<div dir="ltr">Thanks alot, actually they are using Heat with update network function, so I guess Heat has to do the work :)</div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Jul 6, 2017 at 10:50 PM, Jay Pipes <span dir="ltr"><<a href="mailto:jaypipes@gmail.com" target="_blank">jaypipes@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 07/06/2017 10:39 AM, Matt Riedemann wrote:<br>
</span><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
On 7/6/2017 6:39 AM, Gary Kotton wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi,<br>
<br>
When you attach an interface there are a number of options:<br>
<br>
1. Pass a existing port<br>
<br>
2. Pass a network<br>
<br>
In the second case a new port will be created and by default that will have the default security group.<br>
<br>
You could try the first option by attaching the security group to the port<br>
<br>
Thanks<br>
<br>
Gary<br>
<br>
*From: *Zhenyu Zheng <<a href="mailto:zhengzhenyulixi@gmail.com" target="_blank">zhengzhenyulixi@gmail.com</a>><br>
*Reply-To: *OpenStack List <<a href="mailto:openstack-dev@lists.openstack.org" target="_blank">openstack-dev@lists.openstack<wbr>.org</a>><br>
*Date: *Thursday, July 6, 2017 at 12:45 PM<br>
*To: *OpenStack List <<a href="mailto:openstack-dev@lists.openstack.org" target="_blank">openstack-dev@lists.openstack<wbr>.org</a>><br>
*Subject: *[openstack-dev] [Nova][Neutron] Allow passing security groups when attaching interfaces?<br>
<br>
Hi,<br>
<br>
Our product has meet this kind of problem, when we boot instances, we are allowed to pass security groups, and if we provided network id, ports with the sg we passed will be created and when we show instances, we can see security groups field of instance is the sg we provided. But when we attach again some new interfaces(using network_id), the newly added interfaces will be in the default security group.<br>
<br>
We are wondering, will it be better to allow passing security groups when attaching interfaces? or it is considered to be a proxy-api which we do not like?<br>
</blockquote>
<br></span><span class="">
I don't think we want this, it's more proxy orchestration that would have to live in Nova. As Gary pointed out, if you want a non-default security group, create the port in neutron ahead of time, associate the non-default security group(s) and then attach that port to the server instance in nova.<br>
</span></blockquote>
<br>
This +100.<br>
<br>
Best,<br>
-jay<div class="HOEnZb"><div class="h5"><br>
<br>
______________________________<wbr>______________________________<wbr>______________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.op<wbr>enstack.org?subject:unsubscrib<wbr>e</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi<wbr>-bin/mailman/listinfo/openstac<wbr>k-dev</a><br>
</div></div></blockquote></div><br></div>