2.OpenStack 網絡簡介(neutron)

 

OpenStack 網絡簡介(neutron)

 

概述和組件

 

OpenStack 網絡允許您創建和管理網絡對象, 如網絡、子網和端口, 其他 OpenStack 服務可以使用。插件可以實現, 以適應不同的網絡設備和軟件, 為 OpenStack 的體系結構和部署提供靈活性。網絡服務, 代號neutron, 提供了一個 API, 使您可以定義網絡連接並在雲中尋址。

網絡服務還提供了一個 API 來配置和管理各種網絡服務, 包括從 L3 轉發和 NAT 到負載平衡、邊界防火牆和虛擬專用網絡。

 

 

它包括以下組件:

API server：OpenStack 網絡 API 包括對2層網絡和 IP 地址管理 (IPAM) 的支持以及3層路由器構造的擴展, 該結構允許在2層網絡和網關到
　　　　　　　　外部網絡之間進行路由。OpenStack 網絡包括一個不斷增長的 plug-ins 列表, 它允許與各種商業和開源網絡技術 
　　　　　　(包括路由器、交換機、虛擬交換機和軟件定義的網絡 (SDN) 控制器) 進行互操作。
OpenStack 網絡插件和代理：插件和unplugs 端口創建網絡或子網, 並提供 IP 尋址。所選的插件和代理因特定雲中使用的供應商和技術而異。
　　　　　　　　　　　　　　必須指出的是, 一次只能使用一個插件。
消息隊列：接受並路由代理之間的 RPC 請求以完成 API 操作。消息隊列在ML2插件中用於運行在每個管理程序上的neutron服務器和
　　　　　　neutron代理之間的RPC，用於openvSwitch和Linux橋的ML2機制驅動程序。

 

OpenStack 網絡概念

 

要配置豐富的網絡拓撲, 您可以創建和配置網絡和子網, 並指示其他 OpenStack 服務 (如計算) 將虛擬設備附加到這些網絡上的端口。

OpenStack 計算是一個著名的 OpenStack 網絡用戶, 為其實例提供連通性。特別是, OpenStack 網絡支持擁有多個專用網絡的每個租戶, 並使租戶能夠選擇自己的 ip 尋址方案, 即使這些 ip 地址與其他租戶使用的協議重疊。

有兩種類型的網絡，租戶和提供者網絡。作為網絡創建過程的一部分，可以在租戶之間共享這些類型的網絡。

 

租戶網絡

用戶為項目內的連接性創建了租戶網絡。

默認情況下，它們是完全隔離的，不與其他項目共享。OpenStack網絡支持以下類型的網絡隔離和覆蓋技術。

 

FLAT

所有實例都駐留在同一個網絡上，也可以與主機共享。沒有VLAN標記或其他網絡隔離發生。

 

VLAN

網絡允許用戶使用VLAN id(802.1Q標記)來創建多個提供者或租戶網絡，該VLAN id對應於物理網絡中的VLAN。這允許實例在環境中彼此通信。他們還可以與專用的服務器、防火牆、負載平衡器和其他網絡基礎設施進行通信。

 

GRE and VXLAN

VXLAN和GRE是封裝協議，它創建覆蓋網絡來觸發和控制計算實例之間的通信。網絡路由器被要求允許流量在GRE或VXLAN租戶網絡之外流動。路由器也被要求連接直接連接的租戶網絡與外部網絡，包括因特網。路由器提供了使用浮動IP地址直接從外部網絡連接到實例的能力。

 

供應商網絡

OpenStack管理員創建了提供者網絡。這些網絡映射到數據中心的現有物理網絡。這類的有用網絡類型是扁平的(未標記的)和VLAN(802.1Q標記的)。

 

 為了配置豐富的網絡拓撲，您可以創建和配置網絡和子網，而像Compute這樣的其他OpenStack服務請求通過請求虛擬端口來連接到這些網絡。特別是，網絡支持每個租戶擁有多個私有網絡，並允許租戶選擇自己的IP尋址方案，即使這些IP地址與其他租戶使用的IP地址重疊。

 

 

子網

 

一組IP地址和相關的配置狀態。這也稱為本地IPAM(IP地址管理)，由網絡服務提供給租戶和提供者網絡。當在網絡上創建新端口時，使用子網來分配IP地址。

 

端口

端口是將單個設備(如虛擬服務器的NIC)連接到虛擬網絡的連接點。還描述了相關的網絡配置，例如在該端口上使用的MAC和IP地址。

 

 

路由器

 

這是在網絡之間轉發數據包的邏輯組件。它還提供L3和NAT轉發，以便為租戶網絡上的VMs提供外部網絡訪問。只需要某些插件。

 

安全組

安全組充當計算實例的虛擬防火牆，以控制入站和出站流量。安全組在端口級別執行，而不是子網級別。因此，子網中的每個端口都可以分配給另一組不同的安全組。如果在啟動時沒有指定特定的組，則該實例將自動分配給該網絡的默認安全組。

 

安全組和安全組規則允許管理員和租戶指定允許通過一個端口的交通和方向類型(入口/出口)。安全組是安全組規則的容器。當創建一個端口時，它與一個安全組關聯。如果沒有指定安全組，則該端口與“缺省”安全組關聯。默認情況下，這個組會降低所有的入口流量並允許所有的出口。規則可以添加到這個組中，以改變行為

 

服務和組件層次結構

 

服務器：提供了API,管理數據庫

插件：管理代理

代理：

提供層2 / 3連接到實例

處理物理虛擬網絡過渡

處理元數據等

二層(以太網和交換機)：Linux Bridge和OVS

三層（ip和路由）：L3和dhcp

雜項：metadata

服務

路由服務

VPNaaS：虛擬專用網絡作為服務(VPNaaS)是一種介紹VPN特性集的neutron擴展

LbaaSload-balancera -as-a- service(LBaaS)API規定和配置負載平衡器。參考實現基於HAProxy軟件負載均衡器。

FwaaS：Firewall-as-a-Service (FWaaS) api 是一個實驗性 api, 它使早期的使用者和供應商能夠測試其網絡實現