從今天開始,我們將學習 OpenStack 的 Networking Service,Neutron。
Neutron 的難度會比前面所有模塊都大一些,內容也多一些。
為了幫助大家更好的掌握 Neutorn,CloudMan 也會分析地更詳細一些。
Neutron 概述
傳統的網絡管理方式很大程度上依賴於管理員手工配置和維護各種網絡硬件設備;而雲環境下的網絡已經變得非常復雜,特別是在多租戶場景里,用戶隨時都可能需要創建、修改和刪除網絡,網絡的連通性和隔離已經不太可能通過手工配置來保證了。
如何快速響應業務的需求對網絡管理提出了更高的要求。傳統的網絡管理方式已經很難勝任這項工作,而“軟件定義網絡(software-defined networking, SDN)”所具有的靈活性和自動化優勢使其成為雲時代網絡管理的主流。
Neutron 的設計目標是實現“網絡即服務(Networking as a Service)”。為了達到這一目標,在設計上遵循了基於 SDN 實現網絡虛擬化的原則,在實現上充分利用了 Linux 系統上的各種網絡相關的技術。
在這一章,我們將討論 Neutron 的功能和它的各個組件,學習部署和配置 OpenStack 網絡的不同方法,會涉及軟件和硬件設備多個層面。
Neutron 功能
Neutron 為整個 OpenStack 環境提供網絡支持,包括二層交換,三層路由,負載均衡,防火牆和 VPN 等。Neutron 提供了一個靈活的框架,通過配置,無論是開源還是商業軟件都可以被用來實現這些功能。
二層交換 Switching
Nova 的 Instance 是通過虛擬交換機連接到虛擬二層網絡的。
Neutron 支持多種虛擬交換機,包括 Linux 原生的 Linux Bridge 和 Open vSwitch。 Open vSwitch(OVS)是一個開源的虛擬交換機,它支持標准的管理接口和協議。
利用 Linux Bridge 和 OVS,Neutron 除了可以創建傳統的 VLAN 網絡,還可以創建基於隧道技術的 Overlay 網絡,比如 VxLAN 和 GRE(Linux Bridge 目前只支持 VxLAN)。
在后面章節我們會學習如何使用和配置 Linux Bridge 和 Open vSwitch。
三層路由 Routing
Instance 可以配置不同網段的 IP,Neutron 的 router(虛擬路由器)實現 instance 跨網段通信。router 通過 IP forwarding,iptables 等技術來實現路由和 NAT。
我們將在后面章節討論如何在 Neutron 中配置 router 來實現 instance 之間,以及與外部網絡的通信。
負載均衡 Load Balancing
Openstack 在 Grizzly 版本第一次引入了 Load-Balancing-as-a-Service(LBaaS),提供了將負載分發到多個 instance 的能力。LBaaS 支持多種負載均衡產品和方案,不同的實現以 Plugin 的形式集成到 Neutron,目前默認的 Plugin 是 HAProxy。
我們也將在后面章節學習 LBaaS 的使用和配置。
防火牆 Firewalling
Neutron 通過下面兩種方式來保障 instance 和網絡的安全性。
Security Group
通過 iptables 限制進出 instance 的網絡包。
Firewall-as-a-Service
FWaaS,限制進出虛擬路由器的網絡包,也是通過 iptables 實現。
我們將在后面章節詳細討論 Security 和 FWaaS。
下一節我們會討論 Neutron 網絡涉及的一些基本概念,便於后面深入學習。
