openstack公有云需要放通的網(wǎng)絡(luò)平面

一、前言

openstack當(dāng)下已成為各大公有云廠商的首選，作者也在一個公有云廠商做外協(xié)（對，就是那個出折疊屏手機(jī)的廠商），他家的網(wǎng)絡(luò)設(shè)備默認(rèn)是做白名單（deny any），只允許指定放通的流量經(jīng)過，生產(chǎn)環(huán)境中出于網(wǎng)絡(luò)安全的因素也不允許permit any any，本文就詳細(xì)說明他家的openstack公有云場放通哪些網(wǎng)絡(luò)平面及為什么要放通這些平面。我們假設(shè)每個服務(wù)器有4張網(wǎng)卡，管理和業(yè)務(wù)流量分開，eth0/eth2走管理流量，eth5/eth6走業(yè)務(wù)流量進(jìn)行說明。

網(wǎng)站建設(shè)公司,為您提供網(wǎng)站建設(shè),網(wǎng)站制作,網(wǎng)頁設(shè)計及定制網(wǎng)站建設(shè)服務(wù),專注于成都企業(yè)網(wǎng)站建設(shè),高端網(wǎng)頁制作,對生料攪拌車等多個行業(yè)擁有豐富的網(wǎng)站建設(shè)經(jīng)驗的網(wǎng)站建設(shè)公司。專業(yè)網(wǎng)站設(shè)計,網(wǎng)站優(yōu)化推廣哪家好,專業(yè)seo優(yōu)化優(yōu)化,H5建站,響應(yīng)式網(wǎng)站。

二、openstack的構(gòu)成

openstack是一個云操作系統(tǒng)，大體可分為：控制節(jié)點(diǎn)，計算節(jié)點(diǎn)、網(wǎng)絡(luò)節(jié)點(diǎn)、存儲結(jié)點(diǎn)，生產(chǎn)環(huán)境中為了避免網(wǎng)絡(luò)節(jié)點(diǎn)成為瓶頸都會開啟dvr功能（即東西走向的流量不會再經(jīng)過網(wǎng)絡(luò)節(jié)點(diǎn)，南北走向的流量也只當(dāng)vm在沒有fip的情況下才會走網(wǎng)絡(luò)節(jié)點(diǎn)），上述架構(gòu)可以簡化為下圖所示：

三、vm的創(chuàng)建過程

要了解放通vlan的準(zhǔn)則，首先要了解一個vm在openstack中是如何生成的，每一個vm稱為一個實例，每一個實例好比一臺電腦，一個電腦要能正常工作，除了有計算資源外還需要有操作系統(tǒng)、網(wǎng)絡(luò)、硬盤，這些功能在openstack中對應(yīng)的通過nova、glance、neutron和cinder組建實現(xiàn)。下圖是簡化后的vm創(chuàng)建流程，詳細(xì)流程可以參考作者其他博文。簡化后虛擬機(jī)的創(chuàng)建流程為：

1. 客戶端通過keystone認(rèn)證后，發(fā)起vm創(chuàng)建請求；
2. nova-api接收到請求后，通過scheduler組件選擇一個承載vm的宿主機(jī)；
3. nova-compute組件提供vm所需要的計算功能，同時向glance、neutron、cinder組件的api發(fā)起請求，請求鏡像、網(wǎng)絡(luò)和存儲資源。至此，一個電腦所需的組件就已經(jīng)具備齊全；
4. nova-conpute通過libvert聯(lián)系提供hypervisor的計算節(jié)點(diǎn)主機(jī)（kvm、xen，vmware等）。

四、放通vlan說明

1.管理節(jié)點(diǎn)
管理節(jié)點(diǎn)使用eth0/eth2作為管理接口，生產(chǎn)場景中操作系統(tǒng)由pxe進(jìn)行安裝，安裝后的主機(jī)通過管理平面進(jìn)行通信，同時nova-conpute需要通過各組件的api請求資源，并對后端存儲進(jìn)行管理，所以需要放通的vlan為：
==eth0/eth2==
pvid：

• pxe #安裝操作系統(tǒng)；

vlan：

• om #主機(jī)間管理平面通信，如nova-conpute向其他組件api發(fā)起請求；
• api #此處的api是external-api，是用于第三方產(chǎn)品調(diào)用管理節(jié)點(diǎn)，如監(jiān)控等；
• storage #管理節(jié)點(diǎn)管理后端存儲；
• vtep #他家的產(chǎn)品中需要創(chuàng)建2個管理虛擬機(jī)對物理主機(jī)和虛擬機(jī)進(jìn)行管理，所以還需要放通vtep平面。

端口	放通vlan
eth0/eth2	pvid:pxe vlan:om/api/vtep/storage

2.計算節(jié)點(diǎn)
計算節(jié)點(diǎn)在上圖中表示為hypervisor，是實際提供計算能力的主機(jī)，eth0/eth2作為管理口，eth5/eth6作為業(yè)務(wù)口，放通的vlan為：
==eth0/eth2==
pvid：

• pxe #安裝操作系統(tǒng)；

vlan:

• om #主機(jī)間管理平面通信；
• storage #vm實際存儲在后端存儲中，需要計算節(jié)點(diǎn)能夠訪問存儲節(jié)點(diǎn)。

==eth5/eth6==
vlan:

• vtep #計算節(jié)點(diǎn)之間建立的vxlan隧道，用于不同宿主機(jī)上vm間的通信；
• fip #為計算節(jié)點(diǎn)內(nèi)部的vm提供dnat功能，可以讓用戶通過internet訪問（eip轉(zhuǎn)換成fip）。

端口	放通vlan
eth0/eth2	pvid:pxe vlan:om/storage
eth5/eth6	vlan:vtep/fip

3.存儲節(jié)點(diǎn)
存儲節(jié)點(diǎn)使用eth0/eth2作為管理業(yè)務(wù)口，放通的vlan為：
==eth0/eth2==
pvid：

• om #安裝操作系統(tǒng)及管理流量，此處沒有為pxe單獨(dú)劃分一個vlan，pxe使用的是om平面的vlan；

vlan：

• storage #存儲節(jié)點(diǎn)的業(yè)務(wù)平面。

端口	放通vlan
eth0/eth2	pvid:om vlan:storage

以上就是openstack公有云場景下需要放通的網(wǎng)絡(luò)平面。

分享名稱：openstack公有云需要放通的網(wǎng)絡(luò)平面
URL分享：http://m.jiaotiyi.com/article/gggcpg.html