05 OpenStack培训 - 3 5dHCIE-Cloud05-1 Neutron讲解

HC13081,云计算,V1R5,1.0,李扶洋,2016-05,fly,新开发,NeutronL2简介,Neutron简介Neutron架构和组件NeutronL2资源对象NeutronL2组网及二层功能特性NeutronL2典型操作,OpenStack中的Neutron,QuantumPlugin通过集成多种虚拟网络插件，实现L2的虚拟网络管理,Neutron多级插件架构,Neutron逻辑架构：主要组件,Neutron简介Neutron架构和组件NeutronL2资源对象NeutronL2组网及二层功能特性NeutronL2典型操作,随着Neutron项目的发展，在基础服务基础上扩展了多种L2L4层的网络服务，如LBaaS、VPNaaS、FWaaS等,面向租户的逻辑网络控制,Neutron的管理对象,“网络连接即服务(networkconnectivityasaservice)”,Neutron网络即服务,ManagementNetwork提供Openstack组件间的内部通信。该网络内的IP地址只有数据中心内部可达。DataNetwork提供云内部VM间数据通信。该网络内的IP地址取决于使用的网络插件程序。ExternalNetwork提供VM与外部Internet间的通信。Internet上的任何人都可以访问该网络内的IP地址。APINetwork为租户提供包括NetworkingAPI在内的所有OpenstackAPI。该网络内的IP地址应该被允许Internet上的任何人可达。该网络基本上与ExternalNetwork一样，我们甚至可以创建一个external-network子网作为该网络。,网络模块Neutron结构,Neutron架构Vendor可扩展NeutronAPIVendor可使用定制或开源插件,NeutronAPIandextensions,Commonservice(Validation,Auth),PluginAPI,NeutronCore,DB,PluginAgent,device,NeutronServer,Neutron架构和组件,Neutron架构和组件,NeutronServer包含两部分：Neutron-common和Plugin,Neutroncommon,Plugin,NeutronServer机制,APICore它可以看做是插件功能的最小集合，即每个插件都必须有的功能，也就是对网络、子网和端口的查询、加删和更新操作等。APIAPIExtensions它们一般是针对具体插件实现的，这样租户就可以利用这些插件独特的功能，比方说访问控制（ACL)和QoS。Plugin存储当前逻辑网络的配置信息，判断和存储逻辑网络和物理网络的对应关系（比如为一个逻辑网络选择一个vlan），并与一种或多种交换机通信来实现这种对应关系（一般通过宿主机上的插件代理来实现这种操作，或者远程登录到交换机上来配置）。,NeutronServer机制,Neutron架构和组件,NeutronServerML2/L2population,ML2插件：通过TypeManager和MechanismManager实现二层互通主要动机/好处：抽象出Plugin中共性代码（DB等），减少厂家新增和维护Plugin的工作量、只需实现driver即可解决原结构中只支持一个Plugin的问题，同时支持多个Driver通过l2polulation减少overlay网络广播流量实现异构部署：每个hypervisornode可使用不同的driver,Neutron简介Neutron架构和组件NeutronL2资源对象NeutronL2组网及二层功能特性NeutronL2典型操作,Subnet,Neutron将虚拟网络对象模型在物理网络上实现：1、在linux-br上配置iptable规则，实现安全组2、在openvswitch网桥上，配置流表规则，为不同的端口配置不同的VlanTag，实现虚拟机的流量Vlan隔离3、为网卡命名，Neutron将虚拟网络的流量导出网卡,网络虚拟化实现原理,Neutron服务与管理对象,Neutron是一种虚拟网络服务，为Opensack计算提供网络连通和寻址服务。为了便于操作管理，Neutron管理对网络进行了抽象，有如下管理对象NetworkSubnetPortRouterFloatingIP,VM1,Network,VM2,30.30.30.0/24,30.30.30.1,30.30.30.2,Port对象,Subnet对象,Router,network对象,NeutronNetwork对象,基本资源对象：Network,Subnet,PortNetwork:一个隔离的虚拟二层广播域，所有报文从虚拟机发出会被添加一个VlanTag，进入虚拟机会剥掉VlanTag也可以看成一个VirtualSwitch或LogicalSwitch重要属性：tenant_id：标识一个租户，不同的租户间网络隔离，不允许相互访问router:external：可以从外部访问该网络provider:physical_network：虚拟网络上的流量将映射到物理网络，名称在安装部署时指定provider:network_type：FS5.1仅支持Vlan类型网络，表示物理网络支持Vlan隔离的provider:segmentation_id：FS5.1中表示VlanID,Neutron资源对象,基本资源对象：Network,Subnet,PortNetwork:一个隔离的虚拟二层广播域也可以看成一个VirtualSwitch或LogicalSwitch,NeutronSubnet对象,基本资源对象：Network,Subnet,PortSubnet:包含IP地址段（CIDR）必须与Network关联VM从CIDR取得IP，也可指定allocation_pool作为IP地址资源池可选属性：DNS，网关IP，静态路由等,基本资源对象：Network,Subnet,PortSubnet:子网对象，包含IP地址段（CIDR）；必须与Network关联；VM从CIDR取得IP，也可指定allocation_pool作为IP地址资源池；可选属性：DNS，网关IP，静态路由等。,Neutron资源对象,基本资源对象：Network,Subnet,PortPort:逻辑网络交换机上的虚拟交换端口VM通过逻辑端口到附着到network上定义了指派到该网络上虚拟机端口的IP地址和Mac地址等通过vnic_type区分网卡类型：normal（ovs）、direct（sr-iov),NeutronPort对象,基本资源对象：Network,Subnet,PortPort:逻辑网络交换机上的虚拟交换端口；VM通过逻辑端口到附着到network上；还定义了指派到该网络上虚拟机端口的IP地址和Mac地址等。,Neutron资源对象,扩展资源对象：SecurityGroupSecurityGroup:关联到Port对象将多个虚拟机端口组成一个集合，流量符合自定义规则的允许通过,规则示例：,1、规则项包括虚拟机流量发送接收方向、ip地址段、ip协议号、端口号等2、租户创建的安全组默认规则：允许所有数据包出去；不允许任何数据包进入。3、规则只能设置为“允许”，不能设置为“禁止”4、虚拟机的流量符合规则，则允许通过,rulematch,rulemissmatch,X,NeutronSecurityGroup对象,Neutron各模块功能简介安全组,SecuritygroupSecurityGroup主要是通过Iptables实现，能够对进出的流量按照协议、端口进行限制，能防止不知名协议，端口流量的攻击；安全组由L2agent实现，如neutron-openvswitch-agent会将安全组规则转换成IPTables规则，一般发生在计算节点；在Compute节点上引入了qbr*这样的Linux传统bridge（iptables规则目前无法加载到直接挂在到ovs的tap设备上）,CLI调用,Neutron各模块功能简介安全组,VM之间通信的报文通过iptableschain顺序如上,注意：可以通过iptable-save|grep来查看某个端口具体的iptables规则,Neutron各模块功能简介安全组,扩展资源对象：进行API功能扩展时，添加的资源对象Agent:针对Neutron的各种Agent建模；供Admin查看状态，修改属性RouterL3Extension引入virtualrouter,Neutron资源对象,Neutron-openvswitch-agent网桥管理：br-int、brcps、br-tun等端口管理：监控网桥上端口，为端口打tag，下发流表等刷新安全组QoS设置主线程，主要处理rpc_loop（1个）；处理打tag，加流表等ovs-agent主要操作上报心跳线程（1个）rpc消息处理线程（多个）：主要处理fdb消息监听子进程输出线程（2个）：判断是否有新增或删除端口,Neutron各模块功能简介ovs-agent,OVS-Agent与其他组件的交互：,Neutron各模块功能简介ovs-agent,HOST,VM,vSwitch,HOST,VM,vSwitch,Vlan100,Vlan100,每一个Network对象对应一个DHCP服务（即一个命名空间）Neutron在Network上创建DHCP端口在命名空间内，使用Dnsmasq监听DHCP端口Neutron配置Dnsmasq配置文件，将mac、IP、路由、网关等信息保存,VM,VM,提供DHCP服务,Neutron使用Dnsmasq软件为虚拟机提供DHCP服务,DHCPServer,namespace,DHCP报文交互,NeutronDHCP服务,Neutron各模块功能简介DHCP-Agent,Neutron-dhcp-agent用于创建和管理虚拟DHCPServer，每个虚拟网络都会有一个DHCPServer，这个DHCPServer为这个虚拟网络里面的虚拟机提供IP。现在FS版本分集中式DHCP和分布式DHCP两种。Neutron-server负责处理外部的RESTAPI请求，将数据刷新到DB中当操作network、subnet、port等对象时，neutron-server会发生rpc消息给dhcp-agent，通知其做进一步处理dhcp-agent接收到rpc消息后，调用driver进行实施，包括创建dhcpport、命名空间、tap设备、路由信息，并启动dnsmasq进程提供ip地址分配服务。,Neutron各模块功能简介DHCP-Agent,Neutron各模块功能简介DHCP-Agent,集中式DHCP与分布式DHCP比较：集中式DHCP中network下的mac,ip信息在几个集中式的dhcp-agent下全量存有；分布式条件下dhcp-agent仅存有network下在当前host的mac,ip对应关系。集中式dhcp的neutronport与tap口一一对应，分布式条件下则为一对多。,分布式DHCP实现背景级联层与被级联层的逻辑与物理分离。网络节点命名空间过多（200即有明显性能问题），且需单独划定单板为网络节点。,Neutron各模块简介Metadata,Metadata：用于获取客户自己定义、我们又无法直接传送给虚拟机的数据，目前定义在DHCP上，每个网络有一个metadata，数据只走二层，一个网络有一个metadata_proxy，一个主机有一个metadata_agent，meta_proxy由dhcp_agent拉起,为租户虚拟机获取自己定义数据提供网络通道。提供两种方式：DHCP和Router。FS5.1只交付DHCP的网络通道。,Metadata实现,Neutron简介Neutron架构和组件NeutronL2资源对象NeutronL2组网及二层功能特性NeutronL2典型操作,plyXXX,plyXXX,NeutronL2组网,Neutron各模块简介-EVS,HOST,VM,vSwitch,VM,HOST,VM,vSwitch,VM,Vlan100,Vlan200,Vlan100,Vlan200,物理网络使用Vlan隔离Neutron通过配置vSwitch，将一个虚拟网络映射到一个Vlan网络虚拟机的报文，经过vSwitch，添加上VlanTag，发送到物理网络或vSwitch内部交换，到达虚拟网络隔离的效果,VM,VM,VM,VM,提供虚拟网络,Neutron将虚拟网络映射到物理网络,Vlan100,Vlan200,NeutronVlan网络隔离,网络QoS特性提供虚拟网卡和系统接口的流量整形和带宽优先级控制保证网络平面和用户的虚拟机网络通信质量的场景,当前版本提供以下能力：虚拟机端口发方向的流量整型（平均速率、突发大小）；虚拟机端口收方向的流量整型（平均速率、突发大小）；API在原生接口上扩展。,端口QoS,Neutron各模块简介Servicechain,当网络流量按照业务逻辑所要求的既定的顺序，经过既定的业务点，这就是服务链（ServiceChain）。ServiceChain技术是一种引导网络流量次序通过多个业务处理节点的转发技术。例如，一个服务链可以定义所有TCP端口为80的流到达目的端之前必须先通过防火墙（FW），再通过入侵检测系统（IPS），最后通过服务器负载均衡（SLB）。为了在网络上实现这个功能需求，就需要创建一个服务路径（ServicePath)。FW1-IPS12-SLB3。,Neutron各模块简介Servicechain,Neutron各模块简介SRIOV,SR-IOV直通网络是和OVS网络独立的通信模型，借助直通网卡虚拟出的PCI设备直接挂载到虚拟机，虚拟机利用这种通信方式可以达到硬件网卡的性能，所以叫硬直通，相对应的也有软直通技术，如netmap。当前FS环境中用到的直通网卡有三种：intel82599，intelI350，mellonax。,Neutron部署模型,Neutron部署模型Controllerneutron-serverDHCPneutron-dhcp-agentneutron-metadata-agentComputeneutron-openvswitch-agentneutron-se