模塊5 OpenStack網(wǎng)絡(luò)服務(wù)（Neutron）v1.0

OpenStack網(wǎng)絡(luò)服務(wù)（Neutron）知識目標(biāo)學(xué)習(xí)OpenStack網(wǎng)絡(luò)服務(wù)，需要掌握以下相關(guān)知識。OpenStack網(wǎng)絡(luò)服務(wù)基本概念Neutron架構(gòu)、組件、網(wǎng)絡(luò)資源、網(wǎng)絡(luò)實現(xiàn)模型和網(wǎng)絡(luò)流量分析OpenStack網(wǎng)絡(luò)管理能夠用命令創(chuàng)建和管理虛擬網(wǎng)絡(luò)、子網(wǎng)和路由器能夠用WebUI方式創(chuàng)建和管理虛擬網(wǎng)絡(luò)、子網(wǎng)和路由器能夠用命令完成網(wǎng)絡(luò)連通性測試技能目標(biāo)目錄01Neutron概述02Neutron架構(gòu)和組件03Neutron網(wǎng)絡(luò)資源04Neutron網(wǎng)絡(luò)實現(xiàn)模型05Neutron網(wǎng)絡(luò)流量分析06OpenStack網(wǎng)絡(luò)管理情景引入優(yōu)速網(wǎng)絡(luò)公司隨著業(yè)務(wù)增長，計劃將四個核心部門的云端服務(wù)部署在不同網(wǎng)段以提高效率。小王負(fù)責(zé)基于OpenStack在物理服務(wù)器上規(guī)劃多網(wǎng)段互訪。他學(xué)習(xí)了如何高效管理OpenStack中的網(wǎng)絡(luò)資源，并發(fā)現(xiàn)Neutron是實現(xiàn)網(wǎng)絡(luò)管理的關(guān)鍵。Neutron提供了包括交換、路由、防火墻和VPN在內(nèi)的全面網(wǎng)絡(luò)功能，支持虛擬資源的互聯(lián)互通。小王將繼續(xù)深入掌握Neutron，以滿足公司對云端服務(wù)多網(wǎng)段部署的需求，并有效管理網(wǎng)絡(luò)資源，助力公司數(shù)字化轉(zhuǎn)型。01Neutron概述Neutron概述Neutron網(wǎng)絡(luò)項目為OpenStack中的其他服務(wù)提供網(wǎng)絡(luò)功能，包括創(chuàng)建和管理網(wǎng)絡(luò)、交換機、子網(wǎng)、路由器、防火墻以及VPN等。借助Neutron，用戶能夠在物理服務(wù)器內(nèi)部輕松地規(guī)劃設(shè)計私有網(wǎng)絡(luò)地址段并保證網(wǎng)絡(luò)連通性。Neutron網(wǎng)絡(luò)簡化拓?fù)湓诓豢紤]Neutron架構(gòu)、部署等復(fù)雜實現(xiàn)的前提下，Neutron網(wǎng)絡(luò)拓?fù)淇珊喕癁橥獠烤W(wǎng)絡(luò)（ExternalNetwork）、物理網(wǎng)絡(luò)（PhysicalNetwork）、OpenStack運營商網(wǎng)絡(luò)（ProviderNetwork）、虛擬路由器（VirtualRouter）及自助服務(wù)網(wǎng)絡(luò)（Self-serviceNetwork）的連接。簡化拓?fù)渲懈鞑糠止δ?/p>

外部網(wǎng)絡(luò)是OpenStack所在物理網(wǎng)絡(luò)連接的網(wǎng)絡(luò)業(yè)務(wù)提供商（ISP）網(wǎng)絡(luò)，提供上網(wǎng)能力。物理網(wǎng)絡(luò)是部署OpenStack的物理服務(wù)器所在的網(wǎng)絡(luò)，包括物理交換機、物理路由器等硬件設(shè)備。運營商網(wǎng)絡(luò)由OpenStack運營商創(chuàng)建，可以在多個租戶之間共享，其作用是將虛擬網(wǎng)絡(luò)映射到數(shù)據(jù)中心的物理網(wǎng)絡(luò)，并依賴于物理網(wǎng)絡(luò)與外部網(wǎng)絡(luò)連接。虛擬路由器由OpenStack云環(huán)境中的用戶創(chuàng)建并管理的虛擬路由器，以實現(xiàn)跨網(wǎng)段互訪功能，是Neutron提供的三層網(wǎng)絡(luò)抽象。自助服務(wù)網(wǎng)絡(luò)由OpenStack云環(huán)境中的用戶自行創(chuàng)建并管理的虛擬網(wǎng)絡(luò)，包括虛擬交換機、虛擬路由器、虛擬網(wǎng)絡(luò)接口等。02Neutron架構(gòu)和組件Neutron架構(gòu)Neutron項目采用插件架構(gòu)來提升可擴展性能，若Neutron實現(xiàn)模型采用控制節(jié)點、網(wǎng)絡(luò)節(jié)點和計算節(jié)點的部署模式，主要包括Neutron服務(wù)（NeutronServer）和各種代理（Agent）。Neutron-serverNeutronServer的分層架構(gòu)主要包含以下4個層次。RESTAPI：面向用戶提供API接口，包含CoreAPI和ExtensionAPI。其中CoreAPI負(fù)責(zé)提供網(wǎng)絡(luò)、子網(wǎng)和端口這些核心資源的RESTAPI，而ExtensionAPI負(fù)責(zé)為路由器、負(fù)載均衡、防火墻、安全組等擴展資源提供相應(yīng)的RESTAPI。CommonService：負(fù)責(zé)校驗及認(rèn)證來自上層的API請求。NeutronCore：負(fù)責(zé)調(diào)用相應(yīng)的Plug-inAPI處理來自上層的請求。Plug-inAPI：提供調(diào)用Plug-in的API接口，包含CorePluginAPI和ExtensionPluginAPI兩種類型，分別對應(yīng)兩種Plug-in類型。CorePlug-inCorePlug-in負(fù)責(zé)提供L2虛擬網(wǎng)絡(luò)功能，并對網(wǎng)絡(luò)進(jìn)行管理及維護(hù)。ML2Plugin的Drivers主要有以下兩種:TypeDrivers：負(fù)責(zé)管理網(wǎng)絡(luò)類型并維護(hù)網(wǎng)絡(luò)狀態(tài)，包括Local、Flat、GRE、VLAN、VxLAN、Geneve。MechabismDrivers：負(fù)責(zé)底層網(wǎng)絡(luò)實現(xiàn)機制，包括LinuxBridge、OpenvSwitch等。ServicePlug-inServicePlug-in負(fù)責(zé)提供三層及三層以上的網(wǎng)絡(luò)服務(wù)，涵蓋了三層服務(wù)插件（L3ServicePlug-in）、負(fù)載均衡插件（LoadBalancePlug-in）、防火墻插件（FirewallPlug-in）和虛擬私有網(wǎng)絡(luò)插件（VPNPlug-in）。L3ServicePlugin：負(fù)責(zé)提供路由及浮動IP服務(wù)。LoadBalancePlugin：負(fù)責(zé)提供負(fù)載均衡服務(wù)。FirewallPlugin：負(fù)責(zé)提供防火墻服務(wù)。VPNPlugin：負(fù)責(zé)提供VPN服務(wù)。AgentAgent負(fù)責(zé)接收來自Plugin的請求，并依據(jù)請求中所包含的信息，確定需要調(diào)用哪個Agent來執(zhí)行這個請求，從而實現(xiàn)各類網(wǎng)絡(luò)功能。L2Agent：負(fù)責(zé)將Port和設(shè)備連接，使他們處于同一廣播域內(nèi)。L3Agent：負(fù)責(zé)處理和實現(xiàn)路由功能，包括對外部網(wǎng)絡(luò)的路由功能以及NAT功能。DHCPAgent：負(fù)責(zé)為虛擬機提供DHCP服務(wù)，為虛擬機分配IP地址和其他網(wǎng)絡(luò)配置信息。NeutronMetadataAgent：負(fù)責(zé)提供元數(shù)據(jù)服務(wù)，主要包括虛擬機自身相關(guān)數(shù)據(jù)。03Neutron網(wǎng)絡(luò)資源Network與物理網(wǎng)絡(luò)中Network的概念不同，在OpenStack中的Network是一個二層概念的虛擬網(wǎng)絡(luò)單元，由OpenStack用戶創(chuàng)建和管理，可通過LinuxBridge、OpenvSwitch實現(xiàn)，類似于物理網(wǎng)絡(luò)中的二層網(wǎng)絡(luò)。Neutron支持多種類型的Network，常見的有Local、Flat、GRE、VLAN、VxLAN、Geneve。Local網(wǎng)絡(luò)在Local網(wǎng)絡(luò)中，虛擬機與其他網(wǎng)絡(luò)和節(jié)點是隔離的，僅能與位于同一節(jié)點上同一網(wǎng)絡(luò)的虛擬機進(jìn)行通信。Flat網(wǎng)絡(luò)在Flat網(wǎng)絡(luò)中，所有虛擬機均處于同一廣播域中，該網(wǎng)絡(luò)沒有VLAN功能，不具備二層網(wǎng)絡(luò)隔離能力。VLAN網(wǎng)絡(luò)相比于Flat網(wǎng)絡(luò)，增加了VLAN功能，具備二層網(wǎng)絡(luò)隔離能力。GRE網(wǎng)絡(luò)是一種基于隧道技術(shù)的Overlay網(wǎng)絡(luò)，采用MACinGRE封裝，通過24位的虛擬子網(wǎng)標(biāo)識符VSID號區(qū)分不同租戶的虛擬網(wǎng)絡(luò)。VxLAN網(wǎng)絡(luò)VxLAN網(wǎng)絡(luò)是一種基于隧道技術(shù)的Overlay網(wǎng)絡(luò)，采用MACinUDP封裝，通過24位的VXLAN網(wǎng)絡(luò)標(biāo)識（VXLANNetworkIdentifier，VNI）區(qū)分不同租戶的虛擬網(wǎng)絡(luò)。GENEVE網(wǎng)絡(luò)GENEVE網(wǎng)絡(luò)是一種基于隧道技術(shù)的Overlay網(wǎng)絡(luò)，它與VXLAN相似，同樣采用MACinUDP封裝方式，并通過24位的VNI號區(qū)分不同租戶的虛擬網(wǎng)絡(luò)。然而，GENEVE在技術(shù)上進(jìn)行了改進(jìn)，增加了版本號用于標(biāo)識技術(shù)版本的演進(jìn)，同時引入了可變長字段，增強了網(wǎng)絡(luò)的可擴展性。子網(wǎng)Subnet在物理網(wǎng)絡(luò)中，子網(wǎng)指的是某個具體的IP網(wǎng)段，它用來標(biāo)識一組IP地址范圍。而在OpenStack云計算環(huán)境中，Subnet的概念略有不同。在OpenStack中，Subnet不僅代表某個網(wǎng)段，還包含了其他相關(guān)的配置信息，如網(wǎng)關(guān)、DHCP服務(wù)、動態(tài)地址池資源以及DNS信息等。這些配置共同為虛擬機提供所需的網(wǎng)絡(luò)配置信息。需要注意的是，在OpenStack中，Subnet必須與Network關(guān)聯(lián)。端口Port是設(shè)備與虛擬網(wǎng)絡(luò)的連接點，這里的設(shè)備可以是虛擬機、路由器和DHCP服務(wù)等，它描述了該虛擬網(wǎng)口使用的介質(zhì)訪問控制（MediaAccessControl，MAC）和IP地址信息。一個Network中可能會包含一個或多個Port信息。虛擬路由器Router虛擬路由器Router是OpenStack環(huán)境中虛擬出來的路由器，用于在虛擬網(wǎng)絡(luò)中實現(xiàn)物理網(wǎng)絡(luò)環(huán)境中路由器的功能，并通過Namespace實現(xiàn)網(wǎng)絡(luò)隔離。該虛擬路由器在不同Self-serviceNetwork之間以及Self-serviceNetwork和ProviderNetwork之間提供路由功能，確保數(shù)據(jù)包在不同網(wǎng)段間正確傳輸。此外，虛擬路由器還具備源NAT和目的NAT功能，從而允許OpenStack內(nèi)的實例訪問外部網(wǎng)絡(luò)，同時也支持外部網(wǎng)絡(luò)對OpenStack內(nèi)的實例進(jìn)行訪問。04Neutron網(wǎng)絡(luò)實現(xiàn)模型Neutron網(wǎng)絡(luò)實現(xiàn)參考模型Neutron網(wǎng)絡(luò)實現(xiàn)參考模型包含控制節(jié)點（ControllerNode）、網(wǎng)絡(luò)節(jié)點（NetworkNode）和計算節(jié)點（ComputeNode），在這三個物理節(jié)點上部署不同的網(wǎng)絡(luò)服務(wù)，共同實現(xiàn)網(wǎng)絡(luò)管理功能。其中，管理網(wǎng)絡(luò)負(fù)責(zé)不同節(jié)點之間控制信息的傳遞。數(shù)據(jù)網(wǎng)絡(luò)負(fù)責(zé)用戶跨節(jié)點轉(zhuǎn)發(fā)的數(shù)據(jù)流量，即Self-serviceNetwork。外部網(wǎng)絡(luò)負(fù)責(zé)接收處理OpenStack平臺與外部網(wǎng)絡(luò)的通信流量。網(wǎng)絡(luò)節(jié)點的具體實現(xiàn)模型采用OpenvSwitch作為二層虛擬網(wǎng)絡(luò)設(shè)備，從網(wǎng)絡(luò)視角觀察，網(wǎng)絡(luò)節(jié)點可劃分為4個層次：用戶網(wǎng)絡(luò)層、本地網(wǎng)絡(luò)層、網(wǎng)絡(luò)服務(wù)層和外部網(wǎng)絡(luò)層。網(wǎng)絡(luò)節(jié)點分層功能承擔(dān)與其他節(jié)點互聯(lián)互通職責(zé)，并負(fù)責(zé)接入本地網(wǎng)絡(luò)。使用br-eth1/br-tun與計算節(jié)點連接，并通過patch類型接口與本地網(wǎng)絡(luò)層中的br-int連接。用戶網(wǎng)絡(luò)層負(fù)責(zé)為計算節(jié)點的虛擬機提供網(wǎng)絡(luò)服務(wù)，其中包括典型的地址分配服務(wù)DHCP與實現(xiàn)跨網(wǎng)段轉(zhuǎn)發(fā)的設(shè)備虛擬路由器。網(wǎng)絡(luò)服務(wù)層負(fù)責(zé)各種網(wǎng)絡(luò)服務(wù)的接入。此層使用br-int連接用戶網(wǎng)絡(luò)層以及網(wǎng)絡(luò)服務(wù)層。本地網(wǎng)絡(luò)層負(fù)責(zé)提供外部網(wǎng)絡(luò)訪問能力，通過br-ex連接至PhysicalNetwork。外部網(wǎng)絡(luò)層計算節(jié)點的具體實現(xiàn)模型計算節(jié)點相較于網(wǎng)絡(luò)節(jié)點在實現(xiàn)上較為簡單，并未包含網(wǎng)絡(luò)服務(wù)層所提供的服務(wù)與功能，從網(wǎng)絡(luò)層面觀察，計算節(jié)點可劃分為用戶網(wǎng)絡(luò)層、本地網(wǎng)絡(luò)層和虛擬機VM層。計算節(jié)點分層功能承擔(dān)與其他節(jié)點互聯(lián)互通職責(zé)，并負(fù)責(zé)接入本地網(wǎng)絡(luò)。此層使用br-eth1/br-tun與網(wǎng)絡(luò)節(jié)點連接，并通過patch類型接口與本地網(wǎng)絡(luò)層中的br-int連接。用戶網(wǎng)絡(luò)層負(fù)責(zé)虛擬機的接入。此層使用br-int連接用戶網(wǎng)絡(luò)層以及虛擬機，其中qvo-qvb是虛擬以太接口對（veth-pair），qbr是Linux交換機（LinuxBridge），vnet是tap設(shè)備。本地網(wǎng)絡(luò)層此層是虛擬機所在的層。VM層05Neutron網(wǎng)絡(luò)流量分析基于LinuxBridge的網(wǎng)絡(luò)實現(xiàn)模型（1/2）計算節(jié)點上創(chuàng)建了兩臺虛擬機VM1和VM2。假設(shè)它們處于同一網(wǎng)段，則會共用一臺LinuxBridge，在這種情況下，互訪流量直接經(jīng)由計算節(jié)點的LinuxBridge處理并轉(zhuǎn)發(fā)；圖中展示的是它們處于不同網(wǎng)段的場景，此時VM1訪問VM2的流量處理流程如下：處于計算節(jié)點上的VM1發(fā)出的數(shù)據(jù)幀到達(dá)計算節(jié)點的LinuxBridge1的tap接口。LinuxBridge1根據(jù)網(wǎng)橋轉(zhuǎn)發(fā)數(shù)據(jù)庫將流量打上VXLAN-X標(biāo)簽并從物理接口發(fā)出。網(wǎng)絡(luò)節(jié)點的物理網(wǎng)卡收到數(shù)據(jù)幀后，根據(jù)網(wǎng)橋轉(zhuǎn)發(fā)數(shù)據(jù)庫將數(shù)據(jù)幀發(fā)給LinuxBridge3。LinuxBridge3接收數(shù)據(jù)幀后剝離VXLAN-X標(biāo)簽，并將數(shù)據(jù)幀從qr#IJ接口發(fā)給Router。基于LinuxBridge的網(wǎng)絡(luò)實現(xiàn)模型（2/2）Router查找路由表后將數(shù)據(jù)從qr#LK接口發(fā)送給LinuxBridge4。LinuxBridge4給數(shù)據(jù)幀打上VXLAN-Y標(biāo)簽后從網(wǎng)絡(luò)節(jié)點的物理網(wǎng)卡發(fā)出。計算節(jié)點的物理網(wǎng)卡收到數(shù)據(jù)幀后，根據(jù)網(wǎng)橋轉(zhuǎn)發(fā)數(shù)據(jù)庫將數(shù)據(jù)幀發(fā)給LinuxBridge2。LinuxBridge2接收數(shù)據(jù)幀后剝離VXLAN-Y，并將數(shù)據(jù)幀發(fā)給VM2?；贠penvSwitch的網(wǎng)絡(luò)實現(xiàn)模型（1/2）在計算節(jié)點上，存在兩臺虛擬機VM1和VM2。對于處于同一網(wǎng)段的情況，其處理方式與VLAN網(wǎng)絡(luò)結(jié)構(gòu)相同；若它們位于不同網(wǎng)段，那么在br-int上的qvo接口上，對應(yīng)的VLAN標(biāo)簽將有所差異。設(shè)與VM1相連的VLANID為tag1，與VM2相連的VLANID為tag2。以下是VM1訪問VM2的流量處理流程：處于計算節(jié)點上的VM1發(fā)出的數(shù)據(jù)幀到達(dá)br-int的qvo接口（qvo和qvb是接口對）打上tag1。計算節(jié)點的br-int將數(shù)據(jù)幀過path-tun接口發(fā)給OVS交換機br-tun的patch-int接口。計算節(jié)點的br-tun借助OpenFlow流表將tag1轉(zhuǎn)換成VXLAN-ID。計算節(jié)點的br-tun將攜帶VXLAN-ID的數(shù)據(jù)幀發(fā)給控制和網(wǎng)絡(luò)節(jié)點的交換機br-tun?；贠penvSwitch的網(wǎng)絡(luò)實現(xiàn)模型（2/2）控制和網(wǎng)絡(luò)節(jié)點的br-tun交換機接收數(shù)據(jù)幀后借助OpenFlow流表將VXLAN-ID轉(zhuǎn)換成VLANID號。控制和網(wǎng)絡(luò)節(jié)點的br-tun交換機通過path-int接口將數(shù)據(jù)幀發(fā)給br-int交換機的path-tun接口?？刂坪途W(wǎng)絡(luò)節(jié)點的br-int去掉VLANID并將數(shù)據(jù)幀發(fā)給Router的qr接口。在路由器查找到路由表后，通過qr接口將數(shù)據(jù)幀重新發(fā)送至控制和網(wǎng)絡(luò)節(jié)點的br-int，br-int接收后會在其中添加VLANID。06OpenStack網(wǎng)絡(luò)管理OpenStack命令行CLI命令作用命令作用openstackimageaddproject將鏡像與項目關(guān)聯(lián)openstacksubnetshow查看子網(wǎng)信息openstackimagecreate創(chuàng)建鏡像openstackrouteraddsubnet為路由器添加子網(wǎng)openstackimagedelete刪除指定的鏡像openstackroutercreate創(chuàng)建路由器openstackimagelist查看鏡像列表openstackrouterdelete刪除路由器openstackimageremoveproject解除鏡像與項目的關(guān)聯(lián)關(guān)系openstackrouterlist查看路由器列表openstacknetworksubnetlist查看子網(wǎng)列表openstackrouterremovesubnet刪除路由器中的子網(wǎng)openstacksubnetcreate創(chuàng)建子網(wǎng)openstackrouterset設(shè)置路由器openstacksubnetdelete刪除子網(wǎng)openstackroutershow查看路由器信息openstacksubnetlist查看子網(wǎng)列表openstackportlist查看接口列表使用命令行CLI方式管理網(wǎng)絡(luò)時，需要在控制節(jié)點上執(zhí)行OpenStack相關(guān)命令以實現(xiàn)網(wǎng)絡(luò)管理的操作。OpenStackWeb