<div dir="ltr"><div>Forwarding to -dev from -operators.  <br><br>Any know why when a fixed-ip gets added to an external network guest port, all connectivity on all fixedips for the guest on the external network get block outbound on the compute node?<br>

<br></div>John<br><div><div><br><div class="gmail_quote">---------- Forwarded message ----------<br>From: <b class="gmail_sendername">John Gruber</b> <span dir="ltr"><<a href="mailto:john.t.gruber@gmail.com">john.t.gruber@gmail.com</a>></span><br>

Date: Fri, Jul 26, 2013 at 4:39 PM<br>Subject: Problem with nova add-fixed-ip or quantum port-update<br>To: <a href="mailto:openstack-operators@lists.openstack.org">openstack-operators@lists.openstack.org</a><br><br><br>
<div dir="ltr">
I am using Grizzly and I have a mix of both provider external networks (VLANs) and tenant GRE tunnels.  The provider networks are obviously setup as public, so VMs can start with interfaces on them. <div><br>
</div><div>I can start VMs just fine and get addresses via the dhcp_agent on both external and tenant networks. </div><div><br></div><div>Everything is working well... until I need to add additional fixed_ips to existing VM vif on external networks.  </div>


<div><br></div><div>While I can get commands of the form:</div><div><br></div><div>    nova add-fixed-ip vm-uuid net-uuid </div><div>    repeat for each fixed-ip needed</div><div><br></div><div>and </div><div><br></div><div>


    quantum port-update port-uuid -- --fixed_ips type=dict list=true ip_address='10.1.1.6' ip_address='10.1.1.7'</div><div><br></div><div><br></div><div>to execute correctly, and can see the fixed_ip addresses either allocate from the network allocation pool (using nova command) or my explicitly define addresses (using quantum command) associate with my vm just fine, I have a problem with security groups.  </div>


<div><br></div><div>I've simplified my security groups to just one 'default' where everything is allowed.  I can start ICMP ping test to my VM and show them working, until I run the commands to provision addition fixed IPs. Once the command takes effect on the compute node, all traffic to the vm interface hosting the network stops.  </div>


<div><br></div><div>Interestingly adjacent hosts can see the ARP entries with the correct MAC address for the added fixed_ips, but I can not make any connections to them. If I tcpdump on the VM, I see TCP SYN requests and the VM answer with the SYN+ACK.  On the network outside the VM (trunked to the compute node) I see the TCP SYN request enter the compute node, and no SYN+ACK emerges. The problem is somewhere with allowing the VM to send packets to the external network. </div>


<div><br></div><div>Can anyone tell me how to 'HUP' the security group to allow traffic to my new list of fixed_ips?</div><span class="HOEnZb"><font color="#888888"><div><br></div><div>John</div><div><br></div><div>

<br></div><div><br></div></font></span></div>
</div><br></div></div></div>