openstack学习-网络管理

openstack的网络服务组件为neutron，它的设计目标是实现“网络即服务”。
设计上：遵循基于“软件定义网络（SDN)"的灵活和自动化原则
实现上：充分利用linux中各类网络相关的技术

物理网络与虚拟化网络

Neutron最为核心的工做是对二层物理网络的抽象与管理，物理服务器虚拟化后，虚拟机的网络功能由虚拟机网卡（vnic)提供，物理交换机也被虚拟化为虚拟交换机(vswitch)，各个vnic链接再vswitch的端口上，最后这些vswitch经过物理服务器的物理网卡访问外部的物理网络。

linux网络虚拟化实现技术

网络虚拟化主要由分为三个部分：
网卡虚拟化：TAP,TUN,VETH
交换机虚拟化：linux bridge,open vswitch
网络隔离：network-namespace

linux网卡虚拟化

TAP设备：模拟一个二层的网络设备，能够接收和发送二层网络数据包
TUN设备：模拟一个三层的网络设备，能够接收和发送三层网络数据包
VETH:虚拟ethernet接口，一般以pair的方式出现，一端发出的网络数据包会被另外一端接收，能够造成两个网桥之间的通道

TAP/TUN提供了一台主机内用户空间的数据传输机制，它虚拟机了一套网络接口，这套接口和物理的接口无任何区别，能够配置IP，能够路由流量，不一样的是它流量只在主机内流通

veth-pari，是成对出现的网络设备，一端链接协议栈，一端链接彼此，数据从一端出，一端进。它的特性经常用来链接不一样的虚拟网络组件，构建大规模的虚拟网络拓扑，好比链接linux bridge，ovs等，用于neutron，能够构建很是复杂的网络形态。

linux bridge

linux brigde：工做于二层的网络设备，功能相似物理交换机
brigde能够绑定linux上其余网络设备，并将这些设备虚拟化为端口
当一个网络设备被绑定到bridge上，就至关于物理交换机端口插入了一条链接终端的网线。
使用brctl命令配置linux brige

open vswitch

相比linux bridge的小规模的主机内部通讯场景，open vswitch更适合大规模的多主机通讯场景

network namespace

network namespace能建立多个隔离的网络空间，他们有独立的网络配置信息，例如网络设备，路由表，iptables等。
不一样的网络空间中的虚拟机运行的时候仿佛就在本身的独立网络中。

network namespace一般于vrf(virtual routing fowarding虚拟路由转发）一块儿工做，vrf是一种ip技术，容许路由表的多个实例同时在同一个路由器上共存。
使用veth能够链接两个不一样的网络命名空间，使用bridge能够链接多个不一样的网络命名空间。

neutron

做为一种虚拟网络服务，为openstack计算提供网络连通和寻址服务。
neutron对网络进行了抽象，以下所示：

neutron支持多种类型的Network，包括local,flat,vlan,vxlan和gre

• local:与其余网络和节点隔离，该网络中的虚拟机只能与位于同一个节点上网络的虚拟机通讯，local网络主要进行单机测试
• flat:无vlan标签的网络，该网络中虚拟机能与位于同一网络的虚拟机通讯，并能够跨多个节点
• vlan:802.1q标签网络，就是跟真实vlan使用一致
• vxlan:基于隧道技术的overlay网络，主要构建大二层的数据中心网络
• gre：使用ip数据包的封装的隧道技术

subnet

就是子网，每一个子网在neutron中须要定义ip地址和范围
subnet必须与network关联，能够附加dns,网关ip，静态路由

port

端口
逻辑网络交换机上的虚拟交换端口
虚拟机经过port附着到network上
port能够分配ip地址和mac地址

router

链接租户内同一个network或者不一样network之间的子网，以及链接内外网

fixed ip

固定ip，分配到每一个端口上的ip，相似于物理环境中配置到网卡上的ip

floating ip

floating ip（浮动ip)是external network建立的一种特殊的port，能够将floating ip绑定到任意network中的port上，底层会进行nat转发，将发送的浮动ip流量转发到该port上的对应固定ip上，外界能够经过浮动ip访问虚拟机，虚拟机也能够经过浮动ip访问外界

physical network

pytsical network，物理网络。
在物理网络环境中链接到openstack不一样节点的网络，每一个物理网络能够支持neutron中的一个或者多个虚拟网络。

openstack必须经过physical network才能和真实物理网络通讯

provider network

由openstack管理员建立，直接对应数据中心现有物理网络的一个网段
providr network一般使用vlan或者flat模式，能够在多个租户之间共享

self-service network

自助服务网络，也叫租户网络或项目网络，它是由openstack租户建立的，彻底虚拟的，只在本网络内部连通，不能在租户之间共享
self-servcie network一般使用vxlan或者gre模式，能够经过virtual router的snat与provider network通讯

不一样的self-service network中的网段能够相同，相似于物理环境中不一样公司的内部网络
self-service network若是须要和外部网络通讯，须要经过router，相似于物理环境中公司上网须要经过路由器或者防火墙。

External network

外部网络，也叫公共网络
它是一种特殊的provider network，链接的物理网络与数据中心或者internet相通，网络中的port能够访问外网
通常将租户的virtual router链接到该网络，并建立floating ip绑定虚拟机，实现虚拟机与外网通讯

Exernal netwok相似于物理环境中直接使用公网ip网段，不一样的是，openstack中external network对应的物理网络不必定能直连internet，有可能只是数据中心的一个内部私有网络。

securiy group

安全组，他的做用是在neutron port上的一组策略，规定了虚拟机入口和出口流量的规则
安全组基于linux iptables实现，默认拒绝全部流量，只有添加了放行规则的流量才容许经过
每一个openstack项目中都有一个default默认安全组，默认包含以下规则-拒绝全部入口流量，容许全部出口流量

neutron架构与组件

架构图

neutron架构原则

• 统一api
• 核心部分最小化
• 可插入式的开放架构
• 可扩展

message queue:neutron-sever经过消息列队与其余的neutron agents进行交换消息，可是这个消息列队不会用于neutron-server与其余openstack组件（如nova)进行交换消息
l2 agent:负责链接端口（ports)和设备，使他们处于共享的广播域，一般运行在hypervisor上
l3 agent:负责链接tenant网络到数据中心，或者链接到internet.在真实的部署环境中，通常都须要多个l3 agent同时运行。
dhcp agent:用于自动配置虚拟机网络
advance service:提供lb(负载均衡），防火墙等服务

架构说明

neutron的架构是基于插件的，不一样的插件提供不一样的网络服务，主要包含以下组件

组件-neutron server

neutron server=apis+plugins，经过这种方式，能够自由对接不一样网络后端能力

组件-core plugin

core plugin,主要是指ml2（modular layer 2) plugin，是一个开放架构，在plugin下，能够集成各个厂家，各类后端技术支持的layer 2网络服务。

ml2 plugin的drivers主要分为如下两种：
typer driver:定义了网络类型，每种网络类型对应一个type driver
mechanism driver:对接各类二层网络技术和物理交换机设备，如ovs,linux bridge等，从typer driver获取相关的底层网络信息，确保对应的底层技术可以根据这些信息正确配置二层网络。

组件-service plugin

serivce plugin用于实现高阶网络服务，如路由，负载均衡，防火墙和***服务等

l3 service plugin主要提供路由，浮动ip服务等。

组件-agent

neutron agent向虚拟机提供二层和三层的网络链接，完成虚拟网络和物理网络之间的转换，提供扩展服务等

neutron网络流量分析

neutron支持多种网络技术和类型，能够自由组合各类网络模型。
生产中，openstack主要使用以下两种网络模型

• linux bridge+flat/vlan网络
  提供简单网络互通，虚拟网络、路由、负载均衡等由物理设备提供，网络简单，高效，适合中小企业私有云网络环境
• open vswitch+vxlan网络
  提供多租户，大规模网络隔离能力，适合大规模私有云和公有云网络场景

linux bridge+flat网络

flat网络相似于使用网线直接链接物理网络，openstack不负责网络隔离
interface 2不带vlan tag

linux bridge+vlan网络

interface 2须要多个vlan，链接的物理交换机通常配置trunk模式，并容许这些vlan经过
使用linux bridge+vlan实现 provider network，网络流量能够分为以下几种：
南北向流量：虚拟机和外部网络通讯的流量
东西向流量：虚拟机之间的流量
provider network和外部网络之间的流量，由物理网络设备负责交换和路由

使用固定ip的虚拟机南北流量分析

如下涉及计算节点1：

• 虚拟机（instance)数据包由虚拟网卡（1）经过veth pair转发到Provider Bridge上的端口（2）
• 安全组规则（3）检查防火墙和记录链接跟踪
• vlan子接口（4）将数据包转发到物理网卡（5）
• 物理网卡（5）将数据包打上vlan tag101,并将其转发到物理交换机端口（6）

如下涉及物理网络设备

• 交换机从数据包删除vlan tag 101,并将其转发到路由器（7）
• 路由器将数据包从provider network网关（8）路由到external网络网关（9）,并将数据包转发到external网络的交换机端口（10）
• 交换机将数据包转发到外部网络（11）
• 外部网络（12）接收数据包

同一个网络中虚拟机东西流量分析

计算节点1：

• 虚拟机1数据包由虚拟网卡（1）经过veth pair转发到provider Bridge上端口（2）
• 安全组（3）检查防火墙和记录链接跟踪
• vlan子接口（4）将数据包转发到物理网卡（5）
• 物理网卡（5）将数据包打上vlan tag 101,并将其转发到物理交换机端口（6）

物理设备

• 交换机将数据包转发给计算节点2链接的交换机端口（7）

计算节点2

• 计算节点2的物理网卡（8）从数据包删除vlan tag 101，而后转发给vlan子接口（9）
• 安全组（10）检查防火墙和记录链接跟踪
• 虚拟网卡（11）经过veth pair将数据包转发给虚拟机2的网卡

不一样的网络中的虚拟机东西流量

计算节点1

• 虚拟机1由虚拟机网卡（1）经过veth pair转发到provider bridg上的端口（2）
• 安全组（3）检查防火墙和记录链接跟踪
• vlan子接口（4）将数据包转发到物理网卡（5）
• 物理网卡（5）将数据包打上vlan tag 101,转发到物理交换机端口（6）

物理设备

• 交换机删除数据包vlan tag 101,并转发到路由器（7）
• 路由器将数据包从provider network1网关（8）转发到provider network2网关（9）
• 路由器将数据包发送到交换机端口（10）
• 交换机将数据包打上vlan tag 102,而后转发给计算节点1链接的端口（11）

如下涉及计算节点1

• 物理网卡（12）删除数据包vlan tag 102，而后转发vlan子接口（13）
• 安全组（14）检查防火墙和记录链接跟踪
• 虚拟网卡（15）经过veth pair将数据包转发给虚拟机2的网卡（16）

open vswitch +vxlan

vxlan是虚拟可扩展的局域网，是一种oeverlay技术，经过三层网络来搭建虚拟的二层网络。

使用固定ip的虚拟机南北流量

虚拟机运行在计算节点1上，使用self-service network 1,将数据包发送给internet上的主机
计算节点1

• 实例接口（1）经过veth将数据包转发到安全组网桥实例端口（2）
• 安全组网桥上的安全组（3）处理数据包防火墙和链接跟踪
• 安全组网桥OVS端口（4）经过veth将对数据包转发到OVS集成网桥(br-int)安全组端口（5）
• OVS集成网桥为（br-int)数据包添加内部vlan标记
• OVS集成网桥对内部隧道(br-tun)ID交换内部VLAN标记
• OVS集成网桥补丁接口（6）将数据包转发给OVS隧道补丁接口（7）
• OVS隧道网桥(8)使用vni 101包裹分组
• 用于覆盖网络的底层物理接口（9）经由覆盖网络（10）将分组转发到网络节点

网络节点

• 底层网络物理接口（11）将分组转发到OVS隧道桥（12）
• OVS隧道网桥解包并为其添加内部隧道ID
• OVS隧道网桥为内部VLAN标记交换内部隧道ID
• OVS隧道桥补丁端口（13）将分组转发到OVS集成桥接口补丁端口（14）
• 用于自助服务网络（15）的OVS集成桥接端口移除内部VLAN标记并将分组转发到路由器命名空间的自助服务网络接口（16）
• 路由器将数据包转发到提供商网络的OVS集成桥接端口（18）
• OVS集成桥将内部VLAN标记添加到数据包
• OVS集成桥接int-br-provider补丁端口（19）将数据包转发到OVS提供程序桥接phy-br-provider补丁端口（20）
• OVS提供程序将内部VLAN标记与实际VLAN标记101交换
• OVS桥接提供商网络端口（21）将分组转发到物理网络接口（22）
• 物理网络接口经过物理网络设备将数据包转发到Internet(23)

从外部访问带Floating IP的虚拟机

(直接放图吧。。。。。）

同一个网络中虚拟机东西流量

不一样网络中虚拟机东西流量

头大。。头大。。网络看来真的是要学一生的