红帽全球峰会第 10 章 Red Hat OpenStack Platform 网络服务
OpenStack Networking 服务(neutron)可让最终用户或项目定义和使用网络资源。OpenStack 网络提供了一个面向项目的 API,用于定义云中实例的网络连接和 IP 寻址,除了编排网络配置之外。随着以 API 为中心的网络服务,云架构师和管理员应考虑良好的实践来保护物理和虚拟网络基础架构和服务。
OpenStack 网络使用插件架构设计,通过开源社区或第三方服务提供 API 的可扩展性。当您评估架构设计要求时,务必要确定 OpenStack 网络核心服务中提供了哪些功能、第三方产品提供的其他服务,以及在物理基础架构上实施哪些附件服务。
本节概述了实施 OpenStack 网络时应考虑哪些进程和良好实践。
10.1. 网络架构
OpenStack 网络是一种单机服务,可在多个节点之间部署多个进程。这些流程相互交互,以及其他 OpenStack 服务。OpenStack 网络服务的主要流程是 neutron-server,它是一个 Python 守护进程,用于公开 OpenStack Networking API,并将项目请求传递给一组插件以进行额外的处理。
OpenStack 网络组件有:
-
Neutron 服务器(
neutron-server和neutron the-plugin) - neutron-server 服务在 Controller 节点上运行,为网络 API 及其扩展(或插件)提供服务。它还强制实施每个端口的网络模型和 IP 地址。neutron-server 需要直接访问持久数据库。代理可以通过 neutron-server 间接访问数据库,它们使用 AMQP (高级消息队列协议)进行通信。 - Neutron 数据库 - 数据库是 neutron 信息的集中来源,API 记录数据库中的所有事务。这允许多个 Neutron 服务器共享相同的数据库集群,这样可保持它们同步,并允许网络配置拓扑持久性。
-
插件代理(
neutron-*-agent) - 在每个计算节点和网络节点(与 L3 和 DHCP 一起)上运行,以管理本地虚拟交换机(vswitch)配置。启用的插件决定了哪些代理被启用。这些服务需要消息队列访问,并取决于所使用的插件,访问外部网络控制器或 SDN 实现。有些插件(如 slirp (ODL)和 Open Virtual Network (OVN))不需要计算节点上任何 python 代理,只需要启用的 Neutron 插件进行集成。 -
DHCP 代理(
neutron-dhcp-agent) - 为项目网络提供 DHCP 服务。这个代理在所有插件中都是相同的,负责维护 DHCP 配置。neutron-dhcp-agent 需要消息队列访问。根据插件,可选。 -
元数据代理(
neutron-metadata-agent、neutron-ns-metadata-proxy) - 提供用于应用实例操作系统配置和用户提供的初始脚本('userdata')的元数据服务。该实施需要在 L3 或 DHCP 代理命名空间中运行的neutron-ns-metadata-proxy截获 cloud-init 发送的元数据 API 请求来代理到元数据代理。 -
L3 代理(
neutron-l3-agent) - 为项目网络上的虚拟机的外部网络访问提供 L3/NAT 转发。需要消息队列访问。根据插件,可选。 - 网络供应商服务(SDN server/services) - 为项目网络提供额外的网络服务。这些 SDN 服务可以通过 REST API 等通信频道与 neutron-server、neutron-plugin 和插件代理交互。
下图显示了 OpenStack 网络组件的架构和网络流图:
请注意,当使用分布式虚拟路由(DVR)和第 3 层高可用性(L3HA)时,这种方法会显著变化。这些模式改变了 neutron 的安全环境,因为 L3HA 在路由器之间实现 VRRP。部署需要正确调整大小并强化,以帮助缓解路由器之间的 DoS 攻击,并且路由器之间的本地网络流量必须被视为敏感,以帮助解决 VRRP 欺骗的威胁。DVR 将网络组件(如路由)移到 Compute 节点,同时仍然需要网络节点。因此,计算节点需要访问公共网络并从公共网络访问,增加其暴露,并需要客户需要额外的安全考虑,因为它们需要确保防火墙规则和安全模型支持这种方法。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}