openstack的網(wǎng)絡(luò)服務(wù)組件為neutron，它的設(shè)計(jì)目標(biāo)是實(shí)現(xiàn)“網(wǎng)絡(luò)即服務(wù)”。
設(shè)計(jì)上：遵循基于“軟件定義網(wǎng)絡(luò)（SDN)"的靈活和自動(dòng)化原則
實(shí)現(xiàn)上：充分利用linux中各種網(wǎng)絡(luò)相關(guān)的技術(shù)

為金城江等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計(jì)制作服務(wù)，及金城江網(wǎng)站建設(shè)行業(yè)解決方案。主營業(yè)務(wù)為做網(wǎng)站、網(wǎng)站建設(shè)、金城江網(wǎng)站設(shè)計(jì)，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達(dá)到每一位用戶的要求，就會(huì)得到認(rèn)可，從而選擇與我們長期合作。這樣，我們也可以走得更遠(yuǎn)！

物理網(wǎng)絡(luò)與虛擬化網(wǎng)絡(luò)

Neutron最為核心的工作是對(duì)二層物理網(wǎng)絡(luò)的抽象與管理，物理服務(wù)器虛擬化后，虛擬機(jī)的網(wǎng)絡(luò)功能由虛擬機(jī)網(wǎng)卡（vnic)提供，物理交換機(jī)也被虛擬化為虛擬交換機(jī)(vswitch)，各個(gè)vnic連接再vswitch的端口上，最后這些vswitch通過物理服務(wù)器的物理網(wǎng)卡訪問外部的物理網(wǎng)絡(luò)。

linux網(wǎng)絡(luò)虛擬化實(shí)現(xiàn)技術(shù)

網(wǎng)絡(luò)虛擬化主要由分為三個(gè)部分：
網(wǎng)卡虛擬化：TAP,TUN,VETH
交換機(jī)虛擬化：linux bridge,open vswitch
網(wǎng)絡(luò)隔離：network-namespace

linux網(wǎng)卡虛擬化

TAP設(shè)備：模擬一個(gè)二層的網(wǎng)絡(luò)設(shè)備，可以接收和發(fā)送二層網(wǎng)絡(luò)數(shù)據(jù)包
TUN設(shè)備：模擬一個(gè)三層的網(wǎng)絡(luò)設(shè)備，可以接收和發(fā)送三層網(wǎng)絡(luò)數(shù)據(jù)包
VETH:虛擬ethernet接口，通常以pair的方式出現(xiàn)，一端發(fā)出的網(wǎng)絡(luò)數(shù)據(jù)包會(huì)被另一端接收，可以形成兩個(gè)網(wǎng)橋之間的通道

TAP/TUN提供了一臺(tái)主機(jī)內(nèi)用戶空間的數(shù)據(jù)傳輸機(jī)制，它虛擬機(jī)了一套網(wǎng)絡(luò)接口，這套接口和物理的接口無任何區(qū)別，可以配置IP，可以路由流量，不同的是它流量只在主機(jī)內(nèi)流通

veth-pari，是成對(duì)出現(xiàn)的網(wǎng)絡(luò)設(shè)備，一端連接協(xié)議棧，一端連接彼此，數(shù)據(jù)從一端出，一端進(jìn)。它的特性常常用來連接不同的虛擬網(wǎng)絡(luò)組件，構(gòu)建大規(guī)模的虛擬網(wǎng)絡(luò)拓?fù)?，比如連接linux bridge，ovs等，用于neutron，可以構(gòu)建非常復(fù)雜的網(wǎng)絡(luò)形態(tài)。

linux bridge

linux brigde：工作于二層的網(wǎng)絡(luò)設(shè)備，功能類似物理交換機(jī)
brigde可以綁定linux上其他網(wǎng)絡(luò)設(shè)備，并將這些設(shè)備虛擬化為端口
當(dāng)一個(gè)網(wǎng)絡(luò)設(shè)備被綁定到bridge上，就相當(dāng)于物理交換機(jī)端口插入了一條連接終端的網(wǎng)線。
使用brctl命令配置linux brige

open vswitch

相比linux bridge的小規(guī)模的主機(jī)內(nèi)部通信場景，open vswitch更適合大規(guī)模的多主機(jī)通信場景

network namespace

network namespace能創(chuàng)建多個(gè)隔離的網(wǎng)絡(luò)空間，他們有獨(dú)立的網(wǎng)絡(luò)配置信息，例如網(wǎng)絡(luò)設(shè)備，路由表，iptables等。
不同的網(wǎng)絡(luò)空間中的虛擬機(jī)運(yùn)行的時(shí)候仿佛就在自己的獨(dú)立網(wǎng)絡(luò)中。

network namespace通常于vrf(virtual routing fowarding虛擬路由轉(zhuǎn)發(fā)）一起工作，vrf是一種ip技術(shù)，允許路由表的多個(gè)實(shí)例同時(shí)在同一個(gè)路由器上共存。
使用veth可以連接兩個(gè)不同的網(wǎng)絡(luò)命名空間，使用bridge可以連接多個(gè)不同的網(wǎng)絡(luò)命名空間。

neutron

作為一種虛擬網(wǎng)絡(luò)服務(wù)，為openstack計(jì)算提供網(wǎng)絡(luò)連通和尋址服務(wù)。
neutron對(duì)網(wǎng)絡(luò)進(jìn)行了抽象，如下所示：

neutron支持多種類型的Network，包括local,flat,vlan,vxlan和gre

• local:與其他網(wǎng)絡(luò)和節(jié)點(diǎn)隔離，該網(wǎng)絡(luò)中的虛擬機(jī)只能與位于同一個(gè)節(jié)點(diǎn)上網(wǎng)絡(luò)的虛擬機(jī)通信，local網(wǎng)絡(luò)主要進(jìn)行單機(jī)測試
• flat:無vlan標(biāo)簽的網(wǎng)絡(luò)，該網(wǎng)絡(luò)中虛擬機(jī)能與位于同一網(wǎng)絡(luò)的虛擬機(jī)通信，并可以跨多個(gè)節(jié)點(diǎn)
• vlan:802.1q標(biāo)簽網(wǎng)絡(luò)，就是跟真實(shí)vlan使用一致
• vxlan:基于隧道技術(shù)的overlay網(wǎng)絡(luò)，主要構(gòu)建大二層的數(shù)據(jù)中心網(wǎng)絡(luò)
• gre：使用ip數(shù)據(jù)包的封裝的隧道技術(shù)

subnet

就是子網(wǎng)，每個(gè)子網(wǎng)在neutron中需要定義ip地址和范圍
subnet必須與network關(guān)聯(lián)，可以附加dns,網(wǎng)關(guān)ip，靜態(tài)路由

port

端口
邏輯網(wǎng)絡(luò)交換機(jī)上的虛擬交換端口
虛擬機(jī)通過port附著到network上
port可以分配ip地址和mac地址

router

連接租戶內(nèi)同一個(gè)network或者不同network之間的子網(wǎng)，以及連接內(nèi)外網(wǎng)

fixed ip

固定ip，分配到每個(gè)端口上的ip，類似于物理環(huán)境中配置到網(wǎng)卡上的ip

floating ip

floating ip（浮動(dòng)ip)是external network創(chuàng)建的一種特殊的port，可以將floating ip綁定到任意network中的port上，底層會(huì)進(jìn)行nat轉(zhuǎn)發(fā)，將發(fā)送的浮動(dòng)ip流量轉(zhuǎn)發(fā)到該port上的對(duì)應(yīng)固定ip上，外界可以通過浮動(dòng)ip訪問虛擬機(jī)，虛擬機(jī)也可以通過浮動(dòng)ip訪問外界

physical network

pytsical network，物理網(wǎng)絡(luò)。
在物理網(wǎng)絡(luò)環(huán)境中連接到openstack不同節(jié)點(diǎn)的網(wǎng)絡(luò)，每個(gè)物理網(wǎng)絡(luò)可以支持neutron中的一個(gè)或者多個(gè)虛擬網(wǎng)絡(luò)。

openstack必須通過physical network才能和真實(shí)物理網(wǎng)絡(luò)通信

provider network

由openstack管理員創(chuàng)建，直接對(duì)應(yīng)數(shù)據(jù)中心現(xiàn)有物理網(wǎng)絡(luò)的一個(gè)網(wǎng)段
providr network通常使用vlan或者flat模式，可以在多個(gè)租戶之間共享

self-service network

自助服務(wù)網(wǎng)絡(luò)，也叫租戶網(wǎng)絡(luò)或項(xiàng)目網(wǎng)絡(luò)，它是由openstack租戶創(chuàng)建的，完全虛擬的，只在本網(wǎng)絡(luò)內(nèi)部連通，不能在租戶之間共享
self-servcie network通常使用vxlan或者gre模式，可以通過virtual router的snat與provider network通信

不同的self-service network中的網(wǎng)段可以相同，類似于物理環(huán)境中不同公司的內(nèi)部網(wǎng)絡(luò)
self-service network如果需要和外部網(wǎng)絡(luò)通信，需要通過router，類似于物理環(huán)境中公司上網(wǎng)需要通過路由器或者防火墻。

External network

外部網(wǎng)絡(luò)，也叫公共網(wǎng)絡(luò)
它是一種特殊的provider network，連接的物理網(wǎng)絡(luò)與數(shù)據(jù)中心或者internet相通，網(wǎng)絡(luò)中的port可以訪問外網(wǎng)
一般將租戶的virtual router連接到該網(wǎng)絡(luò)，并創(chuàng)建floating ip綁定虛擬機(jī)，實(shí)現(xiàn)虛擬機(jī)與外網(wǎng)通信

Exernal netwok類似于物理環(huán)境中直接使用公網(wǎng)ip網(wǎng)段，不同的是，openstack中external network對(duì)應(yīng)的物理網(wǎng)絡(luò)不一定能直連internet，有可能只是數(shù)據(jù)中心的一個(gè)內(nèi)部私有網(wǎng)絡(luò)。

securiy group

安全組，他的作用是在neutron port上的一組策略，規(guī)定了虛擬機(jī)入口和出口流量的規(guī)則
安全組基于linux iptables實(shí)現(xiàn)，默認(rèn)拒絕所有流量，只有添加了放行規(guī)則的流量才允許通過
每個(gè)openstack項(xiàng)目中都有一個(gè)default默認(rèn)安全組，默認(rèn)包含如下規(guī)則-拒絕所有入口流量，允許所有出口流量

neutron架構(gòu)與組件

架構(gòu)圖

neutron架構(gòu)原則

• 統(tǒng)一api
• 核心部分最小化
• 可插入式的開放架構(gòu)
• 可擴(kuò)展

message queue:neutron-sever通過消息列隊(duì)與其他的neutron agents進(jìn)行交換消息，但是這個(gè)消息列隊(duì)不會(huì)用于neutron-server與其他openstack組件（如nova)進(jìn)行交換消息
l2 agent:負(fù)責(zé)連接端口（ports)和設(shè)備，使他們處于共享的廣播域，通常運(yùn)行在hypervisor上
l3 agent:負(fù)責(zé)連接tenant網(wǎng)絡(luò)到數(shù)據(jù)中心，或者連接到internet.在真實(shí)的部署環(huán)境中，一般都需要多個(gè)l3 agent同時(shí)運(yùn)行。
dhcp agent:用于自動(dòng)配置虛擬機(jī)網(wǎng)絡(luò)
advance service:提供lb(負(fù)載均衡），防火墻等服務(wù)

架構(gòu)說明

neutron的架構(gòu)是基于插件的，不同的插件提供不同的網(wǎng)絡(luò)服務(wù)，主要包含如下組件

組件-neutron server

neutron server=apis+plugins，通過這種方式，可以自由對(duì)接不同網(wǎng)絡(luò)后端能力

組件-core plugin

core plugin,主要是指ml2（modular layer 2) plugin，是一個(gè)開放架構(gòu)，在plugin下，可以集成各個(gè)廠家，各種后端技術(shù)支持的layer 2網(wǎng)絡(luò)服務(wù)。

ml2 plugin的drivers主要分為以下兩種：
typer driver:定義了網(wǎng)絡(luò)類型，每種網(wǎng)絡(luò)類型對(duì)應(yīng)一個(gè)type driver
mechanism driver:對(duì)接各種二層網(wǎng)絡(luò)技術(shù)和物理交換機(jī)設(shè)備，如ovs,linux bridge等，從typer driver獲取相關(guān)的底層網(wǎng)絡(luò)信息，確保對(duì)應(yīng)的底層技術(shù)能夠根據(jù)這些信息正確配置二層網(wǎng)絡(luò)。

組件-service plugin

serivce plugin用于實(shí)現(xiàn)高階網(wǎng)絡(luò)服務(wù)，如路由，負(fù)載均衡，防火墻和***服務(wù)等

l3 service plugin主要提供路由，浮動(dòng)ip服務(wù)等。

組件-agent

neutron agent向虛擬機(jī)提供二層和三層的網(wǎng)絡(luò)連接，完成虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)之間的轉(zhuǎn)換，提供擴(kuò)展服務(wù)等

neutron網(wǎng)絡(luò)流量分析

neutron支持多種網(wǎng)絡(luò)技術(shù)和類型，可以自由組合各種網(wǎng)絡(luò)模型。
生產(chǎn)中，openstack主要使用如下兩種網(wǎng)絡(luò)模型

• linux bridge+flat/vlan網(wǎng)絡(luò)
  提供簡單網(wǎng)絡(luò)互通，虛擬網(wǎng)絡(luò)、路由、負(fù)載均衡等由物理設(shè)備提供，網(wǎng)絡(luò)簡單，高效，適合中小企業(yè)私有云網(wǎng)絡(luò)環(huán)境
• open vswitch+vxlan網(wǎng)絡(luò)
  提供多租戶，大規(guī)模網(wǎng)絡(luò)隔離能力，適合大規(guī)模私有云和公有云網(wǎng)絡(luò)場景

linux bridge+flat網(wǎng)絡(luò)

flat網(wǎng)絡(luò)類似于使用網(wǎng)線直接連接物理網(wǎng)絡(luò)，openstack不負(fù)責(zé)網(wǎng)絡(luò)隔離
interface 2不帶vlan tag

linux bridge+vlan網(wǎng)絡(luò)

interface 2需要多個(gè)vlan，連接的物理交換機(jī)一般配置trunk模式，并允許這些vlan通過
使用linux bridge+vlan實(shí)現(xiàn) provider network，網(wǎng)絡(luò)流量可以分為如下幾種：
南北向流量：虛擬機(jī)和外部網(wǎng)絡(luò)通信的流量
東西向流量：虛擬機(jī)之間的流量
provider network和外部網(wǎng)絡(luò)之間的流量，由物理網(wǎng)絡(luò)設(shè)備負(fù)責(zé)交換和路由

使用固定ip的虛擬機(jī)南北流量分析

以下涉及計(jì)算節(jié)點(diǎn)1：

• 虛擬機(jī)（instance)數(shù)據(jù)包由虛擬網(wǎng)卡（1）通過veth pair轉(zhuǎn)發(fā)到Provider Bridge上的端口（2）
• 安全組規(guī)則（3）檢查防火墻和記錄連接跟蹤
• vlan子接口（4）將數(shù)據(jù)包轉(zhuǎn)發(fā)到物理網(wǎng)卡（5）
• 物理網(wǎng)卡（5）將數(shù)據(jù)包打上vlan tag101,并將其轉(zhuǎn)發(fā)到物理交換機(jī)端口（6）

以下涉及物理網(wǎng)絡(luò)設(shè)備

• 交換機(jī)從數(shù)據(jù)包刪除vlan tag 101,并將其轉(zhuǎn)發(fā)到路由器（7）
• 路由器將數(shù)據(jù)包從provider network網(wǎng)關(guān)（8）路由到external網(wǎng)絡(luò)網(wǎng)關(guān)（9）,并將數(shù)據(jù)包轉(zhuǎn)發(fā)到external網(wǎng)絡(luò)的交換機(jī)端口（10）
• 交換機(jī)將數(shù)據(jù)包轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)（11）
• 外部網(wǎng)絡(luò)（12）接收數(shù)據(jù)包

同一個(gè)網(wǎng)絡(luò)中虛擬機(jī)東西流量分析

計(jì)算節(jié)點(diǎn)1：

• 虛擬機(jī)1數(shù)據(jù)包由虛擬網(wǎng)卡（1）通過veth pair轉(zhuǎn)發(fā)到provider Bridge上端口（2）
• 安全組（3）檢查防火墻和記錄連接跟蹤
• vlan子接口（4）將數(shù)據(jù)包轉(zhuǎn)發(fā)到物理網(wǎng)卡（5）
• 物理網(wǎng)卡（5）將數(shù)據(jù)包打上vlan tag 101,并將其轉(zhuǎn)發(fā)到物理交換機(jī)端口（6）

物理設(shè)備

• 交換機(jī)將數(shù)據(jù)包轉(zhuǎn)發(fā)給計(jì)算節(jié)點(diǎn)2連接的交換機(jī)端口（7）

計(jì)算節(jié)點(diǎn)2

• 計(jì)算節(jié)點(diǎn)2的物理網(wǎng)卡（8）從數(shù)據(jù)包刪除vlan tag 101，然后轉(zhuǎn)發(fā)給vlan子接口（9）
• 安全組（10）檢查防火墻和記錄連接跟蹤
• 虛擬網(wǎng)卡（11）通過veth pair將數(shù)據(jù)包轉(zhuǎn)發(fā)給虛擬機(jī)2的網(wǎng)卡

不同的網(wǎng)絡(luò)中的虛擬機(jī)東西流量

計(jì)算節(jié)點(diǎn)1

• 虛擬機(jī)1由虛擬機(jī)網(wǎng)卡（1）通過veth pair轉(zhuǎn)發(fā)到provider bridg上的端口（2）
• 安全組（3）檢查防火墻和記錄連接跟蹤
• vlan子接口（4）將數(shù)據(jù)包轉(zhuǎn)發(fā)到物理網(wǎng)卡（5）
• 物理網(wǎng)卡（5）將數(shù)據(jù)包打上vlan tag 101,轉(zhuǎn)發(fā)到物理交換機(jī)端口（6）

物理設(shè)備

• 交換機(jī)刪除數(shù)據(jù)包vlan tag 101,并轉(zhuǎn)發(fā)到路由器（7）
• 路由器將數(shù)據(jù)包從provider network1網(wǎng)關(guān)（8）轉(zhuǎn)發(fā)到provider network2網(wǎng)關(guān)（9）
• 路由器將數(shù)據(jù)包發(fā)送到交換機(jī)端口（10）
• 交換機(jī)將數(shù)據(jù)包打上vlan tag 102,然后轉(zhuǎn)發(fā)給計(jì)算節(jié)點(diǎn)1連接的端口（11）

以下涉及計(jì)算節(jié)點(diǎn)1

• 物理網(wǎng)卡（12）刪除數(shù)據(jù)包vlan tag 102，然后轉(zhuǎn)發(fā)vlan子接口（13）
• 安全組（14）檢查防火墻和記錄連接跟蹤
• 虛擬網(wǎng)卡（15）通過veth pair將數(shù)據(jù)包轉(zhuǎn)發(fā)給虛擬機(jī)2的網(wǎng)卡（16）

open vswitch +vxlan

vxlan是虛擬可擴(kuò)展的局域網(wǎng)，是一種oeverlay技術(shù)，通過三層網(wǎng)絡(luò)來搭建虛擬的二層網(wǎng)絡(luò)。

使用固定ip的虛擬機(jī)南北流量

虛擬機(jī)運(yùn)行在計(jì)算節(jié)點(diǎn)1上，使用self-service network 1,將數(shù)據(jù)包發(fā)送給internet上的主機(jī)
計(jì)算節(jié)點(diǎn)1

• 實(shí)例接口（1）通過veth將數(shù)據(jù)包轉(zhuǎn)發(fā)到安全組網(wǎng)橋?qū)嵗丝冢?）
• 安全組網(wǎng)橋上的安全組（3）處理數(shù)據(jù)包防火墻和連接跟蹤
• 安全組網(wǎng)橋OVS端口（4）通過veth將對(duì)數(shù)據(jù)包轉(zhuǎn)發(fā)到OVS集成網(wǎng)橋(br-int)安全組端口（5）
• OVS集成網(wǎng)橋?yàn)椋╞r-int)數(shù)據(jù)包添加內(nèi)部vlan標(biāo)記
• OVS集成網(wǎng)橋?qū)?nèi)部隧道(br-tun)ID交換內(nèi)部VLAN標(biāo)記
• OVS集成網(wǎng)橋補(bǔ)丁接口（6）將數(shù)據(jù)包轉(zhuǎn)發(fā)給OVS隧道補(bǔ)丁接口（7）
• OVS隧道網(wǎng)橋(8)使用vni 101包裹分組
• 用于覆蓋網(wǎng)絡(luò)的底層物理接口（9）經(jīng)由覆蓋網(wǎng)絡(luò)（10）將分組轉(zhuǎn)發(fā)到網(wǎng)絡(luò)節(jié)點(diǎn)

網(wǎng)絡(luò)節(jié)點(diǎn)

• 底層網(wǎng)絡(luò)物理接口（11）將分組轉(zhuǎn)發(fā)到OVS隧道橋（12）
• OVS隧道網(wǎng)橋解包并為其添加內(nèi)部隧道ID
• OVS隧道網(wǎng)橋?yàn)閮?nèi)部VLAN標(biāo)記交換內(nèi)部隧道ID
• OVS隧道橋補(bǔ)丁端口（13）將分組轉(zhuǎn)發(fā)到OVS集成橋接口補(bǔ)丁端口（14）
• 用于自助服務(wù)網(wǎng)絡(luò)（15）的OVS集成橋接端口移除內(nèi)部VLAN標(biāo)記并將分組轉(zhuǎn)發(fā)到路由器命名空間的自助服務(wù)網(wǎng)絡(luò)接口（16）
• 路由器將數(shù)據(jù)包轉(zhuǎn)發(fā)到提供商網(wǎng)絡(luò)的OVS集成橋接端口（18）
• OVS集成橋?qū)?nèi)部VLAN標(biāo)記添加到數(shù)據(jù)包
• OVS集成橋接int-br-provider補(bǔ)丁端口（19）將數(shù)據(jù)包轉(zhuǎn)發(fā)到OVS提供程序橋接phy-br-provider補(bǔ)丁端口（20）
• OVS提供程序?qū)?nèi)部VLAN標(biāo)記與實(shí)際VLAN標(biāo)記101交換
• OVS橋接提供商網(wǎng)絡(luò)端口（21）將分組轉(zhuǎn)發(fā)到物理網(wǎng)絡(luò)接口（22）
• 物理網(wǎng)絡(luò)接口通過物理網(wǎng)絡(luò)設(shè)備將數(shù)據(jù)包轉(zhuǎn)發(fā)到Internet(23)

從外部訪問帶Floating IP的虛擬機(jī)

(直接放圖吧。。。。。）

同一個(gè)網(wǎng)絡(luò)中虛擬機(jī)東西流量

不同網(wǎng)絡(luò)中虛擬機(jī)東西流量

頭大。。頭大。。
網(wǎng)絡(luò)看來真的是要學(xué)一輩子的

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

文章名稱：openstack學(xué)習(xí)-網(wǎng)絡(luò)管理-創(chuàng)新互聯(lián)
地址分享：http://weahome.cn/article/pgcss.html