原文:openstack-install-guide-yum-icehouse.pdf/7. Add a networking service/Networking concepts
OpenStack的Neutron能夠管理OpenStack環境中的虛擬 網絡基礎設施(VNI)。和物理網絡基礎設施(PNI)。 OpenStack的Neutron同意租戶創建虛擬網絡拓撲結構。包括的服務比如防火牆,負載均衡和虛擬專用網絡(VPN)等等。
Neutron提供了對下面對象的抽象:網絡,子網和路由器。
每一個都包括它所模仿物理硬件相應的功能:網絡包括子網,不同的子網和網絡之間的流量由路由來傳遞。
一個簡單的網絡拓撲圖例如以下
不論什么創建的網絡至少要包括一個“外部網絡”(圖中為ext-net)。
這個網絡中。不像其他網絡。不僅是實質上定義的網絡。並且它還代表外部能夠訪問openstack的外部網段。非openstack環境中的設備能夠訪問“外部網絡”中的某個IP。因為這樣的網絡僅表示外部網絡的一個切片,DHCP在“外部網絡”中是被禁用的。
除了“外部網絡”,不論什么網絡設置有一個或多個“內部 網絡”(圖中為icenet,icenet2)。
這些軟件定義的網絡直接連接到虛擬機。僅僅有虛擬機綁定在某個指定的內部網絡上,或者是綁定在通過接口連接到路由的子網上,才能夠直接訪問連接到該網絡的虛擬機。
對於openstack環境外的網絡訪問虛擬機,就須要在網絡之間創建一個“路由”(圖中為ice_route)。每一個“路由”都有一個連接到網絡的網關以及連接多個子網的接口。就像一個物理路由器,某個子網上的虛擬機能夠訪問連接到同一個路由器的其它子網的虛擬機(icenet2上的雲主機能夠訪問icenet上的雲主機)。機器能夠通過路由器的網關訪問外部網絡。
此外,還能夠分配“外部網絡”的IP地址在內部網絡的port上。僅僅要有雲主機被連接到一個子網。則該連接被稱為port。
你能夠用虛擬機的port與外網IP地址相關聯。
這樣一來,外部網絡中的實體就能夠訪問openstack環境中的虛擬機了。比如icenet上的虛擬機被分配了外部IP為192.168.40.202,則該虛擬機能夠通過該IP被外部訪問。
網絡還支持安全組。
安全組使管理員可以在組上定義防火牆規則。虛擬機可以屬於一個或多個安全組,Neutron應用這些安全組的規則來阻止或同意虛擬機的port,或流量類型的訪問。
Neutron的功能能夠通過插件的形式來擴展,每一個Neutron的插件有自己的概念。內核插件和安全組插件是比較基礎的插件。此外,防火牆服務(FWaaS),負載均衡服務(LBaaS)作為可選插件。