最近由于工作需要，又把OpenStack捡起来做了两天方案验证，发现用OVN的OpenStack终于也能优雅的使用第三方防火墙虚机了，很是欣慰，记录如下，

宿主机用Ubuntu 22.04.3，

devstack用opendev上的2023.2版本，

git clone -b stable/2023.2 https://opendev.org/openstack/devstack.git，

devstack/local.conf内容如下，

安装完开始做实验，

一个业务虚机，一个防火墙虚机，

关闭防火墙虚机接口的安全检查，

关闭子网网关接口的管理状态，

把子网网关地址配置到防火墙接口下，

业务虚机下访问网关地址不通，

猜测是否关闭子网网关接口的管理状态功能不完善，流表中仍然存在arp代答的表项，查看流表后果然是这样，

删除相应的流表表项，

sudo ovs-ofctl del-flows br-int arp,arp_tpa=10.0.0.1，

再次在业务虚机下访问网关地址就通了，

本周的技术实践就到这里，本周的技术实践就到这里，本周的技术实践就到这里，本周的技术实践就到这里，本周的技术实践就到这里。