Red Hat Summit第1章 OpenStack ネットワークの概要
Networking サービス (neutron) は、Red Hat OpenStack Services on OpenShift (RHOSO) のソフトウェア定義ネットワーキング (SDN) コンポーネントです。RHOSO Networking サービスは、仮想マシンインスタンスとの間の内部および外部トラフィックを管理し、ルーティング、セグメンテーション、DHCP、メタデータなどのコアサービスを提供します。Networking サービスは、仮想ネットワーク機能とスイッチ、ルーター、ポート、ファイアウォールの管理のための API を提供します。
RHOSO Networking サービス (neutron) を使用すると、サイトのネットワーキング目標を効果的に達成できます。次のタスクを実行できます。
プロジェクト内の VM インスタンスへの接続を提供する。
プロジェクトネットワークは、主に一般的な (非特権) プロジェクトが、管理者を介さずにネットワークを管理できるようにするものです。これらのネットワークは完全に仮想化されており、他のプロジェクトネットワークやインターネットなどの外部ネットワークとやり取りするために仮想ルーターが必要です。プロジェクトネットワークは通常、仮想マシンインスタンスに DHCP およびメタデータサービスを提供します。RHOSO は、フラット、VLAN、VXLAN、GENEVE のプロジェクトネットワークタイプをサポートしています。
詳細は、プロジェクトネットワークの管理 を参照してください。
パブリック IP アドレスまたは Floating IP アドレスを使用して仮想マシンインスタンスへの接続を提供する。
パブリック IP アドレスまたは Floating IP アドレスを使用して、Ingress ネットワークトラフィックを Red Hat OpenStack Services on OpenShift (RHOSO) インスタンスに転送できます。インスタンスに静的 Floating IP アドレスを割り当てることも、外部 IP アドレスのプールから Floating IP アドレスをランダムに割り当てる方法を使用することもできます。RHOSO Networking サービスは、Floating IP アドレスのポート転送も提供します。Networking サービスは、特定のアドレスとポート宛ての着信外部トラフィックを検出すると、そのトラフィックを内部 IP アドレスとポートに転送します。
詳細は、Floating IP アドレスの管理 を参照してください。
VM インスタンス上のトラフィックの受信および送信の制限を設定する。
Quality of Service (QoS) ポリシーを使用して送信および受信トラフィックにレート制限を適用することで、さまざまなインスタンスのサービスレベルを提供できます。個別のポートに QoS ポリシーを適用できます。QoS ポリシーをプロジェクトネットワークに適用することもできます。この場合、特定のポリシーが設定されていないポートは、ネットワークのポリシーを継承します。
詳細は、Quality of Service (QoS) ポリシーを使用したデータトラフィックの管理 を参照してください。
ネットワーク機能仮想化 (NFV) 用に VM インスタンスを最適化する。
インスタンスは、単一の仮想 NIC を使用して、VLAN タグ付けされたトラフィックを送受信できます。このことは、特に VLAN タグ付けされたトラフィックを想定する NFV アプリケーション (VNF) に役立ちます。単一の仮想 NIC で複数の顧客/サービスに対応することができるためです。
VLAN 透過ネットワークでは、仮想マシンインスタンスで VLAN タグ付けを設定します。VLAN タグはネットワークを通じて転送され、同じ VLAN の仮想マシンインスタンスにより消費され、他のインスタンスやデバイスでは無視されます。VLAN トランクは、複数の VLAN を 1 つのトランクポートに結び付けて、VLAN 対応のインスタンスをサポートします。
詳細は、VLAN 対応インスタンス を参照してください。
ポートトラフィックを管理する。
許可するアドレスペアを使用して、特定の MAC アドレス、IP アドレス、またはその両方を識別し、サブネットに関係なくネットワークトラフィックがポートを通過できるようにします。許可するアドレスペアを定義すると、VRRP (仮想ルーター冗長プロトコル) 等のプロトコルを使用できます。このプロトコルでは、2 つの仮想マシンインスタンス間で IP アドレスを移動して、迅速なデータプレーンのフェイルオーバーが可能です。
詳細は、許可するアドレスペアの設定 を参照してください。
インスタンスとの間のネットワークアクセスを制御します。
セキュリティーグループを使用して、インスタンスとの間のネットワークアクセスおよびプロトコルアクセスを制御できます。セキュリティーグループは、たとえばユーザーがインスタンスに対して ICMP ping を実行したり、SSH を実行してインスタンスに接続したりできるようにする、IP フィルタールールのセットです。セキュリティーグループルールは、プロジェクト内のすべてのインスタンスに適用されます。
詳細は、セキュリティーグループの設定 を参照してください。
インスタンスとの間のトラフィックフローイベントのロギング
セキュリティーグループのパケットログを作成して、仮想マシンインスタンスとの間のトラフィックフローを監視できます。各ログは、パケットフローイベントに関するデータストリームを生成し、それを仮想マシンインスタンスが起動された Compute ホスト上の共通ログファイルに追加します。
詳細は、セキュリティーグループアクションのロギング を参照してください。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}