Issue

1. A と B の 2 つのネットワークと default と Allpermit の 2 つのセキュリティグループ をもつプロジェクトで、 ネットワーク A を接続しセキュリティグループ Allpermit を設定したインスタンスを作成しました。

   • default セキュリティグループ: 送信は同じグループ内でのみ許可するよう設定する
   • Allpermit セキュリティグループ: 送受信を全て許可する

2. 次に、 nova interface-attach コマンドでもう一つのネットワーク B を追加で接続したところ、ネットワーク B が追加された後、今度はセキュリティグループ default がインスタンス全体へ適用されました。

• 質問1: nova interface-attach コマンドでネットワークを追加する場合にセキュリティグループを指定することは可能ですか?
• 質問2: Dashboard からセキュリティグループの付与・削除をした場合、セキュリティグループの適用には順序性があり、先にセキュリティグループ Allpermit を適用した場合、後で追加した default のフィルタリングよりも Allpermit が優先され、パケットが通過するのでしょうか?
  • 2 つのネットワークを持つインスタンスに Dashboard からセキュリティグループの付与・削除をした場合、先に追加したネットワークのセキュリティグループしか有効にならないということでしょうか?
  • つまりそれぞれのネットワークポートに対して別々のセキュリティグループを適用したい場合は CLI を使用して neutron port-update --security-group SECURITY_GROUP PORT でセキュリティグループを指定しないとそれぞれのポートに対して別々のセキュリティグループを付与できないのでしょうか?