错误的另一个常见原因是默认的安全组规则。default security group默认情况下不允许ICMP（ping命令使用的协议）

可以在openstack horizon界面中添加ICMP和ssh（TCP）规则，也可以通过命令行。命令行方式给默认安全组添加规则的方法如下：

$ nova secgroup-add-rule default icmp -l -l 0.0.0.0/0

$ nova secgroup-add-rule default tcp 22 22 0.0.0.0/0

其中，第一条命令使虚拟机能被ping通，第二条使虚拟机可以ssh远程登录。

如前所述，物理底层网络也可能导致问题，在排查问题前，应当确保openstack各个节点间能ping通。

[root@controller ~]#  neutron security-group-rule-list

+--------------------------------------+----------------+-----------+-----------+---------------+------------------+
| id | security_group | direction | ethertype | port/protocol | remote |
+--------------------------------------+----------------+-----------+-----------+---------------+------------------+
| 12a4e0e2-6f8d-43bf-b347-5ee08a45751a | default | ingress | IPv4 | 22/tcp | 0.0.0.0/0 (CIDR) |
| 30df86a0-434a-4b37-b75f-5f73c4143f93 | default | egress | IPv4 | any | any |
| b82dcce8-c476-49fd-8906-5f5465cd2439 | default | ingress | IPv4 | any | default (group) |
| d6944ec0-2f99-4d42-a71a-51ed582c468e | default | ingress | IPv4 | icmp | 0.0.0.0/0 (CIDR) |
| fe99cdbd-6f3e-432d-a8d4-95b78412c606 | default | ingress | IPv6 | any | default (group) |
+--------------------------------------+----------------+-----------+-----------+---------------+------------------+