模块5 OpenStack网络服务（Neutron）v1.0

OpenStack网络服务（Neutron）知识目标学习OpenStack网络服务，需要掌握以下相关知识。OpenStack网络服务基本概念Neutron架构、组件、网络资源、网络实现模型和网络流量分析OpenStack网络管理能够用命令创建和管理虚拟网络、子网和路由器能够用WebUI方式创建和管理虚拟网络、子网和路由器能够用命令完成网络连通性测试技能目标目录01Neutron概述02Neutron架构和组件03Neutron网络资源04Neutron网络实现模型05Neutron网络流量分析06OpenStack网络管理情景引入优速网络公司随着业务增长，计划将四个核心部门的云端服务部署在不同网段以提高效率。小王负责基于OpenStack在物理服务器上规划多网段互访。他学习了如何高效管理OpenStack中的网络资源，并发现Neutron是实现网络管理的关键。Neutron提供了包括交换、路由、防火墙和VPN在内的全面网络功能，支持虚拟资源的互联互通。小王将继续深入掌握Neutron，以满足公司对云端服务多网段部署的需求，并有效管理网络资源，助力公司数字化转型。01Neutron概述Neutron概述Neutron网络项目为OpenStack中的其他服务提供网络功能，包括创建和管理网络、交换机、子网、路由器、防火墙以及VPN等。借助Neutron，用户能够在物理服务器内部轻松地规划设计私有网络地址段并保证网络连通性。Neutron网络简化拓扑在不考虑Neutron架构、部署等复杂实现的前提下，Neutron网络拓扑可简化为外部网络（ExternalNetwork）、物理网络（PhysicalNetwork）、OpenStack运营商网络（ProviderNetwork）、虚拟路由器（VirtualRouter）及自助服务网络（Self-serviceNetwork）的连接。简化拓扑中各部分功能

外部网络是OpenStack所在物理网络连接的网络业务提供商（ISP）网络，提供上网能力。物理网络是部署OpenStack的物理服务器所在的网络，包括物理交换机、物理路由器等硬件设备。运营商网络由OpenStack运营商创建，可以在多个租户之间共享，其作用是将虚拟网络映射到数据中心的物理网络，并依赖于物理网络与外部网络连接。虚拟路由器由OpenStack云环境中的用户创建并管理的虚拟路由器，以实现跨网段互访功能，是Neutron提供的三层网络抽象。自助服务网络由OpenStack云环境中的用户自行创建并管理的虚拟网络，包括虚拟交换机、虚拟路由器、虚拟网络接口等。02Neutron架构和组件Neutron架构Neutron项目采用插件架构来提升可扩展性能，若Neutron实现模型采用控制节点、网络节点和计算节点的部署模式，主要包括Neutron服务（NeutronServer）和各种代理（Agent）。Neutron-serverNeutronServer的分层架构主要包含以下4个层次。RESTAPI：面向用户提供API接口，包含CoreAPI和ExtensionAPI。其中CoreAPI负责提供网络、子网和端口这些核心资源的RESTAPI，而ExtensionAPI负责为路由器、负载均衡、防火墙、安全组等扩展资源提供相应的RESTAPI。CommonService：负责校验及认证来自上层的API请求。NeutronCore：负责调用相应的Plug-inAPI处理来自上层的请求。Plug-inAPI：提供调用Plug-in的API接口，包含CorePluginAPI和ExtensionPluginAPI两种类型，分别对应两种Plug-in类型。CorePlug-inCorePlug-in负责提供L2虚拟网络功能，并对网络进行管理及维护。ML2Plugin的Drivers主要有以下两种:TypeDrivers：负责管理网络类型并维护网络状态，包括Local、Flat、GRE、VLAN、VxLAN、Geneve。MechabismDrivers：负责底层网络实现机制，包括LinuxBridge、OpenvSwitch等。ServicePlug-inServicePlug-in负责提供三层及三层以上的网络服务，涵盖了三层服务插件（L3ServicePlug-in）、负载均衡插件（LoadBalancePlug-in）、防火墙插件（FirewallPlug-in）和虚拟私有网络插件（VPNPlug-in）。L3ServicePlugin：负责提供路由及浮动IP服务。LoadBalancePlugin：负责提供负载均衡服务。FirewallPlugin：负责提供防火墙服务。VPNPlugin：负责提供VPN服务。AgentAgent负责接收来自Plugin的请求，并依据请求中所包含的信息，确定需要调用哪个Agent来执行这个请求，从而实现各类网络功能。L2Agent：负责将Port和设备连接，使他们处于同一广播域内。L3Agent：负责处理和实现路由功能，包括对外部网络的路由功能以及NAT功能。DHCPAgent：负责为虚拟机提供DHCP服务，为虚拟机分配IP地址和其他网络配置信息。NeutronMetadataAgent：负责提供元数据服务，主要包括虚拟机自身相关数据。03Neutron网络资源Network与物理网络中Network的概念不同，在OpenStack中的Network是一个二层概念的虚拟网络单元，由OpenStack用户创建和管理，可通过LinuxBridge、OpenvSwitch实现，类似于物理网络中的二层网络。Neutron支持多种类型的Network，常见的有Local、Flat、GRE、VLAN、VxLAN、Geneve。Local网络在Local网络中，虚拟机与其他网络和节点是隔离的，仅能与位于同一节点上同一网络的虚拟机进行通信。Flat网络在Flat网络中，所有虚拟机均处于同一广播域中，该网络没有VLAN功能，不具备二层网络隔离能力。VLAN网络相比于Flat网络，增加了VLAN功能，具备二层网络隔离能力。GRE网络是一种基于隧道技术的Overlay网络，采用MACinGRE封装，通过24位的虚拟子网标识符VSID号区分不同租户的虚拟网络。VxLAN网络VxLAN网络是一种基于隧道技术的Overlay网络，采用MACinUDP封装，通过24位的VXLAN网络标识（VXLANNetworkIdentifier，VNI）区分不同租户的虚拟网络。GENEVE网络GENEVE网络是一种基于隧道技术的Overlay网络，它与VXLAN相似，同样采用MACinUDP封装方式，并通过24位的VNI号区分不同租户的虚拟网络。然而，GENEVE在技术上进行了改进，增加了版本号用于标识技术版本的演进，同时引入了可变长字段，增强了网络的可扩展性。子网Subnet在物理网络中，子网指的是某个具体的IP网段，它用来标识一组IP地址范围。而在OpenStack云计算环境中，Subnet的概念略有不同。在OpenStack中，Subnet不仅代表某个网段，还包含了其他相关的配置信息，如网关、DHCP服务、动态地址池资源以及DNS信息等。这些配置共同为虚拟机提供所需的网络配置信息。需要注意的是，在OpenStack中，Subnet必须与Network关联。端口Port是设备与虚拟网络的连接点，这里的设备可以是虚拟机、路由器和DHCP服务等，它描述了该虚拟网口使用的介质访问控制（MediaAccessControl，MAC）和IP地址信息。一个Network中可能会包含一个或多个Port信息。虚拟路由器Router虚拟路由器Router是OpenStack环境中虚拟出来的路由器，用于在虚拟网络中实现物理网络环境中路由器的功能，并通过Namespace实现网络隔离。该虚拟路由器在不同Self-serviceNetwork之间以及Self-serviceNetwork和ProviderNetwork之间提供路由功能，确保数据包在不同网段间正确传输。此外，虚拟路由器还具备源NAT和目的NAT功能，从而允许OpenStack内的实例访问外部网络，同时也支持外部网络对OpenStack内的实例进行访问。04Neutron网络实现模型Neutron网络实现参考模型Neutron网络实现参考模型包含控制节点（ControllerNode）、网络节点（NetworkNode）和计算节点（ComputeNode），在这三个物理节点上部署不同的网络服务，共同实现网络管理功能。其中，管理网络负责不同节点之间控制信息的传递。数据网络负责用户跨节点转发的数据流量，即Self-serviceNetwork。外部网络负责接收处理OpenStack平台与外部网络的通信流量。网络节点的具体实现模型采用OpenvSwitch作为二层虚拟网络设备，从网络视角观察，网络节点可划分为4个层次：用户网络层、本地网络层、网络服务层和外部网络层。网络节点分层功能承担与其他节点互联互通职责，并负责接入本地网络。使用br-eth1/br-tun与计算节点连接，并通过patch类型接口与本地网络层中的br-int连接。用户网络层负责为计算节点的虚拟机提供网络服务，其中包括典型的地址分配服务DHCP与实现跨网段转发的设备虚拟路由器。网络服务层负责各种网络服务的接入。此层使用br-int连接用户网络层以及网络服务层。本地网络层负责提供外部网络访问能力，通过br-ex连接至PhysicalNetwork。外部网络层计算节点的具体实现模型计算节点相较于网络节点在实现上较为简单，并未包含网络服务层所提供的服务与功能，从网络层面观察，计算节点可划分为用户网络层、本地网络层和虚拟机VM层。计算节点分层功能承担与其他节点互联互通职责，并负责接入本地网络。此层使用br-eth1/br-tun与网络节点连接，并通过patch类型接口与本地网络层中的br-int连接。用户网络层负责虚拟机的接入。此层使用br-int连接用户网络层以及虚拟机，其中qvo-qvb是虚拟以太接口对（veth-pair），qbr是Linux交换机（LinuxBridge），vnet是tap设备。本地网络层此层是虚拟机所在的层。VM层05Neutron网络流量分析基于LinuxBridge的网络实现模型（1/2）计算节点上创建了两台虚拟机VM1和VM2。假设它们处于同一网段，则会共用一台LinuxBridge，在这种情况下，互访流量直接经由计算节点的LinuxBridge处理并转发；图中展示的是它们处于不同网段的场景，此时VM1访问VM2的流量处理流程如下：处于计算节点上的VM1发出的数据帧到达计算节点的LinuxBridge1的tap接口。LinuxBridge1根据网桥转发数据库将流量打上VXLAN-X标签并从物理接口发出。网络节点的物理网卡收到数据帧后，根据网桥转发数据库将数据帧发给LinuxBridge3。LinuxBridge3接收数据帧后剥离VXLAN-X标签，并将数据帧从qr#IJ接口发给Router。基于LinuxBridge的网络实现模型（2/2）Router查找路由表后将数据从qr#LK接口发送给LinuxBridge4。LinuxBridge4给数据帧打上VXLAN-Y标签后从网络节点的物理网卡发出。计算节点的物理网卡收到数据帧后，根据网桥转发数据库将数据帧发给LinuxBridge2。LinuxBridge2接收数据帧后剥离VXLAN-Y，并将数据帧发给VM2。基于OpenvSwitch的网络实现模型（1/2）在计算节点上，存在两台虚拟机VM1和VM2。对于处于同一网段的情况，其处理方式与VLAN网络结构相同；若它们位于不同网段，那么在br-int上的qvo接口上，对应的VLAN标签将有所差异。设与VM1相连的VLANID为tag1，与VM2相连的VLANID为tag2。以下是VM1访问VM2的流量处理流程：处于计算节点上的VM1发出的数据帧到达br-int的qvo接口（qvo和qvb是接口对）打上tag1。计算节点的br-int将数据帧过path-tun接口发给OVS交换机br-tun的patch-int接口。计算节点的br-tun借助OpenFlow流表将tag1转换成VXLAN-ID。计算节点的br-tun将携带VXLAN-ID的数据帧发给控制和网络节点的交换机br-tun。基于OpenvSwitch的网络实现模型（2/2）控制和网络节点的br-tun交换机接收数据帧后借助OpenFlow流表将VXLAN-ID转换成VLANID号。控制和网络节点的br-tun交换机通过path-int接口将数据帧发给br-int交换机的path-tun接口。控制和网络节点的br-int去掉VLANID并将数据帧发给Router的qr接口。在路由器查找到路由表后，通过qr接口将数据帧重新发送至控制和网络节点的br-int，br-int接收后会在其中添加VLANID。06OpenStack网络管理OpenStack命令行CLI命令作用命令作用openstackimageaddproject将镜像与项目关联openstacksubnetshow查看子网信息openstackimagecreate创建镜像openstackrouteraddsubnet为路由器添加子网openstackimagedelete删除指定的镜像openstackroutercreate创建路由器openstackimagelist查看镜像列表openstackrouterdelete删除路由器openstackimageremoveproject解除镜像与项目的关联关系openstackrouterlist查看路由器列表openstacknetworksubnetlist查看子网列表openstackrouterremovesubnet删除路由器中的子网openstacksubnetcreate创建子网openstackrouterset设置路由器openstacksubnetdelete删除子网openstackroutershow查看路由器信息openstacksubnetlist查看子网列表openstackportlist查看接口列表使用命令行CLI方式管理网络时，需要在控制节点上执行OpenStack相关命令以实现网络管理的操作。OpenStackWeb