Se o br_netfilter não estiver carregado, como os Grupos de Seg e as regras de nêutrons são afetadas pela VM?

Eu tenho um cluster OpenStack (dois controladores e seis nós de computação). Em cada host de computação, eu tenho essas interfaces:

1. lo
2. eth0
3. eth1
4. ovs-system
5. br-int
6. br-ext
7. docker0
8. vethc8bb391 @ if9

e uma VM de exemplo tem:

1. lo
2. int-cp
3. ext-cp
4. docker0
5. ip_vti0 @ NONE

O módulo br_netfilter é carregado e eu configurei tanto os grupos de segurança quanto as regras de iptables de nêutrons para filtrar o tráfego para minhas VMs hospedadas nos nós de computação. Assim, o tráfego em ponte irá para o iptables / ip6tables porque os valores padrão para os parâmetros do kernel em ponte são:

1. net.bridge.bridge-nf-call-arptables = 1
2. net.bridge.bridge-nf-call-ip6tables = 1
3. net.bridge.bridge-nf-call-iptables = 1

Então, se eu não carregar o módulo br_netfilter, o tráfego em ponte não irá para o iptables / ip6tables. Então minha pergunta é: Essa configuração afetará as regras dos grupos de segurança e as regras de nêutrons que apliquei às minhas VMs?