在FusionSphere Openstack規划設計的過程中,至少有8個平面。
1. Internal_base,內部平面。
①是FusionSphere Openstack中的組件之間進行通信的網絡平面,如nova-api與cinder-api之間通信;
②為了網絡安全性,是二層網絡平面,是無網關的;
③默認網段是172.28.0.0/20;
④是服務器用FCD的時候通過PXE進行安裝操作系統的網絡平面;PXE可以批量對服務器進行安裝操作系統,安裝時配置是untag模式的。
⑤flat網絡類型(無vlan)
2. External_API,與外部網絡相連接(通信)的網絡平面,用戶通過這個網絡平面下發指令。通過外部portal去管理內部組件的時候網絡流量走的都是External_API這個網絡平面,也就是說通過外部接入內部走的都是External_API(管理員的訪問,API的調用) (在交換機上配置Trunk並且允許該VLAN通過,走三層)
是OpenStack的正向代理、反向代理。
3. External_base,(華為不推薦)為rabbitMQ而設計的網絡平面,負責組件的內部通信的網絡平面(子組件通信)(如Nova內部各組件之間通信),External_base可以被External_OM代替(在交換機上配置Trunk並且允許該VLAN通過,走三層)
glance、swift無MQ也就無這個平面,其它組件都有。
4. External_OM,是一種資源接入平面,主要負責對接底層差異化資源(KVM、VMware、FC、Hyper-V)。管理地址。
就是說FusionSphere Openstack與Fusion Compute對接,即Nova_Compute與VRM對接,流量走External_OM;還有對計算實例VNC登錄的時候走的也是External_OM。
5. 管理平面,主要負責VRM與CNA通信,FSM和FSA通信。(VRM和FSM是控制、管理)
6. 存儲平面,當你對接的資源為KVM的時候才會有存儲網絡平面。
Storage_data分為0 1 2 3 4…分別是對接的不同的后端存儲,用多少取決於需求,對接IP SAN一般成對出現0或1,對接FS一般只用一個。
7. 業務平面,虛擬機與虛擬機之間的通信,租戶使用虛擬機的時候這個業務數據都跑在這個業務平面 (配置成Trunk並且要配好VLAN池)
8. BMC平面(BMC_Base),是BMC模塊存在的網絡平面。
①BMC是負責對服務器(硬件)進行運維和管理的(上下電、對服務器VNC遠程登錄、對服務器進行硬件巡檢等)。
②BMC是一個模塊放在服務器的主板上,是主板上的一個操作系統(本質上是一個可以直接控制服務器硬件的軟件),無論什么操作系統都不影響BMC的存在,可以通過Web界面去訪問BMC,對它進行操作。
③BMC平面是主機BMC網口使用的平面,專門跑一個網絡。(VRM節點的管理平面和BMC平面互通就可以了)
④使用的IPMI協議。
雲服務網絡平面:
1.DMZ_Service:用戶訪問私有雲SC的時候走的網絡平面,也就是對外提供服務的網絡平面,用於雲用戶或 ManageOne 管理員訪問雲服務層,是進入 ManageOne OC/SC 做一些管理配置的平面。 lAAS/PAAS/SAAS 等服務的前端節點,以Console 等方式,對外提供服務。(lvs(負載均衡軟件)\nginx\Console\ DNS\ ntp(時鍾同步))
2.Public_Service:是雲服務組件、公共服務所在的平面,內部公共服務組件或節點所在的平面。不與外網互通。(組合 API,Haproxy,GaussDB,Euler OS等,比如負責Gauss DB與Euler OS兩個組件的通信)
3.DMZ_Tenant:租戶網絡,是租戶與租戶所購買的雲主機之間通信的網絡平面,也就是租戶與虛擬機之間通信的網絡平面。
一般是通過 EIP 管理或訪問租戶的業務平面通信的網絡平面,租戶的業務平面不是指租戶所在的網絡。與租戶網絡連通,為租戶提供服務。例如:使用內部 NTP 服務,使用內網的軟件倉庫而不去外網上找。
4.OM_Service: 運維相關的網絡,用於收集信息給 OC 的平面。私有雲所有管理節點、網絡設備、服務器所在的網絡平面,要求該平面與全部網絡平面互通。(除租戶網絡)
5.Heart_Beat:雲服務心跳平面
*為什么external-base可以被external-om代替?
om這個平面可以被rabbitmq所監聽,同時om與cna三層互通。
*External_Api平面需要管理平面通嗎?走什么流量?
需要,VRM 如果部署在傳統 FusionCompute 中,沒有部署在 OpenStack 中,通過 no vnc 訪問虛擬機走的流量就是通過 external_api 網絡。
No VNC:VNC走的平面
*OpenStack 網絡平面?為什么要有這些平面?(FusionCloud 的網絡平面)
這里 VLAN 不需要記。此圖為 type 1 需要做的管理節點網絡規划。 如果是 type3 做網絡規划。只需要做紅色框部分。
*FusionSphereOpenstack的幾個重要網絡平面
<關鍵點:
internal_base、external_api、external_om、external_base都屬於Openstack的管理平面。
Internal_base也是CPS節點PXE安裝平面
storage_data屬於存儲平面。只有在KVM場景中才需要配置。主要用於cinder-volume與后端存儲對接、kvm節點使用后端存儲。默認情況下,存在 storage_data0、storage_data1,兩者無任何區別,storage_data的配置僅僅是為了給cps節點配置存儲平面ip 地址(除上述情況,假如在cps節點布署FusionStorage FSA節點,需要增加存儲平面ip,此時就可以通過配置 storage_data完成),僅在需要對接位於兩個存儲網絡的后端存儲才有可能使用,相應的,當存儲網絡大於2個時,需增加storage_data的數量,即會存在 storage_data3 等
>
*internal_base 平面系統一般會默認創建一個 ip 地址段,我們可以人為去修改嗎?
172.28.0.0 /20
可以改。在部署的時候可以修改(在LLD內),部署完就不能修改。
*虛擬機是如何通過 vnc 登錄的?租戶使用vnc登錄的時候用到了什么網絡平面?(考到)
用戶發送請求到 API 網絡里面的 noVNC 代理,VNC 代理通過 external_om 去找 FusionCompute 里面的對應 VRM,通知 FusionCompute 為虛擬機提供 VNC 資源,然后把這個資源提供到 controller 上的 consoleauth 組件鑒權,鑒權通過以后,VNC 代理會向用戶返回一個頁面,那么 VNC 就登錄虛擬機成功了
External-api -> external_om -> VRM -> controller 上鑒權-> VNC 代理返回登錄界面
*SC 中的虛擬機登錄會走哪些網絡平面?
DMZ-Service -> Public-Service -> External-Api -> Internal-Base -> External-om -> VRM
*用戶通過了哪些網絡平面訪問到自己的虛擬機?
DMZ_Service -> Public_Service -> DMZ-Tenant -> External-Api -> Internal-Base -> External-om ->資源(FC KVM)
現在外面的用戶要訪問彈性雲服務器,需要經過哪些網絡平面?(考到)
如果用遠程登錄工具去根據公網ip登錄彈性雲服務器的話 不需要經過網絡平面。
不然就是
DMZ_Service -> Public_Service -> DMZ-Tenant -> External-Api -> Internal-Base -> External-om ->資源(FC KVM)
*反向代理有什么作用?不要反向代理可不可以?
正向代理是流量由內到外;
反向代理是流量由外到內;
兩者都是為了隱藏內部網絡細節,提高安全性
兩者都是實現網絡互通。
不可以不要反向代理。
*在 OpenStack 網絡平面中,哪個是 untag 的?
internal_base。PXE安裝時需要用到internal_base,不能識別帶tag的幀。
*在 OpenStack 網絡平面中,storage_data 是什么平面?
FusionSphere Openstack 內部存儲平面,KVM 場景才會使用到。使用 KVM 資源時的內部存儲平面,可用於接入 FusionStorage 及其他存儲設備網絡。
*FusionSphere Openstack 的網絡平面可不可合一部署?
物理平面上可以合一部署,但必須都配置獨立vlan。
*社區版有沒有這些網絡平面?
沒有。社區版並沒有明確要求怎樣的網絡平面規划,只是提供建議。我們完全可以根據自己的需求設計出不同的網絡平面規划或相同的規划。
*存儲平面你是怎么理解的(storage-data)
在 OpenStack 對接 FS 或 IPSAN 存儲的時候使用的平面,
*為什么需要 Storage_data 平面?
因為需要物理隔離或邏輯隔離,Cinder-volume 所在的 CPS 節點原有的 IP 接口無法與存儲設備的業務接口通訊,需增加一個 IP 接口。
*storage-data 可不可以不用?
我直接把存儲拉到 internal-base 平面和 external-om 平面
可以,我只需要考慮兩個問題
1. ip 通不通,通的話就可以
2. 防火牆的 iptable 有沒有攔截,被攔截了我們讓他放行就ok
*FusionCompute 的 vims 存儲的心跳平面一般是建在哪個網絡平面的?為什么這么設計?
FC的管理平面,為了檢測 CNA 是否故障
*布署在CPS節點上的VRM、FSM、OM、SC有哪些平面?說明作用。
*external-om與om-service區別:
一個是FSO內部管理平面,一個是多region間的運維管理網絡平面。
*external-api與external-om區別:
external-api是外部租戶、管理員提供業務訪問的,external-om是接入資源的。
安全性external-api差,external-om高一點。
external-api以反向代理形式對外提供訪問入口,external-om一般不配置反向代理。
哪些平面需要與管理平面三層互通?
External_api,external_om,external_base
這些平面為什么不用一個平面?
安全,不同平面相互隔離。
external_om 和 external_api 平面需要互通嗎?
可以互通,可以不互通,都和管理平面三層互通
external_om和 external_api 怎么跟 internal_base 平面互通?
配置正反向代理
裸金屬服務器需要接入 BMC_Base 嗎?
不需要接入 BMC_Base 平面,BMC_Base 主要用於 Ironic 的組件使用,其利用該平面與裸金屬服務器建立 ipmi 通訊即可,故裸金屬服務器的 BMC 接口只需與 BMC_Base 三層互通即可(通過IP訪問即可,IP可達)。
管理平面能和 external_om 平面合並嗎?為什么?
不能,管理平面是 VRM 和 CNA 通信的
業務規划的時候不會讓 CNA 節點接入 external-om 平面,因為這個業務節點上面會運行大量虛擬機,如果 CNA 被黑之后,就能和CPS節點上的運維主機進行通信
對external_base平面的理解
針對場景:虛擬化層為 FusionCompute或VMware
使用對象:RabbitMQ、FNM(FuisonNetwork Manager)
出現原因:因CNA或ESXi運行Neutron-Agent,其需要接入 RabbitMQ。而 RabbitMQ在沒有配置external_base前只監聽internal_base 平面,internal_base又因安全考慮無法和其它網段通訊,造成運行在CNA或ESXi上的 Neutron-Agent無法和RabbitMQMQ,最終Agent 工作異常。引入external_base平面目的就是讓RabbitMQ能夠同時監聽該平面,讓Agent可以與之通訊。
考試追問:
如何為console和api提供服務?
連上DMZ_Service
什么是后端什么是前端?
前端是用戶去使用比如說SC,做了一個網頁用戶來訪問。
后端是對用戶不可見的,底層的東西。
**給你4張網卡你要怎么規划網絡平面?
兩兩綁定 兩張網卡綁定做管理+業務 兩張網卡綁定起來做存儲
你自己規划出來的網卡,都需要放行那些網絡平面?
八個網絡都隨便說幾個
業務流可不可和管理流部署在一起?
可以。物理部署的時候一般都是業務和管理合一部署
管理流和控制流指的是什么?
差不多 一個意思 FSM與FSA VRM與CNA
*計算節點4網口規划?綁定模式?放通那些vlan?
兩兩綁定 兩張網卡綁定做管理+業務 兩張網卡綁定起來做存儲
綁定模式:主備
看用戶需求放通相應vlan
對IP地址的規划?
通過VLAN進行隔離配置
關於dmz-tenant都有哪些公共的服務
NTP 安全服務 CIDR、APIGW、安全區漏掃、網頁防篡改,補丁服務
storage data 0 1是什么,干什么的,對接什么?
0 1沒有區別 只是個數字
storage data 是用來對接ip san 或 fs時,使用 cinder volume需要使用kvm節點上的存儲資源時,需要這個網絡平面,因為kvm自身無法管理存儲。
干什么的?業務存儲或者管理存儲
storage_data對接san跟fs有什么區別?
san要兩個網絡平面 fs只要一個
對接FS的時候,只需要一個storage_data網絡平面,0或者1。
對接IP SAN的時候,一般成對出現,用到兩個storage_data網絡平面,0和1。因為要接存儲兩個控制器做冗余。
internal base 做PXE時,怎么做到untag的?
vlan id=pvid
type3類型時,管理節點只有兩個網口,怎么規划網絡平面?
管理業務存儲平面合一
用戶創建ECS會經過哪些openstack網絡平面,哪些私有雲平面?
DMZ-Service、Public-Service、DMZ-Tenant、Internal-Base、External-Api、External-Base、External-om、管理平面
使用Fusionstorage具體需要經過哪些平面?
存儲平面 管理平面 業務平面(VBS里面)
組件交互可以三層互通嗎?
不行,為了保證安全性
Ops內部組件都是二層的
external-api組網的時候需要在三層交換機上部署哪些東西,如何部署?
配置trunk 放通相應vlan
ip 開啟路由 配置路由
為什么要用主備,不用負載分擔,什么情況用主備,什么情況用負載分擔,主備和負載分擔需要在TOR交換機上做什么操作?
業務可靠性 沒必要用負載分擔,某個組件足以應付請求的話 主備足夠了
平面內有那些組件,如lvs,nginx,console,它們的部署情況是主備還是群集。經過的網絡平面。
問的是雲服務層中有哪些組件?
都是主備
如果現在有2張萬兆網卡,並且管理存儲用的是fusionstorage,那么控制節點服務器的網卡該怎么規划?
主備或負載分擔 管理業務存儲合一
一個完整的FCD安裝流程需要經過哪些平面?
登錄FCD需要external-api,之后PXE安裝經過internal-base平面,安裝南向om、fs、vrm需要external-om,如果有裸金屬節點還需要BMC-base