<div dir="ltr">Thanks Xav,<div>          </div><div>                  i am using nova-network and not neutron.Looks like this can not work with nova-network </div><div><br></div><div>Thanks</div></div><div class="gmail_extra">
<br><br><div class="gmail_quote">On Thu, Aug 7, 2014 at 3:23 PM, Xav Paice <span dir="ltr"><<a href="mailto:xavpaice@gmail.com" target="_blank">xavpaice@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="">On 07/08/14 21:42, mad Engineer wrote:<br>
> but concerned whether nova security policies allow VRRP to work as it<br>
> requires multiple IP on same MAC?<br>
><br>
> Is clearing the rule only way to make it work,or is there nova-network<br>
> way to make it work.<br>
><br>
> also i am worried about NAT rule when IP fail over happens<br>
><br>
><br>
</div>This might help - copied from a note I put on our ops wiki:<br>
<br>
OpenStack has anti-spoofing iptables rules that sit very close to your<br>
instance on the hypervisor.  This means you can't just add a new address<br>
without telling OpenStack.  To tell OpenStack, you need to add an<br>
allowed-address-pair to the port which your instance will use with the<br>
new IP.<br>
<br>
For example:  I have a VM with a fixed IP of 10.1.1.13.  I want to add<br>
the alias IP 10.1.1.14 to that and one other VM, for load balancing.<br>
<br>
First, make sure you aren't using an IP in the DHCP range for this<br>
subnet.  Then update the Ports for each instance participating in VRRP.<br>
<br>
nova interface-list <INSTANCE_UUID><br>
+------------+--------------------------------------+--------------------------------------+--------------+-------------------+<br>
| Port State | Port ID                              | Net<br>
ID                               | IP addresses | MAC Addr          |<br>
+------------+--------------------------------------+--------------------------------------+--------------+-------------------+<br>
| ACTIVE     | 50eb611d-5e71-43cf-ba4d-1017bc6e488c |<br>
623417c3-dffc-4b6d-96fa-a4ae0ec1df52 | 10.1.1.13    | fa:16:3e:5b:64:38 |<br>
<br>
neutron port-update 50eb611d-5e71-43cf-ba4d-1017bc6e488c \<br>
      --allowed-address-pairs type=dict list=true \<br>
      mac_address=fa:16:3e:5b:64:38,ip_address=10.1.1.14<br>
<br>
Once you have updated the ports attached to each VM, you will need some<br>
security group rules.<br>
<br>
neutron security-group-create vrrp_members<br>
neutron security-group-rule-create --ethertype IPv4 \<br>
      --direction egress --protocol 51 \<br>
      --remote-ip-prefix <a href="http://224.0.0.18/32" target="_blank">224.0.0.18/32</a> vrrp_members<br>
neutron security-group-rule-create --ethertype IPv4 \<br>
      --direction ingress --protocol 51 \<br>
      --remote-group-id vrrp_members vrrp_members<br>
<br>
Then apply this security group to your VRRP instances.<br>
<br>
<br>
<br>
_______________________________________________<br>
Mailing list: <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack</a><br>
Post to     : <a href="mailto:openstack@lists.openstack.org">openstack@lists.openstack.org</a><br>
Unsubscribe : <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack</a><br>
</blockquote></div><br></div>