по описанию действительно нихера не понятно. Первое управляет этим https://wiki.openstack.org/wiki/Neutron/SecurityGroups, второй https://docs.openstack.org/neutron/pike/admin/fwaas.html этим

нужно выяснить что именно у тебя используется в опенстеке и от этого уже отталкиваться

да оба используются. по принципу, вро де как одно дело делают

Это видел. Вроде как одно и тоже, но только в разных местах. И вроде как двое используют iptable

Я так понимаю, что они на разных уровнях работают

И точно речь не про iptables виртуальной машины (это вообще отдельная история)

https://wiki.openstack.org/wiki/Neutron/SecurityGroups
Implementations
Linux Bridge plugin (with iptables) https://blueprints.launchpad.net/quantum/+spec/quantum-security-groups-iptables
OVS plugin (with iptables)

https://docs.openstack.org/ocata/networking-guide/fwaas-v1-scenario.html
service_plugins = firewall

[service_providers]
# ...
service_provider = FIREWALL:Iptables:neutron.agent.linux.iptables_firewall.OVSHybridIptablesFirewallDriver:default

[fwaas]
driver = neutron_fwaas.services.firewall.drivers.linux.iptables_fwaas.IptablesFwaasDriver
enabled = True

Есть како-то iptable
Видать просто в разных местах это работает

Плохо, что у терраформа нет возможности чекать соединение, пока задеплоеный сервер у себя ssh не поднимет. Вставка скриптов в local-exec, проверяющих соединение, не прокатывает, т.к. для них нужно знать IP сервера, который ещё может быть не готов, и терраформ просто возвращает исполнение с ошибкой, мол, output variable ещё не известна.
Фича с чекалкой соединения с механизмом retry очень полезна была бы. Внутрь connection{} её поместить самое оно. Хоть терраформ форкай и голанг учи)
Но в итоге переписал всё. Теперь Ansible вызывает Terraform только для создания VM, а всю остальную работу делает сам. Так в итоге получилось гораздо логичнее.

я видимо не понял о чем речь) вот же в connection. пока время не наступит tf проверяет соединение
timeout - The timeout to wait for the connection to become available. This defaults to 5 minutes. Should be provided as a string like 30s or 5m.

так же собираюсь сделать у себя.

Да, у connection есть timeout, и вот он как раз не помогает. Я там перепробовал всё, что возможно. Судя по поведению, он что-то другое/как-то иначе ожидает. По идее, должен быть таймаут на одну попытку, и общий таймаут, чтобы было некоторое число попыток соединения.
Глянул в исходники Terraform. В принципе можно без изменения синтаксиса описания connection{} добавить поведение с connect-retry, но я уже всё переписал =)

У анзибла кстати есть встроенный wait_for, который делает как раз то, что надо.

Всем привет! кто может помочь с изучением темы?
Хочу разобраться и иметь представление. Мануалы понятно, что есть и читать я умею, но по ходу возникает кача вопросов.
Буду благодарен за помощь;)

Предлагаю тут спрашивать сразу вопросы

и сразу тестовый накатить и активно его эксплуатировать

я работал немного с CloudFormation, но понимаю, что Терраформ это вообще гигнат в сравнении с авсовцами

так вот зачем он нужен? к примеру если есть ансибл, дженкинс какую роль выполнять будет терраформ и что он вообще может?

каким боком дженкинс здесь замешан?

тераформ нужен для декларативного описания инфраструктуры (и не только).
Если она простая как тапок, то там конечно и ансибла хватит