ZStack 技術(shù)白皮書 網(wǎng)絡(luò)篇

www.zstack.iowww.zstack.io1本白皮書版權(quán)屬于上海云軸信息科技有限公司，并受法律保護(hù)。轉(zhuǎn)載、摘編或利用其www.zstack.io2目錄目錄 3 3ZSTACKZSTACK--網(wǎng)絡(luò)模型1：L2和L3網(wǎng)絡(luò)討論ZStack如何在Linux操作系統(tǒng)中創(chuàng)造網(wǎng)橋或VLAN設(shè)備。這篇文章的目的是給你云計(jì)算中最令人興奮和最困難的部分應(yīng)該是網(wǎng)絡(luò)模型。云技術(shù)給傳www.zstack.io4注：由于虛擬私有云（VPC）尚未在這個(gè)ZStack版本（0.6）支持，上述網(wǎng)絡(luò)模型不顯示VPC將如何工作。然而，概念是類似的，VPC只是一個(gè)為多個(gè)L3網(wǎng)絡(luò)設(shè)計(jì)的，有編程選路功能的調(diào)度器。我們將在未來的ZStack版本中引入VPC，不久之后。www.zstack.io5ashortnamealongdescriptionuuidofzonetheL2networkbeastringcontaininginformationnecessarytoimplementtheL2nealistofclusteruuidtheL2networkhasatwww.zstack.io6以太網(wǎng)設(shè)備上使用操作系統(tǒng)中相同的VLAN創(chuàng)建7群中的主機(jī)將通過刪除它們的VLAN(10)網(wǎng)橋的方式，從廣播域中被移除。這種創(chuàng)被刪除。www.zstack.io8L2NetworkRealizationExtensionpublicinterfaceL2Networvoidrealize(L2Netwovoidcheck(L2NetworHypervisorTypegetSuppor}KVMRealizeL2NoVlanNetworkBackend和KVMRealizeL2L2NetworkRealizationExtensionPoint，為了在LinuPreVmInstantiateResourcpublicpublicinterfacePreVmInstantvoidpreBeforeInstantiateVmResource(VmI9voidpreInstantiateVmResource(VmvoidpreReleaseVmResource(Vm}www.zstack.ioNetworkServiceDnsBackend,NetworkServiceSnatBackend,EipBackend,PortForwardingBackend,服務(wù)提供模塊”，我們將討論我們引用到的提供模塊——虛擬路由，你可以探索更多ZSTACKZSTACK--虛擬路由網(wǎng)絡(luò)服務(wù)提供模塊www.zstack.io網(wǎng)絡(luò)服務(wù)，供應(yīng)商可以通過創(chuàng)建網(wǎng)絡(luò)服務(wù)提供模塊的方式，選擇性地實(shí)現(xiàn)他們的硬件（VirtualRouterVM）實(shí)現(xiàn)所務(wù)。一種方式是使用中心的、功能強(qiáng)大的網(wǎng)絡(luò)節(jié)點(diǎn)，它們通常是一些物理服型。我們不想強(qiáng)迫用戶購買特定的硬件或要求他們在一組主機(jī)前放置一些特殊的功能www.zstack.io5.不依賴虛擬機(jī)管理程序：解決方案不應(yīng)該依賴于Hypervisor，并且應(yīng)該和主流的基于虛擬路由的NFV解決方案滿足上述所有考慮。我們選擇它應(yīng)用虛擬機(jī)（ApplianceVMs）是一種特別的虛以及特別的幫助管理云的agents。虛擬路由虛擬機(jī)是應(yīng)用虛擬機(jī)www.zstack.io網(wǎng)絡(luò)(10.x.x.x/x)隔離的客戶L3網(wǎng)絡(luò)（/24）時(shí)，網(wǎng)絡(luò)/24可），注意：當(dāng)然，你可以創(chuàng)建一個(gè)只有DHCP和DNS服務(wù)的、隔離的客戶L3網(wǎng)絡(luò)，該網(wǎng)絡(luò)www.zstack.ioguestL3Network::{l3NetworkUuid}，www.zstack.io素。虛擬路由虛擬機(jī)是怎樣滿足以下考慮的它們只是一些類似于用戶虛擬機(jī)的虛擬機(jī)，可以在物理機(jī)上被創(chuàng)建。因?yàn)閣ww.zstack.io它怎么工作并詳細(xì)闡述了它是怎樣滿足了我們關(guān)于網(wǎng)絡(luò)服務(wù)的考慮。借助www.zstack.io如何在私有云語境下定義如何在私有云語境下定義VPC接完成互聯(lián)互通等高級(jí)策略，可滿足豐富的網(wǎng)絡(luò)場景實(shí)VPC經(jīng)過多年的市場教育和實(shí)踐，大部分公有云用戶已經(jīng)接受了公有設(shè)項(xiàng)目，帶領(lǐng)網(wǎng)絡(luò)研發(fā)團(tuán)隊(duì)向OpenStackOpenStack、MidoNet、buildbot等多個(gè)開www.zstack.io網(wǎng)接入、網(wǎng)絡(luò)靈活性等諸多方面有所欠缺，在面向復(fù)雜的私有云、混合云場性和隔離性的基礎(chǔ)上大量考慮了用戶的實(shí)際使用場景、軟硬結(jié)合的使用場景、利舊等，在現(xiàn)有的VPC1.0基礎(chǔ)上帶來了功能豐富虛擬機(jī)的小規(guī)模應(yīng)用到幾萬臺(tái)虛擬機(jī)的大規(guī)模部署，并將完整對接混合下一步首先是在更加開放的網(wǎng)絡(luò)功能上。我們希望能將網(wǎng)絡(luò)功能其次是更加的自動(dòng)化。目前混合云開通、隧道建立不可避免的還存在一些手工程，這是目前用戶需要等待多的步驟，也是最容易出錯(cuò)的步驟，將來我們希望能夠通過引接下來，我們?yōu)槟敿?xì)解讀ZStackVPC2.0設(shè)計(jì)思路與架構(gòu)。當(dāng)用戶使用公有云時(shí)，其第一考慮的往往是安全企業(yè)自己控制下，而且往往在出口部署了高昂的網(wǎng)絡(luò)安全設(shè)備，相比將數(shù)據(jù)走在和別所以如何在保證安全的前提下減少用戶的安全運(yùn)維成本是我們的第一個(gè)考量。網(wǎng)絡(luò)隔離和彈性計(jì)算天然是對立的——隔離的越細(xì)致，快速擴(kuò)容、服務(wù)編排、資源回www.zstack.io但是實(shí)際上，隨著SaaS服務(wù)的興起、企業(yè)互聯(lián)網(wǎng)以及介入企業(yè)內(nèi)網(wǎng)的設(shè)備越來越企業(yè)對外的數(shù)據(jù)和網(wǎng)絡(luò)入口越來越多，比如網(wǎng)站、員工VPN、購買的SaaS外的API服務(wù)、用于所開發(fā)的網(wǎng)站App或手機(jī)App而提供的數(shù)據(jù)通道，甚www.zstack.ioNAS，還有一些業(yè)務(wù)可能需要超高性能，一些業(yè)務(wù)需要對象存儲(chǔ)，還有冷熱分離，大量的日志存儲(chǔ)等等要求。此時(shí)完全自購設(shè)備是很不劃算的，對接公有云組成混合云無疑是哥不再基于IP、MAC而是應(yīng)用、賬戶訪問控制不再是靜態(tài)的，而是動(dòng)態(tài)的業(yè)務(wù)間相互訪問的權(quán)限甚至協(xié)議，但這種先進(jìn)的安全架構(gòu)如何應(yīng)用到企業(yè)呢？私有云Network，前者用于加載到集群、加載VNIRange等等，并且在加載時(shí)可以選擇VTEP的地址段，ZStack就會(huì)自動(dòng)尋找到合適的VTEP地每一個(gè)集群可以使用不同的VTEP地址段，管理員可以任意劃定VNI范圍，www.zstack.io從ZStack2.1開始我們提供路自定義路由這一功能，這一功能咋看之下信網(wǎng)絡(luò)或聯(lián)通網(wǎng)絡(luò)或BGP網(wǎng)絡(luò)等等。而私有云則不然，私有云中內(nèi)網(wǎng)一定是部署絡(luò)而公網(wǎng)卻不一定是Internet，例如下假設(shè)我們有兩個(gè)VPC部署了三個(gè)業(yè)務(wù)，其中應(yīng)用和數(shù)據(jù)庫為了性能考慮放在走自定義路由走到VPC2，這里VPC2運(yùn)用了我們的云路由支持多公網(wǎng)的功這樣可以徹底的保證數(shù)據(jù)庫服務(wù)的地址段不會(huì)泄漏到VPC傳統(tǒng)安全組基于IP、協(xié)議和端口，這樣的安全組除了策略跟如上圖，我們可以針對源安全組來設(shè)置安全組規(guī)則，例如安全組1管理員可以根據(jù)自己的需求和實(shí)際環(huán)境配置做夠安戶與此同時(shí)可以接入一些既有的安全設(shè)備例如WAF、防火墻、流量清洗等等，可對于公有云，一切規(guī)則是由供應(yīng)商決定的，供應(yīng)商往往會(huì)根據(jù)自身的考慮或者技將業(yè)務(wù)虛擬機(jī)也只好遷到云上，隨之而來的還要遷移存儲(chǔ)系統(tǒng)、備份系統(tǒng)甚至一套相配套CloudNative”的理由認(rèn)為客戶的需求不合理。特別是ZStack是一個(gè)產(chǎn)品化的私有云，對于中小型的私有云，一個(gè)常見需求是——公有網(wǎng)絡(luò)的IP地址不夠用，特別是一個(gè)地址但既想要用SNAT開放虛擬機(jī)到公網(wǎng)的訪問，又想用其作為IPSe好的協(xié)調(diào)每個(gè)服務(wù)對IP的需求，將其合理的配置到云路由上。從ZStawww.zstack.io資浪費(fèi)，二來短時(shí)間內(nèi)很多軟件的實(shí)現(xiàn)在性能或功能上都無法與硬件相媲美，例如www.zstack.io為了解決物理設(shè)備的接入，ZStack提供了多公網(wǎng)、自定義路由、多網(wǎng)卡而ZStack中卻有所不同，我們認(rèn)為用戶的網(wǎng)絡(luò)服務(wù)創(chuàng)建是面向業(yè)務(wù)的，也業(yè)務(wù)的（特別是彈性IP、端口轉(zhuǎn)發(fā)等此時(shí)如果我們想將虛擬機(jī)轉(zhuǎn)傳統(tǒng)的網(wǎng)絡(luò)協(xié)議將整個(gè)過程一般都定義為集中式的，例如DHCP服務(wù)器、例如路由網(wǎng)關(guān)，而且集中控制也帶來實(shí)現(xiàn)上的便利性——特別是SNAT、路由表這些服務(wù)我們發(fā)現(xiàn)它其實(shí)可以通過一些手段做分布式的優(yōu)化，而且其重要性也值得我們?nèi)ミ@模有限制甚至很脆弱難以應(yīng)用到生產(chǎn)不同，ZStackVPC2.0在設(shè)計(jì)之初就經(jīng)過了精個(gè)很重要呢？因?yàn)閆Stack設(shè)計(jì)原則里有很重要的一點(diǎn)控面的故障不會(huì)擴(kuò)散到數(shù)據(jù)面上，任何情況下優(yōu)先保證用戶業(yè)務(wù)的不受影息都記錄在了ZStack數(shù)據(jù)庫上，但一來不能保證數(shù)據(jù)庫DVR拋棄了消息隊(duì)列，實(shí)現(xiàn)了一種私有協(xié)議為ZSNP（ZStackNetworkP