<div dir="ltr">I am using Grizzly and I have a mix of both provider external networks (VLANs) and tenant GRE tunnels.  The provider networks are obviously setup as public, so VMs can start with interfaces on them. <div><br>

</div><div>I can start VMs just fine and get addresses via the dhcp_agent on both external and tenant networks. </div><div><br></div><div>Everything is working well... until I need to add additional fixed_ips to existing VM vif on external networks.  </div>

<div><br></div><div>While I can get commands of the form:</div><div><br></div><div>    nova add-fixed-ip vm-uuid net-uuid </div><div>    repeat for each fixed-ip needed</div><div><br></div><div>and </div><div><br></div><div>

    quantum port-update port-uuid -- --fixed_ips type=dict list=true ip_address='10.1.1.6' ip_address='10.1.1.7'</div><div><br></div><div><br></div><div>to execute correctly, and can see the fixed_ip addresses either allocate from the network allocation pool (using nova command) or my explicitly define addresses (using quantum command) associate with my vm just fine, I have a problem with security groups.  </div>

<div><br></div><div>I've simplified my security groups to just one 'default' where everything is allowed.  I can start ICMP ping test to my VM and show them working, until I run the commands to provision addition fixed IPs. Once the command takes effect on the compute node, all traffic to the vm interface hosting the network stops.  </div>

<div><br></div><div>Interestingly adjacent hosts can see the ARP entries with the correct MAC address for the added fixed_ips, but I can not make any connections to them. If I tcpdump on the VM, I see TCP SYN requests and the VM answer with the SYN+ACK.  On the network outside the VM (trunked to the compute node) I see the TCP SYN request enter the compute node, and no SYN+ACK emerges. The problem is somewhere with allowing the VM to send packets to the external network. </div>

<div><br></div><div>Can anyone tell me how to 'HUP' the security group to allow traffic to my new list of fixed_ips?</div><div><br></div><div>John</div><div><br></div><div><br></div><div><br></div></div>