
&gt; &gt; listeners<br>
&gt; &gt; &gt; which is also a security loop-hole. In short, some work is needed here<br>
&gt; &gt; &gt; to handle rbac for northd.<br>
&gt; &gt; &gt;<br>
&gt; &gt; &gt; On Thu, Nov 7, 2019 at 9:47 AM Frode Nordahl &lt;<br>
&gt; &gt; <a href="mailto:frode.nordahl@canonical.com" rel="noreferrer" target="_blank">frode.nordahl@canonical.com</a>&gt;<br>
&gt; &gt; &gt; wrote:<br>
&gt; &gt; &gt;<br>
&gt; &gt; &gt; &gt; Hello all,<br>
&gt; &gt; &gt; &gt;<br>
&gt; &gt; &gt; &gt; TL;DR; When enabling the `ovn-controller` role on the SB DB<br>
&gt; &gt; `ovsdb-server`<br>
&gt; &gt; &gt; &gt; listener, `ovn-northd` no longer has the necessary access to do its job<br>
&gt; &gt; &gt; &gt; when you are unable to use the local unix socket for its connection to<br>
&gt; &gt; the<br>
&gt; &gt; &gt; &gt; database.<br>
&gt; &gt; &gt; &gt;<br>
&gt; &gt; &gt; &gt; AFAICT there is no northd-specifc or admin type role available, have I<br>
&gt; &gt; &gt; &gt; missed something?<br>
&gt; &gt; &gt; &gt;<br>
&gt; &gt; &gt; &gt; I have worked around the issue by enabling a separate listener on a<br>
&gt; &gt; &gt; &gt; different port on the Southbound ovsdb-servers so that `ovn-northd` can<br>
&gt; &gt; &gt; &gt; connect to that.<br>
&gt; &gt; &gt; &gt;<br>
&gt; &gt; &gt; &gt;<br>
&gt; &gt; &gt; &gt; I have a OVN deployment with central components spread across three<br>
&gt; &gt; &gt; &gt; machines, there is an instance of the Northbound and Southbound<br>
&gt; &gt; &gt; &gt; `ovsdb-server` on each of them which are clustered, and there is also<br>
&gt; &gt; an<br>
&gt; &gt; &gt; &gt; instance of `ovn-northd` on each of them.<br>
&gt; &gt; &gt; &gt;<br>
&gt; &gt; &gt; &gt; The deployment is TLS-enabled and I have enabled RBAC.<br>
&gt; &gt; &gt; &gt;<br>
&gt; &gt; &gt; &gt; Since the DBs are clustered I have no control of which machine will be<br>
&gt; &gt; the<br>
&gt; &gt; &gt; &gt; leader, and it may be that one machine has the leader for the<br>
&gt; &gt; Northbound DB<br>
&gt; &gt; &gt; &gt; and a different machine has the leader of the Southbound DB.<br>
&gt; &gt; &gt; &gt;<br>
&gt; &gt; &gt; &gt; Because of this ovn-northd is unable to talk to the databases through a<br>
&gt; &gt; &gt; &gt; local unix socket and must use a TLS-enabled connection to the DBs, and<br>
&gt; &gt; &gt; &gt; herein lies the problem.<br>
&gt; &gt; &gt; &gt;<br>
&gt; &gt; &gt; &gt;<br>
&gt; &gt; &gt; &gt; I peeked at the RBAC implementation, and it appears to me that the<br>
&gt; &gt; &gt; &gt; permission system is tied to having specific columns in each table that<br>
&gt; &gt; &gt; &gt; maps to the name of the client that wants permission.  On the surface<br>
&gt; &gt; this<br>
&gt; &gt; &gt; &gt; appears to not fit with `ovn-northd`&#39;s needs as I would think it would<br>
&gt; &gt; need<br>
&gt; &gt; &gt; &gt; full access to all tables perhaps based on a centrally managed set of<br>
&gt; &gt; &gt; &gt; hostnames.<br>
&gt; &gt; &gt; &gt;<br>
&gt; &gt; &gt; &gt; --<br>
&gt; &gt; &gt; &gt; Frode Nordahl<br>
&gt; &gt; &gt; &gt;<br>
&gt; &gt; &gt; &gt; _______________________________________________<br>
&gt; &gt; &gt; &gt; discuss mailing list<br>
&gt; &gt; &gt; &gt; <a href="mailto:discuss@openvswitch.org" rel="noreferrer" target="_blank">discuss@openvswitch.org</a><br>
&gt; &gt; &gt; &gt; <a href="https://mail.openvswitch.org/mailman/listinfo/ovs-discuss" rel="noreferrer noreferrer" target="_blank">https://mail.openvswitch.org/mailman/listinfo/ovs-discuss</a><br>
&gt; &gt; &gt; &gt;<br>
&gt; &gt;<br>
&gt; &gt; &gt; _______________________________________________<br>
&gt; &gt; &gt; discuss mailing list<br>
&gt; &gt; &gt; <a href="mailto:discuss@openvswitch.org" rel="noreferrer" target="_blank">discuss@openvswitch.org</a><br>
&gt; &gt; &gt; <a href="https://mail.openvswitch.org/mailman/listinfo/ovs-discuss" rel="noreferrer noreferrer" target="_blank">https://mail.openvswitch.org/mailman/listinfo/ovs-discuss</a><br>
&gt; &gt;<br>
&gt; &gt;<br>
</blockquote></div>
</blockquote></div>