2023學年完整公開課版網(wǎng)絡服務

9.網(wǎng)絡服務2學習目標了解網(wǎng)絡服務的相關概念了解網(wǎng)絡服務基本架構和管理方法掌握如何創(chuàng)建網(wǎng)絡服務39neutron網(wǎng)絡管理任務要求公司要求如下：創(chuàng)建項目研發(fā)部內部使用網(wǎng)絡，名稱為RD-Net,子網(wǎng)名為RD-Subnet網(wǎng)段為/24，網(wǎng)關為。創(chuàng)建業(yè)務部內部使用網(wǎng)絡，名稱為BS-Net,子網(wǎng)名為BS-Subnet網(wǎng)段為/24，網(wǎng)關為。創(chuàng)建工程部內部使用網(wǎng)絡，名稱為IT-Net,子網(wǎng)名為IT-Subnet網(wǎng)段為/24網(wǎng)關為。創(chuàng)建外來使用網(wǎng)絡名稱為Guest-Net,子網(wǎng)名為Guest-Subnet網(wǎng)段為/24，網(wǎng)關為。4neutron網(wǎng)絡管理9Neutron概述Neutron，提供了以下對象抽象:網(wǎng)絡、子網(wǎng)和路由器。每一個都有模仿其物理副本的功能：網(wǎng)絡包含子網(wǎng)，路由器在不同的子網(wǎng)和網(wǎng)絡之間路由通信。Neutron網(wǎng)絡服務是OpenStack管理所有的網(wǎng)絡方面的虛擬網(wǎng)絡基礎設施(VirtualNetworkingInfrastructure，VNI)和訪問層方面的物理網(wǎng)絡基礎設施(PhysicalNetworkingInfrastructure，PNI)5neutron網(wǎng)絡管理9Neutron概述在OpenStack中，計算、存儲和網(wǎng)絡是其核心內容也是核心組件，在具體的功能實現(xiàn)和服務的訪問，以實現(xiàn)提供云計算環(huán)境下的虛擬網(wǎng)絡功能。3.DHCPagent：負責DHCP配置，為虛擬機分配IP2.Neutron-openvswitch-agent：連接虛擬機到網(wǎng)絡端口，運行在每個計算節(jié)點6neutron網(wǎng)絡管理9Neutron架構介紹Neutron組件包含了五個主要子服務，分別為:neutron-server、neutron-openvswitch-agent、dhcp-aget、l3-agent和metadata-agent9.NeutronServer：實現(xiàn)NeutronAPI和API擴展、管理Network、subnet、port4.L3-agent：負責公網(wǎng)浮動ip地址和NAT、負責其他三層特性，例如負載均衡，每個network對應一個L3agent5.Metadata-agent：提供元數(shù)據(jù)服務，Neutron的l3-agent、dhcp-agent、nova、metadataapiserver79neutron網(wǎng)絡管理Neutron架構介紹Neutron架構示意圖8Neutron底層網(wǎng)絡9neutron網(wǎng)絡管理Providernetwork網(wǎng)絡均由管理員創(chuàng)建而對應的為數(shù)據(jù)中心以后的物理網(wǎng)絡中的一個網(wǎng)段，常見的創(chuàng)建為：provider:network_type(網(wǎng)絡類型，包括vxlan,gre,vlan,flat,local)當然這種網(wǎng)絡僅僅只是作為租戶或者租戶之間共享的網(wǎng)絡，并不需要L3agent。9Neutron底層網(wǎng)絡9neutron網(wǎng)絡管理TenantNetwork網(wǎng)絡均是由租戶的普通用戶創(chuàng)建默認情況下租戶是不能創(chuàng)建共享的網(wǎng)絡，所以保證租戶之間的網(wǎng)絡隔離，也不被其他租戶發(fā)現(xiàn)和使用。在tenantnetwork中也有l(wèi)ocal，flat，vlan，gre和vxlan等類型。但是tenant普通用戶創(chuàng)建的Flat和VLan的tenantnetwork實際還是Providernetwork(屬于某一個實際物理網(wǎng)段)，所以真正有產(chǎn)生Tenantnetwork的為GRE和Vxlan，這種和物理網(wǎng)絡沒有任何的聯(lián)系。2.Providernetwork和物理網(wǎng)絡的某段直接映射，比如對應某個VLAN，因此需要預先在物理網(wǎng)絡中做相應的配置。而tenantnetwork是虛擬化的網(wǎng)絡，Neutron需要負責其路由等三層功能。3.對Flat和VLAN類型的網(wǎng)絡來說，只有Providernetwork才有意義。即使是這種類型的tenantnetwork，其本質上也是對應于一個實際的物理段。1.Providernetwork是由admin用戶創(chuàng)建的，而Tenantnetwork是由tenant普通用戶創(chuàng)建的。10Neutron底層網(wǎng)絡9neutron網(wǎng)絡管理Providernetwork與TenantNetwork有以下幾點區(qū)別11Neutron底層網(wǎng)絡9neutron網(wǎng)絡管理5.Providernetwork根據(jù)admin用戶輸入的物理網(wǎng)絡參數(shù)創(chuàng)建；而tenantwork由tenant普通用戶創(chuàng)建，Neutron根據(jù)其網(wǎng)絡配置來選擇具體的配置，包括網(wǎng)絡類型，物理網(wǎng)絡和segmentation_id。6.創(chuàng)建Providernetwork時允許使用不在配置項范圍內的segmentation_id4.對GRE和VXLAN類型的網(wǎng)絡來說，只有tenantnetwork才有意義，因為它本身不依賴于具體的物理網(wǎng)絡，只是需要物理網(wǎng)絡提供IP和組播即可。Neutron網(wǎng)絡模式FlatDHCP模式通常指定一個子網(wǎng)，規(guī)定虛擬機能使用的ip地址范圍，創(chuàng)建實例時從有效ip地址池獲取一個IP，為虛擬機實例分配,自動配置好網(wǎng)橋、通過DNSmasq分配地址。12neutron網(wǎng)絡管理9Neutron網(wǎng)絡模式139neutron網(wǎng)絡管理Neutron網(wǎng)絡模式Gre網(wǎng)絡實現(xiàn)了跨不同網(wǎng)絡實現(xiàn)二次IP通信并，而且通信封裝在IP報文中，實現(xiàn)點對點隧道149neutron網(wǎng)絡管理數(shù)據(jù)包接收網(wǎng)卡模式主要以下幾種：

直接模式：只接收目MAC是網(wǎng)卡自己的數(shù)據(jù)幀。

組播模式：接收所有的組播報文數(shù)據(jù)幀。

廣播模式：接收廣播幀。123

混雜模式：可以接收所有任意目的MAC報文、無論報文的目的和MAC

是否是自身的網(wǎng)卡MAC地址、單播或者非單播。4在Linux網(wǎng)絡系統(tǒng)中部分的網(wǎng)卡都是自帶端口自協(xié)商的功能，網(wǎng)卡的設置不同和報文的目的MAC地址判斷是否接受該報文。通常情況下網(wǎng)卡只接收MAC為網(wǎng)卡自身地址的數(shù)據(jù)幀和廣播的數(shù)據(jù)幀，以及自己所在組播的組播報文。159neutron網(wǎng)絡管理LinuxBridge和VlanLinuxBridge模擬了物理網(wǎng)絡中的網(wǎng)橋的概念，將數(shù)N多個服務器端口加入到網(wǎng)橋中來，網(wǎng)橋端口對端相連的設備通過發(fā)送報文給LinuxBridge，并通過LinuxBridge學習報文SMAC和查找報文的DMAC轉發(fā)到相應的目的地，這點也是和普通的二層交換機非常類似。它既可以是物理網(wǎng)卡設備也可以是虛擬的端口。169neutron網(wǎng)絡管理LinuxBridge和Vlan2.LinuxBridge在Openstack的云計算網(wǎng)路中也是有著非常重要和廣泛的應用，nova-network即使用LinuxBridge和Vlan做租戶隔離，即使后面的Neutron組建在Openvswitch做了Plugin時也大量用到了LinuxBridge和Vlan。1.LinuxBridge本身是沒有vlan功能，需要Vlan模塊協(xié)作實現(xiàn)Vlan過濾的功能，當端口加入到LinuxBridge中，默認的是不屬于任何Vlan或者屬于所有vlan，需要自己配置vlan才能轉發(fā)報文通過；LinuxBridge沒有配置vlan端口就會讓所有的報文通過。179neutron網(wǎng)絡管理OpenvSwitch說明OpenvSwitch是開源Apache2.0的高質量多層次虛擬交換機軟件，在某一個虛擬化的環(huán)境中vSwitch的主要功能：傳遞VM之間的流量、實現(xiàn)VM和外界網(wǎng)絡通信。最初的虛擬機之間的隔離使用了Nova-network，底層采用的是LinuxBridge技術，虛擬機網(wǎng)絡的組建和配置非常不靈活而且配置無法模塊化，擴展非常困難，對于運維來說他也是對錯誤定位也有一定的難度，OpenvSwitch就是為了解決以上為題而出現(xiàn)的，支持QoS、鏡像功能、netflow功能等。OpenvSwitch支持vlan、vxlan、gre等多種隔離方式，同時支持OpenFlow協(xié)議，在后續(xù)的SDN技術可以延續(xù)對其管理。189neutron網(wǎng)絡管理NameSpace方案linux的namespace稱之為container，是一種資源隔離方案，是基于容器的虛擬化技術的基礎，和C++里面的namespace非常類似，所以namespace是屬于linux系統(tǒng)層次資源管理和使用的技術內容，不是屬于網(wǎng)絡部分的概念。199neutron網(wǎng)絡管理NameSpace方案2.部署namespace開銷小，部署迅速，但是這對內核開發(fā)來說是難事Namespace特點3.與其他的虛擬化技術和云計算平臺來比，不能指定任意想要的操作系統(tǒng)并部署想要的操作軟件。1.在不同的namespace中資源是隔離的，信息傳遞只能通過網(wǎng)絡來完成。209neutron網(wǎng)絡管理DNSmasq工具DNSmasq是一個小巧且方便地用于配置DNS和DHCP的工具，適用于小型網(wǎng)絡，它提供了DNS功能和可選擇的DHCP功能。它服務那些只在本地適用的域名，這些域名是不會在全球的DNS服務器中出現(xiàn)的。DHCP服務器和DNS服務器結合，并且允許DHCP分配的地址能在DNS中正常解析，而這些DHCP分配的地址和相關命令可以配置到每臺主機中，也可以配置到一臺核心設備中（比如路由器），DNSmasq支持靜態(tài)和動態(tài)兩種DHCP配置方式。

DNSmasq219neutron網(wǎng)絡管理DNSmasq工具DNSmasq主要作用是為虛擬機提供IP地址的分配，即每一個dnsmasq進程提供一個DHCP服務，同樣的每啟動一個這樣的DHCP進程同樣保存在網(wǎng)絡節(jié)點的/var/lib/neutron/dhcp/目錄內部，而實例對應的MAC和分配的IP則相對應在網(wǎng)絡ID內的hosts文件內。

229neutron網(wǎng)絡管理Neutron網(wǎng)絡拓撲多平面網(wǎng)絡239neutron網(wǎng)絡管理Neutron網(wǎng)絡拓撲混合平面私有網(wǎng)絡249neutron網(wǎng)絡管理Neutron網(wǎng)絡拓撲私有網(wǎng)絡實現(xiàn)運營商路由259neutron網(wǎng)絡管理Neutron網(wǎng)絡拓撲私有網(wǎng)絡實現(xiàn)每個租戶創(chuàng)建自己專屬的網(wǎng)絡區(qū)段269網(wǎng)絡服務neutron網(wǎng)絡管理查看系統(tǒng)擴展列出系統(tǒng)擴展命令如下，執(zhí)行結果如圖：$neutronext-list-calias-cname279網(wǎng)絡服務neutron網(wǎng)絡管理創(chuàng)建網(wǎng)絡生效環(huán)境變量命令如下：#source/etc/keystone/admin-openrc.sh創(chuàng)建網(wǎng)絡的命令如下，執(zhí)行結果如圖：$neutronnet-createext-net--shared--router:external=True創(chuàng)建子網(wǎng)289網(wǎng)絡服務neutron網(wǎng)絡管理$neutronsubnet-createext-net--nameext-subnet--allocation-poolstart=00,end=00--disable-dhcp--gateway54/24299網(wǎng)絡服務neutron網(wǎng)絡管理創(chuàng)建用戶網(wǎng)絡創(chuàng)建用戶網(wǎng)絡的命令如下，執(zhí)行結果如圖：$neutronnet-createdemo-net309網(wǎng)絡服務neutron網(wǎng)絡管理創(chuàng)建用戶子網(wǎng)$neutronsubnet-createdemo-net--namedemo-subnet--gateway/24319網(wǎng)絡服務neutron網(wǎng)絡管理創(chuàng)建路由器$neutronrouter-createrouter1329網(wǎng)絡服務neutron網(wǎng)絡管理查看網(wǎng)絡拓撲圖創(chuàng)建路由器接口的命令如下，執(zhí)行結果如圖：$neutronrouter-interface-addrouter1demo-subnet$neutronrouter-gateway-setrouter1ext-net339網(wǎng)絡服務neutron網(wǎng)絡管理創(chuàng)建路由器接口349neutron網(wǎng)絡管理創(chuàng)建各部門外網(wǎng)網(wǎng)絡服務創(chuàng)建網(wǎng)絡結果:359網(wǎng)絡服務neutron網(wǎng)絡管理創(chuàng)建各部門外網(wǎng)創(chuàng)建網(wǎng)絡結果:369網(wǎng)絡服務neutron網(wǎng)絡管理命令行創(chuàng)建網(wǎng)絡和子網(wǎng)#neutronnet-createBS-Net1Q#neutronsubnet-create--nameBS-Subnet--gateway--allocation-poolstart=,end=54BS-Net/24379網(wǎng)絡服務neutron網(wǎng)絡管理創(chuàng)建業(yè)務部網(wǎng)絡389網(wǎng)絡服務neutron網(wǎng)絡管理創(chuàng)建業(yè)務部網(wǎng)絡399網(wǎng)絡服務neutron網(wǎng)絡管理創(chuàng)建工程部網(wǎng)絡和子網(wǎng)#neutronnet-createIT-Net#neutronsubnet-create--nameIT-Subnet--gateway--allocation-poolstart=,end=54IT-Net/24409網(wǎng)絡服務neutron網(wǎng)絡管理創(chuàng)建工程部網(wǎng)絡419網(wǎng)絡服務neutron網(wǎng)絡管理創(chuàng)建工程部子網(wǎng)429網(wǎng)絡服務neutron網(wǎng)絡管理創(chuàng)建對外訪問網(wǎng)絡#neutronnet-createGuest-Net#neutronsubnet-create--nameGuest-Subnet--gateway--allocation-poolstart=,end=54Guest-Net/24439網(wǎng)絡服務neutron網(wǎng)絡管理創(chuàng)建對外訪問網(wǎng)絡449網(wǎng)絡服務neutron網(wǎng)絡管理創(chuàng)建對外訪問子網(wǎng)459網(wǎng)絡服務neutron網(wǎng)絡管理創(chuàng)建安全組469網(wǎng)絡服務neutron網(wǎng)絡管理安全組管理界面479網(wǎng)絡服務neutron網(wǎng)絡管理安全組規(guī)則管理489網(wǎng)絡服務neutron網(wǎng)絡管理通過CLI界面創(chuàng)建安全組規(guī)則#novasecgroup-createBS_Rule業(yè)務部安全組規(guī)則#nov