云計算技術OpenStack云計算平臺應用OpenStack網絡管理

OpenStack云計算平臺云計算技術項目七

OpenStack網絡管理能力CAPACITY要求了解OpenStack網絡服務基礎知識理解OpenStack網絡資源模型理解OpenStack網絡服務的實現機制掌握OpenStack網絡服務與OVN的集成任務二理解OpenStack網絡資源模型任務一了解OpenStack網絡服務任務三理解OpenStack網絡服務的實現機制任務四掌握OpenStack網絡服務與OVN的集成任務一了解OpenStack網絡服務任務說明01OPTION02OPTION03OPTION了解Neutron項目理解Neutron架構了解Neutron網絡基本結構04OPTION驗證Neutron網絡服務和網絡結構任務一了解OpenStack網絡服務知識引入Neutron項目Neutron為OpenStack虛擬機實例、裸機和容器提供網絡服務。Neutron網絡服務與以下OpenStack組件集成。Keystone身份服務Nova計算服務Horizon儀表板任務一了解OpenStack網絡服務知識引入Neutron架構任務一了解OpenStack網絡服務知識引入Neutron網絡基本結構

外部網絡負責連接OpenStack項目之外的網絡環(huán)境，又稱公共網絡。內部網絡完全由軟件定義，又稱私有網絡，是虛擬機實例所在的網絡。路由器用于將內部網絡與外部網絡連接起來。任務一了解OpenStack網絡服務任務實現驗證網絡結構網絡拓撲任務一了解OpenStack網絡服務任務實現驗證網絡結構網絡拓撲的圖表形式任務一了解OpenStack網絡服務任務實現試用網絡服務的API（1）請求一個admin項目作用域的令牌。（2）導出環(huán)境變量OS_TOKEN，并將其值設置為上述操作獲取的令牌ID。（3）通過NetworkingAPIv2.0獲取當前網絡列表。[root@node-a~]#curl-s-H"X-Auth-Token:$OS_TOKEN"1:9696/v2.0/networks任務二理解OpenStack網絡資源模型任務一了解OpenStack網絡服務任務三理解OpenStack網絡服務的實現機制任務四掌握OpenStack網絡服務與OVN的集成任務二理解OpenStack網絡資源模型任務說明01OPTION02OPTION03OPTION理解Neutron網絡資源模型了解提供者網絡和自服務網絡了解基于命令行界面的網絡管理基本操作04OPTION分析提供者網絡和自服務網絡示例任務二理解OpenStack網絡資源模型知識引入Neutron的網絡網絡在整個OpenStack網絡中位于最高層次，是“根”操作對象。網絡是一個隔離的二層網段，相當于物理網絡中的VLAN，在OpenStack中又被稱為虛擬網絡。按照網絡從屬關系分類提供者網絡自服務網絡按照實現技術分類非隧道網絡隧道網絡任務二理解OpenStack網絡資源模型知識引入Neutron的網絡傳統單層網絡稱為Underlay（承載網絡）疊加其上的邏輯網絡稱為Overlay（覆蓋網絡）Neutron所支持的網絡類型Local——與其他網絡和節(jié)點隔離Flat——一種簡單扁平的網絡拓撲VLAN——支持802.1q協議的虛擬局域網VXLAN ——VLAN的一種擴展GRE——通用路由封裝GENEVE——通用網絡虛擬封裝任務二理解OpenStack網絡資源模型知識引入提供者網絡提供者網絡的特點提供者網絡為虛擬機實例提供二層連接，可選地支持DHCP和元數據服務。提供者網絡連接或映射到數據中心的現有二層物理網絡。提供者網絡只能負責實例的二層連接，缺乏對路由和浮動IP地址這樣的功能支持。提供者網絡以靈活性為代價換取簡單性、高性能和可靠性。提供者網絡的應用場景作為獨立的虛擬網絡為云提供網絡服務。支持自服務網絡的外部通信。任務二理解OpenStack網絡資源模型知識引入提供者網絡創(chuàng)建提供者網絡的要點①提供者網絡默認只能由云管理員創(chuàng)建或更改。②提供者網絡只需對應實際的物理網絡（基礎設施）。③需要指定以下專門的提供者網絡信息。網絡類型（NetworkType）物理網絡（PhysicalNetwork）段ID（SegmentationID）任務二理解OpenStack網絡資源模型知識引入自服務網絡任務二理解OpenStack網絡資源模型知識引入自服務網絡自服務網絡的特點自服務網絡使用像VXLAN或GRE這樣的Overlay協議。IPv4自服務網絡一般使用RFC1918定義的合法私有地址訪問，IPv6自服務網絡總是使用公共IP地址范圍。網絡服務使用L3代理實現路由器功能。自服務網絡通常對虛擬機實例提供DHCP服務和元數據服務。自服務網絡的應用場景。針對大規(guī)模應用，OpenStack部署都會選擇自服務網絡。自服務網絡讓非特權的普通項目自行管理網絡，無須云管理員介入。任務二理解OpenStack網絡資源模型知識引入自服務網絡創(chuàng)建自服務網絡的要點。自服務網絡的底層實現細節(jié)需要云管理員來決定。Neutron的配置文件聲明定義項目網絡細節(jié)（示例）。[ml2]type_drivers=geneve,flattenant_network_types=genevemechanism_drivers=ovnpath_mtu=0extension_drivers=port_security,qos[ml2_type_geneve]max_header_size=38vni_ranges=10:100任務二理解OpenStack網絡資源模型知識引入Neutron的子網Neutron的子網從屬于網絡，是Neutron對三層子網的抽象。虛擬機實例的IP地址從子網中分配。子網作為一個具體網段的IP地址池，同時為接入該子網的虛擬機實例提供IP核心網絡服務，還負責保證三層網絡之間的路由。Neutron的網絡和子網是一對多的關系。Neutron引入了子網池（SubnetPools）資源模型。任務二理解OpenStack網絡資源模型知識引入Neutron的端口端口是網絡接口（網卡）的抽象。Neutron的端口類似于虛擬交換機上的網絡端口，定義了MAC地址和IP地址。Neutron的路由器要綁定端口，以連接到虛擬網絡。端口與子網一樣從屬于網絡，端口與子網之間地位平等，是多對多的關系。任務二理解OpenStack網絡資源模型知識引入Neutron的路由器Neutron路由器用于模擬物理路由器，為用戶提供路由、NAT等服務。Neutron路由器并非完整的虛擬路由器軟件，只是Neutron對Linux服務器路由功能的抽象。云用戶不必關心Neutron路由器的實現細節(jié)，只需要關注其端口、網關和路由表。Neutron路由器具有兩種端口連接提供者網絡的外部網關連接自服務網絡的內部接口Neutron中所有的路由表項均為靜態(tài)路由。任務二理解OpenStack網絡資源模型知識引入網絡管理的命令行基本用法添加網絡的順序刪除網絡的順序創(chuàng)建網絡創(chuàng)建子網創(chuàng)建端口刪除端口刪除子網刪除網絡任務二理解OpenStack網絡資源模型知識引入網絡管理的命令行基本用法（1）網絡創(chuàng)建和管理命令①創(chuàng)建網絡openstacknetworkcreate[--project<項目名或ID>[--project-domain<項目所屬的域的名稱或ID>]][--enable|--disable][--share|--no-share][--description<說明信息>][--mtu<mtu>][--availability-zone-hint<可用域>][--enable-port-security|--disable-port-security][--external[--default|--no-default]|--internal][--provider-network-type<提供者網絡類型>][--provider-physical-network<提供者物理網絡>][--provider-segment<提供者網段>][--qos-policy<用于此網絡的QoS策略名稱或ID>][--transparent-vlan|--no-transparent-vlan][--tag<tag>|--no-tag]<網絡名稱>任務二理解OpenStack網絡資源模型知識引入網絡管理的命令行基本用法（1）網絡創(chuàng)建和管理命令②修改網絡設置openstacknetworkset[選項列表]<網絡名稱或ID>③顯示網絡列表openstacknetworklist[選項列表]④顯示網絡詳細信息openstacknetworkshow<網絡名稱或ID>⑤刪除網絡openstacknetworkdelete[網絡列表]任務二理解OpenStack網絡資源模型知識引入網絡管理的命令行基本用法（2）子網創(chuàng)建和管理命令①創(chuàng)建子網openstacksubnetcreate[--project<項目名或ID>[--project-domain<項目所屬的域的名稱或ID>]][--subnet-pool<子網池>|--use-default-subnet-pool[--prefix-length<前綴長度>]|--use-prefix-delegation][--subnet-range<子網范圍>][--allocation-poolstart=<起始IP地址>,end=<結束IP地址>][--dhcp|--no-dhcp][--dns-nameserver<DNS服務器>][--gateway<網關>][--host-routedestination=<主機路由目的子網>,gateway=<網關IP>][--network-segment<與此子網關聯的網段名稱或ID>]--network<子網所屬的虛擬網絡名稱或ID><子網名稱>②子網管理命令與網絡管理命令類似。任務二理解OpenStack網絡資源模型知識引入網絡管理的命令行基本用法（3）路由器創(chuàng)建和管理命令①創(chuàng)建路由器openstackroutercreate[--project<項目名或ID>[--project-domain<項目所屬的域的名稱或ID>]][--enable|--disable][--availability-zone-hint<可用域>]<路由器名稱>②路由器管理命令與網絡管理命令類似。任務二理解OpenStack網絡資源模型任務實現驗證網絡資源模型提供者網絡與自服務網絡任務二理解OpenStack網絡資源模型任務實現驗證網絡資源模型提供者網絡基本信息任務二理解OpenStack網絡資源模型任務實現驗證網絡資源模型提供者網絡的子網詳細信息任務二理解OpenStack網絡資源模型任務實現驗證網絡資源模型提供者網絡的端口列表任務二理解OpenStack網絡資源模型任務實現驗證網絡資源模型demo項目的網絡列表任務二理解OpenStack網絡資源模型任務實現驗證網絡資源模型自服務網絡的基本信息任務二理解OpenStack網絡資源模型任務實現驗證網絡資源模型自服務網絡的子網詳細信息任務二理解OpenStack網絡資源模型任務實現驗證網絡資源模型自服務網絡的端口列表任務二理解OpenStack網絡資源模型任務實現驗證網絡資源模型路由器接口任務二理解OpenStack網絡資源模型任務實現提供者網絡實例分析提供者網絡實例（總體結構）任務二理解OpenStack網絡資源模型任務實現提供者網絡實例分析提供者網絡實例（連接）任務二理解OpenStack網絡資源模型任務實現自服務網絡實例分析自服務網絡實例（總體結構）任務二理解OpenStack網絡資源模型任務實現自服務網絡實例分析自服務網絡實例（連接）任務二理解OpenStack網絡資源模型任務一了解OpenStack網絡服務任務三理解OpenStack網絡服務的實現機制任務四掌握OpenStack網絡服務與OVN的集成任務三理解OpenStack網絡服務的實現機制任務說明01OPTION02OPTION03OPTION了解Neutron層次結構理解neutron-server架構理解插件與代理架構04OPTION理解ML2插件架構05OPTION了解主要的代理，重點理解OVS代理06OPTION了解網絡服務的物理部署方法任務三理解OpenStack網絡服務的實現機制知識引入Neutron服務與組件的層次結構任務三理解OpenStack網絡服務的實現機制知識引入neutron-serverneutron-server層次結構任務三理解OpenStack網絡服務的實現機制知識引入插件與代理架構任務三理解OpenStack網絡服務的實現機制知識引入ML2插件ML2插件推出前后的二層網絡實現對比任務三理解OpenStack網絡服務的實現機制知識引入ML2插件ML2插件架構任務三理解OpenStack網絡服務的實現機制知識引入L2代理機制驅動L2代理OpenvSwitchOpenvSwitch代理LinuxbridgeLinuxbridge代理SRIOVSRIOVNicSwitch代理MacVTapMacVTap代理L2populationOpenvSwitch代理或Linuxbridge代理任務三理解OpenStack網絡服務的實現機制知識引入OpenvSwitch代理OVS交換機架構任務三理解OpenStack網絡服務的實現機制知識引入OpenvSwitch代理OpenvSwitch的設備類型Tap設備Linux網橋VETH對（VETHPair）OVS網橋任務三理解OpenStack網絡服務的實現機制知識引入OpenvSwitch代理OpenvSwitch的數據包流程Tap接口

（TapInterface）Linux網橋

（LinuxBridge）VETH對OVS集成網橋OVSPATCH端口OVS物理連接網橋物理網絡接口任務三理解OpenStack網絡服務的實現機制知識引入OpenvSwitch代理基于OVS的VLAN網絡任務三理解OpenStack網絡服務的實現機制知識引入L3代理路由（Routing）通過網絡名稱空間支持網絡重疊源地址轉換（SNAT）目的地址轉換（DNAT）與浮動IP地址安全組（SecurityGroup）任務三理解OpenStack網絡服務的實現機制知識引入DHCP代理DHCP代理的任務定期報告DHCP代理的網絡狀態(tài)。啟動dnsmasq進程，檢測qdhcp-xxxx名稱空間中的ns-xxxx端口接收到的DHCPDISCOVER請求。DHCP代理配置選項interface_driver——創(chuàng)建TAP設備的接口驅動。dhcp_driver——DHCP驅動。DHCP組件DHCP代理DHCP驅動DHCP代理

調度器任務三理解OpenStack網絡服務的實現機制知識引入元數據代理元數據代理讓虛擬機實例通過網絡訪問cloud-init元數據。OpenStack中每個虛擬機實例都可以訪問54來獲取元數據。OpenStack通過兩種方式實現代理功能：DHCP代理——適合虛擬機實例沒有浮動IP的情形。路由器——適合虛擬機實例已配置浮動IP的情形。任務三理解OpenStack網絡服務的實現機制任務實現了解OpenStack網絡服務的物理部署控制節(jié)點、網絡節(jié)點與計算節(jié)點——適合規(guī)模較大的OpenStack環(huán)境控制節(jié)點：包括OpenStack服務的控制平面組件及其依賴組件，需要部署neutron-server服務和ML2插件。網絡節(jié)點：包括OpenStack網絡服務的L3組件，以及可選的高可用組件，需要部署L2代理和L3代理及其依賴組件。計算節(jié)點：包括OpenStack計算服務的Hypervisor組件、OpenStack網絡服務的L2交換組件、DHCP組件、元數據組件和高可用組件，需要部署L2代理、DHCP代理和元數據代理。控制節(jié)點和計算節(jié)點將網絡節(jié)點并到了控制節(jié)點上，控制節(jié)點和計算節(jié)點都需要部署L2代理。任務二理解OpenStack網絡資源模型任務一了解OpenStack網絡服務任務三理解OpenStack網絡服務的實現機制任務四掌握OpenStack網絡服務與OVN的集成任務四掌握OpenStack網絡服務與OVN的集成任務說明01OPTION02OPTION03OPTION了解OVN的背景知識理解OVN架構及實現機制了解OpenStackNeutron與OVN的集成04OPTION驗證集成OVN的OpenStack網絡服務的部署和配置任務四掌握OpenStack網絡服務與OVN的集成知識引入什么是OVNOVN是OVS社區(qū)發(fā)起的OVS子項目，是在大規(guī)模環(huán)境下部署的、產品級別的輕量級SDN控制器。OVN擴展了OVS的現有功能，提升了OVS的工作效率和性能。OVN專注于實現云計算管理平臺場景下的SDN控制器，可以和云管理系統集成到一起。OVN通過networking-ovn項目與OpenStack集成。任務四掌握OpenStack網絡服務與OVN的集成知識引入什么是OVNOVN的虛擬網絡功能L2（交換）L3（路由）DHCPDPDK（數據平面開發(fā)套件）Trunk驅動VLAN租戶網絡DNS端口轉發(fā)任務四掌握OpenStack網絡服務與OVN的集成知識引入OVN架構和實現機制OVN架構任務四掌握OpenStack網絡服務與OVN的集成知識引入OVN架構和實現機制CMSOVN/CMS插件OVN北向數據庫ovn-northd進程OVN南向數據庫物理網絡數據邏輯網絡數據綁定表ovn-controller服務ovs-vswitchd服務和ovsdb-server服務任務四掌握OpenStack網絡服務與OVN的集成知識引入OVN架構和實現機制OVN實現兩種角色OVN中心——與CMS集成的API中心節(jié)點。OVN主機——提供虛擬機實例或虛擬網絡的節(jié)點。OVN中數據的讀寫都是通過OVSDB協議實現的，即直接讀寫數據庫。OVN中的配置數據從北向南（自上而下）流動。OVN中的狀態(tài)信息從南向北（自下而上）流動。OVN中的報文處理通過OVSOpenFlow流表實現。任務四掌握OpenStack網絡服務與OVN的集成知識引入OpenStackNeutron與OVN集成任務四掌握OpenStack網絡服務與OVN的集成知識引入OpenStackNeutron與OVN集成OVN給Neutron帶來的改變集成OVN后，Neutron組件數量減少。集成OVN之后，Neutron可省去代理，變成一個API服務器。OVN的配置和狀態(tài)信息基于數據庫進行通信，而不用Neutron的消息隊列或RPC機制。OVN的安全組基于OVS的ACL實現，架構比OVS的更加簡潔，消耗的CPU資源大大減少，性能大幅提升。任務四掌握OpenStack網絡服務與OVN的集成知識引入集成OVN的Neutron網絡服務部署任務四掌握OpenStack網絡服務與OVN的集成任務實現驗證集成OVN的網絡服務部署查看OpenvSwitch服務的當前狀態(tài)，可以發(fā)現該服務處于運行狀態(tài)。[root@node-a~]#systemctlstatusopenvswitch節(jié)點mode-a作為數據庫節(jié)點,查看ovn-northd和ovsdb-server兩個服務當前狀態(tài)。[root@node-a~]#systemctlstatusovn-northd[root@node-a~]#systemctlstatusovsdb-server節(jié)點mode-a作為控制節(jié)點,查看neutron-server服務的當前狀態(tài)。[root@node-a~]#systemctlstatusneutron-server查看Chassis列表，發(fā)現有兩個Chassis，相當于計算節(jié)點。[root@node-a~]#ovn-sbctlshowChassis"85ccd27c-eabc-4275-ab23-12c5dbf000c0"Chassis"c2965e26-df78-4425-a0bf-40b664b63048"任務四掌握OpenStack網絡服務與OVN的集成任務實現驗證集成OVN的網絡服務部署第2個節(jié)點（node-b）僅作為計算節(jié)點。節(jié)點mode-b需要OVN控制器服務和OVN元數據代理服務，查看這兩個服務的當前狀態(tài)。[root@node-b~]#systemctlstatusovn-controller[root@node-b~]#systemctlstatusnetworking-ovn-metadata-agent.service節(jié)點mode-b還需ovs-vswitchd服務和ovsdb-server服務，查看這兩個服務的當前狀態(tài)。[root@node-b~]#systemctlstatusovs-vswitchd[root@node-b~]#systemctlstatusovsdb-server任務四掌握OpenSta