红帽全球峰会网络指南
前言
您无法在实例创建过程中将基于角色的访问控制 (RBAC) 共享安全组直接应用到实例。要将 RBAC 共享安全组应用到实例,您必须首先创建端口,将共享安全组应用到该端口,然后将该端口分配给实例。请参阅 添加安全组到端口。
第 1 章 OpenStack 网络简介
Networking 服务 (neutron) 是 Red Hat OpenStack Platform (RHOSP) 的软件定义型网络 (SDN) 组件。RHOSP 网络服务管理进出虚拟机实例的内部和外部流量,并提供路由、分段、DHCP 和元数据等核心服务。它为虚拟网络功能提供 API,并管理交换机、路由器、端口和防火墙。
1.1. 管理 RHOSP 网络
使用 Red Hat OpenStack Platform (RHOSP) 网络服务(neutron),您可以有效地满足您的站点的网络目标。您可以:
提供与项目中的虚拟机实例的连接。
项目网络的主要目的是,让常规(非特权)项目在不涉及管理员的情况下管理网络。这些网络完全是虚拟的,需要虚拟路由器与其它项目网络和互联网等外部网络交互。项目网络通常也向实例提供 DHCP 和元数据服务。RHOSP 支持以下项目网络类型:扁平(flat)、VLAN、VXLAN、GRE 和 GENEVE。
如需更多信息,请参阅管理项目网络。
将虚拟机实例连接到项目外的网络。
提供商网络提供像项目网络一样的网络连接。但是,只有管理(特权)用户可以管理这些网络,因为它们与物理网络基础架构接口。RHOSP 支持以下提供商网络类型: flat 和 VLAN。
在项目网络内,您可以使用浮动 IP 地址池或单个浮动 IP 地址将入口流量定向到虚拟机实例。使用网桥映射,您可以将物理网络名称(接口标签)与使用 OVS 或 OVN 创建的网桥关联,以允许提供商网络流量访问物理网络。
如需更多信息,请参阅 将虚拟机实例连接到物理网络。
创建为边缘计算优化的网络。
Operator 可以创建通常在边缘部署中使用的路由供应商网络,它依赖于多个第 2 层网络段,而不是仅有一个网段的传统网络。
路由提供商网络为最终用户简化云,因为它们只看到一个网络。对于云操作员,路由供应商网络提供可扩展和容错能力。例如,如果发生主要错误,则只有一个网段会受到影响,而不是整个网络失败。
如需更多信息,请参阅部署路由的供应商网络。
使您的网络资源高度可用。
您可以使用可用区(AZ)和虚拟路由器冗余协议(VRRP)来保持网络资源高度可用。Operator 对附加到不同 AZ 上不同电源源的网络节点进行分组。接下来,操作员将重要的服务(如 DHCP、L3、FW 等)调度到单独的 AZ 上。
RHOSP 使用 VRRP 使项目路由器和浮动 IP 地址高度可用。集中式路由分布式虚拟路由(DVR)的替代路由设计基于 VRRP,可在每个 Compute 节点上部署 L3 代理和调度路由器。
如需更多信息,请参阅使用可用区使网络资源高度可用。
在端口级别保护您的网络。
安全组为虚拟防火墙规则提供容器,该规则控制入口(绑定到实例)和出口(从实例出站)网络流量。安全组使用默认拒绝策略,仅包含允许特定流量的规则。每个端口可以以增加的方式引用一个或多个安全组。防火墙驱动程序将安全组规则转换为底层数据包过滤技术(如 iptables)的配置。
如需更多信息,请参阅配置共享安全组。
管理端口流量。
通过允许的地址对,您可以识别特定的 MAC 地址、IP 地址或两者,以允许网络流量通过端口(无论子网是什么)。当您定义允许的地址对时,您可以使用 VRRP (虚拟路由器冗余协议)等协议,该协议在两个虚拟机实例之间浮点数,以启用快速数据平面故障转移。
如需更多信息,请参阅配置允许的地址对。
优化大型覆盖网络。
通过使用 L2 Population 驱动程序,您可以启用广播、多播和单播流量,以便在大型覆盖网络上横向扩展。
如需更多信息,请参阅配置 L2 填充驱动程序。
为虚拟机实例上的流量设置入口和出口限制。
您可以使用服务质量(QoS)策略将速率限制应用到出口和入口流量,为实例提供不同的服务级别。您可以将 QoS 策略应用到单个端口。您还可以将 QoS 策略应用到项目网络,其中未附加特定策略的端口会继承策略。
如需更多信息,请参阅 配置服务质量(QoS)策略。
管理 RHOSP 项目可以创建的网络资源量。
通过网络服务配额选项,您可以设置可以创建的网络资源项目数量的限值。这包括端口、子网、网络等资源。
如需更多信息,请参阅管理项目配额。
优化网络功能虚拟化(NFV)的虚拟机实例。
实例可以通过单个虚拟 NIC 发送和接收 VLAN 标记的流量。这对希望 VLAN 标记流量的 NFV 应用(VNF)特别有用,允许单个虚拟 NIC 为多个客户或服务提供服务。
在 VLAN 透明网络中,您可以在虚拟机实例中设置 VLAN 标记。VLAN 标签通过网络传输,并由同一 VLAN 上的虚拟机实例使用,并被其他实例和设备忽略。VLAN 中继通过将 VLAN 合并到单一中继端口来支持 VLAN 感知实例。
如需更多信息,请参阅 VLAN 感知实例。
控制哪些项目可以将实例附加到共享网络。
在 RHOSP 网络服务中使用基于角色的访问控制(RBAC)策略,云管理员可以删除某些项目创建网络的能力,并允许它们连接到与其项目对应的预先存在的网络。
如需更多信息,请参阅配置 RBAC 策略。
1.2. 网络服务组件
Red Hat OpenStack Platform (RHOSP) 网络服务(neutron) 包括以下组件:
API Server
RHOSP 网络 API 包括对第 2 层网络和 IP 地址管理(IPAM)的支持,以及支持第 2 层网络和网关到外部网络之间的路由的第 3 层路由器构造的扩展。RHOSP 网络包括增加的插件列表,支持与各种商业和开源网络技术(包括路由器、交换机、虚拟交换机和软件定义网络(SDN)控制器)互操作性。
模块层 2 (ML2)插件和代理
ML2 插件和拔出端口,创建网络或子网,并提供 IP 地址。
消息传递队列
接受并路由代理之间的 RPC 请求,以完成 API 操作。ML2 插件用于在每个虚拟机监控程序上运行的 neutron 服务器和 neutron 代理(Open vSwitch 和 Linux 网桥的 ML2 机制驱动程序)之间的 RPC 消息队列。
1.3. 模块层 2 (ML2)网络
模块层 2 (ML2)是 Red Hat OpenStack Platform (RHOSP)网络核心插件。ML2 模块设计通过机制驱动程序实现混合网络技术的并发操作。Open Virtual Network (OVN)是 ML2 使用的默认机制驱动程序。
ML2 框架区分可以配置的两种驱动程序:
- 类型驱动程序
定义从技术上实现 RHOSP 网络的方式。
每种可用的网络类型由 ML2 类型驱动程序管理,它们维护任何特定于类型的网络状态。验证提供商网络的类型特定信息,类型驱动程序负责项目网络中空闲片段的分配。类型驱动程序的示例为 GENEVE、GRE 和 VXLAN 等。
- 机制驱动程序
定义访问特定类型的 RHOSP 网络的机制。
机制驱动程序获取类型驱动程序创建的信息,并将其应用到已启用的网络机制。机制驱动程序的示例是 Open Virtual Networking (OVN)和 Open vSwitch (OVS)。
机制驱动程序可以使用 L2 代理,并使用 RPC 直接与外部设备或控制器交互。您可以同时使用多种机制和类型驱动程序来访问同一虚拟网络的不同端口。
1.4. ML2 网络类型
您可以同时运行多个网络片段。ML2 支持多个网络段的使用和互连。您不必将端口绑定到网络段,因为 ML2 将端口绑定到连接。根据机制驱动程序,ML2 支持以下网络段类型:
- Flat
- VLAN
- GENEVE 隧道
- VXLAN 和 GRE 隧道
- Flat
- 所有虚拟机(VM)实例驻留在同一网络中,也可以与主机共享。没有 VLAN 标记或其他网络分离。
- VLAN
使用 RHOSP 网络用户可以使用与物理网络中存在的 VLAN ID (802.1Q 标记)对应的 VLAN 创建多个供应商或项目网络。这允许实例在环境中相互通信。它们还可以与同一第 2 层 VLAN 上的专用服务器、防火墙、负载平衡器和其他网络基础架构通信。
您可以使用 VLAN 为在同一交换机上运行的计算机分段网络流量。这意味着,您可以通过将端口配置为不同网络 members,来以逻辑方式划分您的交换机,这些端口基本上是 mini-LAN,您可以出于安全原因使用它们来分隔流量。
例如,如果您的交换机总共有 24 个端口,您可以将端口 1-6 分配给 VLAN200,端口 7-18 分配给 VLAN201。因此,连接到 VLAN200 的计算机与 VLAN201 上的计算机完全独立;它们无法直接通信,如果它们希望通过路由器,则流量必须通过路由器,就像它们是两个独立的物理交换机一样。防火墙也可用于管理哪些 VLAN 可以相互通信。
- GENEVE 隧道
- GENEVE 识别并适应网络虚拟化中不同设备的变化能力和需求。它为隧道提供了一个框架,而不是对整个系统进行规范。Geneve 定义在封装期间添加的元数据的内容,并尝试适应各种虚拟化场景。它使用 UDP 作为其传输协议,并且使用可扩展的选项标头动态大小。Geneve 支持单播、多播和广播。GENEVE 类型驱动程序与 ML2/OVN 机制驱动程序兼容。
- VXLAN 和 GRE 隧道
- VXLAN 和 GRE 使用网络覆盖来支持实例之间的私有通信。需要 RHOSP 网络路由器,以便流量遍历 GRE 或 VXLAN 项目网络的外部。还需要路由器直接连接到外部网络(包括互联网);路由器提供使用浮动 IP 地址从外部网络直接连接实例的功能。VXLAN 和 GRE 类型驱动程序与 ML2/OVS 机制驱动程序兼容。
1.5. 模块层 2 (ML2) 机制驱动程序
模块层 2 (ML2) 插件作为通用代码库的机制实施。这种方法可以重复使用代码,并消除了代码维护和测试方面的复杂性。
您可以使用编排服务(heat)参数 NeutronMechanismDrivers 启用机制驱动程序。以下是 heat 自定义环境文件中的示例:
parameter_defaults: ... NeutronMechanismDrivers: ansible,ovn,baremetal ...
parameter_defaults:
...
NeutronMechanismDrivers: ansible,ovn,baremetal
...
指定机制驱动程序的顺序很重要。在前面的示例中,如果要使用 baremetal 机制驱动程序绑定端口,则必须在 ansible 前指定 baremetal。否则,ansible 驱动程序将绑定端口,因为它前面是 NeutronMechanismDrivers 的值列表中的 baremetal。
红帽选择 ML2/OVN 作为从 RHOSP 15 开始的所有新部署的默认机制驱动程序,因为它现在为大多数客户提供了与 ML2/OVS 机制驱动程序直接的好处。当我们继续增强和改进 ML2/OVN 功能集时,每个版本都会有多大优势。
通过 RHOSP 17 发行版本,支持已弃用的 ML2/OVS 机制驱动程序。在此期间,ML2/OVS 驱动程序保持维护模式,接收程序错误修复和正常支持,大多数新的功能开发都会在 ML2/OVN 机制驱动程序中发生。
在 RHOSP 18.0 中,红帽计划完全删除 ML2/OVS 机制驱动程序并停止支持它。
如果您的现有 Red Hat OpenStack Platform (RHOSP) 部署使用 ML2/OVS 机制驱动程序,请开始评估迁移到机制驱动程序的计划。RHOSP 16.2 支持迁移,并将在 RHOSP 17.1 中被支持。RHOSP 17.0 中包括了迁移工具用于测试目的。
红帽需要在尝试从 ML2/OVS 迁移到 ML2/OVN 前提交主动支持问题单。红帽不支持在没有主动支持问题单的情况下进行迁移。请参见 如何在 Red Hat OpenStack Platform 上为计划的活动创建一个主动问题单?
1.6. Open vSwitch
Open vSwitch (OVS) 是一种软件定义网络 (SDN) 虚拟交换机,类似于 Linux 软件网桥。OVS 向虚拟网络提供交换服务,支持行业标准 OpenFlow 和 sFlow。OVS 也可以使用第 2 层功能(如 STP、LACP 和 802.1Q VLAN 标记)与物理交换机集成。Open vSwitch 版本 1.11.0-1.el6 或更高版本也支持 VXLAN 和 GRE 的隧道。
为了降低 OVS 中网络循环的风险,只有一个接口或一个绑定只能是给定网桥的成员。如果需要多个绑定或接口,可以配置多个网桥。
1.7. Open Virtual Network (OVN)
开放虚拟网络(OVN)是支持虚拟机和容器环境中的逻辑网络抽象的系统。OVN 称为 Open vSwitch 的开源虚拟网络,OVN 会补充 OVS 的现有功能,为逻辑网络抽象(如逻辑 L2 和 L3 覆盖、安全组和服务)添加原生支持,如 DHCP。
物理网络由物理线、交换机和路由器组成。虚拟网络将物理网络扩展到 hypervisor 或容器平台,将虚拟机或容器桥接到物理网络中。OVN 逻辑网络是在软件中实施的网络,它通过隧道或其他封装从物理网络中推断出来。这允许逻辑网络中使用的 IP 和其他地址空间与物理网络中使用的 IP 重叠,而不会导致冲突。可以安排逻辑网络拓扑,而不考虑其上运行的物理网络的拓扑结构。因此,作为逻辑网络一部分的虚拟机可以在不中断网络的情况下从一个物理机迁移到另一个物理机器。
封装层可防止连接到逻辑网络的虚拟机和容器与物理网络上的节点通信。对于集群虚拟机和容器,这可能可以接受或是理想的选择,但在很多情况下,虚拟机和容器确实需要与物理网络连接。OVN 提供多种形式的网关来实现这一目的。OVN 部署由多个组件组成:
- 云管理系统 (CMS)
- 通过管理 OVN 逻辑网络元素并将 OVN 逻辑网络基础架构连接到物理网络元素,将 OVN 整合到物理网络元素中。一些示例包括 OpenStack 和 OpenShift。
- OVN 数据库
- 存储代表 OVN 逻辑和物理网络的数据。
- hypervisor
- 运行 Open vSwitch,并将 OVN 逻辑网络转换为物理或虚拟机上的 OpenFlow。
- 网关
- 通过转发隧道和物理网络基础架构之间的数据包,将基于隧道的 OVN 逻辑网络扩展到物理网络中。
1.8. 模块层 2 (ML2) 类型和机制驱动程序兼容性
在规划 Red Hat OpenStack Platform (RHOSP) 数据网络时,请参考下表,以确定每个 Modular Layer 2 (ML2) 机制驱动程序支持的网络类型。
| 机制驱动程序 | 支持这些类型驱动程序 | ||||
| Flat | GRE | VLAN | VXLAN | GENEVE | |
| Open Virtual Network (OVN) | 是 | 否 | 是 | 是 [1] | 是 |
| Open vSwitch (OVS) | 是 | 是 | 是 | 是 | 否 |
[1] ML2/OVN VXLAN 支持为每个网络限制为 4096 个网络和 4096 端口。另外,依赖入口端口的 ACL 不适用于 ML2/OVN 和 VXLAN,因为入口端口没有被传递。
1.9. RHOSP 网络服务的扩展驱动程序
Red Hat OpenStack Platform (RHOSP) 网络服务(neutron) 可扩展。扩展可以实现两种目的:它们允许在不需要版本更改的情况下引入 API 中的新功能,以及允许引入特定于供应商的小体功能。应用可以通过在 /extensions URI 上执行 GET 以编程方式列出可用的扩展。请注意,这是版本化的请求,即,一个 API 版本中提供的扩展可能在另一个版本中不可用。
ML2 插件还支持扩展驱动程序,允许其他可插拔驱动程序为网络对象扩展 ML2 插件中实施的核心资源。扩展驱动程序示例包括对 QoS、端口安全性等的支持。
第 2 章 使用 ML2/OVN
Red Hat OpenStack Platform (RHOSP) 网络由网络服务(neutron) 管理。网络服务的核心是 Modular Layer 2 (ML2) 插件,RHOSP ML2 插件的默认机制驱动程序是 Open Virtual Networking (OVN) 机制驱动程序。
早期 RHOSP 版本默认使用 Open vSwitch (OVS) 机制驱动程序,但红帽建议大多数部署推荐 ML2/OVN 机制驱动程序。
2.1. RHOSP OVN 架构中的组件列表
RHOSP OVN 架构将 OVS Modular Layer 2 (ML2) 机制驱动程序替换为 OVN ML2 机制驱动程序,以支持网络 API。OVN 为 Red Hat OpenStack 平台提供网络服务。
如图 2.1 所示,OVN 架构由以下组件和服务组成:
- ML2 插件带有 OVN 机制驱动程序
- ML2 插件将 OpenStack 特定的网络配置转换为平台中立的 OVN 逻辑网络配置。它通常在 Controller 节点上运行。
- OVN 北向 (NB) 数据库(
ovn-nb) -
此数据库存储 OVN ML2 插件的逻辑 OVN 网络配置。它通常在 Controller 节点上运行,并监听 TCP 端口
6641。 - OVN 北向服务 (
ovn-northd) - 此服务将 OVN NB 数据库中的逻辑网络配置转换为逻辑数据路径流,并在 OVN 南向数据库中填充它们。它通常在 Controller 节点上运行。
- OVN 南向 (SB) 数据库 (
ovn-sb) -
此数据库存储转换的逻辑数据路径流。它通常在 Controller 节点上运行,并监听 TCP 端口
6642。 - OVN 控制器 (
ovn-controller) -
此控制器连接到 OVN SB 数据库,并充当 Open vSwitch 控制器来控制和监控网络流量。它在定义了
OS::Tripleo::Services::OVNController的所有 Compute 和 gateway 节点上运行。 - OVN 元数据代理 (
ovn-metadata-agent) -
此代理创建用于管理 OVS 接口的
haproxy实例、网络命名空间和 HAProxy 进程,用于代理元数据 API 请求。代理在定义了OS::TripleO::Services::OVNMetadataAgent的所有 Compute 和 gateway 节点上运行。 - OVS 数据库服务器 (OVSDB)
-
托管 OVN 北向和南向数据库。另外,与
ovs-vswitchd交互,以托管 OVS 数据库conf.db。
NB 数据库的 schema 文件位于 /usr/share/ovn/ovn-nb.ovsschema 中,SB 数据库架构文件位于 /usr/share/ovn/ovn-sb.ovsschema。
图 2.1. RHOSP 环境中的 OVN 架构
2.2. ML2/OVN 数据库
在 Red Hat OpenStack Platform ML2/OVN 部署中,网络配置信息通过共享分布式数据库在进程之间传递。您可以检查这些数据库,以验证网络的状态并确定问题。
- OVN 北向数据库
北向数据库 (
OVN_Northbound) 充当 OVN 和云管理系统(如 Red Hat OpenStack Platform (RHOSP))之间的接口。RHOSP 生成北向数据库的内容。北向数据库包含网络的当前状态,以逻辑端口、逻辑交换机、逻辑路由器等形式显示。每个 RHOSP Networking 服务 (neutron) 对象都在北向数据库的表中表示。
- OVN 南向数据库
-
南向数据库 (
OVN_Southbound) 包含 OVN 系统的逻辑和物理配置状态,以支持虚拟网络抽象。ovn-controller使用此数据库中的信息来配置 OVS,以满足网络服务 (neutron) 要求。
2.3. Compute 节点上的 ovn-controller 服务
ovn-controller 服务在每个 Compute 节点上运行,并连接到 OVN 南向 (SB) 数据库服务器以检索逻辑流。ovn-controller 将这些逻辑流转换为物理 OpenFlow 流,并将流添加到 OVS 网桥 (br-int)。
要与 ovs-vswitchd 进行通信并安装 OpenFlow 流,ovn-controller 使用在 ovn-controller 启动时使用的 UNIX socket 路径(如 unix:/var/run/openvswitch/db.sock),连接到活跃的 ovsdb-server 服务器(托管 conf.db)之一。
ovn-controller 服务需要 Open_vSwitch 表格的 external_ids 列中的某些键值对; puppet-ovn 使用 puppet-vswitch 来填充这些字段。以下示例显示了 puppet-vswitch 在 external_ids 列中配置的键值对:
hostname=<HOST NAME> ovn-encap-ip=<IP OF THE NODE> ovn-encap-type=geneve ovn-remote=tcp:OVN_DBS_VIP:6642
hostname=<HOST NAME>
ovn-encap-ip=<IP OF THE NODE>
ovn-encap-type=geneve
ovn-remote=tcp:OVN_DBS_VIP:66422.4. Compute 节点上的 OVN 元数据代理
OVN 元数据代理在 tripleo-heat-templates/deployment/ovn/ovn-metadata-container-puppet.yaml 文件中配置,并通过 OS::TripleO::Services::OVNMetadataAgent 包含在默认 Compute 角色中。因此,带有默认参数的 OVN 元数据代理作为 OVN 部署的一部分部署。
OpenStack 客户机实例访问位于本地链接 IP 地址:169.254.169.254 的联网元数据服务。neutron-ovn-metadata-agent 可以访问存在计算元数据 API 的主机网络。每个 HAProxy 都位于一个不能到达适当主机网络的网络命名空间中。HAProxy 将所需的标头添加到元数据 API 请求,然后通过 UNIX 域套接字将请求转发到 neutron-ovn-metadata-agent。
OVN 网络服务为每个虚拟网络创建一个唯一的网络命名空间,以启用元数据服务。Compute 节点上的实例访问的每个网络都有对应的元数据命名空间 (ovnmeta-<network_uuid>)。
2.5. OVN 可组合服务
Red Hat OpenStack Platform 通常由预定义角色中的节点组成,如 Controller 角色、计算角色和不同的存储角色类型中的节点。这些默认角色各自包含一组在核心 heat 模板集合中定义的服务。
在默认的 Red Hat OpenStack (RHOSP) 部署中,ML2/OVN 可组合服务 ovn-dbs 在 Controller 节点上运行。由于该服务是可组合的,您可以将其分配给另一个角色,如 Networker 角色。通过选择将 ML2/OVN 服务分配给另一个角色,您可以减少 Controller 节点上的负载,并通过隔离 Networker 节点上的网络服务来实施高可用性策略。
2.6. OVN 的 3 层高可用性
OVN 支持第 3 层高可用性 (L3 HA),无需任何特殊配置。OVN 会自动将路由器端口调度到所有可用网关节点,这些网关可以充当指定的外部网络上的 L3 网关。OVN L3 HA 使用 OVN Logical_Router_Port 表中的 gateway_chassis 列。大多数功能都由 OpenFlow 规则通过捆绑的 active_passive 输出进行管理。ovn-controller 处理地址解析协议 (ARP) 响应器和路由器启用和禁用。ovn-controller 定期发送 FIP 和路由器外部地址的 gratuitous ARP。
L3HA 使用 OVN 将路由器回原始网关节点,以避免任何节点成为瓶颈。
BFD 监控
OVN 使用双向转发检测 (BFD) 协议来监控网关节点的可用性。此协议封装在从节点到节点的 Geneve 隧道之上。
每个网关节点在部署中的星号拓扑中监控所有其他网关节点。网关节点也监控计算节点,以便网关启用和禁用数据包和 ARP 响应和公告的路由。
每个计算节点使用 BFD 监控每个网关节点,并通过给定路由器的活跃网关节点自动窃取外部流量,如源和目标网络地址转换(SNAT 和 DNAT)。Compute 节点不需要监控其他计算节点。
未检测到外部网络故障,因为 ML2-OVS 配置会出现。
OVN 的 L3 HA 支持以下故障模式:
- 网关节点与网络(隧道接口)断开连接。
-
ovs-vswitchd停止 (ovs-switchd负责 BFD 信号) -
OVN-controller停止 (ovn-controller将自身移除为注册的节点)。
这个 BFD 监控机制仅适用于链接失败,不适用于路由失败。
2.7. 使用 ML2/OVN 部署自定义角色
在默认的 Red Hat OpenStack (RHOSP) 部署中,ML2/OVN 可组合服务在 Controller 节点上运行。您可以选择使用支持的自定义角色,如以下示例中描述的角色。
- Networker
- 在专用的 networker 节点上运行 OVN 可组合服务。
- 带有 SR-IOV 的 Networker
- 使用 SR-IOV 在专用 networker 节点上运行 OVN 可组合服务。
- 带有 SR-IOV 的控制器
- 在支持 SR-IOV 的控制器节点上运行 OVN 可组合服务。
您还可以生成自己的自定义角色。
限制
以下限制适用于在此发行版本中将 SR-IOV 与 ML2/OVN 和原生 OVN DHCP 搭配使用。
- 所有外部端口都调度到单一网关节点上,因为所有端口只有一个 HA Chasis Group。
- VLAN 租户网络上的 VF (直接)端口的北/南路由无法用于 SR-IOV,因为外部端口不与逻辑路由器网关端口在一起。请参阅 https://bugs.launchpad.net/neutron/+bug/1875852。
先决条件
您知道如何部署自定义角色。
如需更多信息,请参阅 Director 安装和使用 指南中的 可组合服务和自定义角色。
流程
以
stack用户身份登录 undercloud 主机,再提供stackrc文件。source stackrc
$ source stackrcCopy to Clipboard Copied! Toggle word wrap Toggle overflow 选择适合您的部署的自定义角色文件。如果它符合您的需要,请在 deploy 命令中直接使用它。或者,您可以生成自己的自定义角色文件,它们组合了其他自定义角色文件。
Expand Deployment 角色 角色文件 Networker 角色
Networker
Networker.yaml带有 SR-IOV 的 Networker 角色
NetworkerSriov
NetworkerSriov.yaml与 SR-IOV 共存控制和网络程序
ControllerSriov
ControllerSriov.yaml(可选)生成一个新的自定义角色数据文件,它将之前列出的自定义角色文件之一与其他自定义角色文件合并。
按照 Director 安装和使用指南中的创建 roles_data 文件中的说明进行操作。根据您的部署,包含适当的源角色文件。
(可选)要识别角色的特定节点,您可以创建特定的硬件类别,并将该类别分配到特定的节点。然后,使用环境文件来定义角色的类别,并指定节点数。
如需更多信息,请参阅 Director 安装和使用指南中的创建新角色的示例。
根据您的部署创建环境文件。
Expand Deployment 环境文件示例 Networker 角色
neutron-ovn-dvr-ha.yaml
带有 SR-IOV 的 Networker 角色
ovn-sriov.yaml
根据您的部署,包含以下设置。
Expand Deployment 设置 Networker 角色
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 带有 SR-IOV 的 Networker 角色
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 与 SR-IOV 共存控制和网络程序
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 运行部署命令,并使用
-r选项在部署命令中包含核心 heat 模板、其他环境文件以及自定义角色数据文件。重要但是,环境文件的顺序非常重要,因为后续环境文件中定义的参数和资源更为优先。
示例
openstack overcloud deploy --templates <core_heat_templates> \ -e <other_environment_files> \ -e /home/stack/templates/my-neutron-environment.yaml -r mycustom_roles_file.yaml
$ openstack overcloud deploy --templates <core_heat_templates> \ -e <other_environment_files> \ -e /home/stack/templates/my-neutron-environment.yaml -r mycustom_roles_file.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
验证步骤
以
tripleo-admin用户身份登录 Controller 或 Networker 节点:示例
ssh tripleo-admin@controller-0
ssh tripleo-admin@controller-0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 确保
ovn_metadata_agent正在运行。sudo podman ps | grep ovn_metadata
$ sudo podman ps | grep ovn_metadataCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
a65125d9588d undercloud-0.ctlplane.localdomain:8787/rh-osbs ... openstack-neutron-metadata-agent-ovn ... kolla_start 23 hours ago Up 21 hours ago ovn_metadata_agent
a65125d9588d undercloud-0.ctlplane.localdomain:8787/rh-osbs ... openstack-neutron-metadata-agent-ovn ... kolla_start 23 hours ago Up 21 hours ago ovn_metadata_agentCopy to Clipboard Copied! Toggle word wrap Toggle overflow 确保具有 OVN 服务或专用 Networker 节点的 Controller 节点已配置为 OVS 的网关。
sudo ovs-vsctl get Open_Vswitch . external_ids:ovn-cms-options
$ sudo ovs-vsctl get Open_Vswitch . external_ids:ovn-cms-optionsCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
enable-chassis-as-gw
enable-chassis-as-gwCopy to Clipboard Copied! Toggle word wrap Toggle overflow
SR-IOV 部署的额外验证步骤
以
tripleo-admin用户身份登录 Compute 节点:示例
ssh tripleo-admin@compute-0
ssh tripleo-admin@compute-0Copy to Clipboard Copied! Toggle word wrap Toggle overflow 确保
neutron_sriov_agent在 Compute 节点上运行。sudo podman ps | grep neutron_sriov_agent
sudo podman ps | grep neutron_sriov_agentCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
f54cbbf4523a undercloud-0.ctlplane.localdomain:8787 ... openstack-neutron-sriov-agent ... kolla_start 23 hours ago Up 21 hours ago neutron_sriov_agent
f54cbbf4523a undercloud-0.ctlplane.localdomain:8787 ... openstack-neutron-sriov-agent ... kolla_start 23 hours ago Up 21 hours ago neutron_sriov_agentCopy to Clipboard Copied! Toggle word wrap Toggle overflow 确保已成功检测到网络可用的 SR-IOV NIC。
sudo podman exec -uroot galera-bundle-podman-0 mysql nova \ -e 'select hypervisor_hostname,pci_stats from compute_nodes;'
$ sudo podman exec -uroot galera-bundle-podman-0 mysql nova \ -e 'select hypervisor_hostname,pci_stats from compute_nodes;'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
2.8. 带有 ML2/OVN 和原生 OVN DHCP 的 SR-IOV
您可以部署自定义角色,以便在带有原生 OVN DHCP 的 ML2/OVN 部署中使用 SR-IOV。请参阅 第 2.7 节 “使用 ML2/OVN 部署自定义角色”。
限制
以下限制适用于在此发行版本中将 SR-IOV 与 ML2/OVN 和原生 OVN DHCP 搭配使用。
- 所有外部端口都调度到单一网关节点上,因为所有端口只有一个 HA Chasis Group。
- VLAN 租户网络上的 VF (直接)端口的北/南路由无法用于 SR-IOV,因为外部端口不与逻辑路由器网关端口在一起。请参阅 https://bugs.launchpad.net/neutron/+bug/1875852。
第 3 章 管理项目网络
项目网络可帮助您隔离云计算的网络流量。创建项目网络的步骤包括规划和创建网络,以及添加子网和路由器。
3.1. VLAN 规划
在规划 Red Hat OpenStack Platform 部署时,从多个子网开始,从中分配单个 IP 地址。当您使用多个子网时,您可以将系统之间的流量隔离到 VLAN 中。
例如,您的管理或 API 流量与服务 Web 流量的系统不相同,您的管理或 API 流量是理想的选择。VLAN 之间的流量穿过路由器,您可以在其中实施防火墙来管理流量流。
您必须将 VLAN 做为整个计划的一部分,包括部署中各种虚拟网络资源的流量隔离、高可用性和 IP 地址利用率。
单个网络或网络节点的一个 OVS 代理中的最大 VLAN 数量为 4094。如果您需要多个 VLAN 数量上限,您可以创建多个提供商网络 (VXLAN 网络) 和多个网络节点,每个网络一个。每个节点最多可包含 4094 个专用网络。
3.2. 网络流量的类型
您可以为您要托管的不同类型的网络流量分配单独的 VLAN。例如,您可以对每种类型的网络拥有单独的 VLAN。只有 External 网络需要可以路由到外部物理网络。在本发行版本中,director 提供 DHCP 服务。
对于每一个 OpenStack 部署,您不需要本节中的所有隔离 VLAN。例如,如果您的云用户没有根据需要创建临时虚拟网络,则您可能不需要项目网络。如果您希望每个虚拟机直接连接到与其他物理系统相同的交换机,请将您的 Compute 节点直接连接到提供商网络,并将实例配置为直接使用该提供商网络。
- 置备网络 - 此 VLAN 专用于通过 PXE 引导使用 director 部署新节点。OpenStack Orchestration (heat) 将 OpenStack 安装到 overcloud 裸机服务器上。这些服务器附加到物理网络,以从 undercloud 基础架构接收平台安装镜像。
内部 API 网络 - OpenStack 服务使用内部 API 网络进行通信,包括 API 通信、RPC 消息和数据库通信。此外,此网络还用于控制器节点之间的操作消息。在规划 IP 地址分配时,请注意每个 API 服务都需要自己的 IP 地址。特别是,您必须为以下服务计划 IP 地址:
- vip-msg (ampq)
- vip-keystone-int
- vip-glance-int
- vip-cinder-int
- vip-nova-int
- vip-neutron-int
- vip-horizon-int
- vip-heat-int
- vip-ceilometer-int
- vip-swift-int
- vip-keystone-pub
- vip-glance-pub
- vip-cinder-pub
- vip-nova-pub
- vip-neutron-pub
- vip-horizon-pub
- vip-heat-pub
- vip-ceilometer-pub
- vip-swift-pub
使用高可用性时,Pacemaker 在物理节点之间移动 VIP 地址。
- 存储 - 块存储、NFS、iSCSI 和其他存储服务。出于性能原因,将此网络隔离到单独的物理以太网链接。
- 存储管理 - OpenStack Object Storage (swift) 使用此网络在参与副本节点之间同步数据对象。代理服务充当用户请求和底层存储层之间的中间接口。代理接收传入的请求,并找到所需的副本来检索请求的数据。使用 Ceph 后端通过存储管理网络连接的服务,因为它们不直接与 Ceph 交互,而是使用前端服务。请注意,RBD 驱动程序是例外;此流量直接连接到 Ceph。
- 项目网络 - Neutron 使用 VLAN 分隔(每个项目网络是一个网络 VLAN)或者使用 VXLAN 或 GRE 进行隧道提供自己的网络。网络流量在每个项目网络内被隔离。每个项目网络关联有一个 IP 子网,多个项目网络可能使用相同的地址。
- External - 外部网络托管公共 API 端点和到 Dashboard (horizon) 的连接。您还可以将此网络用于 SNAT。在生产部署中,通常将单独的网络用于浮动 IP 地址和 NAT。
- 提供商网络 - 使用提供商网络将实例附加到现有网络基础架构。您可以使用扁平网络或 VLAN 标签直接映射到数据中心中的现有物理网络。这允许实例与 OpenStack 网络基础架构外部的系统共享相同的第 2 层网络。
3.3. IP 地址消耗
以下系统使用来自您分配的范围内的 IP 地址:
- 物理节点 - 每个物理 NIC 都需要一个 IP 地址。常见的做法是将物理 NIC 专用于特定功能。例如,将管理和 NFS 流量分配给不同的物理 NIC,有时有多个 NIC 连接到不同的交换机,以实现冗余目的。
- 用于高可用性的虚拟 IP (VIP) - 计划为控制器节点共享的每个网络分配一个或多个 VIP。
3.4. 虚拟网络
以下虚拟资源消耗 OpenStack 网络中 IP 地址:这些资源被视为云基础架构的本地基础架构,不需要由外部物理网络中的系统访问:
- 项目网络 - 每个项目网络都需要一个子网,供它用于为实例分配 IP 地址。
- 虚拟路由器 - 插入子网的每个路由器接口都需要一个 IP 地址。如果要使用 DHCP,每个路由器接口都需要两个 IP 地址。
- 实例 - 每个实例都需要一个来自托管该实例的项目子网的地址。如果需要入口流量,则必须从指定的外部网络为实例分配一个浮动 IP 地址。
- 管理流量 - 包括 OpenStack 服务和 API 流量。所有服务共享少量 VIP。API、RPC 和数据库服务在内部 API VIP 上进行通信。
3.5. 添加网络路由
要允许流量路由到新网络并从您的新网络中路由流量,您必须将其子网作为接口添加到现有的虚拟路由器中:
- 在控制面板中,选择 Project > Network > Routers。
在路由器列表中选择您的虚拟路由器名称,然后点 添加接口。
在 Subnet 列表中,选择新子网的名称。您可以选择在此字段中为接口指定 IP 地址。
点 Add Interface。
您的网络中的实例现在可以与子网外的系统通信。
3.6. 网络计划示例
本例显示了多个容纳多个子网的网络,每个子网被分配为 IP 地址范围:
| 子网名称 | 地址范围 | 地址数 | 子网掩码 |
|---|---|---|---|
| Provisioning 网络 | 192.168.100.1 - 192.168.100.250 | 250 | 255.255.255.0 |
| 内部 API 网络 | 172.16.1.10 - 172.16.1.250 | 241 | 255.255.255.0 |
| 存储 | 172.16.2.10 - 172.16.2.250 | 241 | 255.255.255.0 |
| 存储管理 | 172.16.3.10 - 172.16.3.250 | 241 | 255.255.255.0 |
| 租户网络 (GRE/VXLAN) | 172.16.4.10 - 172.16.4.250 | 241 | 255.255.255.0 |
| 外部网络 (包括浮动 IP) | 10.1.2.10 - 10.1.3.222 | 469 | 255.255.254.0 |
| 提供商网络 (infrastructure) | 10.10.3.10 - 10.10.3.250 | 241 | 255.255.252.0 |
3.7. 创建网络
创建一个网络,以便您的实例可以相互通信,并使用 DHCP 接收 IP 地址。有关外部网络连接的更多信息,请参阅桥接物理网络。
在创建网络时,需要确定网络可以托管多个子网。如果您打算在同一网络中托管不同的系统,并且最好在它们之间进行隔离措施,这将非常有用。例如,您可以指定一个子网中只有 webserver 流量,而数据库流量会遍历另一个流量。子网相互隔离,希望与其他子网通信的任何实例都必须具有路由器定向的流量。考虑将需要大量流量的系统放在同一子网中,以便它们不需要路由,并避免后续延迟和负载。
- 在控制面板中,选择 Project > Network > Networks。
点 +Create Network 并指定以下值:
Expand 字段 描述 网络名称
描述性名称,基于网络要执行的角色。如果您要将网络与外部 VLAN 集成,请考虑将 VLAN ID 号附加到名称中。例如,
webservers_122,如果在这个子网中托管 HTTP Web 服务器,您的 VLAN 标签为122。或者,如果您打算将网络流量保持私有,而不将网络与外部网络集成,也可以使用internal-only。Admin State
控制网络是否立即可用。使用此字段创建 Down 状态的网络,其中逻辑上存在但不活跃。如果您不打算立即在生产环境中使用这个网络,这将非常有用。
创建子网
决定是否创建子网。例如,如果您打算将这个网络保留为没有网络连接的占位符,您可能不希望创建子网。
点 Next 按钮,并在 Subnet 选项卡中指定以下值:
Expand 字段 描述 子网名称
输入子网的描述性名称。
网络地址
以 CIDR 格式输入地址,其中包含一个值的 IP 地址范围和子网掩码。要确定地址,请计算子网掩码中屏蔽的位数,并将该值附加到 IP 地址范围。例如,子网掩码 255.255.255.0 具有 24 个屏蔽的位。要将这个掩码与 IPv4 地址范围 192.168.122.0 一起使用,请指定地址 192.168.122.0/24。
IP 版本
指定互联网协议版本,其中有效类型为 IPv4 或 IPv6。Network Address 字段中的 IP 地址范围必须与您选择的版本匹配。
网关 IP
默认网关的路由器接口的 IP 地址。此地址是路由外部位置的任何流量的下一跳,且必须在您在 Network Address 字段中指定的范围内。例如,如果您的 CIDR 网络地址为 192.168.122.0/24,那么您的默认网关可能是 192.168.122.1。
禁用网关
禁用转发和隔离子网。
点 Next 指定 DHCP 选项:
- 启用 DHCP - 为此子网启用 DHCP 服务。您可以使用 DHCP 自动向实例分配 IP 设置。
IPv6 地址 - 配置模式.如果创建 IPv6 网络,您必须指定如何分配 IPv6 地址和其他信息:
- 不指定选项 - 如果您要手动设置 IP 地址,或者使用非 OpenStack 感知方法进行地址分配,请选择此选项。
- SLAAC (无状态地址自动配置) - 实例根据从 OpenStack 网络路由器发送的路由器公告(RA)消息生成 IPv6 地址。使用此配置来创建 OpenStack 网络子网,并将 ra_mode 设置为 slaac,address_mode 设为 slaac。
- DHCPv6 stateful - 实例从 OpenStack 网络 DHCPv6 服务接收 IPv6 地址以及附加选项(例如 DNS)。使用这个配置来创建将 ra_mode 设置为 dhcpv6-stateful 的子网,address_mode 设为 dhcpv6-stateful。
- DHCPv6 stateless - 实例根据从 OpenStack 网络路由器发送的路由器公告(RA)消息生成 IPv6 地址。从 OpenStack 网络 DHCPv6 服务中分配附加选项(如 DNS)。使用这个配置来创建将 ra_mode 设置为 dhcpv6-stateless 的子网,address_mode 设为 dhcpv6-stateless。
- 分配池 - 要分配的 IP 地址范围。例如,值 192.168.22.100,192.168.22.150 认为该范围内的所有地址都可用于分配。
DNS 名称服务器 - 网络上可用的 DNS 服务器的 IP 地址。DHCP 将这些地址分发到实例以进行名称解析。
重要对于 DNS 等战略性服务,最好不要在云中托管它们。例如,如果您的云托管 DNS,当云无法正常运行时,DNS 将不可用,云组件无法相互查找。
- 主机路由 - 静态主机路由。首先,以 CIDR 格式指定目的地网络,后跟您要用于路由的下一跃点(例如 192.168.23.0/24、10.1.31.1)。如果您需要向实例分发静态路由,请提供这个值。
点 Create。
您可以在 Networks 选项卡中查看完整的网络。您还可以根据需要点 Edit 来更改任何选项。在创建实例时,您可以将它们配置为使用其子网,并接收任何指定的 DHCP 选项。
3.8. 使用子网
使用子网为实例授予网络连接。每个实例作为实例创建过程的一部分分配给子网,因此务必要考虑正确放置实例,以最适合其连接要求。
您只能在预先存在的网络中创建子网。请记住,OpenStack 网络中的项目网络可以托管多个子网。如果您打算在同一网络中托管不同的系统,并且最好在它们之间进行隔离措施,这将非常有用。
例如,您可以指定一个子网中只有 webserver 流量,而数据库流量使用另外一个子网。
子网相互隔离,希望与其他子网通信的任何实例都必须具有路由器定向的流量。因此,您可以降低网络延迟和负载,方法是在同一子网中对需要大量流量的系统进行分组。
3.9. 创建子网
要创建子网,请按照以下步骤执行:
- 在仪表板中,选择 Project > Network > Networks,然后在 Networks 视图中点您的网络名称。
点 Create Subnet,并指定以下值:
Expand 字段 描述 子网名称
描述性子网名称。
网络地址
CIDR 格式的地址,其中包含一个值的 IP 地址范围和子网掩码。要确定 CIDR 地址,请计算子网掩码中屏蔽的位数,并将该值附加到 IP 地址范围。例如,子网掩码 255.255.255.0 具有 24 个屏蔽的位。要将这个掩码与 IPv4 地址范围 192.168.122.0 一起使用,请指定地址 192.168.122.0/24。
IP 版本
Internet 协议版本,其中有效类型为 IPv4 或 IPv6。Network Address 字段中的 IP 地址范围必须与您选择的协议版本匹配。
网关 IP
默认网关的路由器接口的 IP 地址。此地址是路由外部位置的任何流量的下一跳,且必须在您在 Network Address 字段中指定的范围内。例如,如果您的 CIDR 网络地址为 192.168.122.0/24,那么您的默认网关可能是 192.168.122.1。
禁用网关
禁用转发和隔离子网。
点 Next 指定 DHCP 选项:
- 启用 DHCP - 为此子网启用 DHCP 服务。您可以使用 DHCP 自动向实例分配 IP 设置。
IPv6 地址 - 配置模式.如果创建 IPv6 网络,您必须指定如何分配 IPv6 地址和其他信息:
- 不指定选项 - 如果您要手动设置 IP 地址,或者使用非 OpenStack 感知方法进行地址分配,请选择此选项。
- SLAAC (无状态地址自动配置) - 实例根据从 OpenStack 网络路由器发送的路由器公告(RA)消息生成 IPv6 地址。使用此配置来创建 OpenStack 网络子网,并将 ra_mode 设置为 slaac,address_mode 设为 slaac。
- DHCPv6 stateful - 实例从 OpenStack 网络 DHCPv6 服务接收 IPv6 地址以及附加选项(例如 DNS)。使用这个配置来创建将 ra_mode 设置为 dhcpv6-stateful 的子网,address_mode 设为 dhcpv6-stateful。
- DHCPv6 stateless - 实例根据从 OpenStack 网络路由器发送的路由器公告(RA)消息生成 IPv6 地址。从 OpenStack 网络 DHCPv6 服务中分配附加选项(如 DNS)。使用这个配置来创建将 ra_mode 设置为 dhcpv6-stateless 的子网,address_mode 设为 dhcpv6-stateless。
- 分配池 - 要分配的 IP 地址范围。例如,值 192.168.22.100,192.168.22.150 认为该范围内的所有地址都可用于分配。
- DNS 名称服务器 - 网络上可用的 DNS 服务器的 IP 地址。DHCP 将这些地址分发到实例以进行名称解析。
- 主机路由 - 静态主机路由。首先,以 CIDR 格式指定目的地网络,后跟您要用于路由的下一跃点(例如 192.168.23.0/24、10.1.31.1)。如果您需要向实例分发静态路由,请提供这个值。
点 Create。
您可以查看 Subnets 列表中的子网。您还可以根据需要点 Edit 来更改任何选项。在创建实例时,您可以将它们配置为使用其子网,并接收任何指定的 DHCP 选项。
3.10. 添加路由器
OpenStack 网络使用基于 SDN 的虚拟路由器提供路由服务。路由器是您的实例与外部子网通信的要求,包括物理网络中的实例。路由器和子网使用接口进行连接,每个子网需要自己的接口到路由器。
路由器的默认网关为路由器接收的任何流量定义下一跳。其网络通常配置为使用虚拟网桥将流量路由到外部物理网络。
要创建路由器,请完成以下步骤:
- 在控制面板中,选择 Project > Network > Routers,再点 Create Router。
- 输入新路由器的描述性名称,再点创建路由器。
- 在 Routers 列表中,点新路由器条目旁边的 Set Gateway。
- 在 External Network 列表中,指定您要接收用于外部位置的流量的网络。
点 Set Gateway。
添加路由器后,您必须配置您创建的子网来使用此路由器发送流量。您可以通过在子网和路由器之间创建接口来完成此操作。
子网的默认路由不能被覆盖。当删除子网的默认路由时,L3 代理也会自动删除路由器命名空间中的对应路由,网络流量也无法从关联的子网流出。如果删除了现有的路由器命名空间路由,要解决这个问题,请执行以下步骤:
- 取消关联子网上的所有浮动 IP。
- 将路由器与子网分离。
- 重新将路由器附加到子网。
- 重新附加所有浮动 IP。
3.11. 清除所有资源并删除项目
使用 openstack project purge 命令删除属于特定项目的所有资源,以及删除项目。
例如,要清除 test-project 项目的资源,然后删除项目,请运行以下命令:
3.12. 删除路由器
如果没有连接的接口,您可以删除路由器。
要删除其接口并删除路由器,请完成以下步骤:
- 在仪表板中,选择 Project > Network > Routers,然后点您要删除的路由器的名称。
- 选择类型为 Internal Interface 的接口,然后点 Delete Interfaces。
- 从 Routers 列表中,选择目标路由器,再点 Delete Routers。
3.13. 删除子网
如果不再使用子网,可以删除它。但是,如果任何实例仍然配置为使用子网,删除尝试会失败,仪表板会显示错误消息。
完成以下步骤以删除网络中的特定子网:
- 在控制面板中,选择 Project > Network > Networks。
- 点您的网络名称。
- 选择目标子网,再点删除子网。
3.14. 删除网络
在某些情况下可能需要删除之前创建的网络,如进行内务操作时或作为停用流程的一部分。您必须先删除或分离仍使用网络的任何接口,然后才能成功删除网络。
要删除项目中的网络以及任何依赖接口,请完成以下步骤:
在控制面板中,选择 Project > Network > Networks。
删除与目标网络子网关联的所有路由器接口。
要删除接口,请通过点击网络列表中的目标网络找到您要删除的网络的 ID 号,查看 ID 字段。与网络关联的所有子网在 Network ID 字段中共享这个值。
进入到 Project > Network > Routers,点 Routers 列表中的虚拟路由器名称,并找到附加到您要删除的子网的接口。
您可以使用作为网关 IP 的 IP 地址将这个子网与其它子网区分开。您可以通过确保接口的网络 ID 与您在上一步中记录的 ID 匹配来进一步验证区别。
- 点您要删除的接口的 Delete Interface 按钮。
- 选择 Project > Network > Networks,然后点您的网络名称。
点您要删除的子网的删除子网按钮。
注意如果您仍然无法删除子网,请确保它没有被任何实例使用。
- 选择 Project > Network > Networks,然后选择您要删除的网络。
- 点 Delete Networks。
第 4 章 将虚拟机实例连接到物理网络
您可以使用扁平和 VLAN 提供商网络将虚拟机实例直接连接到外部网络。
4.1. OpenStack 网络拓扑概述
OpenStack Networking (neutron) 具有两种服务类别,分布在多个节点类型上。
- Neutron 服务器 - 此服务运行 OpenStack 网络 API 服务器,它为最终用户和服务提供 API,以便与 OpenStack 网络交互。此服务器也与底层数据库集成,以存储和检索项目网络、路由器和负载均衡器详细信息。
Neutron 代理 - 这些是执行 OpenStack 网络网络功能的服务:
-
neutron-dhcp-agent- 管理项目专用网络的 DHCP IP 寻址。 -
neutron-l3-agent- 在项目专用网络、外部网络等之间执行第 3 层路由。
-
-
Compute 节点 - 此节点托管运行虚拟机(也称为实例)的虚拟机监控程序。Compute 节点必须直接连接到网络,以便为实例提供外部连接。此节点通常是 l2 代理运行的位置,如
neutron-openvswitch-agent。
4.2. OpenStack 网络服务放置
OpenStack 网络服务可以在同一物理服务器或单独的专用服务器上运行,它们根据其角色命名:
- Controller 节点 - 运行 API 服务的服务器。
- 网络节点 - 运行 OpenStack 网络代理的服务器。
- Compute 节点 - 托管实例的虚拟机监控程序服务器。
本章中的步骤适用于包含这三种节点类型的环境。如果您的部署同时拥有同一物理节点上的 Controller 和网络节点角色,则必须从该服务器上的两个部分执行这些步骤。这也适用于高可用性(HA)环境,其中所有三个节点都可能运行使用 HA 的 Controller 节点和网络节点服务。因此,您必须完成所有三个节点上适用于 Controller 和网络节点的小节中的步骤。
4.3. 配置扁平提供商网络
您可以使用扁平提供商网络将实例直接连接到外部网络。如果您有多个物理网络和单独的物理接口,并且计划将每个计算和网络节点连接到这些外部网络,这将非常有用。
先决条件
您有一个多个物理网络。
这个示例分别使用名为
physnet1和physnet2的物理网络。您有单独的物理接口。
这个示例分别使用单独的物理接口
eth0和eth1。
流程
在 undercloud 主机上,以 stack 用户身份登录,创建一个自定义 YAML 环境文件。
示例
vi /home/stack/templates/my-modules-environment.yaml
$ vi /home/stack/templates/my-modules-environment.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 提示Red Hat OpenStack Platform Orchestration 服务(heat)使 用一组名为 template 的计划来安装和配置您的环境。您可以使用一个自定义环境文件来自定义 overcloud 的各个方面,它是为编配模板提供自定义的特殊模板类型。
在
parameter_defaults下的 YAML 环境文件中,使用NeutronBridgeMappings来指定用于访问外部网络的 OVS 网桥。示例
parameter_defaults: NeutronBridgeMappings: 'physnet1:br-net1,physnet2:br-net2'
parameter_defaults: NeutronBridgeMappings: 'physnet1:br-net1,physnet2:br-net2'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 在 Controller 和 Compute 节点的自定义 NIC 配置模板中,使用附加接口来配置网桥。
示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 运行
openstack overcloud deploy命令,并包含模板和环境文件,包括修改的自定义 NIC 模板和新的环境文件。重要但是,环境文件的顺序非常重要,因为后续环境文件中定义的参数和资源更为优先。
示例
openstack overcloud deploy --templates \ -e [your-environment-files] \ -e /usr/share/openstack-tripleo-heat-templates/environments/services/my-neutron-environment.yaml
$ openstack overcloud deploy --templates \ -e [your-environment-files] \ -e /usr/share/openstack-tripleo-heat-templates/environments/services/my-neutron-environment.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
验证
创建一个外部网络 (
public1) 作为扁平网络,并将它与配置的物理网络 (physnet1) 关联。将其配置为共享网络(使用
--share),以便其他用户创建直接连接到外部网络的虚拟机实例。示例
openstack network create --share --provider-network-type flat --provider-physical-network physnet1 --external public01
# openstack network create --share --provider-network-type flat --provider-physical-network physnet1 --external public01Copy to Clipboard Copied! Toggle word wrap Toggle overflow 使用
openstack subnet create命令创建子网 (public_subnet)。示例
openstack subnet create --no-dhcp --allocation-pool start=192.168.100.20,end=192.168.100.100 --gateway 192.168.100.1 --network public01 public_subnet
# openstack subnet create --no-dhcp --allocation-pool start=192.168.100.20,end=192.168.100.100 --gateway 192.168.100.1 --network public01 public_subnetCopy to Clipboard Copied! Toggle word wrap Toggle overflow 创建虚拟机实例,并将其直接连接到新创建的外部网络。
示例
openstack server create --image rhel --flavor my_flavor --network public01 my_instance
$ openstack server create --image rhel --flavor my_flavor --network public01 my_instanceCopy to Clipboard Copied! Toggle word wrap Toggle overflow
4.4. 扁平提供商网络数据包流的工作方式是什么?
本节介绍了如何将流量流进到具有扁平供应商网络配置的实例。
扁平提供商网络中的传出流量流
下图描述了离开实例的流量的数据包流,直接到达外部网络。配置 br-ex 外部网桥后,将物理接口添加到网桥,并将实例生成到 Compute 节点后,生成的接口和网桥配置类似于下图中的配置(如果使用 iptables_hybrid 防火墙驱动程序):
-
数据包离开实例的
eth0接口,并到达 linux 网桥qbr-xx。 -
网桥
qbr-xx连接到br-int,使用 veth 对qvb-xx <-> qvo-xxx。这是因为网桥用于应用安全组定义的入站/出站防火墙规则。 -
接口
qvb-xx连接到qbr-xxlinux 网桥,qvoxx连接到br-intOpen vSwitch (OVS) 网桥。
'qbr-xx'Linux 网桥配置示例:
brctl show qbr269d4d73-e7 8000.061943266ebb no qvb269d4d73-e7 tap269d4d73-e7
# brctl show
qbr269d4d73-e7 8000.061943266ebb no qvb269d4d73-e7
tap269d4d73-e7br-int 上的 qvo-xx 配置:
端口 qvo-xx 使用与扁平提供商网络关联的内部 VLAN 标签标记。在本例中,VLAN 标签是 5。当数据包到达 qvo-xx 时,VLAN 标签将附加到数据包标头中。
数据包然后被移到 br-ex OVS 网桥,使用 patch-peer int-br-ex <-> phy-br-ex。
br-int 上的 patch-peer 配置示例:
br-ex 上 patch-peer 配置示例:
当此数据包到达 br-ex 上的 phy-br-ex 时,br-ex 中的 OVS 流会剥离 VLAN 标签(5),并将它转发到物理接口。
在以下示例中,输出中的 phy-br-ex 的端口号显示为 2。
以下输出显示了到达 phy-br-ex (in_port=2)的数据包,其 VLAN 标签为 5 (dl_vlan=5)。此外,br-ex 中的 OVS 流将剥离 VLAN 标签,并转发数据包到物理接口。
ovs-ofctl dump-flows br-ex NXST_FLOW reply (xid=0x4): cookie=0x0, duration=4703.491s, table=0, n_packets=3620, n_bytes=333744, idle_age=0, priority=1 actions=NORMAL cookie=0x0, duration=3890.038s, table=0, n_packets=13, n_bytes=1714, idle_age=3764, priority=4,in_port=2,dl_vlan=5 actions=strip_vlan,NORMAL cookie=0x0, duration=4702.644s, table=0, n_packets=10650, n_bytes=447632, idle_age=0, priority=2,in_port=2 actions=drop
# ovs-ofctl dump-flows br-ex
NXST_FLOW reply (xid=0x4):
cookie=0x0, duration=4703.491s, table=0, n_packets=3620, n_bytes=333744, idle_age=0, priority=1 actions=NORMAL
cookie=0x0, duration=3890.038s, table=0, n_packets=13, n_bytes=1714, idle_age=3764, priority=4,in_port=2,dl_vlan=5 actions=strip_vlan,NORMAL
cookie=0x0, duration=4702.644s, table=0, n_packets=10650, n_bytes=447632, idle_age=0, priority=2,in_port=2 actions=drop如果物理接口是另一个 VLAN 标记的接口,则物理接口将标签添加到数据包。
扁平提供商网络中传入流量流
本节包含有关来自外部网络的传入流量流的信息,直到到达实例的接口。
-
传入流量到达物理节点上的
eth1。 -
数据包传递到
br-ex网桥。 -
数据包通过 patch-peer
phy-br-ex <--> int-br-ex移到br-int。
在以下示例中,int-br-ex 使用端口号 15。查看包含 15 (int-br-ex) 的条目:
观察 br-int 上的流量流
当数据包到达
int-br-ex时,br-int网桥内的 OVS 流规则是添加内部 VLAN 标签5的数据包。查看actions=mod_vlan_vid:5条目:Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
第二条规则管理到达 int-br-ex (in_port=15)且无 VLAN 标签(vlan_tci=0x0000)的数据包:此规则将 VLAN 标签 5 添加到数据包(
actions=mod_vlan_vid:5,NORMAL),并将它转发到qvoxxx。 -
在剥离 VLAN 标签后,
qvoxxx接受数据包并将其转发到qvbxx。 - 然后,数据包到达实例。
VLAN 标签 5 是一个 VLAN 示例,用于在具有扁平提供商网络的测试 Compute 节点上使用;这个值由 neutron-openvswitch-agent 自动分配。对于您自己的扁平提供商网络,这个值可能会有所不同,且在两个单独的 Compute 节点上同一网络可能会有所不同。
4.5. 对扁平提供商网络上的实例物理网络连接进行故障排除
"扁平提供商网络数据包的工作方式"中提供的输出提供了足够的调试信息,以排除扁平提供商网络的问题。以下步骤包含有关故障排除流程的更多信息。
流程
检查
bridge_mappings。验证您使用的物理网络名称是否与
bridge_mapping配置的内容一致。示例
在本例中,物理网络名称为
physnet1。openstack network show provider-flat
$ openstack network show provider-flatCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
... | provider:physical_network | physnet1 ...
... | provider:physical_network | physnet1 ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 示例
在本例中,
bridge_mapping配置的内容也是physnet1:grep bridge_mapping /etc/neutron/plugins/ml2/openvswitch_agent.ini
$ grep bridge_mapping /etc/neutron/plugins/ml2/openvswitch_agent.iniCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
bridge_mappings = physnet1:br-ex
bridge_mappings = physnet1:br-exCopy to Clipboard Copied! Toggle word wrap Toggle overflow 检查网络配置。
确认网络已创建为
外部,并使用flat类型:示例
在本例中,会查询网络
provider-flat的详细信息:openstack network show provider-flat
$ openstack network show provider-flatCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
... | provider:network_type | flat | | router:external | True | ...
... | provider:network_type | flat | | router:external | True | ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 检查 patch-peer。
验证
br-int和br-ex是否使用 patch-peerint-br-ex <--> phy-br-ex连接。ovs-vsctl show
$ ovs-vsctl showCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
在
br-ex上配置 patch-peer:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 如果
bridge_mapping在/etc/neutron/plugins/ml2/openvswitch_agent.ini中正确配置,这个连接会在重启neutron-openvswitch-agent服务时被创建。如果在重启该服务后没有创建连接,请重新检查
bridge_mapping设置。检查网络流。
运行
ovs-ofctl dump-flows br-ex和ovs-ofctl dump-flows br-int,并检查流是否剥离传出数据包的内部 VLAN ID,并为传入的数据包添加 VLAN ID。当您生成实例到特定 Compute 节点上的此网络时,会首先添加此流。-
如果在生成实例后没有创建此流,请验证网络是否创建为
flat,为external,且physical_network名称是正确的。此外,请检查bridge_mapping设置。 最后,检查
ifcfg-br-ex和ifcfg-ethx配置。确保ethX作为端口添加到br-ex中,并且ifcfg-br-ex和ifcfg-ethx在ip的输出中有一个UP标志。输出示例
以下输出显示
eth1是br-ex中的端口:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 示例
以下示例演示了
eth1配置为 OVS 端口,并且内核知道从接口传输所有数据包,并将它们发送到 OVS 网桥br-ex。这可以在条目master ovs-system中观察到。ip a 5: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq master ovs-system state UP qlen 1000
$ ip a 5: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq master ovs-system state UP qlen 1000Copy to Clipboard Copied! Toggle word wrap Toggle overflow
-
如果在生成实例后没有创建此流,请验证网络是否创建为
4.6. 配置 VLAN 提供商网络
当您将一个 NIC 上的多个 VLAN 标记接口连接到多个提供商网络时,这些新的 VLAN 提供商网络可以将虚拟机实例直接连接到外部网络。
先决条件
您有一个物理网络,其范围为 VLAN。
本例使用名为
physnet1的物理网络,其范围为 VLAN,171-172。您的网络节点和 Compute 节点使用物理接口连接到物理网络。
本例使用连接到物理网络
physnet1的网络节点和 Compute 节点,使用物理接口eth1。- 这些接口连接的交换机端口必须配置为中继所需的 VLAN 范围。
流程
在 undercloud 主机上,以 stack 用户身份登录,创建一个自定义 YAML 环境文件。
示例
vi /home/stack/templates/my-modules-environment.yaml
$ vi /home/stack/templates/my-modules-environment.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 提示Red Hat OpenStack Platform Orchestration 服务(heat)使 用一组名为 template 的计划来安装和配置您的环境。您可以使用一个自定义环境文件来自定义 overcloud 的各个方面,它是为编配模板提供自定义的特殊模板类型。
在
parameter_defaults下的 YAML 环境文件中,使用NeutronTypeDrivers指定您的网络类型驱动程序。示例
parameter_defaults: NeutronTypeDrivers: vxlan,flat,vlan
parameter_defaults: NeutronTypeDrivers: vxlan,flat,vlanCopy to Clipboard Copied! Toggle word wrap Toggle overflow 配置
NeutronNetworkVLANRanges设置,以反映使用的物理网络和 VLAN 范围:示例
parameter_defaults: NeutronTypeDrivers: 'vxlan,flat,vlan' NeutronNetworkVLANRanges: 'physnet1:171:172'
parameter_defaults: NeutronTypeDrivers: 'vxlan,flat,vlan' NeutronNetworkVLANRanges: 'physnet1:171:172'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 创建一个外部网络网桥 (br-ex),并将端口 (eth1) 与它关联。
这个示例将 eth1 配置为使用 br-ex :
示例
parameter_defaults: NeutronTypeDrivers: 'vxlan,flat,vlan' NeutronNetworkVLANRanges: 'physnet1:171:172' NeutronBridgeMappings: 'datacentre:br-ex,tenant:br-int'
parameter_defaults: NeutronTypeDrivers: 'vxlan,flat,vlan' NeutronNetworkVLANRanges: 'physnet1:171:172' NeutronBridgeMappings: 'datacentre:br-ex,tenant:br-int'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 运行
openstack overcloud deploy命令,并包含核心模板和环境文件,包括这个新的环境文件。重要但是,环境文件的顺序非常重要,因为后续环境文件中定义的参数和资源更为优先。
示例
openstack overcloud deploy --templates \ -e [your-environment-files] \ -e /usr/share/openstack-tripleo-heat-templates/environments/services/my-neutron-environment.yaml
$ openstack overcloud deploy --templates \ -e [your-environment-files] \ -e /usr/share/openstack-tripleo-heat-templates/environments/services/my-neutron-environment.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
验证
创建外部网络作为类型
vlan,并将它们与配置的physical_network关联。运行以下示例命令创建两个网络:一个用于 VLAN 171,另一个用于 VLAN 172:
示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 创建多个子网,并将其配置为使用外部网络。
您可以使用
openstack subnet create或 dashboard 来创建这些子网。确保您从网络管理员收到的外部子网详情已与每个 VLAN 正确关联。在此示例中,VLAN 171 使用子网
10.65.217.0/24,VLAN 172 使用10.65.218.0/24:示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
4.7. VLAN 提供商网络数据包流的工作方式?
本节介绍了流量如何流进具有 VLAN 供应商网络配置的实例。
VLAN 提供商网络中的传出流量流
下图显示了离开实例的流量的数据包流,并直接到达 VLAN 提供程序外部网络。本例使用连接到两个 VLAN 网络(171 和 172)的两个实例。配置 br-ex 后,向其添加一个物理接口,并将实例生成到 Compute 节点后,生成的接口和网桥配置类似于下图中的配置:
- 离开实例的 eth0 接口的数据包会到达连接到实例的 linux 网桥 qbr-xx。
- qbr-xx 使用 veth 对 qvbxx <→ qvoxxx 连接到 br-int。
- qvbxx 连接到 linux 网桥 qbr-xx,qvoxx 连接到 Open vSwitch 网桥 br-int。
Linux 网桥上的 qbr-xx 配置示例。
这个示例具有两个实例和两个对应的 linux 网桥:
br-int 上的 qvoxx 配置:
-
qvoxx使用与 VLAN 提供商网络关联的内部 VLAN 标签标记。在本例中,内部 VLAN 标签 2 与 VLAN 提供商网络provider-171关联,VLAN 标签 3 与 VLAN 提供商网络provider-172关联。当数据包到达 qvoxx 时,此 VLAN 标签将添加到数据包标头中。 -
数据包然后被移到 br-ex OVS 网桥,使用 patch-peer
int-br-ex<→phy-br-ex。br-int 上的 patch-peer 示例:
br-ex 上的补丁对等点配置示例:
- 当此数据包到达 br-ex 上的 phy-br-ex 时,br-ex 中的 OVS 流将内部 VLAN 标签替换为与 VLAN 提供商网络关联的实际 VLAN 标签。
以下命令的输出显示 phy-br-ex 的端口号为 4 :
ovs-ofctl show br-ex
4(phy-br-ex): addr:32:e7:a1:6b:90:3e
config: 0
state: 0
speed: 0 Mbps now, 0 Mbps max
# ovs-ofctl show br-ex
4(phy-br-ex): addr:32:e7:a1:6b:90:3e
config: 0
state: 0
speed: 0 Mbps now, 0 Mbps max
以下命令显示到达 phy-br-ex (in_port=4)的任何数据包,其 VLAN 标签为 2 (dl_vlan=2)。Open vSwitch 将 VLAN 标签替换为 171 (actions=mod_vlan_vid:171,NORMAL),并数据包转发到物理接口。命令还显示到达 phy-br-ex (in_port=4)的任何数据包,其 VLAN 标签为 3 (dl_vlan=3)。Open vSwitch 将 VLAN 标签替换为 172 (actions=mod_vlan_vid:172,NORMAL),并将数据包转发到物理接口。neutron-openvswitch-agent 添加这些规则。
- 然后,此数据包转发到物理接口 eth1。
VLAN 提供商网络中传入流量流
以下示例流在 Compute 节点上测试,使用 VLAN 标签 2 作为提供商网络 provider-171,以及 VLAN tag 3 用于提供商网络 provider-172.流使用集成网桥 br-int 上的端口 18。
您的 VLAN 提供商网络可能需要不同的配置。此外,网络的配置要求可能因两个不同的 Compute 节点而异。
以下命令的输出显示了 int-br-ex,端口号为 18 :
ovs-ofctl show br-int
18(int-br-ex): addr:fe:b7:cb:03:c5:c1
config: 0
state: 0
speed: 0 Mbps now, 0 Mbps max
# ovs-ofctl show br-int
18(int-br-ex): addr:fe:b7:cb:03:c5:c1
config: 0
state: 0
speed: 0 Mbps now, 0 Mbps max以下命令的输出显示了 br-int 上的流规则。
传入的流示例
本例演示了以下 br-int OVS 流:
cookie=0x0, duration=3181.679s, table=0, n_packets=2605, n_bytes=246456, idle_age=0, priority=3,in_port=18,dl_vlan=172 actions=mod_vlan_vid:3,NORMAL
cookie=0x0, duration=3181.679s, table=0, n_packets=2605, n_bytes=246456, idle_age=0,
priority=3,in_port=18,dl_vlan=172 actions=mod_vlan_vid:3,NORMAL- 来自外部网络的 VLAN 标签 172 的数据包通过物理节点上的 eth1 到达 br-ex 网桥。
-
数据包通过 patch-peer
phy-br-ex <-> int-br-ex移到 br-int。 -
数据包与流的条件匹配(
in_port=18,dl_vlan=172)。 -
流操作(
actions=mod_vlan_vid:3,NORMAL)将 VLAN 标签 172 替换为内部 VLAN 标签 3,并将数据包转发到实例具有普通的第 2 层处理。
4.8. 对 VLAN 提供商网络上的实例物理网络连接进行故障排除
在对 VLAN 提供商网络中的连接进行故障排除时,请参阅"VLAN 提供程序网络数据包流工作" 中描述的数据包流。另外,请查看以下配置选项:
流程
验证
bridge_mapping配置中使用的物理网络名称是否与物理网络名称匹配。示例
openstack network show provider-vlan171
$ openstack network show provider-vlan171Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
... | provider:physical_network | physnet1 ...
... | provider:physical_network | physnet1 ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 示例
grep bridge_mapping /etc/neutron/plugins/ml2/openvswitch_agent.ini
$ grep bridge_mapping /etc/neutron/plugins/ml2/openvswitch_agent.iniCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
在本例中,物理网络名称
physnet1与bridge_mapping配置中使用的名称匹配:bridge_mappings = physnet1:br-ex
bridge_mappings = physnet1:br-exCopy to Clipboard Copied! Toggle word wrap Toggle overflow 确认网络已创建为
外部,类型为vlan,并使用正确的segmentation_id值:示例
openstack network show provider-vlan171
$ openstack network show provider-vlan171Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
... | provider:network_type | vlan | | provider:physical_network | physnet1 | | provider:segmentation_id | 171 | ...
... | provider:network_type | vlan | | provider:physical_network | physnet1 | | provider:segmentation_id | 171 | ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 检查 patch-peer。
验证
br-int和br-ex是否使用 patch-peerint-br-ex <--> phy-br-ex连接。ovs-vsctl show
$ ovs-vsctl showCopy to Clipboard Copied! Toggle word wrap Toggle overflow 此连接在重启
neutron-openvswitch-agent时创建的,只要bridge_mapping在/etc/neutron/plugins/ml2/openvswitch_agent.ini中正确配置。如果这没有在重启服务后创建,则重新检查
bridge_mapping设置。检查网络流。
-
要查看传出数据包的流,请运行
ovs-ofctl dump-flows br-ex和ovs-ofctl dump-flows br-int,并验证流是否将内部 VLAN ID 映射到外部 VLAN ID (segmentation_id)。 对于传入的数据包,请将外部 VLAN ID 映射到内部 VLAN ID。
当您首次生成实例到此网络时,neutron OVS 代理会添加此流。
-
如果在生成实例后没有创建此流,请确保网络已创建为
vlan,是外部,并且physical_network名称是正确的。另外,再次检查bridge_mapping设置。 最后,重新检查
ifcfg-br-ex和ifcfg-ethx配置。确保
br-ex包含端口ethX,并且ifcfg-br-ex和ifcfg-ethx在ip a命令的输出中有一个UP标志。示例
ovs-vsctl show
$ ovs-vsctl showCopy to Clipboard Copied! Toggle word wrap Toggle overflow 在本例中,
eth1是br-ex中的一个端口:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 示例
ip a
$ ip aCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
在本示例输出中,
eth1已添加为端口,并且内核配置为将所有数据包从接口移动到 OVS 网桥br-ex。这由条目master ovs-system演示。5: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq master ovs-system state UP qlen 1000
5: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq master ovs-system state UP qlen 1000Copy to Clipboard Copied! Toggle word wrap Toggle overflow
-
要查看传出数据包的流,请运行
4.9. 为 ML2/OVS 部署中的提供商网络启用多播侦听
要防止对 Red Hat OpenStack Platform (RHOSP) 提供商网络中的每个端口填充多播数据包,您必须启用多播 snooping。在使用带有 Open vSwitch 机制驱动程序(ML2/OVS)的 Modular Layer 2 插件的 RHOSP 部署中,您可以通过在 YAML 格式的环境文件中声明 RHOSP Orchestration (heat) NeutronEnableIgmpSnooping 参数来实现此目的。
在将其应用到生产环境之前,您应该全面测试并了解任何多播侦听配置。错误配置可能会破坏多播或导致网络行为错误。
先决条件
- 您的配置必须只使用 ML2/OVS 提供商网络。
您的物理路由器还必须启用 IGMP 侦听功能。
也就是说,物理路由器必须发送提供商网络上的 IGMP 查询数据包,以便从多播组成员请求常规 IGMP 报告,以维护 OVS 中的侦听缓存(以及物理网络)。
RHOSP 网络服务安全组规则必须就位,以允许到虚拟机实例(或禁用端口安全性)的入站 IGMP。
在本例中,为
ping_ssh安全组创建了一个规则:示例
openstack security group rule create --protocol igmp --ingress ping_ssh
$ openstack security group rule create --protocol igmp --ingress ping_sshCopy to Clipboard Copied! Toggle word wrap Toggle overflow
流程
在 undercloud 主机上,以 stack 用户身份登录,创建一个自定义 YAML 环境文件。
示例
vi /home/stack/templates/my-ovs-environment.yaml
$ vi /home/stack/templates/my-ovs-environment.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 提示编排服务(heat)使用一组名为 template 的计划来安装和配置您的环境。您可以使用自定义环境文件自定义 overcloud 的各个方面,它是为 heat 模板提供自定义的特殊模板类型。
在
parameter_defaults下的 YAML 环境文件中,将NeutronEnableIgmpSnooping设置为 true。parameter_defaults: NeutronEnableIgmpSnooping: true ...parameter_defaults: NeutronEnableIgmpSnooping: true ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 重要确保在冒号 (:) 和
true间添加一个空格字符。运行
openstack overcloud deploy命令,并包含核心 heat 模板、环境文件以及新的自定义环境文件。重要环境文件的顺序非常重要,因为后续环境文件中定义的参数和资源更为优先。
示例
openstack overcloud deploy --templates \ -e [your-environment-files] \ -e /usr/share/openstack-tripleo-heat-templates/environments/services/my-ovs-environment.yaml
$ openstack overcloud deploy --templates \ -e [your-environment-files] \ -e /usr/share/openstack-tripleo-heat-templates/environments/services/my-ovs-environment.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
验证
验证是否启用了多播 snooping。
示例
sudo ovs-vsctl list bridge br-int
# sudo ovs-vsctl list bridge br-intCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
... mcast_snooping_enable: true ... other_config: {mac-table-size="50000", mcast-snooping-disable-flood-unregistered=True} ...... mcast_snooping_enable: true ... other_config: {mac-table-size="50000", mcast-snooping-disable-flood-unregistered=True} ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow
4.10. 在 ML2/OVN 部署中启用多播
要支持多播流量,请修改部署的安全配置,以允许多播流量到达多播组中的虚拟机(VM)实例。要防止多播流量填充,启用 IGMP snooping。
在将任何多播配置应用到生产环境之前,请测试并了解任何多播侦听配置。错误配置可能会破坏多播或导致网络行为错误。
先决条件
- 使用 ML2/OVN 机制驱动程序的 OpenStack 部署。
流程
配置安全性,以允许多播到适当的虚拟机实例。例如,创建一对安全组规则,以允许来自 IGMP querier 的 IGMP 流量进入和退出虚拟机实例,以及允许多播流量的第三个规则。
示例
安全组 mySG 允许 IGMP 流量进入并退出虚拟机实例。
openstack security group rule create --protocol igmp --ingress mySG openstack security group rule create --protocol igmp --egress mySG
openstack security group rule create --protocol igmp --ingress mySG openstack security group rule create --protocol igmp --egress mySGCopy to Clipboard Copied! Toggle word wrap Toggle overflow 另一种规则允许多播流量访问虚拟机实例。
openstack security group rule create --protocol udp mySG
openstack security group rule create --protocol udp mySGCopy to Clipboard Copied! Toggle word wrap Toggle overflow 作为设置安全组规则的替代选择,一些操作员选择有选择地禁用网络上的端口安全性。如果您选择禁用端口安全性,请考虑和规划任何相关的安全风险。
在 undercloud 节点上的环境文件中设置 heat 参数
NeutronEnableIgmpSnooping: True。例如,将以下行添加到 ovn-extras.yaml 中。示例
parameter_defaults: NeutronEnableIgmpSnooping: Trueparameter_defaults: NeutronEnableIgmpSnooping: TrueCopy to Clipboard Copied! Toggle word wrap Toggle overflow 在
openstack overcloud deploy命令中包含环境文件以及与您环境相关的任何其他环境文件并部署 overcloud。Copy to Clipboard Copied! Toggle word wrap Toggle overflow 将
<other_overcloud_environment_files>替换为属于您现有部署的环境文件列表。
验证
验证是否启用了多播 snooping。列出北向数据库 Logical_Switch 表。
ovn-nbctl list Logical_Switch
$ ovn-nbctl list Logical_SwitchCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
_uuid : d6a2fbcd-aaa4-4b9e-8274-184238d66a15 other_config : {mcast_flood_unregistered="false", mcast_snoop="true"} ..._uuid : d6a2fbcd-aaa4-4b9e-8274-184238d66a15 other_config : {mcast_flood_unregistered="false", mcast_snoop="true"} ...Copy to Clipboard Copied! Toggle word wrap Toggle overflow 网络服务(neutron) igmp_snooping_enable 配置转换为 OVN 北向数据库中 Logical_Switch 表的 other_config 列中设置的 mcast_snoop 选项。请注意,mcast_flood_unregistered 始终为 "false"。
显示 IGMP 组。
ovn-sbctl list IGMP_group
$ ovn-sbctl list IGMP_groupCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
4.11. 启用计算元数据访问
如本章中所述的实例直接附加到提供商外部网络,并且将外部路由器配置为其默认网关。没有使用 OpenStack Networking (neutron)路由器。这意味着 neutron 路由器无法用于将来自实例的元数据请求代理到 nova-metadata 服务器,这可能会导致运行 cloud-init 时失败。但是,可以通过将 dhcp 代理配置为代理元数据请求来解决此问题。您可以在 /etc/neutron/dhcp_agent.ini 中启用此功能。例如:
enable_isolated_metadata = True
enable_isolated_metadata = True4.12. 浮动 IP 地址
您可以使用同一网络为实例分配浮动 IP 地址,即使浮动 IP 已与专用网络关联。您从这个网络中作为浮动 IP 分配的地址会绑定到网络节点上的 qrouter-xxx 命名空间,并对关联的私有 IP 地址执行 DNAT-SNAT。相反,您为直接外部网络访问分配的 IP 地址直接绑定在实例内部,并允许实例直接与外部网络通信。
第 5 章 管理浮动 IP 地址
除了具有私有的固定 IP 地址外,虚拟机实例还可以具有公共或浮动 IP 地址来与其他网络通信。本节中的信息描述了如何使用 Red Hat OpenStack Platform (RHOSP)网络服务(neutron)创建和管理浮动 IP。
5.1. 创建浮动 IP 池
您可以使用浮动 IP 地址将网络流量定向到 OpenStack 实例。首先,您必须定义一个可有效路由的外部 IP 地址池,然后您可以动态分配给实例。OpenStack 网络将所有目的地为该浮动 IP 的流量路由到您与浮动 IP 关联的实例。
OpenStack 网络从 CIDR 格式的同一 IP 范围分配浮动 IP 地址到所有项目(租户)。因此,所有项目都可以使用每个浮动 IP 子网的浮动 IP。您可以使用特定项目的配额来管理此行为。例如,您可以将 ProjectA 和 ProjectB 的默认值设置为 10,同时将 ProjectC 的配额设置为 0。
流程
在创建外部子网时,您还可以定义浮动 IP 分配池。
openstack subnet create --no-dhcp --allocation-pool start=IP_ADDRESS,end=IP_ADDRESS --gateway IP_ADDRESS --network SUBNET_RANGE NETWORK_NAME
$ openstack subnet create --no-dhcp --allocation-pool start=IP_ADDRESS,end=IP_ADDRESS --gateway IP_ADDRESS --network SUBNET_RANGE NETWORK_NAMECopy to Clipboard Copied! Toggle word wrap Toggle overflow 如果子网主机仅托管浮动 IP 地址,请考虑使用
openstack subnet create命令中的--no-dhcp选项禁用 DHCP 分配。示例
openstack subnet create --no-dhcp --allocation_pool start=192.168.100.20,end=192.168.100.100 --gateway 192.168.100.1 --network 192.168.100.0/24 public
$ openstack subnet create --no-dhcp --allocation_pool start=192.168.100.20,end=192.168.100.100 --gateway 192.168.100.1 --network 192.168.100.0/24 publicCopy to Clipboard Copied! Toggle word wrap Toggle overflow
验证
- 您可以通过为实例分配随机浮动 IP 来验证池是否已正确配置。(请参见下面的链接。)
5.2. 分配特定的浮动 IP
您可以为虚拟机实例分配特定的浮动 IP 地址。
流程
使用
openstack server add floating ip命令为实例分配浮动 IP 地址。示例
openstack server add floating ip prod-serv1 192.0.2.200
$ openstack server add floating ip prod-serv1 192.0.2.200Copy to Clipboard Copied! Toggle word wrap Toggle overflow
验证步骤
使用
openstack server show命令确认您的浮动 IP 已与您的实例关联。示例
openstack server show prod-serv1
$ openstack server show prod-serv1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
5.3. 创建高级网络
从 Admin 视图在控制面板中创建网络时,管理员可使用高级网络选项。使用这些选项来指定项目,并定义要使用的网络类型。
流程
- 在控制面板中,选择 Admin > Networks > Create Network > Project。
- 选择您要使用 Project 下拉列表托管新网络的项目。
检查 Provider Network Type 中的选项:
- Local - 流量保留在本地计算主机上,并有效地与任何外部网络隔离。
- flat - 流量保留在单一网络中,也可以与主机共享。没有 VLAN 标记或其他网络隔离。
- VLAN - 使用与物理网络中存在的 VLAN ID 对应的 VLAN ID 创建网络。此选项允许实例与同一第 2 层 VLAN 上的系统通信。
- GRE - 使用一个网络覆盖,跨多个节点进行实例间的私有通信。出口覆盖的流量必须被路由。
- VXLAN - 与 GRE 类似,并使用网络覆盖来跨越多个节点进行实例之间的私有通信。出口覆盖的流量必须被路由。
点创建网络。
查看 Project Network Topology,以验证网络是否已成功创建。
5.4. 分配随机浮动 IP
您可以从外部 IP 地址池动态分配浮动 IP 地址到虚拟机实例。
先决条件
可路由外部 IP 地址池。
更多信息请参阅 第 5.1 节 “创建浮动 IP 池”。
流程
输入以下命令从池中分配浮动 IP 地址。在本例中,网络名为
public。示例
openstack floating ip create public
$ openstack floating ip create publicCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
在以下示例中,新分配的浮动 IP 是
192.0.2.200。您可以将其分配给实例。Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输入以下命令查找您的实例:
openstack server list
$ openstack server listCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 将实例名称或 ID 与浮动 IP 关联。
示例
openstack server add floating ip prod-serv1 192.0.2.200
$ openstack server add floating ip prod-serv1 192.0.2.200Copy to Clipboard Copied! Toggle word wrap Toggle overflow
验证步骤
输入以下命令确认您的浮动 IP 已与您的实例关联。
示例
openstack server show prod-serv1
$ openstack server show prod-serv1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
5.5. 创建多个浮动 IP 池
OpenStack 网络支持每个 L3 代理有一个浮动 IP 池。因此,您必须扩展 L3 代理以创建额外的浮动 IP 池。
流程
-
确保在
/var/lib/config-data/puppet-generated/neutron/etc/neutron/neutron.conf中,对于环境中只有一个 L3 代理,请确保属性handle_internal_only_routers设置为True。此选项将 L3 代理配置为仅管理非外部路由器。
5.6. 桥接物理网络
将您的虚拟网络桥接到物理网络,以启用与虚拟实例的连接和从实例连接。
在此过程中,物理接口 eth0 示例映射到网桥 br-ex ;虚拟网桥充当物理网络和任何虚拟网络之间的中介。
因此,所有遍历 eth0 的流量都使用配置的 Open vSwitch 访问实例。
要将物理 NIC 映射到虚拟 Open vSwitch 网桥,请完成以下步骤:
流程
在文本编辑器中打开
/etc/sysconfig/network-scripts/ifcfg-eth0,并使用适合您的站点的网络值更新以下参数:- IPADDR
- 子网掩码网关
DNS1 (名称服务器)
下面是一个示例:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
在文本编辑器中打开
/etc/sysconfig/network-scripts/ifcfg-br-ex,并使用之前分配给 eth0 的 IP 地址值更新虚拟网桥参数:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 现在,您可以将浮动 IP 地址分配给实例,并将它们提供给物理网络。
5.7. 添加接口
您可以使用接口将路由器与子网互连,以便路由器可以将实例发送到其中间子网外目的地的任何流量。
要添加路由器接口并将新接口连接到子网,请完成以下步骤:
此流程使用网络拓扑功能。使用此功能,您可以在执行网络管理任务的同时查看所有虚拟路由器和网络的图形表示。
- 在控制面板中,选择 Project > Network > Network Topology。
- 找到您要管理的路由器,将鼠标悬停在上面,然后点添加接口。
指定您要连接到路由器的子网。
您还可以指定 IP 地址。该地址可用于测试和故障排除目的,因为成功对此接口的 ping 指示流量按预期路由。
点 Add interface。
Network Topology 图表会自动更新,以反映路由器和子网之间的新接口连接。
5.8. 删除接口
如果您不再需要路由器将流量定向到子网,您可以删除接口。
要删除接口,请完成以下步骤:
- 在控制面板中,选择 Project > Network > Routers。
- 点托管您要删除的接口的路由器的名称。
- 选择接口类型(Internal Interface),然后点 Delete Interfaces。
第 6 章 网络故障排除
在 Red Hat OpenStack Platform 中对网络连接进行故障排除的诊断过程与物理网络的诊断流程类似。如果使用 VLAN,您可以将虚拟基础架构视为物理网络的中继扩展,而不是完全独立的环境。ML2/OVS 网络和默认的 ML2/OVN 网络故障排除之间存在一些区别。
6.1. 基本 ping 测试
ping 命令是用于分析网络连接问题的有用工具。结果充当网络连接的基本指示器,但可能无法完全排除所有连接问题,如防火墙阻止实际应用程序流量。ping 命令将流量发送到特定的目的地,然后报告尝试是否成功。
ping 命令是 ICMP 操作。要使用 ping,您必须允许 ICMP 流量遍历任何中间防火墙。
在从遇到网络问题的计算机运行时,ping 测试最有用,因此如果计算机似乎完全离线,则可能需要通过 VNC 管理控制台连接到命令行。
例如,以下 ping test 命令会验证网络基础架构的多个层,以便成功;名称解析、IP 路由和网络切换都必须正确正常工作:
您可以使用 Ctrl-c 终止 ping 命令,之后显示结果摘要。数据包丢失的百分比为零代表连接稳定且不超时。
--- e1890.b.akamaiedge.net ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2003ms rtt min/avg/max/mdev = 13.461/13.498/13.541/0.100 ms
--- e1890.b.akamaiedge.net ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 13.461/13.498/13.541/0.100 ms根据您测试的目标,ping 测试结果可能会非常显示。例如,在下图中,VM1 遇到某种形式的连接问题。可能的目的地以蓝色编号,显示成功或失败结果的结论:
互联网 - 常见的第一步是将 ping 测试发送到互联网位置,如 www.example.com。
- 成功 :此测试表示机器和互联网之间的所有网络点都正确运行。这包括虚拟和物理网络基础架构。
- 失败 : ping 测试到距离互联网位置的方法可能会失败。如果您的网络中的其他机器能够成功 ping 互联网,证明互联网连接可以正常工作,且此问题可能会在本地计算机的配置中。
物理路由器 - 网络管理员指定将流量定向到外部目的地的路由器接口。
- 成功 :对物理路由器的 Ping 测试可以确定本地网络和底层交换机是否正常运行。这些数据包不会遍历路由器,因此它们不会证明默认网关上是否存在路由问题。
- 失败 :这表示 VM1 和默认网关间的问题。路由器/交换机可能会停机,或者您可能使用错误的默认网关。将配置与您知道在正确运行的另一个服务器上的配置进行比较。尝试 ping 本地网络中的其他服务器。
Neutron 路由器 - 这是 Red Hat OpenStack Platform 用来指示虚拟机流量的虚拟 SDN (软件定义网络)路由器。
- 成功 :防火墙允许 ICMP 流量,网络节点在线。
- 失败 :确认实例安全组中是否允许 ICMP 流量。检查网络节点是否已在线,确认所有必需的服务是否正在运行,并检查 L3 代理日志(/var/log/neutron/l3-agent.log)。
物理交换机 - 物理交换机管理同一物理网络中节点间的流量。
- 成功 :虚拟机发送到物理交换机的流量必须通过虚拟网络基础架构,这表示此段正常工作。
- 失败 :检查物理交换机端口是否已配置为中继所需的 VLAN。
VM2 - 在同一 Compute 节点上尝试 ping 同一子网上的虚拟机。
- 成功 :VM1 上的 NIC 驱动程序和基本 IP 配置可以正常工作。
- 失败 :验证 VM1 上的网络配置。或者,VM2 上的防火墙可能只是阻止 ping 流量。此外,验证虚拟切换配置并检查 Open vSwitch 日志文件。
6.2. 查看当前端口状态
基本故障排除任务是创建与路由器连接的所有端口的清单,并确定端口状态(DOWN 或 ACTIVE)。
流程
要查看附加到名为 r1 路由器的所有端口,请运行以下命令:
openstack port list --router r1
# openstack port list --router r1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 要查看每个端口的详细信息,请运行以下命令:包含您要查看的端口的端口 ID。结果包括端口状态,如下例所示,如
ACTIVE状态:openstack port show b58d26f0-cc03-43c1-ab23-ccdb1018252a
# openstack port show b58d26f0-cc03-43c1-ab23-ccdb1018252aCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 为每个端口执行第 2 步以确定其状态。
6.3. 与 VLAN 提供商网络连接的故障排除
OpenStack 网络可以将 VLAN 网络中继到 SDN 交换机。支持 VLAN 标记的提供商网络意味着虚拟实例可以与物理网络中的服务器子网集成。
流程
使用
ping <gateway-IP-address>ping 网关。考虑这个示例,其中使用以下命令创建了一个网络:
openstack network create --provider-network-type vlan --provider-physical-network phy-eno1 --provider-segment 120 provider openstack subnet create --no-dhcp --allocation-pool start=192.168.120.1,end=192.168.120.153 --gateway 192.168.120.254 --network provider public_subnet
# openstack network create --provider-network-type vlan --provider-physical-network phy-eno1 --provider-segment 120 provider # openstack subnet create --no-dhcp --allocation-pool start=192.168.120.1,end=192.168.120.153 --gateway 192.168.120.254 --network provider public_subnetCopy to Clipboard Copied! Toggle word wrap Toggle overflow 在本例中,网关 IP 地址为 192.168.120.254。
ping 192.168.120.254
$ ping 192.168.120.254Copy to Clipboard Copied! Toggle word wrap Toggle overflow 如果 ping 失败,请执行以下操作:
确认您具有关联的 VLAN 的网络流。
VLAN ID 可能尚未设置。在本例中,OpenStack 网络配置为将 VLAN 120 中继到提供商网络。(请参见第 1 步中的示例中的 --provider:segmentation_id=120。)
使用命令
ovs-ofctl dump-flows <bridge-name>命令确认网桥接口上的 VLAN 流。在本例中,网桥名为 br-ex :
ovs-ofctl dump-flows br-ex NXST_FLOW reply (xid=0x4): cookie=0x0, duration=987.521s, table=0, n_packets=67897, n_bytes=14065247, idle_age=0, priority=1 actions=NORMAL cookie=0x0, duration=986.979s, table=0, n_packets=8, n_bytes=648, idle_age=977, priority=2,in_port=12 actions=drop
# ovs-ofctl dump-flows br-ex NXST_FLOW reply (xid=0x4): cookie=0x0, duration=987.521s, table=0, n_packets=67897, n_bytes=14065247, idle_age=0, priority=1 actions=NORMAL cookie=0x0, duration=986.979s, table=0, n_packets=8, n_bytes=648, idle_age=977, priority=2,in_port=12 actions=dropCopy to Clipboard Copied! Toggle word wrap Toggle overflow
6.4. 查看 VLAN 配置和日志文件
要帮助验证或排除部署故障排除,您可以:
- 验证 Red Hat Openstack Platform (RHOSP) 网络服务(neutron) 代理的注册和状态。
- 验证 VLAN 范围等网络配置值。
流程
使用
openstack network agent list命令来验证 RHOSP 网络服务代理是否已启动,并使用正确的主机名注册。Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
检查
/var/log/containers/neutron/openvswitch-agent.log。查找确认创建进程使用ovs-ofctl命令配置 VLAN 中继。 -
验证
/etc/neutron/l3_agent.ini文件中的external_network_bridge。如果external_network_bridge参数中有一个硬编码的值,则无法使用带有 L3-agent 的提供商网络,您无法创建必要的流。external_network_bridge值的格式必须是 'external_network_bridge = "" '。 -
检查
/etc/neutron/plugin.ini文件中的network_vlan_ranges值。对于提供商网络,不要指定数字 VLAN ID。仅在使用 VLAN 隔离项目网络时指定 ID。 -
验证
OVS agent configuration file bridge mappings,确认映射到phy-eno1的网桥存在,并正确连接到eno1。
6.5. 在 ML2/OVN 命名空间中执行基本 ICMP 测试
作为基本的故障排除步骤,您可以尝试从同一第 2 层网络上的 OVN 元数据接口 ping 实例。
先决条件
- RHOSP 部署,使用 ML2/OVN 作为网络服务 (neutron) 默认机制驱动程序。
流程
- 使用您的 Red Hat OpenStack Platform 凭证登录 overcloud。
-
运行
openstack server list命令以获取虚拟机实例的名称。 运行
openstack server show命令,以确定在其上运行实例的 Compute 节点。示例
openstack server show my_instance -c OS-EXT-SRV-ATTR:host \ -c addresses
$ openstack server show my_instance -c OS-EXT-SRV-ATTR:host \ -c addressesCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 登录 Compute 节点主机。
示例
ssh tripleo-admin@compute0.example.com
$ ssh tripleo-admin@compute0.example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow 运行
ip netns list命令以查看 OVN 元数据命名空间。输出示例
ovnmeta-07384836-6ab1-4539-b23a-c581cf072011 (id: 1) ovnmeta-df9c28ea-c93a-4a60-b913-1e611d6f15aa (id: 0)
ovnmeta-07384836-6ab1-4539-b23a-c581cf072011 (id: 1) ovnmeta-df9c28ea-c93a-4a60-b913-1e611d6f15aa (id: 0)Copy to Clipboard Copied! Toggle word wrap Toggle overflow 使用元数据命名空间运行
ip netns exec命令来 ping 关联的网络。示例
sudo ip netns exec ovnmeta-df9c28ea-c93a-4a60-b913-1e611d6f15aa \ ping 192.0.2.2
$ sudo ip netns exec ovnmeta-df9c28ea-c93a-4a60-b913-1e611d6f15aa \ ping 192.0.2.2Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
6.6. 从项目网络内进行故障排除(ML2/OVS)
在 Red Hat Openstack Platform (RHOSP) ML2/OVS 网络中,所有项目流量都包含在网络命名空间中,以便项目可以配置网络,而无需相互干扰。例如,网络命名空间允许不同的项目具有相同的子网范围 192.168.1.1/24,而不干扰它们。
先决条件
- RHOSP 部署,使用 ML2/OVS 作为网络服务(neutron)默认机制驱动程序。
流程
使用
openstack network list命令列出所有项目网络,确定哪个网络命名空间包含网络:openstack network list
$ openstack network listCopy to Clipboard Copied! Toggle word wrap Toggle overflow 在此输出中,请注意
web-servers网络的 ID (9cb32fe0-d7fb-432c-b116-f483c6497b08)。命令将网络 ID 附加到网络命名空间中,这可让您在下一步中识别命名空间。输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 使用
ip netns list命令列出所有网络命名空间:ip netns list
# ip netns listCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出中包含一个与
web-servers网络 ID 匹配的命名空间。在此输出中,命名空间为
qdhcp-9cb32fe0-d7fb-432c-b116-f483c6497b08。输出示例
qdhcp-9cb32fe0-d7fb-432c-b116-f483c6497b08 qrouter-31680a1c-9b3e-4906-bd69-cb39ed5faa01 qrouter-62ed467e-abae-4ab4-87f4-13a9937fbd6b qdhcp-a0cc8cdd-575f-4788-a3e3-5df8c6d0dd81 qrouter-e9281608-52a6-4576-86a6-92955df46f56
qdhcp-9cb32fe0-d7fb-432c-b116-f483c6497b08 qrouter-31680a1c-9b3e-4906-bd69-cb39ed5faa01 qrouter-62ed467e-abae-4ab4-87f4-13a9937fbd6b qdhcp-a0cc8cdd-575f-4788-a3e3-5df8c6d0dd81 qrouter-e9281608-52a6-4576-86a6-92955df46f56Copy to Clipboard Copied! Toggle word wrap Toggle overflow 通过在命名空间中运行命令(使用
ip netns exec <namespace>作为前缀)检查web-servers网络的配置。在本例中,使用了
route -n命令。示例
ip netns exec qrouter-62ed467e-abae-4ab4-87f4-13a9937fbd6b route -n
# ip netns exec qrouter-62ed467e-abae-4ab4-87f4-13a9937fbd6b route -nCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 172.24.4.225 0.0.0.0 UG 0 0 0 qg-8d128f89-87 172.24.4.224 0.0.0.0 255.255.255.240 U 0 0 0 qg-8d128f89-87 192.168.200.0 0.0.0.0 255.255.255.0 U 0 0 0 qr-8efd6357-96
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 172.24.4.225 0.0.0.0 UG 0 0 0 qg-8d128f89-87 172.24.4.224 0.0.0.0 255.255.255.240 U 0 0 0 qg-8d128f89-87 192.168.200.0 0.0.0.0 255.255.255.0 U 0 0 0 qr-8efd6357-96Copy to Clipboard Copied! Toggle word wrap Toggle overflow
6.7. 在命名空间内执行高级 ICMP 测试 (ML2/OVS)
您可以使用 tcpdump 和 ping 命令的组合对 Red Hat Openstack Platform (RHOSP) ML2/OVS 网络进行故障排除。
先决条件
- RHOSP 部署,使用 ML2/OVS 作为网络服务(neutron)默认机制驱动程序。
流程
使用
tcpdump命令捕获 ICMP 流量:示例
ip netns exec qrouter-62ed467e-abae-4ab4-87f4-13a9937fbd6b tcpdump -qnntpi any icmp
# ip netns exec qrouter-62ed467e-abae-4ab4-87f4-13a9937fbd6b tcpdump -qnntpi any icmpCopy to Clipboard Copied! Toggle word wrap Toggle overflow 在一个单独的命令行窗口中,对外部网络执行 ping 测试:
示例
ip netns exec qrouter-62ed467e-abae-4ab4-87f4-13a9937fbd6b ping www.example.com
# ip netns exec qrouter-62ed467e-abae-4ab4-87f4-13a9937fbd6b ping www.example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow 在运行 tcpdump 会话的终端中,观察 ping 测试的详细结果。
输出示例
tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes IP (tos 0xc0, ttl 64, id 55447, offset 0, flags [none], proto ICMP (1), length 88) 172.24.4.228 > 172.24.4.228: ICMP host 192.168.200.20 unreachable, length 68 IP (tos 0x0, ttl 64, id 22976, offset 0, flags [DF], proto UDP (17), length 60) 172.24.4.228.40278 > 192.168.200.21: [bad udp cksum 0xfa7b -> 0xe235!] UDP, length 32tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes IP (tos 0xc0, ttl 64, id 55447, offset 0, flags [none], proto ICMP (1), length 88) 172.24.4.228 > 172.24.4.228: ICMP host 192.168.200.20 unreachable, length 68 IP (tos 0x0, ttl 64, id 22976, offset 0, flags [DF], proto UDP (17), length 60) 172.24.4.228.40278 > 192.168.200.21: [bad udp cksum 0xfa7b -> 0xe235!] UDP, length 32Copy to Clipboard Copied! Toggle word wrap Toggle overflow
当您对流量执行 tcpdump 分析时,您会看到对路由器接口的响应数据包标题,而不是虚拟机实例。这是预期的行为,因为 qrouter 在返回数据包上执行目标网络地址转换 (DNAT)。
6.8. 为 OVN 故障排除命令创建别名
您可以在 ovn_controller 容器中运行 OVN 命令,如 ovn-nbctl show。该容器在 Controller 节点和 Compute 节点上运行。为简化您对命令的访问,请创建并提供定义别名的脚本。
先决条件
- 使用 ML2/OVN 部署 Red Hat OpenStack Platform 作为默认机制驱动程序。
流程
以具有访问 OVN 容器所需的权限的用户身份,登录 Controller 主机。
示例
ssh tripleo-admin@controller-0.ctlplane
$ ssh tripleo-admin@controller-0.ctlplaneCopy to Clipboard Copied! Toggle word wrap Toggle overflow 创建一个 shell 脚本文件,其中包含您要运行的
ovn命令。示例
vi ~/bin/ovn-alias.sh
vi ~/bin/ovn-alias.shCopy to Clipboard Copied! Toggle word wrap Toggle overflow 添加
ovn命令,并保存脚本文件。示例
在本例中,
ovn-sbctl、ovn-nbctl和ovn-trace命令已添加到别名文件中:Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 在 Compute 主机上重复此流程中的步骤。
验证
Source 脚本文件。
示例
source ovn-alias.sh
# source ovn-alias.shCopy to Clipboard Copied! Toggle word wrap Toggle overflow 运行命令以确认您的脚本文件正常工作。
示例
ovn-nbctl show
# ovn-nbctl showCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
6.9. 监控 OVN 逻辑流
OVN 使用逻辑流表,它们是具有优先级、匹配和操作的流表。这些逻辑流分布到每个 Red Hat Openstack Platform (RHOSP) Compute 节点上运行的 ovn-controller。在 Controller 节点上使用 ovn-sbctl lflow-list 命令查看完整的逻辑流集合。
先决条件
- 使用 ML2/OVN 作为网络服务(neutron)默认机制驱动程序的 RHOSP 部署。
为 OVN 数据库命令创建一个别名文件。
流程
以具有访问 OVN 容器所需的权限的用户身份,登录 Controller 主机。
示例
ssh tripleo-admin@controller-0.ctlplane
$ ssh tripleo-admin@controller-0.ctlplaneCopy to Clipboard Copied! Toggle word wrap Toggle overflow 提供 OVN 数据库命令的别名文件。
更多信息请参阅 第 6.8 节 “为 OVN 故障排除命令创建别名”。
示例
source ~/ovn-alias.sh
source ~/ovn-alias.shCopy to Clipboard Copied! Toggle word wrap Toggle overflow 查看逻辑流:
ovn-sbctl lflow-list
$ ovn-sbctl lflow-listCopy to Clipboard Copied! Toggle word wrap Toggle overflow 检查输出。
输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow OVN 和 OpenFlow 之间的主要区别包括:
- OVN 端口是位于网络中某个位置的逻辑实体,而不是单个交换机上的物理端口。
- OVN 为管道中的每个表提供一个名称,编号除外。name 描述了管道中该阶段的目的。
- OVN 匹配语法支持复杂的布尔值表达式。
- OVN 逻辑流中支持的操作将超出 OpenFlow 的逻辑流。您可以在 OVN 逻辑流语法中实施更高级别的功能,如 DHCP。
运行 OVN 跟踪。
ovn-trace命令可以模拟数据包如何通过 OVN 逻辑流传输,或者帮助您确定丢弃数据包的原因。使用以下参数提供ovn-trace命令:- DATAPATH
- 启动模拟数据包的逻辑交换机或逻辑路由器。
- MICROFLOW
模拟数据包,采用
ovn-sb数据库使用的语法。示例
这个示例在模拟数据包中显示
--minimal输出选项,并显示数据包到达其目的地:ovn-trace --minimal sw0 'inport == "sw0-port1" && eth.src == 00:00:00:00:00:01 && eth.dst == 00:00:00:00:00:02'
$ ovn-trace --minimal sw0 'inport == "sw0-port1" && eth.src == 00:00:00:00:00:01 && eth.dst == 00:00:00:00:00:02'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
reg14=0x1,vlan_tci=0x0000,dl_src=00:00:00:00:00:01,dl_dst=00:00:00:00:00:02,dl_type=0x0000 output("sw0-port2");# reg14=0x1,vlan_tci=0x0000,dl_src=00:00:00:00:00:01,dl_dst=00:00:00:00:00:02,dl_type=0x0000 output("sw0-port2");Copy to Clipboard Copied! Toggle word wrap Toggle overflow 示例
如需更多详情,这个同一模拟数据包的
--summary输出显示完整的执行管道:ovn-trace --summary sw0 'inport == "sw0-port1" && eth.src == 00:00:00:00:00:01 && eth.dst == 00:00:00:00:00:02'
$ ovn-trace --summary sw0 'inport == "sw0-port1" && eth.src == 00:00:00:00:00:01 && eth.dst == 00:00:00:00:00:02'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
示例输出显示:
-
数据包从
sw0-port1端口输入sw0网络并运行 ingress 管道。 -
outport变量设为sw0-port2,这表示此数据包的预期目的地为sw0-port2。 -
数据包从 ingress 管道输出,并导向
outport变量设置为sw0-port2的sw0的 egress 管道。 输出操作在出口管道中执行,它会将数据包输出到
outport变量的当前值,即sw0-port2。Copy to Clipboard Copied! Toggle word wrap Toggle overflow
-
数据包从
6.10. 监控 OpenFlows
您可以使用 ovs-ofctl dump-flows 命令监控 Red Hat Openstack Platform (RHOSP) 网络的逻辑交换机上的 OpenFlow 流。
先决条件
- 使用 ML2/OVN 作为网络服务(neutron)默认机制驱动程序的 RHOSP 部署。
流程
以具有访问 OVN 容器所需的权限的用户身份,登录 Controller 主机。
示例
ssh tripleo-admin@controller-0.ctlplane
$ ssh tripleo-admin@controller-0.ctlplaneCopy to Clipboard Copied! Toggle word wrap Toggle overflow 运行
ovs-ofctl dump-flows命令。示例
sudo ovs-ofctl dump-flows br-int
$ sudo ovs-ofctl dump-flows br-intCopy to Clipboard Copied! Toggle word wrap Toggle overflow 检查输出,它类似于以下输出:
输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
6.11. 验证 ML2/OVN 部署
在 Red Hat OpenStack Platform (RHOSP) 部署中验证 ML2/OVN 网络包括创建测试网络和子网,并执行诊断任务,如验证 specfic 容器是否正在运行。
先决条件
- RHOSP 的新部署,ML2/OVN 作为网络服务 (neutron) 默认机制驱动程序。
为 OVN 数据库命令创建一个别名文件。
流程
创建测试网络和子网。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 如果您遇到错误,请执行以下步骤。
验证相关容器是否在 Controller 主机上运行:
以具有访问 OVN 容器所需的权限的用户身份,登录 Controller 主机。
示例
ssh tripleo-admin@controller-0.ctlplane
$ ssh tripleo-admin@controller-0.ctlplaneCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输入以下命令:
sudo podman ps -a --format="{{.Names}}"|grep ovn$ sudo podman ps -a --format="{{.Names}}"|grep ovnCopy to Clipboard Copied! Toggle word wrap Toggle overflow 如以下示例所示,输出应列出 OVN 容器:
输出示例
container-puppet-ovn_controller ovn_cluster_north_db_server ovn_cluster_south_db_server ovn_cluster_northd ovn_controller
container-puppet-ovn_controller ovn_cluster_north_db_server ovn_cluster_south_db_server ovn_cluster_northd ovn_controllerCopy to Clipboard Copied! Toggle word wrap Toggle overflow
验证相关容器是否在 Compute 主机上运行:
以具有访问 OVN 容器的所需特权的用户身份登录计算主机。
示例
ssh tripleo-admin@compute-0.ctlplane
$ ssh tripleo-admin@compute-0.ctlplaneCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输入以下命令:
sudo podman ps -a --format="{{.Names}}"|grep ovn$ sudo podman ps -a --format="{{.Names}}"|grep ovnCopy to Clipboard Copied! Toggle word wrap Toggle overflow 如以下示例所示,输出应列出 OVN 容器:
输出示例
container-puppet-ovn_controller ovn_metadata_agent ovn_controller
container-puppet-ovn_controller ovn_metadata_agent ovn_controllerCopy to Clipboard Copied! Toggle word wrap Toggle overflow
检查日志文件是否有错误消息。
grep -r ERR /var/log/containers/openvswitch/ /var/log/containers/neutron/
grep -r ERR /var/log/containers/openvswitch/ /var/log/containers/neutron/Copy to Clipboard Copied! Toggle word wrap Toggle overflow 提供别名文件,以运行 OVN 数据库命令。
更多信息请参阅 第 6.8 节 “为 OVN 故障排除命令创建别名”。
示例
source ~/ovn-alias.sh
$ source ~/ovn-alias.shCopy to Clipboard Copied! Toggle word wrap Toggle overflow 查询北向和南向数据库,以检查响应。
ovn-nbctl show ovn-sbctl show
# ovn-nbctl show # ovn-sbctl showCopy to Clipboard Copied! Toggle word wrap Toggle overflow 尝试从同一第 2 层网络上的 OVN 元数据接口 ping 实例。
- 如果您需要联系红帽以获取支持,请执行 Red Hat Solution 中描述的步骤,如何收集红帽支持所需的所有日志以调查 OpenStack 问题。
6.12. 为 ML2/OVN 设置日志记录模式
将 ML2/OVN 日志记录设置为 debug 模式以提供额外的故障排除信息。在不需要额外的调试信息时,将日志记录重新设置为 info 模式以使用较少的磁盘空间。
先决条件
- 使用 ML2/OVN 部署 Red Hat OpenStack Platform 作为默认机制驱动程序。
流程
以具有访问 OVN 容器所需的权限的用户身份,登录 Controller 或 Compute 节点。
示例
ssh tripleo-admin@controller-0.ctlplane
$ ssh tripleo-admin@controller-0.ctlplaneCopy to Clipboard Copied! Toggle word wrap Toggle overflow 设置 ML2/OVN 日志记录模式。
- Debug 日志模式
sudo podman exec -it ovn_controller ovn-appctl -t ovn-controller vlog/set dbg
$ sudo podman exec -it ovn_controller ovn-appctl -t ovn-controller vlog/set dbgCopy to Clipboard Copied! Toggle word wrap Toggle overflow - Info 日志模式
sudo podman exec -it ovn_controller ovn-appctl -t ovn-controller vlog/set info
$ sudo podman exec -it ovn_controller ovn-appctl -t ovn-controller vlog/set infoCopy to Clipboard Copied! Toggle word wrap Toggle overflow
验证
确认
ovn-controller容器日志现在包含 debug 信息:sudo grep DBG /var/log/containers/openvswitch/ovn-controller.log
$ sudo grep DBG /var/log/containers/openvswitch/ovn-controller.logCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
您应该看到包含字符串
|DBG|的最新日志消息:2022-09-29T20:52:54.638Z|00170|vconn(ovn_pinctrl0)|DBG|unix:/var/run/openvswitch/br-int.mgmt: received: OFPT_ECHO_REQUEST (OF1.5) (xid=0x0): 0 bytes of payload 2022-09-29T20:52:54.638Z|00171|vconn(ovn_pinctrl0)|DBG|unix:/var/run/openvswitch/br-int.mgmt: sent (Success): OFPT_ECHO_REPLY (OF1.5) (xid=0x0): 0 bytes of payload
2022-09-29T20:52:54.638Z|00170|vconn(ovn_pinctrl0)|DBG|unix:/var/run/openvswitch/br-int.mgmt: received: OFPT_ECHO_REQUEST (OF1.5) (xid=0x0): 0 bytes of payload 2022-09-29T20:52:54.638Z|00171|vconn(ovn_pinctrl0)|DBG|unix:/var/run/openvswitch/br-int.mgmt: sent (Success): OFPT_ECHO_REPLY (OF1.5) (xid=0x0): 0 bytes of payloadCopy to Clipboard Copied! Toggle word wrap Toggle overflow 确认 ovn-controller 容器日志包含类似如下的字符串:
...received request vlog/set["info"], id=0
...received request vlog/set["info"], id=0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
6.13. 修复无法在边缘站点上注册的 OVN 控制器
- 问题
Red Hat OpenStack Platform (RHOSP) 边缘站点上的 OVN 控制器无法注册。
注意这个错误可能会在从早期 RHOSP 版本-RHOSP 16.1.7 及更早版本 或 RHOSP 16.2.0 更新的 RHOSP 17.0 ML2/OVN 部署中发生。
- 错误示例
遇到的错误类似如下:
2021-04-12T09:14:48.994Z|04754|ovsdb_idl|WARN|transaction error: {"details":"Transaction causes multiple rows in \"Encap\" table to have identical values (geneve and \"10.14.2.7\") for index on columns \"type\" and \"ip\". First row, with UUID 3973cad5-eb8a-4f29-85c3-c105d861c0e0, was inserted by this transaction. Second row, with UUID f06b71a8-4162-475b-8542-d27db3a9097a, existed in the database before this transaction and was not modified by the transaction.","error":"constraint violation"}2021-04-12T09:14:48.994Z|04754|ovsdb_idl|WARN|transaction error: {"details":"Transaction causes multiple rows in \"Encap\" table to have identical values (geneve and \"10.14.2.7\") for index on columns \"type\" and \"ip\". First row, with UUID 3973cad5-eb8a-4f29-85c3-c105d861c0e0, was inserted by this transaction. Second row, with UUID f06b71a8-4162-475b-8542-d27db3a9097a, existed in the database before this transaction and was not modified by the transaction.","error":"constraint violation"}Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 原因
-
如果
ovn-controller进程替换了主机名,它会注册另一个包含另一个 encap 条目的机箱条目。如需更多信息,请参阅 BZ#1948472。 - 解决方案
按照以下步骤解决这个问题:
如果您还没有这么做,请为稍后您将在此流程中使用的必要 OVN 数据库命令创建别名。
如需更多信息,请参阅为 OVN 故障排除命令创建别名。
以具有访问 OVN 容器所需的权限的用户身份,登录 Controller 主机。
示例
ssh tripleo-admin@controller-0.ctlplane
$ ssh tripleo-admin@controller-0.ctlplaneCopy to Clipboard Copied! Toggle word wrap Toggle overflow -
从
/var/log/containers/openvswitch/ovn-controller.log获取 IP 地址 确认 IP 地址正确:
ovn-sbctl list encap |grep -a3 <IP address from ovn-controller.log>
ovn-sbctl list encap |grep -a3 <IP address from ovn-controller.log>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 删除包含 IP 地址的机箱:
ovn-sbctl chassis-del <chassis-id>
ovn-sbctl chassis-del <chassis-id>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 检查
Chassis_Private表,以确认删除了机箱:ovn-sbctl find Chassis_private chassis="[]"
ovn-sbctl find Chassis_private chassis="[]"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 如果报告任何条目,使用以下命令删除它们:
ovn-sbctl destroy Chassis_Private <listed_id>
$ ovn-sbctl destroy Chassis_Private <listed_id>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 重启以下容器:
-
tripleo_ovn_controller tripleo_ovn_metadata_agentsudo systemctl restart tripleo_ovn_controller sudo systemctl restart tripleo_ovn_metadata_agent
$ sudo systemctl restart tripleo_ovn_controller $ sudo systemctl restart tripleo_ovn_metadata_agentCopy to Clipboard Copied! Toggle word wrap Toggle overflow
-
验证
确认 OVN 代理正在运行:
openstack network agent list -c "Agent Type" -c State -c Binary
$ openstack network agent list -c "Agent Type" -c State -c BinaryCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
6.14. ML2/OVN 日志文件
日志文件跟踪与 ML2/OVN 机制驱动程序的部署和操作相关的事件。
| 节点 | Log | 路径 /var/log/containers/openvswitch... |
|---|---|---|
| Controller, Compute, Networking | OVS 北向数据库服务器 |
|
| Controller | OVS 北向数据库服务器 |
|
| Controller | OVS 南向数据库服务器 |
|
| Controller | OVN 北向数据库服务器 |
|
第 7 章 为 OpenStack 网络配置物理交换机
本章记录了 OpenStack 网络所需的常见物理交换机配置步骤。某些交换机包括特定于供应商的配置。
7.1. 规划您的物理网络环境
OpenStack 节点中的物理网络适配器执行不同类型的网络流量,如实例流量、存储数据或身份验证请求。这些 NIC 的流量类型会影响您必须在物理交换机上配置端口。
首先,您必须决定要处理哪些类型的物理 NIC oFn 您的 Compute 节点。然后,当 NIC 电缆到物理交换机端口时,您必须配置交换机端口以允许中继或常规流量。
例如,下图描述了带有两个 NIC (eth0 和 eth1) 的 Compute 节点。每个 NIC 都连接到物理交换机上的千兆以太网端口,eth0 承载实例流量,以及为 OpenStack 服务提供连接的 eth1 :
图 7.1. 网络布局示例
此图不包括容错所需的任何其他冗余 NIC。
7.2. 配置 Cisco Catalyst 交换机
7.2.1. 关于中继端口
通过 OpenStack 网络,您可以将实例连接到物理网络上已存在的 VLAN。术语 trunk 用于描述允许多个 VLAN 遍历同一端口的端口。通过使用这些端口,VLAN 可以跨越多个交换机,包括虚拟交换机。例如,在物理网络中标记为 VLAN110 的流量到达 Compute 节点,其中 8021q 模块将标记的流量定向到 vSwitch 上的相应 VLAN。
7.2.2. 为 Cisco Catalyst 交换机配置中继端口
如果使用运行 Cisco IOS 的 Cisco Catalyst 交换机,您可以使用以下配置语法来允许 VLAN 110 和 111 的流量传递到您的实例。
在此配置中,假定您的物理节点有一个以太网电缆连接到物理交换机上的 GigabitEthernet1/0/12 接口 GigabitEthernet1/0/12。
重要这些值是示例。您必须更改此示例中的值,使其与环境中的值匹配。在不调整的情况下将这些值复制并粘贴到交换机配置中可能会导致意外中断。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 使用以下列表了解这些参数:
Expand 字段 描述 interface GigabitEthernet1/0/12X 节点连接的交换机端口。确保将
GigabitEthernet1/0/12值替换为您的环境的正确端口值。使用 show interface 命令查看端口列表。描述 Trunk 到 Compute 节点一个唯一的具有描述性的值,可用于识别此接口。
生成树端口快速中继如果您的环境使用 STP,则将此值设置为指示此端口用于中继流量的 Port Fast。
switchport 中继封装点1q启用 802.1q 中继标准(而不是 ISL)。此值因交换机支持的配置而异。
switchport 模式中继将此端口配置为中继端口,而不是访问端口,这意味着它允许 VLAN 流量传递给虚拟交换机。
switchport 中继原生 vlan 2设置原生 VLAN,以指示发送未标记(非 VLAN)流量的交换机。
switchport trunk allowed vlan 2,110,111定义通过中继允许哪些 VLAN。
7.2.3. 关于访问端口
不是 Compute 节点上的所有 NIC 都传输实例流量,因此您不需要配置所有 NIC 以允许多个 VLAN 传递。访问端口只需要一个 VLAN,并可能满足其他操作要求,如传输管理流量或块存储数据。这些端口通常称为访问端口,通常需要配置比中继端口更简单。
7.2.4. 为 Cisco Catalyst 交换机配置访问端口
使用 图 7.1 “网络布局示例” 图中的示例,GigabitEthernet1/0/13 (在 Cisco Catalyst 交换机上)被配置为
eth1的访问端口。在此配置中,您的物理节点有一个以太网电缆连接到物理交换机上的 GigabitEthernet1/0/12 接口 GigabitEthernet1/0/12。
重要这些值是示例。您必须更改此示例中的值,使其与环境中的值匹配。在不调整的情况下将这些值复制并粘贴到交换机配置中可能会导致意外中断。
interface GigabitEthernet1/0/13 description Access port for Compute Node switchport mode access switchport access vlan 200 spanning-tree portfast
interface GigabitEthernet1/0/13 description Access port for Compute Node switchport mode access switchport access vlan 200 spanning-tree portfastCopy to Clipboard Copied! Toggle word wrap Toggle overflow 这些设置如下所述:
Expand 字段 描述 interface GigabitEthernet1/0/13X 节点连接的交换机端口。确保将
GigabitEthernet1/0/12值替换为您的环境的正确端口值。使用 show interface 命令查看端口列表。Compute 节点的描述访问端口一个唯一的具有描述性的值,可用于识别此接口。
switchport 模式访问将此端口配置为访问端口,而不是中继端口。
switchport 访问 vlan 200配置端口,以允许 VLAN 200 上的流量。您必须使用此 VLAN 中的 IP 地址配置 Compute 节点。
acrossing-tree portfast如果使用 STP,则将此值设置为指示 STP 不尝试将其初始化为中继,从而在初始连接期间允许更快的端口握手(如服务器重启)。
7.2.5. 关于 LACP 端口聚合
您可以使用链路聚合控制协议(LACP)将多个物理 NIC 捆绑在一起,以形成单个逻辑频道。LACP 也称为 802.3ad (或 Linux 中的绑定模式 4),LACP 为负载平衡和容错创建动态绑定。您必须在两个物理端配置 LACP:物理 NIC 和物理交换机端口上。
7.2.6. 在物理 NIC 上配置 LACP
您可以在物理 NIC 上配置链路聚合控制协议(LACP)。
流程
编辑 /home/stack/network-environment.yaml 文件:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 将 Open vSwitch 网桥配置为使用 LACP:
BondInterfaceOvsOptions: "mode=802.3ad"BondInterfaceOvsOptions: "mode=802.3ad"Copy to Clipboard Copied! Toggle word wrap Toggle overflow
7.2.7. 为 Cisco Catalyst 交换机配置 LACP
在本例中,Compute 节点有两个使用 VLAN 100 的 NIC:
流程
- 在 Compute 节点上物理将 Compute 节点上的 NIC 连接到交换机(例如,端口 12 和 13)。
创建 LACP 端口频道:
interface port-channel1 switchport access vlan 100 switchport mode access spanning-tree guard root
interface port-channel1 switchport access vlan 100 switchport mode access spanning-tree guard rootCopy to Clipboard Copied! Toggle word wrap Toggle overflow 配置交换机端口 12 (Gi1/0/12)和 13 (Gi1/0/13):
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 检查您的新端口频道。生成的输出列出了新 port-channel
Po1,成员端口Gi1/0/12和Gi1/0/13:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注意请注意,需要将 running-config 复制到 startup-config 以使变化生效:
copy running-config startup-config。
7.2.8. 关于 MTU 设置
您必须调整某些类型的网络流量的 MTU 大小。例如,某些 NFS 或 iSCSI 流量需要巨型帧 (9000 字节)。
您必须更改流量预期通过的所有跃点(包括任何虚拟交换机)的端到端的 MTU 设置。
7.2.9. 为 Cisco Catalyst 交换机配置 MTU 设置
完成本示例流程中的步骤,在 Cisco Catalyst 3750 交换机上启用巨型帧。
查看当前的 MTU 设置:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 在 3750 交换机上更改 MTU 设置,而不是针对各个接口更改。运行以下命令,将交换机配置为使用 9000 字节的巨型帧。如果您的交换机支持此功能,您可能希望为单个接口配置 MTU 设置。
sw01# config t Enter configuration commands, one per line. End with CNTL/Z. sw01(config)# system mtu jumbo 9000 Changes to the system jumbo MTU will not take effect until the next reload is done
sw01# config t Enter configuration commands, one per line. End with CNTL/Z. sw01(config)# system mtu jumbo 9000 Changes to the system jumbo MTU will not take effect until the next reload is doneCopy to Clipboard Copied! Toggle word wrap Toggle overflow 注意请注意,需要将 running-config 复制到 startup-config 以保持变化:
copy running-config startup-config。重新加载交换机以应用更改。
重要重新加载交换机会导致对依赖于交换机的任何设备造成网络中断。因此,仅在计划的维护期间重新加载交换机。
sw01# reload Proceed with reload? [confirm]
sw01# reload Proceed with reload? [confirm]Copy to Clipboard Copied! Toggle word wrap Toggle overflow 重新加载交换机后,确认新的巨型 MTU 大小。
具体输出可能会因交换机模型而异。例如,系统 MTU 可能适用于非Gigabit 接口,Jumbo MTU 可能会描述所有 Gigabit 接口。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
7.2.10. 关于 LLDP 发现
ironic-python-agent 服务侦听来自连接的交换机的 LLDP 数据包。收集的信息可以包含交换机名称、端口详细信息和可用的 VLAN。与 Cisco Discovery Protocol (CDP) 类似,LLDP 有助于在 director 内省过程中发现物理硬件。
7.2.11. 为 Cisco Catalyst 交换机配置 LLDP
流程
运行
lldp run命令,在您的 Cisco Catalyst 交换机上全局启用 LLDP:sw01# config t Enter configuration commands, one per line. End with CNTL/Z. sw01(config)# lldp run
sw01# config t Enter configuration commands, one per line. End with CNTL/Z. sw01(config)# lldp runCopy to Clipboard Copied! Toggle word wrap Toggle overflow 查看任何与 LLDP 兼容的设备:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
请注意,需要将 running-config 复制到 startup-config 以保持变化:copy running-config startup-config。
7.3. 配置 Cisco Nexus 交换机
7.3.1. 关于中继端口
通过 OpenStack 网络,您可以将实例连接到物理网络上已存在的 VLAN。术语 trunk 用于描述允许多个 VLAN 遍历同一端口的端口。通过使用这些端口,VLAN 可以跨越多个交换机,包括虚拟交换机。例如,在物理网络中标记为 VLAN110 的流量到达 Compute 节点,其中 8021q 模块将标记的流量定向到 vSwitch 上的相应 VLAN。
7.3.2. 为 Cisco Nexus 交换机配置中继端口
如果使用 Cisco Nexus,您可以使用以下配置语法来允许 VLAN 110 和 111 的流量传递到您的实例。
此配置假设您的物理节点有一个以太网电缆连接到物理交换机上的
Ethernet1/12接口。重要这些值是示例。您必须更改此示例中的值,使其与环境中的值匹配。在不调整的情况下将这些值复制并粘贴到交换机配置中可能会导致意外中断。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
7.3.3. 关于访问端口
不是 Compute 节点上的所有 NIC 都传输实例流量,因此您不需要配置所有 NIC 以允许多个 VLAN 传递。访问端口只需要一个 VLAN,并可能满足其他操作要求,如传输管理流量或块存储数据。这些端口通常称为访问端口,通常需要配置比中继端口更简单。
7.3.4. 为 Cisco Nexus 交换机配置访问端口
流程
使用 图 7.1 “网络布局示例” 图中的示例,Ethernet1/13 (在 Cisco Nexus 交换机上)配置为
eth1的访问端口。此配置假设您的物理节点有一个以太网电缆连接到物理交换机上的Ethernet1/13接口。重要这些值是示例。您必须更改此示例中的值,使其与环境中的值匹配。在不调整的情况下将这些值复制并粘贴到交换机配置中可能会导致意外中断。
interface Ethernet1/13 description Access port for Compute Node switchport mode access switchport access vlan 200
interface Ethernet1/13 description Access port for Compute Node switchport mode access switchport access vlan 200Copy to Clipboard Copied! Toggle word wrap Toggle overflow
7.3.5. 关于 LACP 端口聚合
您可以使用链路聚合控制协议(LACP)将多个物理 NIC 捆绑在一起,以形成单个逻辑频道。LACP 也称为 802.3ad (或 Linux 中的绑定模式 4),LACP 为负载平衡和容错创建动态绑定。您必须在两个物理端配置 LACP:物理 NIC 和物理交换机端口上。
7.3.6. 在物理 NIC 上配置 LACP
您可以在物理 NIC 上配置链路聚合控制协议(LACP)。
流程
编辑 /home/stack/network-environment.yaml 文件:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 将 Open vSwitch 网桥配置为使用 LACP:
BondInterfaceOvsOptions: "mode=802.3ad"BondInterfaceOvsOptions: "mode=802.3ad"Copy to Clipboard Copied! Toggle word wrap Toggle overflow
7.3.7. 为 Cisco Nexus 交换机配置 LACP
在本例中,Compute 节点有两个使用 VLAN 100 的 NIC:
流程
- 物理地将 Compute 节点 NIC 连接到交换机(例如,端口 12 和 13)。
确认 LACP 已启用:
show feature | include lacp lacp 1 enabled
(config)# show feature | include lacp lacp 1 enabledCopy to Clipboard Copied! Toggle word wrap Toggle overflow 将端口 1/12 和 1/13 配置为访问端口,以及作为频道组的成员。
根据您的部署,您可以部署中继接口而不是访问接口。
例如,对于 Cisco UCI,NIC 是虚拟接口,因此您可能需要单独配置访问端口。这些接口通常包含 VLAN 标记配置。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
当您使用 PXE 在 Cisco 交换机上置备节点时,您可能需要设置选项 no lacp graceful-convergence 和 no lacp suspend-individual 来调出端口并引导服务器。如需更多信息,请参阅 Cisco 交换机文档。
7.3.8. 关于 MTU 设置
您必须调整某些类型的网络流量的 MTU 大小。例如,某些 NFS 或 iSCSI 流量需要巨型帧 (9000 字节)。
您必须更改流量预期通过的所有跃点(包括任何虚拟交换机)的端到端的 MTU 设置。
7.3.9. 为 Cisco Nexus 7000 交换机配置 MTU 设置
将 MTU 设置应用到 7000 系列交换机上的单个接口。
流程
运行以下命令将接口 1/12 配置为使用 9000 字节的巨型帧:
interface ethernet 1/12 mtu 9216 exit
interface ethernet 1/12 mtu 9216 exitCopy to Clipboard Copied! Toggle word wrap Toggle overflow
7.3.10. 关于 LLDP 发现
ironic-python-agent 服务侦听来自连接的交换机的 LLDP 数据包。收集的信息可以包含交换机名称、端口详细信息和可用的 VLAN。与 Cisco Discovery Protocol (CDP) 类似,LLDP 有助于在 director 内省过程中发现物理硬件。
7.3.11. 为 Cisco Nexus 7000 交换机配置 LLDP
流程
您可以为 Cisco Nexus 7000-series 交换机上的单个接口启用 LLDP:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
请注意,需要将 running-config 复制到 startup-config 以保持变化:copy running-config startup-config。
7.4. 配置 Cumulus Linux 交换机
7.4.1. 关于中继端口
通过 OpenStack 网络,您可以将实例连接到物理网络上已存在的 VLAN。术语 trunk 用于描述允许多个 VLAN 遍历同一端口的端口。通过使用这些端口,VLAN 可以跨越多个交换机,包括虚拟交换机。例如,在物理网络中标记为 VLAN110 的流量到达 Compute 节点,其中 8021q 模块将标记的流量定向到 vSwitch 上的相应 VLAN。
7.4.2. 为 Cumulus Linux 交换机配置中继端口
此配置假设您的物理节点已转换,以切换物理交换机上的端口 swp1 和 swp2。
这些值是示例。您必须更改此示例中的值,使其与环境中的值匹配。在不调整的情况下将这些值复制并粘贴到交换机配置中可能会导致意外中断。
流程
使用以下配置语法,允许 VLAN 100 和 200 的流量传递到您的实例。
auto bridge iface bridge bridge-vlan-aware yes bridge-ports glob swp1-2 bridge-vids 100 200
auto bridge iface bridge bridge-vlan-aware yes bridge-ports glob swp1-2 bridge-vids 100 200Copy to Clipboard Copied! Toggle word wrap Toggle overflow
7.4.3. 关于访问端口
不是 Compute 节点上的所有 NIC 都传输实例流量,因此您不需要配置所有 NIC 以允许多个 VLAN 传递。访问端口只需要一个 VLAN,并可能满足其他操作要求,如传输管理流量或块存储数据。这些端口通常称为访问端口,通常需要配置比中继端口更简单。
7.4.4. 为 Cumulus Linux 交换机配置访问端口
此配置假设您的物理节点有一个以太网电缆连接到物理交换机上的接口。Cumulus Linux 交换机将 eth 用于管理界面,swp 用于 access/trunk 端口。
这些值是示例。您必须更改此示例中的值,使其与环境中的值匹配。在不调整的情况下将这些值复制并粘贴到交换机配置中可能会导致意外中断。
流程
使用 图 7.1 “网络布局示例” 图中的示例,
swp1(在 Cumulus Linux 交换机中)被配置为访问端口。Copy to Clipboard Copied! Toggle word wrap Toggle overflow
7.4.5. 关于 LACP 端口聚合
您可以使用链路聚合控制协议(LACP)将多个物理 NIC 捆绑在一起,以形成单个逻辑频道。LACP 也称为 802.3ad (或 Linux 中的绑定模式 4),LACP 为负载平衡和容错创建动态绑定。您必须在两个物理端配置 LACP:物理 NIC 和物理交换机端口上。
7.4.6. 关于 MTU 设置
您必须调整某些类型的网络流量的 MTU 大小。例如,某些 NFS 或 iSCSI 流量需要巨型帧 (9000 字节)。
您必须更改流量预期通过的所有跃点(包括任何虚拟交换机)的端到端的 MTU 设置。
7.4.7. 为 Cumulus Linux 交换机配置 MTU 设置
流程
这个示例在 Cumulus Linux 交换机上启用了巨型帧。
auto swp1 iface swp1 mtu 9000
auto swp1 iface swp1 mtu 9000Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注意记得通过重新载入更新的配置来应用您的更改:
sudo ifreload -a
7.4.8. 关于 LLDP 发现
ironic-python-agent 服务侦听来自连接的交换机的 LLDP 数据包。收集的信息可以包含交换机名称、端口详细信息和可用的 VLAN。与 Cisco Discovery Protocol (CDP) 类似,LLDP 有助于在 director 内省过程中发现物理硬件。
7.4.9. 为 Cumulus Linux 交换机配置 LLDP
默认情况下,LLDP 服务 lldpd 作为守护进程运行,在切换引导时启动。
流程
要查看所有端口/接口上的所有 LLDP 邻居,请运行以下命令:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
7.5. 配置 Extreme Exos 交换机
7.5.1. 关于中继端口
通过 OpenStack 网络,您可以将实例连接到物理网络上已存在的 VLAN。术语 trunk 用于描述允许多个 VLAN 遍历同一端口的端口。通过使用这些端口,VLAN 可以跨越多个交换机,包括虚拟交换机。例如,在物理网络中标记为 VLAN110 的流量到达 Compute 节点,其中 8021q 模块将标记的流量定向到 vSwitch 上的相应 VLAN。
7.5.2. 在 Extreme Networks EXOS 交换机上配置中继端口
如果使用 X-670 系列交换机,请参考以下示例,允许 VLAN 110 和 111 传递给您的实例。
这些值是示例。您必须更改此示例中的值,使其与环境中的值匹配。在不调整的情况下将这些值复制并粘贴到交换机配置中可能会导致意外中断。
流程
此配置假设您的物理节点有一个以太网电缆连接到物理交换机上的接口 24。在本例中,DATA 和 MNGT 是 VLAN 名称。
#create vlan DATA tag 110 #create vlan MNGT tag 111 #configure vlan DATA add ports 24 tagged #configure vlan MNGT add ports 24 tagged
#create vlan DATA tag 110 #create vlan MNGT tag 111 #configure vlan DATA add ports 24 tagged #configure vlan MNGT add ports 24 taggedCopy to Clipboard Copied! Toggle word wrap Toggle overflow
7.5.3. 关于访问端口
不是 Compute 节点上的所有 NIC 都传输实例流量,因此您不需要配置所有 NIC 以允许多个 VLAN 传递。访问端口只需要一个 VLAN,并可能满足其他操作要求,如传输管理流量或块存储数据。这些端口通常称为访问端口,通常需要配置比中继端口更简单。
7.5.4. 为 Extreme Networks EXOS 交换机配置访问端口
此配置假设您的物理节点有一个以太网电缆连接到物理交换机上的接口 10。
这些值是示例。您必须更改此示例中的值,使其与环境中的值匹配。在不调整的情况下将这些值复制并粘贴到交换机配置中可能会导致意外中断。
流程
在此配置示例中,在 Extreme Networks X-670 系列交换机上,
10用作eth1的访问端口。create vlan VLANNAME tag NUMBER configure vlan Default delete ports PORTSTRING configure vlan VLANNAME add ports PORTSTRING untagged
create vlan VLANNAME tag NUMBER configure vlan Default delete ports PORTSTRING configure vlan VLANNAME add ports PORTSTRING untaggedCopy to Clipboard Copied! Toggle word wrap Toggle overflow 例如:
#create vlan DATA tag 110 #configure vlan Default delete ports 10 #configure vlan DATA add ports 10 untagged
#create vlan DATA tag 110 #configure vlan Default delete ports 10 #configure vlan DATA add ports 10 untaggedCopy to Clipboard Copied! Toggle word wrap Toggle overflow
7.5.5. 关于 LACP 端口聚合
您可以使用链路聚合控制协议(LACP)将多个物理 NIC 捆绑在一起,以形成单个逻辑频道。LACP 也称为 802.3ad (或 Linux 中的绑定模式 4),LACP 为负载平衡和容错创建动态绑定。您必须在两个物理端配置 LACP:物理 NIC 和物理交换机端口上。
7.5.6. 在物理 NIC 上配置 LACP
您可以在物理 NIC 上配置链路聚合控制协议(LACP)。
流程
编辑 /home/stack/network-environment.yaml 文件:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 将 Open vSwitch 网桥配置为使用 LACP:
BondInterfaceOvsOptions: "mode=802.3ad"BondInterfaceOvsOptions: "mode=802.3ad"Copy to Clipboard Copied! Toggle word wrap Toggle overflow
7.5.7. 在 Extreme Networks EXOS 交换机上配置 LACP
流程
在本例中,Compute 节点有两个使用 VLAN 100 的 NIC:
enable sharing MASTERPORT grouping ALL_LAG_PORTS lacp configure vlan VLANNAME add ports PORTSTRING tagged
enable sharing MASTERPORT grouping ALL_LAG_PORTS lacp configure vlan VLANNAME add ports PORTSTRING taggedCopy to Clipboard Copied! Toggle word wrap Toggle overflow 例如:
#enable sharing 11 grouping 11,12 lacp #configure vlan DATA add port 11 untagged
#enable sharing 11 grouping 11,12 lacp #configure vlan DATA add port 11 untaggedCopy to Clipboard Copied! Toggle word wrap Toggle overflow 注意您可能需要调整 LACP 协商脚本中的超时时间。如需更多信息,请参阅 https://gtacknowledge.extremenetworks.com/articles/How_To/LACP-configured-ports-interfere-with-PXE-DHCP-on-servers
7.5.8. 关于 MTU 设置
您必须调整某些类型的网络流量的 MTU 大小。例如,某些 NFS 或 iSCSI 流量需要巨型帧 (9000 字节)。
您必须更改流量预期通过的所有跃点(包括任何虚拟交换机)的端到端的 MTU 设置。
7.5.9. 在 Extreme Networks EXOS 交换机上配置 MTU 设置
流程
运行本示例中的命令,在 Extreme Networks EXOS 交换机上启用巨型帧,并配置对转发 IP 数据包的支持( 9000 字节):
enable jumbo-frame ports PORTSTRING configure ip-mtu 9000 vlan VLANNAME
enable jumbo-frame ports PORTSTRING configure ip-mtu 9000 vlan VLANNAMECopy to Clipboard Copied! Toggle word wrap Toggle overflow 示例
enable jumbo-frame ports 11 configure ip-mtu 9000 vlan DATA
# enable jumbo-frame ports 11 # configure ip-mtu 9000 vlan DATACopy to Clipboard Copied! Toggle word wrap Toggle overflow
7.5.10. 关于 LLDP 发现
ironic-python-agent 服务侦听来自连接的交换机的 LLDP 数据包。收集的信息可以包含交换机名称、端口详细信息和可用的 VLAN。与 Cisco Discovery Protocol (CDP) 类似,LLDP 有助于在 director 内省过程中发现物理硬件。
7.5.11. 在 Extreme Networks EXOS 交换机上配置 LLDP 设置
流程
-
在本例中,在 Extreme Networks EXOS 交换机上启用了 LLDP。
11代表端口字符串:
enable lldp ports 11
enable lldp ports 117.6. 配置 Juniper EX 系列交换机
7.6.1. 关于中继端口
通过 OpenStack 网络,您可以将实例连接到物理网络上已存在的 VLAN。术语 trunk 用于描述允许多个 VLAN 遍历同一端口的端口。通过使用这些端口,VLAN 可以跨越多个交换机,包括虚拟交换机。例如,在物理网络中标记为 VLAN110 的流量到达 Compute 节点,其中 8021q 模块将标记的流量定向到 vSwitch 上的相应 VLAN。
7.6.2. 为 Juniper EX 系列交换机配置中继端口
流程
如果使用运行 Juniper JunOS 的 Juniper EX 系列交换机,请使用以下配置语法来允许 VLAN 110 和 111 的流量传递到您的实例。
此配置假设您的物理节点有一个以太网电缆连接到物理交换机上的 ge-1/0/12 接口。
重要这些值是示例。您必须更改此示例中的值,使其与环境中的值匹配。在不调整的情况下将这些值复制并粘贴到交换机配置中可能会导致意外中断。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
7.6.3. 关于访问端口
不是 Compute 节点上的所有 NIC 都传输实例流量,因此您不需要配置所有 NIC 以允许多个 VLAN 传递。访问端口只需要一个 VLAN,并可能满足其他操作要求,如传输管理流量或块存储数据。这些端口通常称为访问端口,通常需要配置比中继端口更简单。
7.6.4. 为 Juniper EX 系列交换机配置访问端口
此示例为 Juniper EX 系列开关,显示 ge-1/0/13 作为 eth1 的访问端口。
+
这些值是示例。您必须更改此示例中的值,使其与环境中的值匹配。在不调整的情况下将这些值复制并粘贴到交换机配置中可能会导致意外中断。
流程
此配置假设您的物理节点有一个以太网电缆连接到物理交换机上的 ge-1/0/13 接口。
+
7.6.5. 关于 LACP 端口聚合
您可以使用链路聚合控制协议(LACP)将多个物理 NIC 捆绑在一起,以形成单个逻辑频道。LACP 也称为 802.3ad (或 Linux 中的绑定模式 4),LACP 为负载平衡和容错创建动态绑定。您必须在两个物理端配置 LACP:物理 NIC 和物理交换机端口上。
7.6.6. 在物理 NIC 上配置 LACP
您可以在物理 NIC 上配置链路聚合控制协议(LACP)。
流程
编辑 /home/stack/network-environment.yaml 文件:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 将 Open vSwitch 网桥配置为使用 LACP:
BondInterfaceOvsOptions: "mode=802.3ad"BondInterfaceOvsOptions: "mode=802.3ad"Copy to Clipboard Copied! Toggle word wrap Toggle overflow
7.6.7. 为 Juniper EX 系列交换机配置 LACP
在本例中,Compute 节点有两个使用 VLAN 100 的 NIC。
流程
- 物理将 Compute 节点的两个 NIC 连接到交换机(例如,端口 12 和 13)。
创建端口聚合:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 配置交换机端口 12 (ge-1/0/12)和 13 (ge-1/0/13)以加入端口聚合
ae1:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注意对于 Red Hat OpenStack Platform director 部署,若要从绑定进行 PXE 引导,您必须将其中一个绑定成员配置为 lacp 强制,以确保在内省和第一次引导过程中只有一个绑定成员上线。使用 lacp force-up 配置的绑定成员必须是在 instackenv.json 中具有 MAC 地址的绑定成员(已知的 MAC 地址必须是使用强制配置的同一 MAC 地址)。
在端口聚合
ae1上启用 LACP:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 将聚合
ae1添加到 VLAN 100:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 检查您的新端口频道。生成的输出列出了新端口聚合
ae1,其成员端口为ge-1/0/12和ge-1/0/13:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注意记得通过运行
commit命令来应用您的更改。
7.6.8. 关于 MTU 设置
您必须调整某些类型的网络流量的 MTU 大小。例如,某些 NFS 或 iSCSI 流量需要巨型帧 (9000 字节)。
您必须更改流量预期通过的所有跃点(包括任何虚拟交换机)的端到端的 MTU 设置。
7.6.9. 为 Juniper EX 系列交换机配置 MTU 设置
这个示例在 Juniper EX4200 交换机上启用了巨型帧。
MTU 值会根据您使用 Juniper 或 Cisco 设备的不同而有所不同。例如,Juniper 上的 9216 等于 Cisco 的 9202。额外的字节用于 L2 标头,其中 Cisco 会自动将它添加到指定的 MTU 值,但可用的 MTU 比使用 Juniper 时指定的 14 字节小。因此,为了支持 VLAN 上 MTU 9000,必须在 Juniper 上配置 MTU 9014。
流程
对于 Juniper EX 系列交换机,为各个接口设置 MTU 设置。这些命令在
ge-1/0/14和ge-1/0/15端口上配置巨型帧:set interfaces ge-1/0/14 mtu 9216 set interfaces ge-1/0/15 mtu 9216
set interfaces ge-1/0/14 mtu 9216 set interfaces ge-1/0/15 mtu 9216Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注意记得通过运行
commit命令保存您的更改。如果使用 LACP 聚合,则需要在其中设置 MTU 大小,而不是在成员 NIC 中设置。例如,此设置为 ae1 聚合配置 MTU 大小:
set interfaces ae1 mtu 9216
set interfaces ae1 mtu 9216Copy to Clipboard Copied! Toggle word wrap Toggle overflow
7.6.10. 关于 LLDP 发现
ironic-python-agent 服务侦听来自连接的交换机的 LLDP 数据包。收集的信息可以包含交换机名称、端口详细信息和可用的 VLAN。与 Cisco Discovery Protocol (CDP) 类似,LLDP 有助于在 director 内省过程中发现物理硬件。
7.6.11. 为 Juniper EX 系列交换机配置 LLDP
您可以在全局范围内为所有接口启用 LLDP,或者只针对单个接口启用 LLDP。
流程
在 Juniper EX 4200 交换机上全局使用以下内容:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 使用以下内容为单个接口
ge-1/0/14启用 LLDP:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注意记得通过运行
commit命令来应用您的更改。
第 8 章 配置最大传输单元(MTU)设置
8.1. MTU 概述
OpenStack 网络可以计算您可以安全地应用到实例的最大可能最大传输单元(MTU)大小。MTU 值指定单个网络数据包可以传输的最大数据量;此数字根据应用最合适的大小指定变量。例如,NFS 共享可能需要不同的 MTU 大小与 IANA 应用程序的不同 MTU 大小。
您可以使用 openstack network show <network_name& gt; 命令来查看 OpenStack Networking 计算的最大可能 MTU 值。net-mtu 是一些实现中不存在的 neutron API 扩展。如果实例支持,并且通过路由器公告(RA)数据包向 IPv6 客户端提供 IPv6 客户端,您可以公告给 DHCPv4 客户端。要发送路由器公告,必须将网络附加到路由器。
您必须从端到端配置 MTU 设置。这意味着,在数据包通过时,MTU 设置都必须相同,包括虚拟机、虚拟网络基础架构、物理网络和目标服务器。
例如,下图中的圆圈显示了必须为实例和物理服务器之间的流量调整 MTU 值的各种点。您必须为处理网络流量的非常接口更改 MTU 值,以适应特定 MTU 大小的数据包。如果流量从实例 192.168.200.15 传输到物理服务器 10.20.15.25,则需要此项:
不一致的 MTU 值可能会导致几个网络问题,最常见的是随机数据包丢失,导致连接下降和网络性能较慢。这些问题可能会造成故障排除,因为您必须识别并检查每个可能的网络点,以确保它具有正确的 MTU 值。
8.2. 在 Director 中配置 MTU 设置
本例演示了如何使用 NIC 配置模板设置 MTU。您必须在网桥、绑定(如果适用)、接口和 VLAN 中设置 MTU:
8.3. 检查生成的 MTU 计算
您可以查看计算的 MTU 值,这是实例可以使用的最大可能 MTU 值。使用此计算的 MTU 值来配置网络流量路径中涉及的所有接口。
openstack network show <network>
# openstack network show <network>第 9 章 使用 Quality of Service (QoS)策略来管理数据流量
您可以使用服务质量(QoS)策略将速率限制应用到 Red Hat OpenStack Platform (RHOSP)网络上的出口和入口流量,为虚拟机实例提供不同的服务级别。
您可以将 QoS 策略应用到单独的端口,或者将 QoS 策略应用到项目网络,其中没有附加特定策略的端口继承该策略。
内部网络拥有的端口(如 DHCP 和内部路由器端口)不包括在网络策略应用中。
您可以动态应用、修改或删除 QoS 策略。但是,对于保证最小带宽 QoS 策略,您只能在没有使用策略分配给的任何端口时应用修改。
9.1. QoS 规则
您可以配置以下规则类型,以在 Red Hat OpenStack Platform (RHOSP)网络服务(neutron)中定义服务质量(QoS)策略:
- 最小带宽 (
minimum_bandwidth) - 对某些类型流量提供最低带宽限制。如果实现,最好不要小于应用该规则的每个端口的指定带宽。
- 带宽限制(
bandwidth_limit) - 对网络、端口、浮动 IP 和路由器网关 IP 提供带宽限制。如果实现,任何超过指定速率的流量都会被丢弃。
- DSCP marking (
dscp_marking) - 使用不同服务代码点(DSCP)值标记网络流量。
可以在不同的上下文中强制实施 QoS 策略,包括虚拟机实例放置、浮动 IP 分配和网关 IP 分配。
根据您所使用的强制上下文和机制驱动程序,QoS 规则会影响出口流量(从实例上传)、入口流量(下载至实例)。
| 规则 [8] | 由机制驱动程序支持的流量方向 | ||
| ML2/OVS | ML2/SR-IOV | ML2/OVN | |
| 最小带宽 | 仅限出口[4][5] | 仅限出口 | 目前,不支持 [6] |
| 带宽限制 | Egress [1][2] 和 ingress | 仅限 Egress [3] | Egress 和 ingress |
| DSCP 标记 | 仅限出口 | N/A | 仅限 Egress[7] |
[1] OVS 出口带宽限制在TAP 界面中执行,是流量策略,而不是流量 shaping。
[2] 在 RHOSP 16.2.2 及更高版本中,通过使用 ip link 命令在网络接口中应用 QoS 策略,在硬件卸载端口上支持 OVS 出口带宽限制。
[3] 机制驱动程序忽略 max-burst-kbits 参数,因为它们不支持它。
[4] 规则只适用于非隧道网络:扁平和 VLAN。
[5] 使用 ip link 命令在网络接口中应用 QoS 策略,在硬件卸载端口上支持 OVS 出口最小带宽。
[6] https://bugzilla.redhat.com/show_bug.cgi?id=2060310
[7] ML2/OVN 不支持在隧道协议中的 DSCP 标记。
[8] RHOSP 不支持中继端口的 QoS。
| 强制类型 | 按方向机制驱动程序支持的流量 | ||
| ML2/OVS | ML2/SR-IOV | ML2/OVN | |
| Placement | Egress 和 ingress | Egress 和 ingress | 目前,不支持 |
| 强制类型 | 由机制驱动程序支持的流量方向 | |
| ML2/OVS | ML2/OVN | |
| 浮动 IP | Egress 和 ingress | Egress 和 ingress |
| 网关 IP | Egress 和 ingress | 目前,不支持 [1] |
9.2. 为 QoS 策略配置网络服务
Red Hat OpenStack Platform (RHOSP) Networking 服务(neutron)中的服务质量功能通过 qos 服务插件提供。使用 ML2/OVS 和 ML2/OVN 机制驱动程序时,qos 默认加载。但是,对于 ML2/SR-IOV,这并不为 true。
将 qos 服务插件与 ML2/OVS 和 ML2/SR-IOV 机制驱动程序搭配使用时,还必须在其对应的代理上加载 qos 扩展。
以下列表总结了为 QoS 配置网络服务时必须执行的任务。任务详情遵循这个列表:
对于所有 QoS 策略类型:
-
添加
qos服务插件。 -
为代理(仅限OVS 和 SR-IOV)添加
qos扩展。
-
添加
仅使用最小带宽策略调度虚拟机实例的其他任务:
- 如果与计算服务(nova)使用的名称不同,请指定虚拟机监控程序名称。
- 为每个 Compute 节点上为相关代理配置资源提供程序入口和出口带宽。
-
(可选)不支持 Mark
vnic_types。
在只使用 ML/OVS 和隧道的系统上为 DSCP 标记策略的额外任务:
-
将
dscp_inherit设置为true。
-
将
先决条件
-
您必须是有权访问 RHOSP undercloud 的
stack用户。
流程
-
以
stack用户身份登录 undercloud 主机。 提供 undercloud 凭证文件:
source ~/stackrc
$ source ~/stackrcCopy to Clipboard Copied! Toggle word wrap Toggle overflow 确认
qos服务插件尚未加载。openstack network qos policy list
$ openstack network qos policy listCopy to Clipboard Copied! Toggle word wrap Toggle overflow 如果没有加载
qos服务插件,您会收到ResourceNotFound错误。如果没有收到错误,则插件会被加载,您不需要执行本主题中的步骤。创建 YAML 自定义环境文件。
示例
vi /home/stack/templates/my-neutron-environment.yaml
$ vi /home/stack/templates/my-neutron-environment.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 您的环境文件必须包含关键字
parameter_defaults。在parameter_defaults下面的新行中,将qos添加到NeutronServicePlugins参数:parameter_defaults: NeutronServicePlugins: "qos"
parameter_defaults: NeutronServicePlugins: "qos"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 如果使用 ML2/OVS 和 ML2/SR-IOV 机制驱动程序,那么您还必须使用
NeutronAgentExtensions或NeutronSriovAgentExtensions变量分别加载代理上的qos扩展:ML2/OVS
parameter_defaults: NeutronServicePlugins: "qos" NeutronAgentExtensions: "qos"
parameter_defaults: NeutronServicePlugins: "qos" NeutronAgentExtensions: "qos"Copy to Clipboard Copied! Toggle word wrap Toggle overflow ML2/SR-IOV
parameter_defaults: NeutronServicePlugins: "qos" NeutronSriovAgentExtensions: "qos"
parameter_defaults: NeutronServicePlugins: "qos" NeutronSriovAgentExtensions: "qos"Copy to Clipboard Copied! Toggle word wrap Toggle overflow
如果要使用最小带宽 QoS 策略调度虚拟机实例,则还必须执行以下操作:
将
放置添加到插件列表中,并确保列表中还包含qos:parameter_defaults: NeutronServicePlugins: "qos,placement"
parameter_defaults: NeutronServicePlugins: "qos,placement"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 如果虚拟机监控程序名称与计算服务(nova)使用的规范虚拟机监控程序名称匹配,则跳至第 7.iii 步。
如果虚拟机监控程序名称与计算服务使用的规范管理程序名称不匹配,请使用
resource_provider_default_hypervisor指定替代的虚拟机监控程序名称:ML2/OVS
parameter_defaults: NeutronServicePlugins: "qos,placement" ExtraConfig: Neutron::agents::ml2::ovs::resource_provider_default_hypervisor: %{hiera('fqdn_canonical')}parameter_defaults: NeutronServicePlugins: "qos,placement" ExtraConfig: Neutron::agents::ml2::ovs::resource_provider_default_hypervisor: %{hiera('fqdn_canonical')}Copy to Clipboard Copied! Toggle word wrap Toggle overflow ML2/SR-IOV
parameter_defaults: NeutronServicePlugins: "qos,placement" ExtraConfig: Neutron::agents::ml2::sriov::resource_provider_default_hypervisor: %{hiera('fqdn_canonical')}parameter_defaults: NeutronServicePlugins: "qos,placement" ExtraConfig: Neutron::agents::ml2::sriov::resource_provider_default_hypervisor: %{hiera('fqdn_canonical')}Copy to Clipboard Copied! Toggle word wrap Toggle overflow 重要设置替代管理程序名称的另一种方法是使用
resource_provider_hypervisor:ML2/OVS
parameter_defaults: ExtraConfig: Neutron::agents::ml2::ovs::resource_provider_hypervisors:"ens5:%{hiera('fqdn_canonical')},ens6:%{hiera('fqdn_canonical')}"parameter_defaults: ExtraConfig: Neutron::agents::ml2::ovs::resource_provider_hypervisors:"ens5:%{hiera('fqdn_canonical')},ens6:%{hiera('fqdn_canonical')}"Copy to Clipboard Copied! Toggle word wrap Toggle overflow ML2/SR-IOV
parameter_defaults: ExtraConfig: Neutron::agents::ml2::sriov::resource_provider_hypervisors: "ens5:%{hiera('fqdn_canonical')},ens6:%{hiera('fqdn_canonical')}"parameter_defaults: ExtraConfig: Neutron::agents::ml2::sriov::resource_provider_hypervisors: "ens5:%{hiera('fqdn_canonical')},ens6:%{hiera('fqdn_canonical')}"Copy to Clipboard Copied! Toggle word wrap Toggle overflow
在需要提供最小带宽的每个 Compute 节点上为相关代理配置资源供应商入口和出口带宽。
您可以使用以下格式配置出口、入口或两者:
仅配置出口带宽,单位为 kbps:
NeutronOvsResourceProviderBandwidths: <bridge0>:<egress_kbps>:,<bridge1>:<egress_kbps>:,...,<bridgeN>:<egress_kbps>:
NeutronOvsResourceProviderBandwidths: <bridge0>:<egress_kbps>:,<bridge1>:<egress_kbps>:,...,<bridgeN>:<egress_kbps>:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 仅配置入口带宽,单位为 kbps:
NeutronOvsResourceProviderBandwidths: <bridge0>::<ingress_kbps>,<bridge1>::<ingress_kbps>,...,<bridgeN>::<ingress_kbps>
NeutronOvsResourceProviderBandwidths: <bridge0>::<ingress_kbps>,<bridge1>::<ingress_kbps>,...,<bridgeN>::<ingress_kbps>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 以 kbps 配置出口和入口带宽:
NeutronOvsResourceProviderBandwidths: <bridge0>:<egress_kbps>:<ingress_kbps>,<bridge1>:<egress_kbps>:<ingress_kbps>,...,<bridgeN>:<egress_kbps>:<ingress_kbps>
NeutronOvsResourceProviderBandwidths: <bridge0>:<egress_kbps>:<ingress_kbps>,<bridge1>:<egress_kbps>:<ingress_kbps>,...,<bridgeN>:<egress_kbps>:<ingress_kbps>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 示例 - OVS 代理
要为 OVS 代理配置资源供应商入口和出口带宽,请在网络环境文件中添加以下配置:
parameter_defaults: ... NeutronBridgeMappings: physnet0:br-physnet0 NeutronOvsResourceProviderBandwidths: br-physnet0:10000000:10000000
parameter_defaults: ... NeutronBridgeMappings: physnet0:br-physnet0 NeutronOvsResourceProviderBandwidths: br-physnet0:10000000:10000000Copy to Clipboard Copied! Toggle word wrap Toggle overflow 示例 - SRIOV 代理
要为 SRIOV 代理配置资源供应商入口和出口带宽,请在网络环境文件中添加以下配置:
parameter_defaults: ... NeutronML2PhysicalNetworkMtus: physnet0:1500,physnet1:1500 NeutronSriovResourceProviderBandwidths: ens5:40000000:40000000,ens6:40000000:40000000
parameter_defaults: ... NeutronML2PhysicalNetworkMtus: physnet0:1500,physnet1:1500 NeutronSriovResourceProviderBandwidths: ens5:40000000:40000000,ens6:40000000:40000000Copy to Clipboard Copied! Toggle word wrap Toggle overflow
可选:当多个 ML2 机制驱动程序默认支持它们且在放置服务中跟踪多个代理时,将
vnic_types标记为不支持,还要在您的环境文件中添加以下配置:示例 - OVS 代理
parameter_defaults: ... NeutronOvsVnicTypeBlacklist: direct
parameter_defaults: ... NeutronOvsVnicTypeBlacklist: directCopy to Clipboard Copied! Toggle word wrap Toggle overflow 示例 - SRIOV 代理
parameter_defaults: ... NeutronSriovVnicTypeBlacklist: direct
parameter_defaults: ... NeutronSriovVnicTypeBlacklist: directCopy to Clipboard Copied! Toggle word wrap Toggle overflow
如果要创建 DSCP 标记策略,并将 ML2/OVS 与隧道协议(VXLAN 或 GRE)搭配使用,然后在
NeutronAgentExtensions下添加以下行:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 当
dscp_inherit为true时,网络服务会将内部标头的 DSCP 值复制到外部标头。运行部署命令,并包括核心 heat 模板、其他环境文件和新的自定义环境文件。
重要但是,环境文件的顺序非常重要,因为后续环境文件中定义的参数和资源更为优先。
示例
openstack overcloud deploy --templates \ -e <other_environment_files> \ -e /home/stack/templates/my-neutron-environment.yaml
$ openstack overcloud deploy --templates \ -e <other_environment_files> \ -e /home/stack/templates/my-neutron-environment.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
验证
确认已加载
qos服务插件:openstack network qos policy list
$ openstack network qos policy listCopy to Clipboard Copied! Toggle word wrap Toggle overflow 如果
qos服务插件已加载,则不会收到ResourceNotFound错误。
9.3. 使用 QoS 策略控制最小带宽
对于 Red Hat OpenStack Platform (RHOSP)网络服务(neutron),可在两个不同的上下文中强制实施保证的最小带宽 QoS 规则:网络服务后端实施和资源分配调度强制。
网络后端 ML2/OVS 或 ML2/SR-IOV 尝试保证应用该规则的每个端口都小于指定的网络带宽。
当您使用资源分配调度带宽强制时,计算服务(nova)仅将虚拟机实例放在支持最小带宽的主机上。
您可以使用网络服务后端强制、资源分配调度强制来应用 QoS 最少带宽规则,或两者。
下表标识了支持最小带宽 QoS 策略的 Modular Layer 2 (ML2)机制驱动程序。
| ML2 机制驱动程序 | Agent | VNIC 类型 |
|---|---|---|
| ML2/SR-IOV | sriovnicswitch | direct |
| ML2/OVS | openvswitch | normal |
9.3.1. 使用网络服务后端强制强制实施最小带宽
您可以通过将 Red Hat OpenStack Platform (RHOSP)服务质量(QoS)策略应用到端口来确保网络流量的最小带宽。这些端口必须支持扁平或 VLAN 物理网络。
目前,带有 Open Virtual Network 机制驱动程序(ML2/OVN)的 Modular Layer 2 插件不支持最小带宽 QoS 规则。
先决条件
-
RHOSP Networking 服务(neutron)必须加载
qos服务插件。(这是默认设置。) 不要在同一物理接口上混合带有和没有带宽保证的端口,因为这可能会导致在没有保证的情况下将所需资源(starvation)拒绝到端口。
提示创建主机聚合,以分隔这些端口的带宽保证的端口,而无需带宽保证。
流程
提供您的凭据文件。
示例
source ~/overcloudrc
$ source ~/overcloudrcCopy to Clipboard Copied! Toggle word wrap Toggle overflow 确认
qos服务插件已加载到网络服务中:openstack network qos policy list
$ openstack network qos policy listCopy to Clipboard Copied! Toggle word wrap Toggle overflow 如果没有加载
qos服务插件,则您会收到ResourceNotFound错误,并且您必须加载qos服务插件,然后才能继续。更多信息请参阅 第 9.2 节 “为 QoS 策略配置网络服务”。识别您要为其创建 QoS 策略的项目的 ID:
openstack project list
$ openstack project listCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 使用上一步中的项目 ID,为项目创建一个 QoS 策略。
示例
在本例中,为
admin项目创建一个名为guaranteed_min_bw的 QoS 策略:openstack network qos policy create --share \ --project 98a2f53c20ce4d50a40dac4a38016c69 guaranteed_min_bw
$ openstack network qos policy create --share \ --project 98a2f53c20ce4d50a40dac4a38016c69 guaranteed_min_bwCopy to Clipboard Copied! Toggle word wrap Toggle overflow 配置策略的规则。
示例
在本例中,为名为
guaranteed_min_bw的策略创建 ingress 和 egress 的 QoS 规则,最小带宽为40000000kbps :Copy to Clipboard Copied! Toggle word wrap Toggle overflow 配置要应用策略的端口。
示例
在本例中,
guaranteed_min_bw策略应用到端口 ID56x9aiw1-2v74-144x-c2q8-ed8w423a6s12:openstack port set --qos-policy guaranteed_min_bw \ 56x9aiw1-2v74-144x-c2q8-ed8w423a6s12
$ openstack port set --qos-policy guaranteed_min_bw \ 56x9aiw1-2v74-144x-c2q8-ed8w423a6s12Copy to Clipboard Copied! Toggle word wrap Toggle overflow
验证
ML2/SR-IOV
使用 root 访问权限,登录 Compute 节点,并显示物理功能中保存的虚拟功能的详细信息。
示例
ip -details link show enp4s0f1
# ip -details link show enp4s0f1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow ML2/OVS
使用 root 访问权限,登录计算节点,显示物理网桥接口上的
tc规则和类。示例
tc class show dev mx-bond
# tc class show dev mx-bondCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
class htb 1:11 parent 1:fffe prio 0 rate 4Gbit ceil 34359Mbit burst 9000b cburst 8589b class htb 1:1 parent 1:fffe prio 0 rate 72Kbit ceil 34359Mbit burst 9063b cburst 8589b class htb 1:fffe root rate 34359Mbit ceil 34359Mbit burst 8589b cburst 8589b
class htb 1:11 parent 1:fffe prio 0 rate 4Gbit ceil 34359Mbit burst 9000b cburst 8589b class htb 1:1 parent 1:fffe prio 0 rate 72Kbit ceil 34359Mbit burst 9063b cburst 8589b class htb 1:fffe root rate 34359Mbit ceil 34359Mbit burst 8589b cburst 8589bCopy to Clipboard Copied! Toggle word wrap Toggle overflow
9.3.2. 使用最小带宽 QoS 策略调度实例
您可以将最小带宽 QoS 策略应用到端口,以确保其 Red Hat OpenStack Platform (RHOSP)虚拟机实例的主机生成最小网络带宽。
先决条件
-
RHOSP Networking 服务(neutron)必须加载
qos和placement服务插件。默认情况下加载qos服务插件。 网络服务必须支持以下 API 扩展:
-
agent-resources-synced -
port-resource-request -
qos-bw-minimum-ingress
-
- 您必须使用 ML2/OVS 或 ML2/SR-IOV 机制驱动程序。
- 只有当没有使用策略所分配到的任何端口的实例时,才能修改最小带宽 QoS 策略。如果端口绑定,网络服务无法更新放置 API 使用量信息。
- 放置服务必须支持 microversion 1.29。
- Compute 服务(nova)必须支持微版本 2.72。
流程
提供您的凭据文件。
示例
source ~/overcloudrc
$ source ~/overcloudrcCopy to Clipboard Copied! Toggle word wrap Toggle overflow 确认
qos服务插件已加载到网络服务中:openstack network qos policy list
$ openstack network qos policy listCopy to Clipboard Copied! Toggle word wrap Toggle overflow 如果没有加载
qos服务插件,则您会收到ResourceNotFound错误,并且您必须加载qos服务插件,然后才能继续。更多信息请参阅 第 9.2 节 “为 QoS 策略配置网络服务”。识别您要为其创建 QoS 策略的项目的 ID:
openstack project list
$ openstack project listCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 使用上一步中的项目 ID,为项目创建一个 QoS 策略。
示例
在本例中,为
admin项目创建一个名为guaranteed_min_bw的 QoS 策略:openstack network qos policy create --share \ --project 98a2f53c20ce4d50a40dac4a38016c69 guaranteed_min_bw
$ openstack network qos policy create --share \ --project 98a2f53c20ce4d50a40dac4a38016c69 guaranteed_min_bwCopy to Clipboard Copied! Toggle word wrap Toggle overflow 配置策略的规则。
示例
在本例中,为名为
guaranteed_min_bw的策略创建 ingress 和 egress 的 QoS 规则,最小带宽为40000000kbps :Copy to Clipboard Copied! Toggle word wrap Toggle overflow 配置要应用策略的端口。
示例
在本例中,
guaranteed_min_bw策略应用到端口 ID56x9aiw1-2v74-144x-c2q8-ed8w423a6s12:openstack port set --qos-policy guaranteed_min_bw \ 56x9aiw1-2v74-144x-c2q8-ed8w423a6s12
$ openstack port set --qos-policy guaranteed_min_bw \ 56x9aiw1-2v74-144x-c2q8-ed8w423a6s12Copy to Clipboard Copied! Toggle word wrap Toggle overflow
验证
- 以 stack 用户身份登录 undercloud 主机。
提供 undercloud 凭证文件:
source ~/stackrc
$ source ~/stackrcCopy to Clipboard Copied! Toggle word wrap Toggle overflow 列出所有可用资源供应商:
openstack --os-placement-api-version 1.17 resource provider list
$ openstack --os-placement-api-version 1.17 resource provider listCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 检查特定资源提供的带宽。
openstack --os-placement-api-version 1.17 \ resource provider inventory list <rp_uuid>
(undercloud)$ openstack --os-placement-api-version 1.17 \ resource provider inventory list <rp_uuid>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 示例
在本例中,使用资源供应商 UUID
e518d381-d590-5767-8f34-c20def34b252检查 hostdell-r730-014上的接口enp6s0f1提供的带宽:openstack --os-placement-api-version 1.17 \ resource provider inventory list e518d381-d590-5767-8f34-c20def34b252
[stack@dell-r730-014 nova]$ openstack --os-placement-api-version 1.17 \ resource provider inventory list e518d381-d590-5767-8f34-c20def34b252Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 要在实例运行时检查资源供应商的声明,请运行以下命令:
openstack --os-placement-api-version 1.17 \ resource provider show --allocations <rp_uuid>
(undercloud)$ openstack --os-placement-api-version 1.17 \ resource provider show --allocations <rp_uuid>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 示例
在本例中,针对资源提供程序的声明在主机(
dell-r730-014)上进行检查,使用资源提供程序 UUIDe518d381-d590-5767-8f34-c20def34b252:openstack --os-placement-api-version 1.17 resource provider show --allocations e518d381-d590-5767-8f34-c20def34b252 -f value -c allocations
[stack@dell-r730-014 nova]$ openstack --os-placement-api-version 1.17 resource provider show --allocations e518d381-d590-5767-8f34-c20def34b252 -f value -c allocationsCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
{3cbb9e07-90a8-4154-8acd-b6ec2f894a83: {resources: {NET_BW_EGR_KILOBIT_PER_SEC: 1000000, NET_BW_IGR_KILOBIT_PER_SEC: 1000000}}, 8848b88b-4464-443f-bf33-5d4e49fd6204: {resources: {NET_BW_EGR_KILOBIT_PER_SEC: 1000000, NET_BW_IGR_KILOBIT_PER_SEC: 1000000}}, 9a29e946-698b-4731-bc28-89368073be1a: {resources: {NET_BW_EGR_KILOBIT_PER_SEC: 1000000, NET_BW_IGR_KILOBIT_PER_SEC: 1000000}}, a6c83b86-9139-4e98-9341-dc76065136cc: {resources: {NET_BW_EGR_KILOBIT_PER_SEC: 3000000, NET_BW_IGR_KILOBIT_PER_SEC: 3000000}}, da60e33f-156e-47be-a632-870172ec5483: {resources: {NET_BW_EGR_KILOBIT_PER_SEC: 1000000, NET_BW_IGR_KILOBIT_PER_SEC: 1000000}}, eb582a0e-8274-4f21-9890-9a0d55114663: {resources: {NET_BW_EGR_KILOBIT_PER_SEC: 3000000, NET_BW_IGR_KILOBIT_PER_SEC: 3000000}}}{3cbb9e07-90a8-4154-8acd-b6ec2f894a83: {resources: {NET_BW_EGR_KILOBIT_PER_SEC: 1000000, NET_BW_IGR_KILOBIT_PER_SEC: 1000000}}, 8848b88b-4464-443f-bf33-5d4e49fd6204: {resources: {NET_BW_EGR_KILOBIT_PER_SEC: 1000000, NET_BW_IGR_KILOBIT_PER_SEC: 1000000}}, 9a29e946-698b-4731-bc28-89368073be1a: {resources: {NET_BW_EGR_KILOBIT_PER_SEC: 1000000, NET_BW_IGR_KILOBIT_PER_SEC: 1000000}}, a6c83b86-9139-4e98-9341-dc76065136cc: {resources: {NET_BW_EGR_KILOBIT_PER_SEC: 3000000, NET_BW_IGR_KILOBIT_PER_SEC: 3000000}}, da60e33f-156e-47be-a632-870172ec5483: {resources: {NET_BW_EGR_KILOBIT_PER_SEC: 1000000, NET_BW_IGR_KILOBIT_PER_SEC: 1000000}}, eb582a0e-8274-4f21-9890-9a0d55114663: {resources: {NET_BW_EGR_KILOBIT_PER_SEC: 3000000, NET_BW_IGR_KILOBIT_PER_SEC: 3000000}}}Copy to Clipboard Copied! Toggle word wrap Toggle overflow
9.4. 使用 QoS 策略限制网络流量
您可以创建一个 Red Hat OpenStack Platform (RHOSP)网络服务(neutron)服务质量(QoS)策略,以限制 RHOSP 网络、端口或浮动 IP 的带宽,并丢弃超过指定率的任何流量。
先决条件
-
网络服务必须加载
qos服务插件。(默认情况下会加载该插件。)
流程
提供您的凭据文件。
示例
source ~/overcloudrc
$ source ~/overcloudrcCopy to Clipboard Copied! Toggle word wrap Toggle overflow 确认
qos服务插件已加载到网络服务中:openstack network qos policy list
$ openstack network qos policy listCopy to Clipboard Copied! Toggle word wrap Toggle overflow 如果没有加载
qos服务插件,则您会收到ResourceNotFound错误,并且您必须加载qos服务插件,然后才能继续。更多信息请参阅 第 9.2 节 “为 QoS 策略配置网络服务”。识别您要为其创建 QoS 策略的项目的 ID:
openstack project list
$ openstack project listCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 使用上一步中的项目 ID,为项目创建一个 QoS 策略。
示例
在本例中,为
admin项目创建一个名为bw-limiter的 QoS 策略:openstack network qos policy create --share --project 98a2f53c20ce4d50a40dac4a38016c69 bw-limiter
$ openstack network qos policy create --share --project 98a2f53c20ce4d50a40dac4a38016c69 bw-limiterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 配置策略的规则。
注意您可以在策略中添加多个规则,只要每个规则的类型或方向不同。例如,您可以指定两个带宽限制规则,一个用于出口,另一个具有入口方向。
示例
在本例中,为名为
bw-limiter的策略创建 QoS 入口和出口规则,带宽限制为50000kbps,最大突发大小为50000kbps:openstack network qos rule create --type bandwidth-limit \ --max-kbps 50000 --max-burst-kbits 50000 --ingress bw-limiter openstack network qos rule create --type bandwidth-limit \ --max-kbps 50000 --max-burst-kbits 50000 --egress bw-limiter$ openstack network qos rule create --type bandwidth-limit \ --max-kbps 50000 --max-burst-kbits 50000 --ingress bw-limiter $ openstack network qos rule create --type bandwidth-limit \ --max-kbps 50000 --max-burst-kbits 50000 --egress bw-limiterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 您可以创建一个附加策略的端口,或将策略附加到预先存在的端口。
示例 - 创建带有附加策略的端口
在本例中,策略
bw-limiter与端口port2关联:openstack port create --qos-policy bw-limiter --network private port2
$ openstack port create --qos-policy bw-limiter --network private port2Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 示例 - 将策略附加到预先存在的端口
在本例中,策略
bw-limiter与port1关联:openstack port set --qos-policy bw-limiter port1
$ openstack port set --qos-policy bw-limiter port1Copy to Clipboard Copied! Toggle word wrap Toggle overflow
验证
确认 bandwith limit 策略已应用到端口。
获取策略 ID。
示例
在本例中,会查询 QoS 策略
bw-limiter:openstack network qos policy show bw-limiter
$ openstack network qos policy show bw-limiterCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 查询端口,并确认其策略 ID 与上一步中获取的策略 ID 匹配。
示例
在本例中,会查询
port1:openstack port show port1
$ openstack port show port1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
9.5. 使用 kiosk 标记 QoS 策略来优先考虑网络流量
您可以通过在 IP 标头中嵌入相关值,使用区分的服务代码点(DSCP)在 Red Hat OpenStack Platform (RHOSP)网络上实施服务质量(QoS)策略。RHOSP Networking 服务(neutron)QoS 策略可以使用 DSCP 标记来管理 neutron 端口和网络上的出口流量。
先决条件
-
网络服务必须加载
qos服务插件。(这是默认设置。) - 您必须使用 ML2/OVS 或 ML2/OVN 机制驱动程序。
流程
提供您的凭据文件。
示例
source ~/overcloudrc
$ source ~/overcloudrcCopy to Clipboard Copied! Toggle word wrap Toggle overflow 确认
qos服务插件已加载到网络服务中:openstack network qos policy list
$ openstack network qos policy listCopy to Clipboard Copied! Toggle word wrap Toggle overflow 如果没有加载
qos服务插件,则您会收到ResourceNotFound错误,并且您必须在继续之前配置网络服务。更多信息请参阅 第 9.2 节 “为 QoS 策略配置网络服务”。识别您要为其创建 QoS 策略的项目的 ID:
openstack project list
$ openstack project listCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 使用上一步中的项目 ID,为项目创建一个 QoS 策略。
示例
在本例中,为
admin项目创建一个名为qos-web-servers的 QoS 策略:openstack network qos policy create --project 98a2f53c20ce4d50a40dac4a38016c69 qos-web-servers
openstack network qos policy create --project 98a2f53c20ce4d50a40dac4a38016c69 qos-web-serversCopy to Clipboard Copied! Toggle word wrap Toggle overflow 创建 DSCP 规则并将其应用到策略。
示例
在这个示例中,DSCP 规则使用 DSCP 标记
18创建,并应用到qos-web-servers策略:openstack network qos rule create --type dscp-marking --dscp-mark 18 qos-web-servers
openstack network qos rule create --type dscp-marking --dscp-mark 18 qos-web-serversCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 您可以更改分配给规则的 DSCP 值。
示例
在本例中,规则的 DSCP 标记值更改为 22,即
d7f976ec-7fab-4e60-af70-f59bf88198e6,在qos-web-servers策略中:openstack network qos rule set --dscp-mark 22 qos-web-servers d7f976ec-7fab-4e60-af70-f59bf88198e6
$ openstack network qos rule set --dscp-mark 22 qos-web-servers d7f976ec-7fab-4e60-af70-f59bf88198e6Copy to Clipboard Copied! Toggle word wrap Toggle overflow 您可以删除 DSCP 规则。
示例
在本例中,DSCP 规则
d7f976ec-7fab-4e60-af70-f59bf88198e6(在qos-web-servers策略中)被删除:openstack network qos rule delete qos-web-servers d7f976ec-7fab-4e60-af70-f59bf88198e6
$ openstack network qos rule delete qos-web-servers d7f976ec-7fab-4e60-af70-f59bf88198e6Copy to Clipboard Copied! Toggle word wrap Toggle overflow
验证
确认 DSCP 规则已应用到 QoS 策略。
示例
在本例中,DSCP 规则
d7f976ec-7fab-4e60-af70-f59bf88198e6应用到 QoS 策略qos-web-servers:openstack network qos rule list qos-web-servers
$ openstack network qos rule list qos-web-serversCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
+-----------+--------------------------------------+ | dscp_mark | id | +-----------+--------------------------------------+ | 18 | d7f976ec-7fab-4e60-af70-f59bf88198e6 | +-----------+--------------------------------------+
+-----------+--------------------------------------+ | dscp_mark | id | +-----------+--------------------------------------+ | 18 | d7f976ec-7fab-4e60-af70-f59bf88198e6 | +-----------+--------------------------------------+Copy to Clipboard Copied! Toggle word wrap Toggle overflow
9.6. 使用网络服务 RBAC 将 QoS 策略应用到项目
使用 Red Hat OpenStack Platform (RHOSP)网络服务(neutron),您可以为服务质量(QoS)策略添加基于角色的访问控制(RBAC)。因此,您可以将 QoS 策略应用到各个项目。
先决条件
- 您必须有一个或多个 QoS 策略。
流程
创建与特定 QoS 策略关联的 RHOSP 网络服务 RBAC 策略,并将其分配给特定项目:
openstack network rbac create --type qos_policy --target-project <project_name | project_ID> --action access_as_shared <QoS_policy_name | QoS_policy_ID>
$ openstack network rbac create --type qos_policy --target-project <project_name | project_ID> --action access_as_shared <QoS_policy_name | QoS_policy_ID>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 示例
例如,您可能有一个允许较低优先级网络流量的 QoS 策略,名为
bw-limiter。使用 RHOSP 网络服务 RBAC 策略,您可以将 QoS 策略应用到特定的项目:openstack network rbac create --type qos_policy --target-project 80bf5732752a41128e612fe615c886c6 --action access_as_shared bw-limiter
$ openstack network rbac create --type qos_policy --target-project 80bf5732752a41128e612fe615c886c6 --action access_as_shared bw-limiterCopy to Clipboard Copied! Toggle word wrap Toggle overflow
第 10 章 配置网桥映射
在 Red Hat OpenStack Platform (RHOSP)中,桥接映射将物理网络名称(接口标签)与通过 Modular Layer 2 插件机制驱动程序 Open vSwitch (OVS)或 Open Virtual Network (OVN)创建的桥接相关联。RHOSP Networking 服务(neutron)使用网桥映射来允许提供商网络访问物理网络。
本节中包含的主题有:
10.1. 网桥映射概述
在 Red Hat OpenStack Platform (RHOSP)网络服务(neutron)中,您可以使用网桥映射来允许提供商网络访问物理网络。流量从路由器的 qg-xxx 接口离开提供商网络,并到达中间网桥(br-int)。
下一部分数据路径因部署所使用的机制驱动程序而异:
-
ML2/OVS:
br-int和br-ex之间的跳接端口允许流量通过提供商网络的网桥传递到物理网络。 - ML2/OVN:网络服务仅在虚拟机绑定到虚拟机监控程序且虚拟机需要端口时才在虚拟机监控程序上创建跳接端口。
您可以在调度路由器的网络节点上配置网桥映射。路由器流量可以使用正确的物理网络来出口,如提供商网络所代表。
网络服务只支持每个物理网络有一个网桥。不要将多个物理网络映射到同一网桥。
10.2. 流量流
每个外部网络都由一个内部 VLAN ID 表示,该 ID 标记为路由器 qg-xxx 端口。数据包到达 phy-br-ex 时,br-ex 端口将剥离 VLAN 标签,并将数据包移到物理接口,然后移到外部网络。
来自外部网络的返回数据包到达 br-ex,并使用 phy-br-ex <-> int-br-ex 移到 br-int。当数据包通过 br-ex 变为 br-int 时,数据包的外部 VLAN ID 将替换为 br-int 中的内部 VLAN 标签,并且允许 qg-xxx 接受数据包。
对于出口数据包,数据包的内部 VLAN 标签被替换为 br-ex 中的外部 VLAN 标签(或者在 NeutronNetworkVLANRanges 参数中定义的外部网桥中)。
10.3. 配置网桥映射
要修改 Red Hat OpenStack Platform (RHOSP)网络服务(neutron)用来与物理网络连接供应商网络流量的网桥映射,您需要修改必要的 heat 参数并重新部署 overcloud。
先决条件
-
您必须能够以
stack用户身份访问 underclod 主机。 - 您必须在调度路由器的网络节点上配置网桥映射。
- 您还必须为 Compute 节点配置网桥映射。
流程
- 以 stack 用户身份登录 undercloud 主机。
提供 undercloud 凭证文件:
source ~/stackrc
$ source ~/stackrcCopy to Clipboard Copied! Toggle word wrap Toggle overflow 创建自定义 YAML 环境文件。
示例
vi /home/stack/templates/my_bridge_mappings.yaml
$ vi /home/stack/templates/my_bridge_mappings.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 您的环境文件必须包含关键字
parameter_defaults。添加NeutronBridgeMappingsheat 参数,并在parameter_defaults关键字后为您的站点对应的值。示例
在本例中,
NeutronBridgeMappings参数分别关联物理名称datacentre和tenant、网桥br-ex和br-tenant。parameter_defaults: NeutronBridgeMappings: "datacentre:br-ex,tenant:br-tenant"
parameter_defaults: NeutronBridgeMappings: "datacentre:br-ex,tenant:br-tenant"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注意如果不使用
NeutronBridgeMappings参数,默认会将主机上的外部网桥(br-ex)映射到物理名称(datacentre)。如果您使用扁平网络,请使用
NeutronFlatNetworks参数添加其名称。示例
在本例中,参数将物理名称
datacentre与网桥br-ex关联,并将物理名称租户与网桥 br-tenant 关联"。parameter_defaults: NeutronBridgeMappings: "datacentre:br-ex,tenant:br-tenant" NeutronFlatNetworks: "my_flat_network"
parameter_defaults: NeutronBridgeMappings: "datacentre:br-ex,tenant:br-tenant" NeutronFlatNetworks: "my_flat_network"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注意如果没有使用
NeutronFlatNetworks参数,则默认为datacentre。如果您使用 VLAN 网络,请使用
NeutronNetworkVLANRanges参数指定网络名称以及它访问的 VLAN 范围。示例
在本例中,
NeutronNetworkVLANRanges参数为tenant网络指定 VLAN 范围1 - 1000:parameter_defaults: NeutronBridgeMappings: "datacentre:br-ex,tenant:br-tenant" NeutronNetworkVLANRanges: "tenant:1:1000"
parameter_defaults: NeutronBridgeMappings: "datacentre:br-ex,tenant:br-tenant" NeutronNetworkVLANRanges: "tenant:1:1000"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 运行部署命令,并包括核心 heat 模板、环境文件和新的自定义环境文件。
openstack overcloud deploy --templates \ -e <your_environment_files> \ -e /home/stack/templates/my_bridge_mappings.yaml
$ openstack overcloud deploy --templates \ -e <your_environment_files> \ -e /home/stack/templates/my_bridge_mappings.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 执行以下步骤:
- 使用网络 VLAN 范围,创建代表相应外部网络的提供商网络。(您在创建 neutron 提供商网络或浮动 IP 网络时使用物理名称。)
- 使用路由器接口将外部网络连接到您的项目网络。
10.4. 为 OVS 维护网桥映射
在移除任何 OVS 网桥映射后,您必须执行后续的清理,以确保对任何关联的补丁端口条目清除网桥配置。您可以使用以下方法执行此操作:
- 手动端口清理 - 需要仔细删除多余的补丁端口。不需要网络连接中断。
- 自动端口清理 - 执行自动清理,但需要中断,并且需要重新添加所需的网桥映射。当可以容忍网络连接中断时,在调度的维护窗口期间选择这个选项。
移除 OVN 网桥映射后,OVN 控制器会自动清理任何关联的补丁端口。
10.4.1. 手动清理 OVS 跳接端口
在移除任何 OVS 网桥映射后,还必须删除关联的补丁端口。
先决条件
- 清理的补丁端口必须是 Open Virtual Switch (OVS)端口。
- 执行手动补丁端口清理 不需要 系统中断。
您可以通过其命名约定来识别要清理的补丁端口:
-
在
br-$external_bridge跳接端口中,命名为phy-<external bridge name>(如 phy-br-ex2)。 -
在
br-int跳接端口中,命名为int-<external bridge name>(如int-br-ex2)。
-
在
流程
使用
ovs-vsctl删除与移除网桥映射条目关联的 OVS 跳接端口:ovs-vsctl del-port br-ex2 datacentre ovs-vsctl del-port br-tenant tenant
# ovs-vsctl del-port br-ex2 datacentre # ovs-vsctl del-port br-tenant tenantCopy to Clipboard Copied! Toggle word wrap Toggle overflow 重启
neutron-openvswitch-agent:service neutron-openvswitch-agent restart
# service neutron-openvswitch-agent restartCopy to Clipboard Copied! Toggle word wrap Toggle overflow
10.4.2. 自动清理 OVS 跳接端口
在移除任何 OVS 网桥映射后,还必须删除关联的补丁端口。
移除 OVN 网桥映射后,OVN 控制器会自动清理任何关联的补丁端口。
先决条件
- 清理的补丁端口必须是 Open Virtual Switch (OVS)端口。
-
使用
neutron-ovs-cleanup命令自动清理补丁端口会导致网络连接中断,并且应在调度的维护窗口期间执行。 -
使用标志
--ovs_all_ports从br-int中删除所有 patch 端口,清理来自br-tun的隧道结束,以及从网桥到网桥的 patch 端口。 -
neutron-ovs-cleanup命令从所有 OVS 网桥拔出所有跳接端口(instances、qdhcp/qrouter 等)。
流程
使用--ovs
_all_ports 标志运行命令。neutron-ovs-cleanup重要执行此步骤将导致网络中断总数。
/usr/bin/neutron-ovs-cleanup --config-file /etc/neutron/plugins/ml2/openvswitch_agent.ini --log-file /var/log/neutron/ovs-cleanup.log --ovs_all_ports
# /usr/bin/neutron-ovs-cleanup --config-file /etc/neutron/plugins/ml2/openvswitch_agent.ini --log-file /var/log/neutron/ovs-cleanup.log --ovs_all_portsCopy to Clipboard Copied! Toggle word wrap Toggle overflow 通过重新部署 overcloud 恢复连接。
重新运行
openstack overcloud deploy命令时,您的网桥映射值会被重新应用。注意重启后,OVS 代理不会影响 bridge_mappings 中不存在的任何连接。因此,如果您有连接到
br-ex2的br-int,并且br-ex2上有一些数据流,在重启 OVS 代理或节点时,从 bridge_mappings 配置中删除br-int不会断开这两个网桥。
第 11 章 VLAN 感知实例
11.1. VLAN 中继和 VLAN 透明网络
虚拟机实例可通过单个虚拟 NIC 发送和接收 VLAN 标记的流量。这对希望 VLAN 标记流量的 NFV 应用(VNF)特别有用,允许单个虚拟 NIC 为多个客户或服务提供服务。
在 ML2/OVN 部署中,您可以使用 VLAN 透明网络支持 VLAN 感知实例。作为 ML2/OVN 或 ML2/OVS 部署中的替代选择,您可以使用中继支持 VLAN 感知实例。
在 VLAN 透明网络中,您可以在虚拟机实例中设置 VLAN 标记。VLAN 标签通过网络传输,并由同一 VLAN 上的实例使用,其他实例和设备会忽略它们。在 VLAN 透明网络中,VLAN 在实例中管理。您不需要在 OpenStack Networking Service (neutron)中设置 VLAN。
VLAN 中继通过将 VLAN 合并到单一中继端口来支持 VLAN 感知实例。例如,项目数据网络可以使用 VLAN 或隧道(VXLAN、GRE 或 Geneve)分段,而实例则看到标记有 VLAN ID 的流量。网络数据包会在实例注入实例之前立即标记,不需要标记整个网络。
下表比较了 VLAN 透明网络和 VLAN 中继的某些功能。
| 透明 | 中继 | |
|---|---|---|
| 机制驱动程序支持 | ML2/OVN | ML2/OVN, ML2/OVS |
| 管理的 VLAN 设置 | VM 实例 | OpenStack Networking Service (neutron) |
| IP 分配 | 在虚拟机实例中配置 | 由 DHCP 分配 |
| VLAN ID | 灵活。您可以在实例中设置 VLAN ID | 已修复。实例必须使用中继中配置的 VLAN ID |
11.2. 在 ML2/OVN 部署中启用 VLAN 透明性
如果您需要在虚拟机(VM)实例之间发送 VLAN 标记的流量,请启用 VLAN 透明。在 VLAN 透明网络中,您可以直接在虚拟机中配置 VLANS,而无需在 neutron 中配置它们。
先决条件
- 部署 Red Hat OpenStack Platform 16.1 或更高版本,使用 ML2/OVN 作为机制驱动程序。
- VLAN 或 Geneve 类型的提供商网络。不要在带有扁平类型提供商网络的部署中使用 VLAN 透明。
- 确保外部交换机支持两个 VLAN 上使用 ethertype 0x8100 的 802.1q VLAN 堆栈。OVN VLAN 透明不支持带有外部供应商 VLAN ethertype 设置为 0x88A8 或 0x9100 的 802.1ad QinQ。
流程
在 undercloud 节点上的环境文件中,将
EnableVLANTransparency参数设置为true。例如,将以下行添加到ovn-extras.yaml中。parameter_defaults: EnableVLANTransparency: trueparameter_defaults: EnableVLANTransparency: trueCopy to Clipboard Copied! Toggle word wrap Toggle overflow 在
openstack overcloud deploy命令中包含环境文件以及与您环境相关的任何其他环境文件并部署 overcloud。Copy to Clipboard Copied! Toggle word wrap Toggle overflow 将
<other_overcloud_environment_files>替换为属于您现有部署的环境文件列表。使用-
-transparent-vlan参数创建网络。示例
openstack network create network-name --transparent-vlan
$ openstack network create network-name --transparent-vlanCopy to Clipboard Copied! Toggle word wrap Toggle overflow 在每个参与的虚拟机上设置一个 VLAN 接口。
将接口 MTU 设置为小于下划线网络的 MTU 的 4 字节,以适应 VLAN 透明所需的额外标记。例如,如果lay 网络 MTU 是 1500,则将接口 MTU 设置为 1496。
以下示例命令在
eth0上添加了一个 VLAN 接口,其 MTU 为 1496。VLAN 为 50,接口名称为vlan50:示例
ip link add link eth0 name vlan50 type vlan id 50 mtu 1496 ip link set vlan50 up ip addr add 192.128.111.3/24 dev vlan50
$ ip link add link eth0 name vlan50 type vlan id 50 mtu 1496 $ ip link set vlan50 up $ ip addr add 192.128.111.3/24 dev vlan50Copy to Clipboard Copied! Toggle word wrap Toggle overflow VM
端口上的 set-allowed-address。将允许地址设置为在第 4 步中在虚拟机内部创建的 IP 地址。另外,您还可以设置 VLAN 接口 MAC 地址:
示例
以下示例将 IP 地址设置为
192.128.111.3,其是可选的 MAC 地址00:40:96:a8:45:c4on portfv82gwk3-qq2e-yu93-go31-56w7sf476mm0:openstack port set --allowed-address ip-address=192.128.111.3,mac-address=00:40:96:a8:45:c4 fv82gwk3-qq2e-yu93-go31-56w7sf476mm0
$ openstack port set --allowed-address ip-address=192.128.111.3,mac-address=00:40:96:a8:45:c4 fv82gwk3-qq2e-yu93-go31-56w7sf476mm0Copy to Clipboard Copied! Toggle word wrap Toggle overflow
验证
- 使用 vlan50 IP 地址在 VLAN 上的两个虚拟机之间 ping。
-
在
eth0上使用tcpdump来查看数据包是否到达 VLAN 标签的完整性。
11.3. 查看中继插件
在红帽 openStack 部署中,默认启用 trunk 插件。您可以查看控制器节点上的配置:
在控制器节点上,确认 /var/lib/config-data/puppet-generated/neutron/etc/neutron/neutron.conf 文件中已启用中继插件:
service_plugins=router,qos,trunk
service_plugins=router,qos,trunkCopy to Clipboard Copied! Toggle word wrap Toggle overflow
11.4. 创建中继连接
要为 VLAN 标记的流量实施中继,请创建一个父端口,并将新端口附加到现有的 neutron 网络。当您附加新端口时,OpenStack 网络会向您创建的父端口添加中继连接。接下来,创建子端口。这些子端口将 VLAN 连接到实例,允许连接中继。在实例操作系统中,还必须创建一个子接口来标记与子端口关联的 VLAN 的流量。
识别包含需要访问中继 VLAN 的实例的网络。在本例中,这是 公共网络 :
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 创建父中继端口,并将它连接到实例所连接的网络。在本例中,在公共网络上 创建一个名为 parent-trunk-port 的 neutron 端口。此中继是 父 端口,因为您可以使用它来创建 子端口。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 使用在第 2 步中创建的端口创建一个中继。在本例中,中继名为
parent-trunk。Copy to Clipboard Copied! Toggle word wrap Toggle overflow 查看中继连接:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 查看中继连接的详情:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
11.5. 将子端口添加到中继
创建 neutron 端口。
此端口是与中继的子端口连接。您还必须指定分配给父端口的 MAC 地址:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注意如果您收到
HttpException: Conflict错误,请确认您要在不同网络上创建子端口,到具有父中继端口的子端口。本例使用 public 网络作为父中继端口,对子端口使用 private。将端口与中继关联(
parent-trunk),并指定 VLAN ID (55):openstack network trunk set --subport port=subport-trunk-port,segmentation-type=vlan,segmentation-id=55 parent-trunk
openstack network trunk set --subport port=subport-trunk-port,segmentation-type=vlan,segmentation-id=55 parent-trunkCopy to Clipboard Copied! Toggle word wrap Toggle overflow
11.6. 将实例配置为使用中继
您必须将虚拟机实例操作系统配置为使用分配给子端口的 Red Hat OpenStack Platform (RHOSP)网络服务(neutron)的 MAC 地址。您还可以在子端口创建过程中将子端口配置为使用特定的 MAC 地址。
先决条件
如果您要执行 Compute 节点的实时迁移,请确保为 RHOSP 部署正确设置 RHOSP 网络服务 RPC 响应超时。RPC 响应超时值在站点之间可能会有所不同,并取决于系统速度。常规建议是为/100 中继端口至少设置 120 秒的值设为 120 秒。
最佳实践是测量 RHOSP 部署的中继端口绑定过程时间,然后相应地设置 RHOSP 网络服务 RPC 响应超时。尝试使 RPC 响应超时值较低,但也为 RHOSP Networking 服务提供足够的时间来接收 RPC 响应。更多信息请参阅 第 11.7 节 “配置网络服务 RPC 超时”。
流程
使用网络中继命令,检查
网络中继的配置。示例
openstack network trunk list
$ openstack network trunk listCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 示例
openstack network trunk show parent-trunk
$ openstack network trunk show parent-trunkCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 创建使用父
port-id作为其 vNIC 的实例。示例
openstack server create --image cirros --flavor m1.tiny --security-group default --key-name sshaccess --nic port-id=20b6fdf8-0d43-475a-a0f1-ec8f757a4a39 testInstance
openstack server create --image cirros --flavor m1.tiny --security-group default --key-name sshaccess --nic port-id=20b6fdf8-0d43-475a-a0f1-ec8f757a4a39 testInstanceCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
11.7. 配置网络服务 RPC 超时
在这种情况下,您必须修改 Red Hat OpenStack Platform (RHOSP) Networking 服务(neutron) RPC 响应超时。例如,如果超时值较低,则使用中继端口的 Compute 节点的实时迁移可能会失败。
RPC 响应超时值在站点之间可能会有所不同,并取决于系统速度。常规建议是为/100 中继端口至少设置 120 秒的值设为 120 秒。
如果您的站点使用中继端口,最佳实践是测量 RHOSP 部署的中继端口绑定过程时间,然后相应地设置 RHOSP 网络服务 RPC 响应超时。尝试使 RPC 响应超时值较低,但也为 RHOSP Networking 服务提供足够的时间来接收 RPC 响应。
通过使用手动 hieradata 覆盖 rpc_response_timeout,您可以为 RHOSP 网络服务设置 RPC 响应超时值。
流程
在 undercloud 主机上,以 stack 用户身份登录,创建一个自定义 YAML 环境文件。
示例
vi /home/stack/templates/my-modules-environment.yaml
$ vi /home/stack/templates/my-modules-environment.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 提示RHOSP 编排服务 (heat) 使用一组名为 template(模板) 的计划来安装和配置您的环境。您可以使用自定义环境文件 自定义 overcloud 的各个方面,这是为 heat 模板 提供自定义 的特殊模板。
在
ExtraConfig下的 YAML 环境文件中,为rpc_response_timeout设置适当的值(以秒为单位)。(默认值为 60 秒。)示例
parameter_defaults: ExtraConfig: neutron::rpc_response_timeout: 120parameter_defaults: ExtraConfig: neutron::rpc_response_timeout: 120Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注意RHOSP 编排服务(heat)使用您在自定义环境文件中设置的值更新所有 RHOSP 节点,但这仅影响 RHOSP 网络组件。
运行
openstack overcloud deploy命令,并包含核心 heat 模板、环境文件以及新的自定义环境文件。重要环境文件的顺序非常重要,因为后续环境文件中定义的参数和资源更为优先。
示例
openstack overcloud deploy --templates \ -e [your-environment-files] \ -e /usr/share/openstack-tripleo-heat-templates/environments/services/my-modules-environment.yaml
$ openstack overcloud deploy --templates \ -e [your-environment-files] \ -e /usr/share/openstack-tripleo-heat-templates/environments/services/my-modules-environment.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
11.8. 了解中继状态
-
ACTIVE:中继可以按预期工作,且没有当前的请求。 -
DOWN:中继的虚拟和物理资源不同步。这可以在协商过程中处于临时状态。 -
BUILD:有一个请求,资源正在调配。在成功完成中继后,中继返回到ACTIVE。 -
DEGRADED: 发出请求未完成,因此中继仅已部分调配。建议您删除子端口并重试。 -
ERROR: 发出请求不成功。删除导致错误的资源,将中继返回到 healthier 状态。不要在ERROR状态下增加更多子端口,因为这可能导致更多问题。
第 12 章 配置 RBAC 策略
12.1. RBAC 策略概述
OpenStack 网络中的基于角色的访问控制(RBAC)策略允许对共享的 neutron 网络进行精细控制。OpenStack 网络使用 RBAC 表来控制项目之间的 neutron 网络共享,允许管理员控制哪些项目被授予实例到网络的权限。
因此,云管理员可以移除一些项目创建网络的能力,并可以允许它们附加到与项目对应的预先存在的网络。
12.2. 创建 RBAC 策略
本例流程演示了如何使用基于角色的访问控制(RBAC)策略来授予项目对共享网络的访问权限。
查看可用网络列表:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 查看项目列表:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 为
web-servers网络创建一个 RBAC 条目,以授予对 auditors 项目的访问权限(4b0b98f8c6c040f38ba4f7146e8680f5):Copy to Clipboard Copied! Toggle word wrap Toggle overflow
因此,auditor 项目中的 用户可以 将实例连接到 web-servers 网络。
12.3. 查看 RBAC 策略
运行
openstack network rbac list命令,以检索现有基于角色的访问控制(RBAC)策略的 ID:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 运行
openstack network rbac-show命令来查看特定 RBAC 条目的详情:Copy to Clipboard Copied! Toggle word wrap Toggle overflow
12.4. 删除 RBAC 策略
运行
openstack network rbac list命令,以检索现有基于角色的访问控制(RBAC)策略的 ID:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 使用您要删除的 RBAC 的 ID,运行
openstack network rbac delete命令删除 RBAC:openstack network rbac delete 314004d0-2261-4d5e-bda7-0181fcf40709 Deleted rbac_policy: 314004d0-2261-4d5e-bda7-0181fcf40709
# openstack network rbac delete 314004d0-2261-4d5e-bda7-0181fcf40709 Deleted rbac_policy: 314004d0-2261-4d5e-bda7-0181fcf40709Copy to Clipboard Copied! Toggle word wrap Toggle overflow
12.5. 为外部网络授予 RBAC 策略访问权限
您可以使用-- action access_as_external 参数向基于角色的访问控制(RBAC)策略访问权限授予外部网络(附加有网关接口的网络)。
完成以下示例流程中的步骤,为 web-servers 网络创建 RBAC,并授予对 engineering 项目的访问权限(c717f263785d4679b16a122516247deb):
使用-
action access_as_external选项创建一个新的 RBAC 策略:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 因此,engineering 项目中的用户可以查看网络或连接实例:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
第 13 章 配置分布式虚拟路由(DVR)
13.1. 了解分布式虚拟路由(DVR)
当您部署 Red Hat OpenStack Platform 时,可以在集中式路由模型或 DVR 之间进行选择。
每个模型都有优缺点。使用本文档仔细规划中央化路由,还是 DVR 更好地适合您的需求。
新的默认 RHOSP 部署使用 DVR 和带有 Open Virtual Network 机制驱动程序(ML2/OVN)的 Modular Layer 2 插件。
在 ML2/OVS 部署中默认禁用 DVR。
13.1.1. 第 3 层路由概述
Red Hat OpenStack Platform Networking 服务(neutron)为项目网络提供路由服务。如果没有路由器,项目网络中的虚拟机实例可以通过共享 L2 广播域与其他实例通信。创建路由器并将其分配给项目网络,允许该网络中的实例与其他项目网络或上游通信(如果为路由器定义了外部网关)。
13.1.2. 路由流
Red Hat OpenStack Platform (RHOSP)中的路由服务可以归类为三个主要流:
- 同一项目中不同网络之间的东西路由路由。这个流量不会离开 RHOSP 部署。此定义适用于 IPv4 和 IPv6 子网。
- 使用浮动 IP 浮动 IP 寻址的 North-South 路由 是一个一对一的网络地址转换(NAT),可以修改它,并在虚拟机实例之间进行浮点。虽然浮动 IP 被建模为浮动 IP 和网络服务(neutron)端口之间的一对一关联,它们通过与执行 NAT 转换的网络服务路由器关联来实施。浮动 IP 本身取自 uplink 网络,为路由器提供外部连接。因此,实例可以与外部资源(如互联网上的端点)或者其它方法通信。浮动 IP 是 IPv4 概念,不适用于 IPv6。假设项目使用的 IPv6 寻址使用全局单播地址(GUAs),且项目之间没有重叠,因此可以在没有 NAT 的情况下路由。
- 没有浮动 IP 的 North-South 路由(也称为 SNAT)- 网络服务为没有分配浮动 IP 的实例提供默认端口地址转换 (PAT) 服务。通过此服务,实例可以通过路由器与外部端点通信,但不能以其他方式通信。例如,一个实例可以浏览互联网上的网站,但外部的 Web 浏览器无法浏览实例内托管的网站。SNAT 仅适用于 IPv4 流量。此外,分配的 GUAs 前缀的网络服务网络不需要网络服务路由器外部网关端口上的 NAT 来访问外部世界。
13.1.3. 集中式路由
最初,网络服务(neutron)设计为具有由 Neutron L3 代理管理的项目虚拟路由器的集中式路由模型,它们都由 Neutron L3 代理部署在专用节点或节点上(称为网络节点或 Controller 节点)。这意味着,每次需要路由功能(east/west、浮动 IP 或 SNAT)时,流量都会遍历拓扑中的专用节点。这引入了多个挑战,并导致子优化流量流。例如:
- 通过 Controller 节点的实例流间的网络流量 - 当两个实例需要通过 L3 相互通信时,流量必须经过 Controller 节点。即使实例调度到同一个 Compute 节点上,流量仍必须离开 Compute 节点,流通过 Controller,再路由到 Compute 节点。这会对性能造成负面影响。
- 具有浮动 IP 的实例通过 Controller 节点接收和发送数据包 - 外部网络网关接口仅在 Controller 节点上提供,因此流量是否源自实例,还是从外部网络目的地到实例,它必须通过 Controller 节点流。因此,在大型环境中,Controller 节点会受到大量流量负载。这将影响性能和可扩展性,还需要仔细规划,以适应外部网络网关接口中的足够带宽。相同的要求适用于 SNAT 流量。
为了更好地扩展 L3 代理,网络服务可以使用 L3 HA 功能,该功能在多个节点之间分发虚拟路由器。如果 Controller 节点丢失,HA 路由器将在另一个节点上切换到备用节点,并在 HA 路由器故障转移完成前存在数据包丢失。
13.2. DVR 概述
分布式虚拟路由(DVR)提供了替代的路由设计。DVR 通过部署 L3 代理并在每个 Compute 节点上调度路由器,隔离 Controller 节点的故障域并优化网络流量。DVR 具有以下特征:
- 东西流量以分布式的方式直接在 Compute 节点上路由。
- 具有浮动 IP 的 North-South 流量在 Compute 节点上分发和路由。这要求外部网络连接到每个 Compute 节点。
- 没有浮动 IP 的 North-South 流量不分发,仍然需要专用 Controller 节点。
-
Controller 节点上的 L3 代理使用
dvr_snat模式,以便节点仅服务 SNAT 流量。 - neutron 元数据代理在所有 Compute 节点上分发和部署。元数据代理服务托管在所有分布式路由器上。
13.3. DVR 已知问题和注意事项
- 对 DVR 的支持仅限于 ML2 核心插件,以及 Open vSwitch (OVS)机制驱动程序或 ML2/OVN 机制驱动程序。不支持其他后端。
- 在 ML2/OVS DVR 部署中,Red Hat OpenStack Platform 负载均衡服务(octavia)的网络流量通过 Controller 和网络节点,而不是计算节点。
使用 ML2/OVS 机制驱动程序网络后端和 DVR 时,可以创建 VIP。但是,使用
allowed_address_pairs分配给绑定端口的 IP 地址应当与虚拟端口 IP 地址(/32)匹配。如果您将 CIDR 格式 IP 地址用于绑定端口
allowed_address_pairs,则不会在后端中配置端口转发,并且 CIDR 中预期到达绑定 IP 端口的任何 IP 的流量会失败。- SNAT (源网络地址转换)流量不会被分发,即使启用了 DVR。SNAT 正常工作,但所有入口/出口流量都必须遍历集中式 Controller 节点。
在 ML2/OVS 部署中,IPv6 流量不会被分发,即使启用了 DVR。所有入口/出口流量都通过集中式 Controller 节点。如果您广泛与 ML2/OVS 一起使用 IPv6 路由,请不要使用 DVR。
请注意,在 ML2/OVN 部署中,所有 east/west 流量始终分布,在配置 DVR 时,north/south 流量会被分发。
-
在 ML2/OVS 部署中,VDV 不支持与 L3 HA 结合使用。如果您将 DVR 与 Red Hat OpenStack Platform 17.0 director 搭配使用,则禁用 L3 HA。这意味着路由器仍然被调度到网络节点上(并在 L3 代理之间共享),但如果一个代理失败,则此代理托管的所有路由器也会失败。这只会影响 SNAT 流量。在这种情况下,建议使用
allow_automatic_l3agent_failover功能,以便在一个网络节点失败时,路由器会被重新调度到其他节点。 - DHCP 服务器(由 neutron DHCP 代理管理)没有被分发,仍然部署在 Controller 节点上。DHCP 代理部署在 Controller 节点上的高可用性配置中,无论路由设计(集中式或 DVR)无关。
- Compute 节点需要附加到外部网桥的外部网络上的接口。它们使用此接口附加到外部路由器网关的 VLAN 或扁平网络,到主机浮动 IP,并为使用浮动 IP 的虚拟机执行 SNAT。
- 在 ML2/OVS 部署中,每个 Compute 节点都需要一个额外的 IP 地址。这是因为外部网关端口和浮动 IP 网络命名空间的实现。
- VLAN、GRE 和 VXLAN 都受到项目数据分离的支持。使用 GRE 或 VXLAN 时,您必须启用 L2 Population 功能。Red Hat OpenStack Platform director 在安装过程中强制执行 L2opulation。
13.4. 支持的路由架构
Red Hat OpenStack Platform (RHOSP)支持 RHOSP 版本中的集中式、高可用性(HA)路由和分布式虚拟路由(DVR):
- RHOSP 集中式 HA 路由支持从 RHOSP 8 开始。
- RHOSP 分布式路由支持从 RHOSP 12 开始。
13.5. 将集中式路由器迁移到分布式路由
本节包含有关升级到使用 L3 HA 集中式路由的 Red Hat OpenStack Platform 部署的分布式路由的信息。
流程
- 升级部署,并验证它是否正常工作。
- 运行 director stack update 来配置 DVR。
- 确认路由通过现有的路由器正常工作。
- 您无法将 L3 HA 路由器直接转换到 分布式。相反,对于每个路由器,禁用 L3 HA 选项,然后启用分布式选项:
禁用路由器:
示例
openstack router set --disable router1
$ openstack router set --disable router1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 清除高可用性:
示例
openstack router set --no-ha router1
$ openstack router set --no-ha router1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 将路由器配置为使用 DVR:
示例
openstack router set --distributed router1
$ openstack router set --distributed router1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 启用路由器:
示例
openstack router set --enable router1
$ openstack router set --enable router1Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 确认分布式路由正常工作。
13.6. 禁用了分布式虚拟路由(DVR)部署 ML2/OVN OpenStack
新的 Red Hat OpenStack Platform (RHOSP)部署默认为使用 Open Virtual Network 机制驱动程序(ML2/OVN)和 DVR 的 neutron Modular Layer 2 插件。
在 DVR 拓扑中,具有浮动 IP 地址的计算节点路由虚拟机实例和网络之间的流量,为路由器提供外部连接(南北流量)。实例之间的流量(东西流量)也分发。
您可以选择在禁用 DVR 的情况下进行部署。这禁用南北 DVR,要求南北流量遍历控制器或网络器节点。东西路由始终在 ML2/OVN 部署中分发,即使 DVR 被禁用也是如此。
先决条件
- RHOSP 17.0 发行版可用于自定义和部署。
流程
创建自定义环境文件,并添加以下配置:
parameter_defaults: NeutronEnableDVR: false
parameter_defaults: NeutronEnableDVR: falseCopy to Clipboard Copied! Toggle word wrap Toggle overflow 若要应用此配置,请部署 overcloud,将自定义环境文件添加到堆栈和其他环境文件中。例如:
(undercloud) $ openstack overcloud deploy --templates \ -e [your environment files] -e /home/stack/templates/<custom-environment-file>.yaml
(undercloud) $ openstack overcloud deploy --templates \ -e [your environment files] -e /home/stack/templates/<custom-environment-file>.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
第 14 章 带有 IPv6 的项目网络
14.1. IPv6 子网选项
当您在 Red Hat OpenStack Platform (RHOSP)项目网络中创建 IPv6 子网时,您可以指定地址模式和路由器公告模式来获取特定结果,如下表所述。
RHOSP 不支持 ML2/OVN 部署中的 IPv6 前缀长度。您必须手动设置全局 Unicast Address 前缀。
| RA 模式 | 地址模式 | 结果 |
|---|---|---|
| ipv6_ra_mode=not set | ipv6-address-mode=slaac | 实例使用无状态地址自动配置(SLAAC)从外部路由器(不由 OpenStack 网络管理)接收 IPv6 地址。 注意 OpenStack 网络只支持 SLAAC 的 EUI-64 IPv6 地址分配。这允许简化的 IPv6 网络,因为主机基于 64 位和 MAC 地址进行自分配地址。您不能使用不同的子网掩码和 address_assign_type 创建子网 SLAAC。 |
| ipv6_ra_mode=not set | ipv6-address-mode=dhcpv6-stateful | 实例使用 DHCPv6 stateful 接收来自 OpenStack Networking (dnsmasq)的一个 IPv6 地址和可选信息。 |
| ipv6_ra_mode=not set | ipv6-address-mode=dhcpv6-stateless | 该实例使用 SLAAC 从外部路由器接收 IPv6 地址,以及使用 DHCPv6 stateless收集来自 OpenStack Networking (dnsmasq) 的可选信息。 |
| ipv6_ra_mode=slaac | ipv6-address-mode=not-set | 该实例使用 SLAAC 接收来自 OpenStack Networking (radvd) 的一个 IPv6 地址。 |
| ipv6_ra_mode=dhcpv6-stateful | ipv6-address-mode=not-set | 实例使用 DHCPv6 有状态 从外部 DHCPv6 服务器接收 IPv6 地址和可选信息。 |
| ipv6_ra_mode=dhcpv6-stateless | ipv6-address-mode=not-set | 该实例使用 SLAAC 从 OpenStack Networking (radvd) 接收 IPv6 地址,以及使用 DHCPv6 stateless 接收来自外部 DHCPv6 服务器的可选信息。 |
| ipv6_ra_mode=slaac | ipv6-address-mode=slaac | 实例使用 SLAAC 接收来自 OpenStack Networking (radvd) 的一个 IPv6 地址。 |
| ipv6_ra_mode=dhcpv6-stateful | ipv6-address-mode=dhcpv6-stateful | 实例使用 DHCPv6 stateful 接收来自 OpenStack Networking (dnsmasq) 的一个 IPv6 地址,使用 DHCPv6 stateful 接收来自 OpenStack Networking (dnsmasq) 的可选信息。 |
| ipv6_ra_mode=dhcpv6-stateless | ipv6-address-mode=dhcpv6-stateless | 实例使用 SLAAC 接收来自 OpenStack Networking (radvd) 的一个 IPv6 地址,使用 DHCPv6 stateless 接收来自 OpenStack Networking (dnsmasq) 的可选信息。 |
14.2. 使用 Stateful DHCPv6 创建 IPv6 子网
您可以在 Red Hat OpenStack (RHOSP)项目网络中创建 IPv6 子网。
例如,您可以在名为 QA 的项目中,在名为 database-servers 的网络中使用 Stateful DHCPv6 来创建一个 IPv6 子网。
流程
检索您要在其中创建 IPv6 子网的项目 ID。这些值在 OpenStack 部署之间是唯一的,因此您的值与本例中的值不同。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 检索 OpenStack Networking (neutron)中存在的所有网络列表,并注意您要托管 IPv6 子网的网络名称:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 在
openstack subnet create命令中包含项目 ID、网络名称和 ipv6 地址模式:Copy to Clipboard Copied! Toggle word wrap Toggle overflow
验证步骤
通过查看网络列表来验证此配置。请注意,database-servers 的条目现在反映了新创建的 IPv6 子网:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 结果
因此,在添加到数据库服务器子网时,QA 项目创建的实例可以接收 DHCP IPv6 地址:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
第 15 章 管理项目配额
15.1. 配置项目配额
OpenStack Networking (neutron)支持使用配额来限制租户/项目创建的资源数量。
流程
您可以在 /var/lib/config-data/puppet-generated/neutron/etc/neutron/neutron.conf 文件中为各种网络组件设置项目配额。
例如,若要限制项目可以创建的路由器数量,请更改
quota_router值:quota_router = 10
quota_router = 10Copy to Clipboard Copied! Toggle word wrap Toggle overflow 在本例中,每个项目限制为最多 10 个路由器。
有关配额设置列表,请参阅立即跟随的部分。
15.2. L3 配额选项
以下是可用于第 3 层(L3)网络的配额选项:
- quota_floatingip - 项目可用的浮动 IP 数量。
- quota_network - 项目可用的网络数量。
- quota_port - 项目可用的端口数量。
- quota_router - 项目可用的路由器数量。
- quota_subnet - 项目可用的子网数量。
- quota_vip - 项目可用的虚拟 IP 地址数量。
15.3. 防火墙配额选项
以下是用于管理项目的防火墙的配额选项:
- quota_firewall - 项目可用的防火墙数量。
- quota_firewall_policy - 项目可用的防火墙策略数量。
- quota_firewall_rule - 项目可用的防火墙规则数量。
15.4. 安全组配额选项
网络服务配额引擎管理安全组和安全组规则,在创建默认安全组(以及接受 IPv4 和 IPv6 的所有出口流量)之前,无法将所有配额设置为零。当您创建新项目时,网络服务不会在创建网络或端口之前创建默认安全组,直到列出安全组或安全组规则为止。
以下是用于管理项目可以创建的安全组数的配额选项:
- quota_security_group - 项目可用的安全组数量。
- quota_security_group_rule - 项目可用的安全组规则数量。
15.5. 管理配额选项
管理员可用于管理项目配额的附加选项:
- default_quota* - 项目可使用的默认资源数量。
quota_health_monitor* - 项目可用的运行状况监视器数量。
运行状况监视器不会消耗资源,但 quota 选项可用,因为 OpenStack 网络会将运行状况监视器视为资源使用者。
quota_member - 项目可用的池成员数量。
池成员不消耗资源,但 quota 选项可用,因为 OpenStack 网络会将池成员视为资源使用者。
- quota_pool - 项目可用的池数量。
第 16 章 部署路由的供应商网络
16.1. 路由供应商网络的优点
在 Red Hat OpenStack Platform (RHOSP)中,Operator 可以创建路由供应商网络。路由提供者网络通常用于边缘部署,并依赖于多个第 2 层网络段,而不是仅有一个网段的传统网络。
路由提供商网络为最终用户简化云,因为它们只看到一个网络。对于云操作员,路由供应商网络提供可扩展和容错能力。例如,如果发生主要错误,则只有一个网段会受到影响,而不是整个网络失败。
在路由供应商网络前,操作员通常必须从以下构架之一进行选择:
- 单个大第 2 层网络
- 多个、较小的第 2 层网络
在扩展并减少容错(低下的故障域)时,单大第 2 层网络就会变得复杂。
多个、较小的第 2 层网络扩展更好和缩小故障域,但可为最终用户带来复杂性。
从 RHOSP 16.2 及更高版本开始,您可以使用带有 Open Virtual Network 机制驱动程序(ML2/OVN)的 Modular Layer 2 插件部署路由供应商网络。(路由提供商网络支持 ML2/Open vSwitch (OVS)和 SR-IOV 机制驱动程序在 RHOSP 16.1.1. 中引入。)
16.2. 路由供应商网络的基本
路由提供商网络与其他类型的网络不同,因为网络子网和网段之间有一对一的关联。在过去,Red Hat OpenStack (RHOSP)网络服务不支持路由的供应商网络,因为所有子网都必须属于同一段或没有网段。
使用路由提供商网络时,虚拟机(VM)实例可用的 IP 地址取决于特定计算节点上可用的网络段。网络服务端口只能与一个网络段关联。
与传统网络类似,第 2 层(交换机)处理在同一网络段上的端口与第 3 层(routing)之间传输流量时的流量处理在网段之间传输流量。
网络服务不在网段之间提供第 3 层服务。相反,它依赖于物理网络基础架构来路由子网。因此,网络服务和物理网络基础架构必须包含路由的提供商网络的配置,类似于传统提供商网络。
由于 Compute 服务(nova)调度程序不是网络段感知,因此当您部署路由的供应商网络时,您必须将每个叶或机架网段或 DCN 边缘站点映射到计算服务 host-aggregate 或可用区。
如果需要 DHCP-metadata 服务,您必须为每个边缘站点或网络段定义一个可用区,以确保部署本地 DHCP 代理。
16.3. 路由供应商网络的限制
路由的提供商网络不受所有机制驱动程序的支持,且对 Compute 服务调度程序和其他软件的限制,如下列表中所述:
- 不支持使用中央 SNAT 或浮动 IP 的南北路由。
- 使用 SR-IOV 或 PCI 透传时,物理网络 (physnet) 名称在中央和远程站点或网段中必须相同。您不能重复使用片段 ID。
计算服务(nova)调度程序不是网段感知型。(您必须将每个网段或边缘站点映射到计算主机集成或可用性区域。)目前,只有两个虚拟机实例引导选项:
-
使用
port-id和 no IP 地址引导,指定 Compute 可用区(网段或边缘站点)。 -
使用
network-id引导,指定 Compute 可用区(网段或边缘站点)。
-
使用
- 只有在指定目标 Compute 可用区(网段或边缘站点)时,冷迁移或实时迁移才可以正常工作。
16.4. 准备路由的提供商网络
在 Red Hat OpenStack Platform (RHOSP)中创建路由供应商网络前,您必须执行几个任务。
流程
在网络中,为每个片段使用唯一的物理网络名称。这可让在子网间重复使用相同的分段详情。
例如,在特定提供商网络的所有片段中使用相同的 VLAN ID。
在网段之间实施路由。
网段上的每个子网必须包含该特定子网中路由器接口的网关地址。
Expand 表 16.1. 路由片段示例 segment 版本 addresses 网关 segment1
4
203.0.113.0/24
203.0.113.1
segment1
6
fd00:203:0:113::/64
fd00:203:0:113::1
segment2
4
198.51.100.0/24
198.51.100.1
segment2
6
fd00:198:51:100::/64
fd00:198:51:100::1
将网段映射到 Compute 节点。
路由提供商网络意味着 Compute 节点驻留在不同的网段上。确保路由提供商网络中的每个 Compute 主机都直接连接到其片段之一。
Expand 表 16.2. 段到 Compute 节点映射示例 主机 rack 物理网络 compute0001
rack 1
segment 1
compute0002
rack 1
segment 1
…
…
…
compute0101
rack 2
segment 2
compute0102
rack 2
segment 2
compute0102
rack 2
segment 2
…
…
…
当您使用 Open vSwitch 机制驱动程序(ML2/OVS)使用 Modular Layer 2 插件部署时,您必须为每个片段至少部署一个 DHCP 代理。
与传统提供商网络不同,DHCP 代理不支持网络中的多个网段。在包含片段而非网络节点上的 Compute 节点上部署 DHCP 代理,以减少节点数。
Expand 表 16.3. 每个片段映射的 DHCP 代理示例 主机 rack 物理网络 network0001
rack 1
segment 1
network0002
rack 1
segment 1
…
…
…
您可以使用自定义角色文件在 Compute 节点上部署 DHCP 代理和 RHOSP Networking 服务(neutron)元数据代理。
下面是一个示例:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 在自定义环境文件中,添加以下键值对:
parameter_defaults: .... NeutronEnableIsolatedMetadata: 'True' ....parameter_defaults: .... NeutronEnableIsolatedMetadata: 'True' ....Copy to Clipboard Copied! Toggle word wrap Toggle overflow
16.5. 创建路由的提供商网络
路由供应商网络简化了最终用户的 Red Hat OpenStack Platform (RHOSP)云,因为它们只看到一个网络。对于云操作员,路由供应商网络提供可扩展和容错能力。
执行此步骤时,您要使用两个网络段创建路由供应商网络。每个片段包含一个 IPv4 子网和一个 IPv6 子网。
先决条件
- 完成 xref:prepare-routed-prov-network_deploy-routed-prov-networks 中的步骤。
流程
创建包含默认片段的 VLAN 提供商网络。
在本例中,VLAN 提供商网络名为
multisegment1,它使用名为provider1的物理网络和 ID 为128的 VLAN:示例
openstack network create --share --provider-physical-network provider1 \ --provider-network-type vlan --provider-segment 128 multisegment1
$ openstack network create --share --provider-physical-network provider1 \ --provider-network-type vlan --provider-segment 128 multisegment1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 将默认网络段重命名为
segment1。获取片段 ID:
openstack network segment list --network multisegment1
$ openstack network segment list --network multisegment1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
+--------------------------------------+----------+--------------------------------------+--------------+---------+ | ID | Name | Network | Network Type | Segment | +--------------------------------------+----------+--------------------------------------+--------------+---------+ | 43e16869-ad31-48e4-87ce-acf756709e18 | None | 6ab19caa-dda9-4b3d-abc4-5b8f435b98d9 | vlan | 128 | +--------------------------------------+----------+--------------------------------------+--------------+---------+
+--------------------------------------+----------+--------------------------------------+--------------+---------+ | ID | Name | Network | Network Type | Segment | +--------------------------------------+----------+--------------------------------------+--------------+---------+ | 43e16869-ad31-48e4-87ce-acf756709e18 | None | 6ab19caa-dda9-4b3d-abc4-5b8f435b98d9 | vlan | 128 | +--------------------------------------+----------+--------------------------------------+--------------+---------+Copy to Clipboard Copied! Toggle word wrap Toggle overflow 使用片段 ID,将网络段重命名为
segment1:openstack network segment set --name segment1 43e16869-ad31-48e4-87ce-acf756709e18
$ openstack network segment set --name segment1 43e16869-ad31-48e4-87ce-acf756709e18Copy to Clipboard Copied! Toggle word wrap Toggle overflow
在提供商网络上创建第二个片段。
在本例中,网络片段使用名为
provider2的物理网络和 ID 为129的 VLAN:示例
openstack network segment create --physical-network provider2 \ --network-type vlan --segment 129 --network multisegment1 segment2
$ openstack network segment create --physical-network provider2 \ --network-type vlan --segment 129 --network multisegment1 segment2Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 验证网络是否包含
segment1和segment2段:openstack network segment list --network multisegment1
$ openstack network segment list --network multisegment1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 在
segment1段中创建一个 IPv4 子网和一个 IPv6 子网。在本例中,IPv4 子网使用
203.0.113.0/24:示例
openstack subnet create \ --network multisegment1 --network-segment segment1 \ --ip-version 4 --subnet-range 203.0.113.0/24 \ multisegment1-segment1-v4
$ openstack subnet create \ --network multisegment1 --network-segment segment1 \ --ip-version 4 --subnet-range 203.0.113.0/24 \ multisegment1-segment1-v4Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 在本例中,IPv6 子网使用
fd00:203:0:113::/64:示例
openstack subnet create \ --network multisegment1 --network-segment segment1 \ --ip-version 6 --subnet-range fd00:203:0:113::/64 \ --ipv6-address-mode slaac multisegment1-segment1-v6
$ openstack subnet create \ --network multisegment1 --network-segment segment1 \ --ip-version 6 --subnet-range fd00:203:0:113::/64 \ --ipv6-address-mode slaac multisegment1-segment1-v6Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注意默认情况下,提供商网络上的 IPv6 子网依赖于物理网络基础架构进行无状态地址自动配置(SLAAC)和路由器公告。
在
segment2段中创建一个 IPv4 子网和一个 IPv6 子网。在本例中,IPv4 子网使用
198.51.100.0/24:示例
openstack subnet create \ --network multisegment1 --network-segment segment2 \ --ip-version 4 --subnet-range 198.51.100.0/24 \ multisegment1-segment2-v4
$ openstack subnet create \ --network multisegment1 --network-segment segment2 \ --ip-version 4 --subnet-range 198.51.100.0/24 \ multisegment1-segment2-v4Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 在本例中,IPv6 子网使用
fd00:198:51:100::/64:示例
openstack subnet create \ --network multisegment1 --network-segment segment2 \ --ip-version 6 --subnet-range fd00:198:51:100::/64 \ --ipv6-address-mode slaac multisegment1-segment2-v6
$ openstack subnet create \ --network multisegment1 --network-segment segment2 \ --ip-version 6 --subnet-range fd00:198:51:100::/64 \ --ipv6-address-mode slaac multisegment1-segment2-v6Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
验证
验证每个 IPv4 子网至少与一个 DHCP 代理关联:
openstack network agent list --agent-type dhcp --network multisegment1
$ openstack network agent list --agent-type dhcp --network multisegment1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 验证为计算服务放置 API 中的每个片段 IPv4 子网创建了清单。
对所有片段 ID 运行这个命令:
SEGMENT_ID=053b7925-9a89-4489-9992-e164c8cc8763 openstack resource provider inventory list $SEGMENT_ID
$ SEGMENT_ID=053b7925-9a89-4489-9992-e164c8cc8763 $ openstack resource provider inventory list $SEGMENT_IDCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
在这个示例输出中,只会显示其中一个片段:
+----------------+------------------+----------+----------+-----------+----------+-------+ | resource_class | allocation_ratio | max_unit | reserved | step_size | min_unit | total | +----------------+------------------+----------+----------+-----------+----------+-------+ | IPV4_ADDRESS | 1.0 | 1 | 2 | 1 | 1 | 30 | +----------------+------------------+----------+----------+-----------+----------+-------+
+----------------+------------------+----------+----------+-----------+----------+-------+ | resource_class | allocation_ratio | max_unit | reserved | step_size | min_unit | total | +----------------+------------------+----------+----------+-----------+----------+-------+ | IPV4_ADDRESS | 1.0 | 1 | 2 | 1 | 1 | 30 | +----------------+------------------+----------+----------+-----------+----------+-------+Copy to Clipboard Copied! Toggle word wrap Toggle overflow 验证是否为 Compute 服务中的每个片段创建了主机聚合:
openstack aggregate list
$ openstack aggregate listCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
在这个示例中,只会显示其中一个片段:
+----+---------------------------------------------------------+-------------------+ | Id | Name | Availability Zone | +----+---------------------------------------------------------+-------------------+ | 10 | Neutron segment id 053b7925-9a89-4489-9992-e164c8cc8763 | None | +----+---------------------------------------------------------+-------------------+
+----+---------------------------------------------------------+-------------------+ | Id | Name | Availability Zone | +----+---------------------------------------------------------+-------------------+ | 10 | Neutron segment id 053b7925-9a89-4489-9992-e164c8cc8763 | None | +----+---------------------------------------------------------+-------------------+Copy to Clipboard Copied! Toggle word wrap Toggle overflow 启动一个或多个实例。每个实例根据特定计算节点上使用的片段获取 IP 地址。
注意如果用户在端口创建请求中指定固定 IP,则该特定 IP 会立即分配给端口。但是,创建端口并将其传递到实例会产生与传统网络不同的行为。如果在端口创建请求上没有指定固定 IP,网络服务会延迟将 IP 地址分配给端口,直到特定的计算节点变得明显为止。例如,当您运行这个命令时:
openstack port create --network multisegment1 port1
$ openstack port create --network multisegment1 port1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
16.6. 将非路由网络迁移到路由的提供商网络
您可以通过将网络的子网与网络段的 ID 关联,将非路由的网络迁移到路由的提供商网络。
先决条件
要迁移的非路由网络必须仅包含一个网段且只有一个子网。
重要在包含多个子网或网络段的非路由提供商网络中,无法安全地迁移到路由的提供商网络。在非路由网络中,子网分配池中的地址分配到端口,而无需考虑端口绑定到的网络段。
流程
对于正在迁移的网络,获取当前网络段的 ID。
示例
openstack network segment list --network my_network
$ openstack network segment list --network my_networkCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
+--------------------------------------+------+--------------------------------------+--------------+---------+ | ID | Name | Network | Network Type | Segment | +--------------------------------------+------+--------------------------------------+--------------+---------+ | 81e5453d-4c9f-43a5-8ddf-feaf3937e8c7 | None | 45e84575-2918-471c-95c0-018b961a2984 | flat | None | +--------------------------------------+------+--------------------------------------+--------------+---------+
+--------------------------------------+------+--------------------------------------+--------------+---------+ | ID | Name | Network | Network Type | Segment | +--------------------------------------+------+--------------------------------------+--------------+---------+ | 81e5453d-4c9f-43a5-8ddf-feaf3937e8c7 | None | 45e84575-2918-471c-95c0-018b961a2984 | flat | None | +--------------------------------------+------+--------------------------------------+--------------+---------+Copy to Clipboard Copied! Toggle word wrap Toggle overflow 对于正在迁移的网络,获取当前子网的 ID。
示例
openstack network segment list --network my_network
$ openstack network segment list --network my_networkCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
+--------------------------------------+-----------+--------------------------------------+---------------+ | ID | Name | Network | Subnet | +--------------------------------------+-----------+--------------------------------------+---------------+ | 71d931d2-0328-46ae-93bc-126caf794307 | my_subnet | 45e84575-2918-471c-95c0-018b961a2984 | 172.24.4.0/24 | +--------------------------------------+-----------+--------------------------------------+---------------+
+--------------------------------------+-----------+--------------------------------------+---------------+ | ID | Name | Network | Subnet | +--------------------------------------+-----------+--------------------------------------+---------------+ | 71d931d2-0328-46ae-93bc-126caf794307 | my_subnet | 45e84575-2918-471c-95c0-018b961a2984 | 172.24.4.0/24 | +--------------------------------------+-----------+--------------------------------------+---------------+Copy to Clipboard Copied! Toggle word wrap Toggle overflow 验证子网的当前
segment_id的值是否为None。示例
openstack subnet show my_subnet --c segment_id
$ openstack subnet show my_subnet --c segment_idCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
+------------+-------+ | Field | Value | +------------+-------+ | segment_id | None | +------------+-------+
+------------+-------+ | Field | Value | +------------+-------+ | segment_id | None | +------------+-------+Copy to Clipboard Copied! Toggle word wrap Toggle overflow 将 subnet
segment_id的值改为网络段 ID。下面是一个示例:
openstack subnet set --network-segment 81e5453d-4c9f-43a5-8ddf-feaf3937e8c7 my_subnet
$ openstack subnet set --network-segment 81e5453d-4c9f-43a5-8ddf-feaf3937e8c7 my_subnetCopy to Clipboard Copied! Toggle word wrap Toggle overflow
验证
验证子网现在是否与所需的网络段关联。
示例
openstack subnet show my_subnet --c segment_id
$ openstack subnet show my_subnet --c segment_idCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
+------------+--------------------------------------+ | Field | Value | +------------+--------------------------------------+ | segment_id | 81e5453d-4c9f-43a5-8ddf-feaf3937e8c7 | +------------+--------------------------------------+
+------------+--------------------------------------+ | Field | Value | +------------+--------------------------------------+ | segment_id | 81e5453d-4c9f-43a5-8ddf-feaf3937e8c7 | +------------+--------------------------------------+Copy to Clipboard Copied! Toggle word wrap Toggle overflow
第 17 章 配置允许的地址对
17.1. 允许的地址对概述
在 Red Hat OpenStack Platform (RHOSP) 网络环境中,允许的地址对用来识别特定的 MAC 地址、IP 地址或两者,以允许网络流量通过端口,而不考虑子网。当您定义允许的地址对时,您可以使用 VRRP (虚拟路由器冗余协议)等协议,该协议在两个虚拟机实例之间浮点数,以启用快速数据平面故障转移。其 IP 地址是允许对另一端口地址对的端口,称为虚拟端口(vport)。
在 RHOSP 联网环境中,在创建虚拟机实例时,请不要将实例绑定到虚拟端口 (vport)。反之,使用其 IP 地址不是另一个端口允许的地址对成员的端口。
将 vport 绑定到实例可防止实例生成并生成类似如下的错误消息:
WARNING nova.virt.libvirt.driver [req-XXXX - - - default default] [instance: XXXXXXXXX] Timeout waiting for [('network-vif-plugged', 'XXXXXXXXXX')] for instance with vm_state building and task_state spawning.: eventlet.timeout.Timeout: 300 seconds
WARNING nova.virt.libvirt.driver [req-XXXX - - - default default] [instance: XXXXXXXXX] Timeout waiting for [('network-vif-plugged', 'XXXXXXXXXX')] for instance with vm_state building and task_state spawning.: eventlet.timeout.Timeout: 300 seconds
您可以使用 Red Hat OpenStack Platform 命令行客户端 openstack port 命令定义允许的地址对。
请注意,您不应该使用允许的地址对中更广泛的 IP 地址范围的默认安全组。这样做可让单个端口为同一网络中的所有其他端口绕过安全组。
例如,这个命令会影响网络中的所有端口并绕过所有安全组:
openstack port set --allowed-address mac-address=3e:37:09:4b,ip-address=0.0.0.0/0 9e67d44eab334f07bf82fa1b17d824b6
# openstack port set --allowed-address mac-address=3e:37:09:4b,ip-address=0.0.0.0/0 9e67d44eab334f07bf82fa1b17d824b6
使用 ML2/OVN 机制驱动程序网络后端,可以创建 VIP。但是,使用 allowed_address_pairs 分配给绑定端口的 IP 地址应当与虚拟端口 IP 地址(/32)匹配。
如果您将 CIDR 格式 IP 地址用于绑定端口 allowed_address_pairs,则不会在后端中配置端口转发,并且 CIDR 中预期到达绑定 IP 端口的任何 IP 的流量会失败。
17.2. 创建端口并允许一个地址对
使用允许的地址对创建端口可让网络流量通过端口流,而不考虑子网。
不要在允许的地址对中使用更广泛的 IP 地址范围的默认安全组。这样做可让单个端口为同一网络中的所有其他端口绕过安全组。
流程
使用以下命令来创建端口并允许一个地址对:
openstack port create --network <network> --allowed-address mac-address=<mac_address>,ip-address=<ip_cidr> <port_name>
$ openstack port create --network <network> --allowed-address mac-address=<mac_address>,ip-address=<ip_cidr> <port_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow
17.3. 添加允许的地址对
您可以将允许的地址对添加到端口,以启用网络流量通过端口流,而不考虑子网。
不要在允许的地址对中使用更广泛的 IP 地址范围的默认安全组。这样做可让单个端口为同一网络中的所有其他端口绕过安全组。
流程
使用以下命令添加允许的地址对:
openstack port set --allowed-address mac-address=<mac_address>,ip-address=<ip_cidr> <port>
$ openstack port set --allowed-address mac-address=<mac_address>,ip-address=<ip_cidr> <port>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注意您不能设置与端口的
mac_address和ip_address匹配的 allowed-address 对。这是因为此类设置没有作用,因为与mac_address和ip_address匹配的流量已经被允许通过端口。
第 18 章 常见管理任务
有时,您可能需要在 Red Hat OpenStack Platform Networking 服务(neutron)上执行管理任务,如配置第 2 层填充驱动程序或指定内部 DNS 分配给端口的名称。
18.1. 配置 L2 填充驱动程序
L2 Population 驱动程序使广播、多播和单播流量能够在大型覆盖网络上横向扩展。默认情况下,Open vSwitch GRE 和 VXLAN 将广播复制到每个代理,包括不托管目标网络的代理。这种设计需要接受大量网络和处理开销。L2 Population 驱动程序引入的替代设计为 ARP 解析和 MAC 学习流量实施部分网格;它还仅在托管网络节点间为特定网络创建隧道。此流量仅通过将流量作为目标单播封装到所需的代理中。
要启用 L2 Population 驱动程序,请完成以下步骤:
1.通过将 L2 填充驱动程序添加到机制驱动程序列表中,以启用 L2 填充驱动程序。您还必须启用至少一个隧道驱动程序:GRE、VXLAN 或这两者。在 ml2_conf.ini 文件中添加适当的配置选项:
[ml2] type_drivers = local,flat,vlan,gre,vxlan,geneve mechanism_drivers = l2population
[ml2]
type_drivers = local,flat,vlan,gre,vxlan,geneve
mechanism_drivers = l2populationNeutron 的 Linux Bridge ML2 驱动程序和代理已在 Red Hat OpenStack Platform 11 中弃用。Open vSwitch (OVS)插件 OpenStack Platform director 默认,建议红帽用于常规用途。
2.在 openvswitch_agent.ini 文件中启用 L2 填充。在包含 L2 代理的每个节点上启用它:
[agent] l2_population = True
[agent]
l2_population = True
要安装 ARP 回复流,请配置 arp_responder 标志:
[agent] l2_population = True arp_responder = True
[agent]
l2_population = True
arp_responder = True18.2. 调整 keepalived 以避免 VRRP 数据包丢失
如果单个主机上的高可用性(HA)路由器数量很高,当 HA 路由器发生时,虚拟路由器冗余协议(VRRP)消息可能会溢出 IRQ 队列。这个溢出会阻止 Open vSwitch (OVS)响应和转发这些 VRRP 信息。
为了避免 VRRP 数据包过载,您必须使用 Controller 角色的 ExtraConfig 部分中的 ha_vrrp_advert_int 参数来增加 VRRP 公告间隔。
流程
以 stack 用户身份登录 undercloud,再提供
stackrc文件,以启用 director 命令行工具。示例
source ~/stackrc
$ source ~/stackrcCopy to Clipboard Copied! Toggle word wrap Toggle overflow 创建自定义 YAML 环境文件。
示例
vi /home/stack/templates/my-neutron-environment.yaml
$ vi /home/stack/templates/my-neutron-environment.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 提示Red Hat OpenStack Platform Orchestration 服务(heat)使 用一组名为 template 的计划来安装和配置您的环境。您可以使用自定义环境文件 自定义 overcloud 的各个方面,这是为 heat 模板 提供自定义 的特殊模板。
在 YAML 环境文件中,使用
ha_vrrp_advert_int参数以及特定于您的站点的值来增加 VRRP 广告间隔。(默认值为2秒。)您还可以为 gratuitous ARP 消息设置值:
ha_vrrp_garp_master_repeat- 过渡到 master 状态后一次发送的 gratuitous ARP 消息数量。(默认值为 5 消息。)
ha_vrrp_garp_master_delay在以 master 状态接收较低优先级广告后,第二个 gratuitous ARP 消息的延迟。(默认值为 5 秒。)
示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
运行
openstack overcloud deploy命令,并包含核心 heat 模板、环境文件以及新的自定义环境文件。重要但是,环境文件的顺序非常重要,因为后续环境文件中定义的参数和资源更为优先。
示例
openstack overcloud deploy --templates \ -e [your-environment-files] \ -e /usr/share/openstack-tripleo-heat-templates/environments/services/my-neutron-environment.yaml
$ openstack overcloud deploy --templates \ -e [your-environment-files] \ -e /usr/share/openstack-tripleo-heat-templates/environments/services/my-neutron-environment.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
18.3. 指定 DNS 分配给端口的名称
当您启用 Red Hat OpenStack Platform (RHOSP)网络服务(neutron) DNS 为端口扩展(dns_domain_ports)时,您可以指定内部 DNS 分配给端口的名称。
您可以通过在 YAML 格式的环境文件中声明 RHOSP Orchestration (heat) NeutronPlugin Extensions 参数,为端口扩展启用 dns_domain。使用对应的参数 NeutronDnsDomain,您可以指定您的域名,该域名会覆盖默认值 openstacklocal。重新部署 overcloud 后,您可以使用 OpenStack 客户端端口命令( port set 或 port create )来分配 端口名称。
另外,当启用端口扩展的 dns_domain 时,Compute 服务会在引导虚拟机实例期间使用实例的 hostname 属性自动填充 dns_name 属性。在引导过程结束时,dnsmasq 会根据其实例主机名识别分配的端口。
流程
以 stack 用户身份登录 undercloud,再提供
stackrc文件,以启用 director 命令行工具。示例
source ~/stackrc
$ source ~/stackrcCopy to Clipboard Copied! Toggle word wrap Toggle overflow 创建自定义 YAML 环境文件(
my-neutron-environment.yaml)。注意括号内的值是此流程中示例命令中使用的示例值。将这些示例值替换为适合您的站点的值。
示例
vi /home/stack/templates/my-neutron-environment.yaml
$ vi /home/stack/templates/my-neutron-environment.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 提示undercloud 包括一组编配服务模板,组成您的 overcloud 创建计划。您可以使用环境文件来自定义 overcloud 的各个方面,这些文件是 YAML 格式的文件,该文件会覆盖核心编排服务模板集合中的参数和资源。您可以根据需要纳入多个环境文件。
在 环境文件中,添加一个
parameter_defaults部分。在本节下,为端口扩展名添加dns_domain_ports。示例
parameter_defaults: NeutronPluginExtensions: "qos,port_security,dns_domain_ports"
parameter_defaults: NeutronPluginExtensions: "qos,port_security,dns_domain_ports"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 注意如果您设置了
dns_domain_ports,请确保部署也没有使用dns_domain,即 DNS 集成扩展。这些扩展不兼容,无法同时定义这两个扩展。另外,在
parameter_defaults部分中,使用NeutronDnsDomain参数添加您的域名(example.com)。示例
parameter_defaults: NeutronPluginExtensions: "qos,port_security,dns_domain_ports" NeutronDnsDomain: "example.com"parameter_defaults: NeutronPluginExtensions: "qos,port_security,dns_domain_ports" NeutronDnsDomain: "example.com"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 运行
openstack overcloud deploy命令,并包括核心编配模板、环境文件和这个新环境文件。重要但是,环境文件的顺序非常重要,因为后续环境文件中定义的参数和资源更为优先。
示例
openstack overcloud deploy --templates \ -e [your-environment-files] \ -e /usr/share/openstack-tripleo-heat-templates/environments/services/my-neutron-environment.yaml
$ openstack overcloud deploy --templates \ -e [your-environment-files] \ -e /usr/share/openstack-tripleo-heat-templates/environments/services/my-neutron-environment.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
验证
登录到 overcloud,并在网络 (
public) 上创建一个新端口 (new_port)。为端口分配一个 DNS 名称(my_port)。示例
source ~/overcloudrc openstack port create --network public --dns-name my_port new_port
$ source ~/overcloudrc $ openstack port create --network public --dns-name my_port new_portCopy to Clipboard Copied! Toggle word wrap Toggle overflow 显示端口的详细信息(
new_port)。示例
openstack port show -c dns_assignment -c dns_domain -c dns_name -c name new_port
$ openstack port show -c dns_assignment -c dns_domain -c dns_name -c name new_portCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 在
dns_assignment下,端口的完全限定域名(fqdn)值包含 DNS 名称的连接(my_port)以及之前使用NeutronDnsDomain设置的域名(example.com)。使用您刚才创建的端口(
new_port)创建一个新虚拟机实例(my_vm)。示例
openstack server create --image rhel --flavor m1.small --port new_port my_vm
$ openstack server create --image rhel --flavor m1.small --port new_port my_vmCopy to Clipboard Copied! Toggle word wrap Toggle overflow 显示端口的详细信息(
new_port)。示例
openstack port show -c dns_assignment -c dns_domain -c dns_name -c name new_port
$ openstack port show -c dns_assignment -c dns_domain -c dns_name -c name new_portCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 请注意,计算服务将
dns_name属性从其原始值(my_port)改为与端口关联的实例的名称(my_vm)。
18.4. 为端口分配 DHCP 属性
您可以使用 Red Hat Openstack Plaform (RHOSP) Networking 服务(neutron)扩展来添加网络功能。您可以使用额外的 DHCP 选项扩展(extra_dhcp_opt)来使用 DHCP 属性配置 DHCP 客户端的端口。例如,您可以添加 PXE 引导选项,如 tftp-server、server-ip-address 或 bootfile-name 到 DHCP 客户端端口。
extra_dhcp_opt 属性的值是 DHCP 选项对象数组,其中每个对象包含一个 opt_name 和 opt_value。IPv4 是默认版本,但您可以通过包含第三个选项 ip-version=6 来更改 IPv6。
当虚拟机实例启动时,RHOSP 网络服务使用 DHCP 协议向实例提供端口信息。如果您将 DHCP 信息添加到已连接到正在运行的实例的端口,实例仅在实例重启时使用新的 DHCP 端口信息。
一些常见的 DHCP 端口属性有:bootfile- name ,,dns- serverdomain-name,mtu,server-ip-address, 和 tftp-server。有关 opt_name 的完整可接受值集,请参阅 DHCP 规格。
先决条件
- 您必须具有 RHOSP 管理员特权。
流程
-
以
stack用户身份登录 undercloud 主机。 提供 undercloud 凭证文件:
source ~/stackrc
$ source ~/stackrcCopy to Clipboard Copied! Toggle word wrap Toggle overflow 创建自定义 YAML 环境文件。
示例
vi /home/stack/templates/my-octavia-environment.yaml
$ vi /home/stack/templates/my-octavia-environment.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 您的环境文件必须包含关键字
parameter_defaults。在这些关键字下,添加额外的 DHCP 选项扩展名extra_dhcp_opt。示例
parameter_defaults: NeutronPluginExtensions: "qos,port_security,extra_dhcp_opt"
parameter_defaults: NeutronPluginExtensions: "qos,port_security,extra_dhcp_opt"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 运行部署命令,并包括核心 heat 模板、环境文件和新的自定义环境文件。
重要但是,环境文件的顺序非常重要,因为后续环境文件中定义的参数和资源更为优先。
示例
openstack overcloud deploy --templates \ -e <your_environment_files> \ -e /usr/share/openstack-tripleo-heat-templates/environments/services/octavia.yaml \ -e /home/stack/templates/my-octavia-environment.yaml
$ openstack overcloud deploy --templates \ -e <your_environment_files> \ -e /usr/share/openstack-tripleo-heat-templates/environments/services/octavia.yaml \ -e /home/stack/templates/my-octavia-environment.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
验证
提供您的凭据文件。
示例
source ~/overcloudrc
$ source ~/overcloudrcCopy to Clipboard Copied! Toggle word wrap Toggle overflow 在网络(
public)上创建一个新端口(new_port)。从 DHCP 规范分配有效属性到新端口。示例
openstack port create --extra-dhcp-option \ name=domain-name,value=test.domain --extra-dhcp-option \ name=ntp-server,value=192.0.2.123 --network public new_port
$ openstack port create --extra-dhcp-option \ name=domain-name,value=test.domain --extra-dhcp-option \ name=ntp-server,value=192.0.2.123 --network public new_portCopy to Clipboard Copied! Toggle word wrap Toggle overflow 显示端口的详细信息(
new_port)。示例
openstack port show new_port -c extra_dhcp_opts
$ openstack port show new_port -c extra_dhcp_optsCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
18.5. 在端口上启用 NUMA 关联性
要启用用户在端口上使用 NUMA 关联性创建实例,您必须加载 Red Hat Openstack Plaform (RHOSP) Networking 服务(neutron)扩展 port_numa_affinity_policy。
先决条件
- 访问 stack 用户的 undercloud 主机和凭据。
流程
-
以
stack用户身份登录 undercloud 主机。 提供 undercloud 凭证文件:
source ~/stackrc
$ source ~/stackrcCopy to Clipboard Copied! Toggle word wrap Toggle overflow 要启用
port_numa_affinity_policy扩展,打开定义NeutronPluginExtensions参数的环境文件,并将port_numa_affinity_policy添加到列表中:parameter_defaults: NeutronPluginExtensions: "qos,port_numa_affinity_policy"
parameter_defaults: NeutronPluginExtensions: "qos,port_numa_affinity_policy"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 使用其他环境文件将您修改的环境文件添加到堆栈中,然后重新部署 overcloud:
重要但是,环境文件的顺序非常重要,因为后续环境文件中定义的参数和资源更为优先。
openstack overcloud deploy --templates \ -e <your_environment_files> \ -e /home/stack/templates/<custom_environment_file>.yaml
$ openstack overcloud deploy --templates \ -e <your_environment_files> \ -e /home/stack/templates/<custom_environment_file>.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
验证
提供您的凭据文件。
示例
source ~/overcloudrc
$ source ~/overcloudrcCopy to Clipboard Copied! Toggle word wrap Toggle overflow 创建新端口。
当您创建端口时,请使用以下选项之一来指定要应用到端口的 NUMA 关联性策略:
-
调度此端口
所需的 --NUMA-policy-required- NUMA 关联性策略。 -
--NUMA-policy-preferred- NUMA 关联性策略首选调度此端口。 使用旧模式调度此端口的 --NUMA-policy-legacy- NUMA 关联性策略。示例
openstack port create --network public \ --numa-policy-legacy myNUMAAffinityPort
$ openstack port create --network public \ --numa-policy-legacy myNUMAAffinityPortCopy to Clipboard Copied! Toggle word wrap Toggle overflow
-
调度此端口
显示端口的详细信息。
示例
openstack port show myNUMAAffinityPort -c numa_affinity_policy
$ openstack port show myNUMAAffinityPort -c numa_affinity_policyCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
加载扩展后,
Value列应当读取、旧、首选或必需的。如果扩展无法加载,则值显示为None:+----------------------+--------+ | Field | Value | +----------------------+--------+ | numa_affinity_policy | legacy | +----------------------+--------+
+----------------------+--------+ | Field | Value | +----------------------+--------+ | numa_affinity_policy | legacy | +----------------------+--------+Copy to Clipboard Copied! Toggle word wrap Toggle overflow
18.6. 加载内核模块
Red Hat OpenStack Platform (RHOSP)中的一些功能需要加载某些内核模块。例如,OVS 防火墙驱动程序要求您加载 nf_conntrack_proto_gre 内核模块,以支持两个虚拟机实例之间的 GRE 隧道。
通过使用特殊的编排服务(heat)参数 ExtraKernelModules,您可以确保 heat 存储关于 GRE 隧道等功能所需的功能所需的配置信息。之后,在正常模块管理过程中,会加载这些所需的内核模块。
流程
在 undercloud 主机上,以 stack 用户身份登录,创建一个自定义 YAML 环境文件。
示例
vi /home/stack/templates/my-modules-environment.yaml
$ vi /home/stack/templates/my-modules-environment.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 提示Heat 使用一组名为 template 的计划来安装和配置您的环境。您可以使用自定义环境文件 自定义 overcloud 的各个方面,这是为 heat 模板 提供自定义 的特殊模板。
在
parameter_defaults下的 YAML 环境文件中,将ExtraKernelModules设置为您要载入的模块的名称。示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 运行
openstack overcloud deploy命令,并包含核心 heat 模板、环境文件以及新的自定义环境文件。重要环境文件的顺序非常重要,因为后续环境文件中定义的参数和资源更为优先。
示例
openstack overcloud deploy --templates \ -e [your-environment-files] \ -e /usr/share/openstack-tripleo-heat-templates/environments/services/my-modules-environment.yaml
$ openstack overcloud deploy --templates \ -e [your-environment-files] \ -e /usr/share/openstack-tripleo-heat-templates/environments/services/my-modules-environment.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
验证
如果 heat 正确载入该模块,您应该在 Compute 节点上运行
lsmod命令时看到输出:示例
sudo lsmod | grep nf_conntrack_proto_gre
sudo lsmod | grep nf_conntrack_proto_greCopy to Clipboard Copied! Toggle word wrap Toggle overflow
第 19 章 配置第 3 层高可用性(HA)
19.1. 没有高可用性(HA)的 RHOSP 网络服务
在没有高可用性(HA)功能的情况下,Red Hat OpenStack Platform (RHOSP)网络服务部署容易受到物理节点故障的影响。
在典型的部署中,项目创建虚拟路由器,这些路由器计划在物理网络服务层 3 (L3)代理节点上运行。当您丢失 L3 代理节点,且依赖虚拟机随后丢失与外部网络的连接时,这会产生一个问题。任何浮动 IP 地址也不可用。此外,路由器主机的任何网络之间也会丢失连接。
19.2. 第 3 层高可用性(HA)概述.
这种主动/被动高可用性(HA)配置使用行业标准 VRRP (根据 RFC 3768 定义)来保护项目路由器和浮动 IP 地址。虚拟路由器在多个 Red Hat OpenStack Platform (RHOSP)网络服务节点上随机调度,一个指定为 活跃 路由器,其余则位于 待机角色中。
要部署第 3 层(L3) HA,您必须在冗余网络服务节点上维护类似的配置,包括浮动 IP 范围和外部网络的访问。
在下图中,活跃的 Router1 和 Router2 路由器在一个独立的物理 L3 网络服务代理节点上运行。L3 HA 已在对应的节点上调度备份虚拟路由器,准备好在物理节点出现故障时恢复服务。当 L3 代理节点出现故障时,L3 HA 会将受影响的虚拟路由器和浮动 IP 地址重新调度到工作节点:
在故障转移事件期间,通过浮动 IP 实例 TCP 会话保持不变,并在不中断的情况下迁移到新的 L3 节点。只有 SNAT 流量会受到故障转移事件的影响。
当处于主动/主动 HA 模式时,L3 代理会进一步保护。
19.3. 第 3 层高可用性(HA)故障转移条件
Red Hat OpenStack Platform (RHOSP)网络服务的第 3 层(L3)高可用性(HA)会在以下事件中自动重新调度受保护的资源:
- 网络服务 L3 代理节点会关闭,或者因为硬件故障而关闭电源。
- L3 代理节点从物理网络隔离并丢失连接。
手动停止 L3 代理服务不会降低故障转移事件。
19.4. 第 3 层高可用性(HA)的项目注意事项.
Red Hat OpenStack Platform (RHOSP)网络服务层 3 (L3)高可用性(HA)配置在后端中发生,对项目不可见。项目可以继续创建和管理其虚拟路由器,但设计 L3 HA 实施时请注意一些限制:
- L3 HA 支持每个项目最多 255 个虚拟路由器。
- 内部 VRRP 消息在单独的内部网络中传输,并为每个项目自动创建。此过程对用户透明。
-
在 ML2/OVS 上实施高可用性(HA)路由器时,每个 L3 代理会为每个路由器生成
haproxy和neutron-keepalived-state-change-monitor进程。每个进程消耗大约 20MB 内存。默认情况下,每个 HA 路由器驻留在三个 L3 代理上,并消耗每个节点上的资源。因此,在调整 RHOSP 网络大小时,请确保已分配了足够的内存来支持您计划实施的 HA 路由器数量。
19.5. 对 RHOSP 网络服务的高可用性(HA)更改
Red Hat OpenStack Platform (RHOSP) Networking 服务(neutron) API 已更新,以便管理员在创建路由器时设置-- ha=True/False 标志,这将覆盖 /var/lib/config-data/puppet-generated/neutron/etc/neutron/neutron.conf 中 l3_ha 的默认配置。
高可用性(HA)变为 neutron-server:
- 第 3 层(L3) HA 随机分配活跃角色,无论网络服务使用的调度程序是什么(随机还是最小路由器)。
- 数据库架构已被修改,以处理为虚拟路由器分配虚拟 IP 地址(VIP)。
- 创建传输网络来直接 L3 HA 流量。
HA 对网络服务 L3 代理的更改:
- 添加了一个新的 keepalived 管理器,提供负载均衡和 HA 功能。
- IP 地址转换为 VIP。
19.6. 在 RHOSP 网络服务节点上启用第 3 层高可用性(HA)
在安装过程中,当您至少有两个 RHOSP 控制器且没有使用分布式虚拟路由(DVR)时,Red Hat OpenStack Platform (RHOSP) director 会为虚拟路由器启用高可用性(HA)。使用 RHOSP 编排服务(heat)参数 max_l3_agents_per_router,您可以设置在其上调度 HA 路由器的 RHOSP 网络服务层 3 (L3)代理的最大数量。
先决条件
- 您的 RHOSP 部署不使用 DVR。
- 您至少部署了两个 RHOSP Controller。
流程
以 stack 用户身份登录 undercloud,再提供
stackrc文件,以启用 director 命令行工具。示例
source ~/stackrc
$ source ~/stackrcCopy to Clipboard Copied! Toggle word wrap Toggle overflow 创建自定义 YAML 环境文件。
示例
vi /home/stack/templates/my-neutron-environment.yaml
$ vi /home/stack/templates/my-neutron-environment.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 提示编排服务 (heat) 使用一组名为 template(模板) 的计划来安装和配置您的环境。您可以使用自定义环境文件 自定义 overcloud 的各个方面,这是为 heat 模板 提供自定义 的特殊模板。
在 YAML 环境文件中将
NeutronL3HA参数设置为true。这样可确保启用 HA,即使 director 默认没有设置它。parameter_defaults: NeutronL3HA: 'true'
parameter_defaults: NeutronL3HA: 'true'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 设置在其上调度 HA 路由器的 L3 代理的最大数量。
将
max_l3_agents_per_router参数设置为部署中最少和网络节点总数之间的值。(零值表示路由器被调度到每个代理上。)示例
parameter_defaults: NeutronL3HA: 'true' ControllerExtraConfig: neutron::server::max_l3_agents_per_router: 2parameter_defaults: NeutronL3HA: 'true' ControllerExtraConfig: neutron::server::max_l3_agents_per_router: 2Copy to Clipboard Copied! Toggle word wrap Toggle overflow 在本例中,如果您部署四个网络服务节点,则只有两个 L3 代理可以保护每个 HA 虚拟路由器:一个处于活动状态,一个备用。
如果将
max_l3_agents_per_router的值设置为大于可用网络节点的数量,您可以通过添加新的 L3 代理来横向扩展备用路由器数量。对于您部署的每个新 L3 代理节点,网络服务会调度虚拟路由器的额外备用版本,直到达到max_l3_agents_per_router限制为止。运行
openstack overcloud deploy命令,并包含核心 heat 模板、环境文件以及新的自定义环境文件。重要但是,环境文件的顺序非常重要,因为后续环境文件中定义的参数和资源更为优先。
示例
openstack overcloud deploy --templates \ -e [your-environment-files] \ -e /usr/share/openstack-tripleo-heat-templates/environments/services/my-neutron-environment.yaml
$ openstack overcloud deploy --templates \ -e [your-environment-files] \ -e /usr/share/openstack-tripleo-heat-templates/environments/services/my-neutron-environment.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 注意当
NeutronL3HA设为true时,创建的所有虚拟路由器都默认为 HA 路由器。在创建路由器时,您可以通过在openstack router create命令中包含 the-no-ha选项来覆盖 HA 选项:openstack router create --no-ha
# openstack router create --no-haCopy to Clipboard Copied! Toggle word wrap Toggle overflow
19.7. 查看高可用性(HA) RHOSP 网络服务节点配置
流程
在虚拟路由器命名空间中运行
ip address命令,以便在结果中返回一个高可用性(HA)设备,前缀为 ha-。ip netns exec qrouter-b30064f9-414e-4c98-ab42-646197c74020 ip address <snip> 2794: ha-45249562-ec: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state DOWN group default link/ether 12:34:56:78:2b:5d brd ff:ff:ff:ff:ff:ff inet 169.254.0.2/24 brd 169.254.0.255 scope global ha-54b92d86-4f
# ip netns exec qrouter-b30064f9-414e-4c98-ab42-646197c74020 ip address <snip> 2794: ha-45249562-ec: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state DOWN group default link/ether 12:34:56:78:2b:5d brd ff:ff:ff:ff:ff:ff inet 169.254.0.2/24 brd 169.254.0.255 scope global ha-54b92d86-4fCopy to Clipboard Copied! Toggle word wrap Toggle overflow
启用第 3 层 HA 后,虚拟路由器和浮动 IP 地址会对单个节点故障进行保护。
第 20 章 使用可用区使网络资源高度可用
从版本 16.2 开始,Red Hat OpenStack Platform (RHOSP)支持 RHOSP Networking 服务(neutron)可用区(AZ)。
AZ 允许您使 RHOSP 网络资源高度可用。您可以对附加到不同 AZ 上不同电源源的网络节点进行分组,然后将关键服务调度到单独的 AZ。
网络服务 AZ 与计算服务(nova) AZ 结合使用,以确保客户使用特定虚拟网络(本地到工作负载运行的物理站点)。有关分布式计算节点架构的更多信息,请参阅 分布式计算节点和存储部署指南。
20.1. 关于网络服务可用区
提供 Red Hat OpenStack Platform (RHOSP)网络服务(neutron)可用域(AZ)功能所需的扩展是 availability_zone、router_availability_zone,以及 network_availability_zone。带有 Open vSwitch (ML2/OVS)机制驱动程序的 Modular Layer 2 插件支持所有这些扩展。
带有 Open Virtual Network (ML2/OVN)机制驱动程序的 Modular Layer 2 插件只支持路由器可用区。ML2/OVN 有一个分布式 DHCP 服务器,因此不支持网络 AZ。
在创建网络资源时,您可以使用 OpenStack 客户端命令行选项 --availability-zone-hint 来指定 AZ。您指定的 AZ 添加到 AZ 提示列表中。但是,实际设置 AZ 属性,直到资源被调度为止。分配给网络资源的实际 AZ 可能与您使用 hint 选项指定的 AZ 不同。这种不匹配的原因可能是存在区失败,或者指定的区没有剩余容量。
您可以为默认 AZ 配置网络服务,如果用户在创建网络资源时无法指定 AZ。除了设置默认 AZ 外,您还可以配置特定的驱动程序来调度 AZ 上的网络和路由器。
20.2. 为 ML2/OVS 配置网络服务可用区
您可以在用户创建网络和路由器时,设置由 Red Hat OpenStack Platform (RHOSP)网络服务(neutron)自动分配的一个或多个默认可用区(AZ)。另外,您还可以设置网络服务用来为对应的 AZ 调度这些资源的网络和路由器驱动程序。
本主题中包含的信息是运行 RHOSP 网络服务的部署,该服务使用带有 Open vSwitch 机制驱动程序(ML2/OVS)的 Module Layer 2 插件。
先决条件
- 部署的 RHOSP 16.2 或更高版本。
- 运行使用 ML2/OVS 机制驱动程序的 RHOSP 网络服务。
在分布式计算节点(DCN)环境中使用网络服务 AZ 时,您必须将网络服务 AZ 名称与计算服务(nova) AZ 名称匹配。
如需更多信息,请参阅 分布式计算节点和存储部署指南。
流程
以
stack用户身份登录 undercloud,再提供stackrc文件,以启用 director 命令行工具。示例
source ~/stackrc
$ source ~/stackrcCopy to Clipboard Copied! Toggle word wrap Toggle overflow 创建自定义 YAML 环境文件。
示例
vi /home/stack/templates/my-neutron-environment.yaml
$ vi /home/stack/templates/my-neutron-environment.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 提示Red Hat OpenStack Platform Orchestration 服务(heat)使 用一组名为 template 的计划来安装和配置您的环境。您可以使用自定义环境文件 自定义 overcloud 的各个方面,这是为 heat 模板 提供自定义 的特殊模板。
在 YAML 环境文件中,在
parameter_defaults下输入NeutronDefaultAvailabilityZones参数以及一个或多个 AZ。如果用户在创建网络或路由器时通过-availability-zone-hint选项指定 AZ,网络服务会分配这些 AZ。重要在 DCN 环境中,您必须将网络服务 AZ 名称与 Compute 服务 AZ 名称匹配。
示例
parameter_defaults: NeutronDefaultAvailabilityZones: 'az-central,az-datacenter2,az-datacenter1'
parameter_defaults: NeutronDefaultAvailabilityZones: 'az-central,az-datacenter2,az-datacenter1'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 通过分别输入参数(
NeutronDhcpAgentAvailabilityZone和NeutronL3AgentAvailabilityZone)的值来确定 DHCP 和 L3 代理的 AZ。示例
parameter_defaults: NeutronDefaultAvailabilityZones: 'az-central,az-datacenter2,az-datacenter1' NeutronL3AgentAvailabilityZone: 'az-central,az-datacenter2,az-datacenter1' NeutronDhcpAgentAvailabilityZone: 'az-central,az-datacenter2,az-datacenter1'
parameter_defaults: NeutronDefaultAvailabilityZones: 'az-central,az-datacenter2,az-datacenter1' NeutronL3AgentAvailabilityZone: 'az-central,az-datacenter2,az-datacenter1' NeutronDhcpAgentAvailabilityZone: 'az-central,az-datacenter2,az-datacenter1'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 重要在 DCN 环境中,为
NeutronDhcpAgentAvailabilityZone定义单个 AZ,以便在与特定边缘站点相关的 AZ 中调度端口。默认情况下,网络和路由器调度程序分别是
AZAwareWeightScheduler和AZLeastRoutersScheduler。如果要更改其中任何一个或两个,请分别使用NeutronNetworkSchedulerDriver和NeutronRouterSchedulerDriver参数输入新的调度程序。示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 运行
openstack overcloud deploy命令,并包含核心 heat 模板、环境文件以及新的自定义环境文件。重要但是,环境文件的顺序非常重要,因为后续环境文件中定义的参数和资源更为优先。
示例
openstack overcloud deploy --templates \ -e <your-environment-files> \ -e /usr/share/openstack-tripleo-heat-templates/environments/services/\ my-neutron-environment.yaml
$ openstack overcloud deploy --templates \ -e <your-environment-files> \ -e /usr/share/openstack-tripleo-heat-templates/environments/services/\ my-neutron-environment.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
验证
运行
availability zone list命令,确认可用区是否已正确定义。示例
openstack availability zone list
$ openstack availability zone listCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
20.3. 使用 ML2/OVN 配置网络服务可用区
您可以在用户创建路由器时,设置由 Red Hat OpenStack Platform (RHOSP)网络服务(neutron)自动分配的一个或多个默认可用区(AZ)。另外,您还可以设置网络服务用来为对应的 AZ 调度这些资源的路由器驱动程序。
本主题中包含的信息适用于运行带有 Open Virtual Network (ML2/OVN)机制驱动程序的 Modular Layer 2 插件的部署。
ML2/OVN 机制驱动程序只支持路由器可用区。ML2/OVN 有一个分布式 DHCP 服务器,因此不支持网络 AZ。
先决条件
- 部署的 RHOSP 16.2 或更高版本。
- 运行使用 ML2/OVN 机制驱动程序的 RHOSP 网络服务。
在分布式计算节点(DCN)环境中使用网络服务 AZ 时,您必须将网络服务 AZ 名称与计算服务(nova) AZ 名称匹配。
如需更多信息,请参阅 分布式计算节点和存储部署指南。
流程
以 stack 用户身份登录 undercloud,再提供
stackrc文件,以启用 director 命令行工具。示例
source ~/stackrc
$ source ~/stackrcCopy to Clipboard Copied! Toggle word wrap Toggle overflow 创建自定义 YAML 环境文件。
示例
vi /home/stack/templates/my-neutron-environment.yaml
$ vi /home/stack/templates/my-neutron-environment.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 提示Red Hat OpenStack Platform Orchestration 服务(heat)使 用一组名为 template 的计划来安装和配置您的环境。您可以使用自定义环境文件 自定义 overcloud 的各个方面,这是为 heat 模板 提供自定义 的特殊模板。
在 YAML 环境文件中,在
parameter_defaults下输入NeutronDefaultAvailabilityZones参数以及一个或多个 AZ。重要在 DCN 环境中,您必须将网络服务 AZ 名称与 Compute 服务 AZ 名称匹配。
如果用户在创建网络或路由器时通过
-availability-zone-hint选项指定 AZ,网络服务会分配这些 AZ。示例
parameter_defaults: NeutronDefaultAvailabilityZones: 'az-central,az-datacenter2,az-datacenter1'
parameter_defaults: NeutronDefaultAvailabilityZones: 'az-central,az-datacenter2,az-datacenter1'Copy to Clipboard Copied! Toggle word wrap Toggle overflow 通过输入参数(
OVNAvailabilityZone)的值,确定网关节点的 AZ (Controllers 和 Network 节点)。重要OVNAvailability参数替换OVNCMSOptions参数中使用 AZ 值。如果使用OVNAvailability参数,请确保OVNCMSOptions参数中没有 AZ 值。示例
在本例中,为
az-centralAZ 预定义了角色 Controllers,为datacenter1和datacenter2AZ 预定义了角色 Networkers:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 重要在 DCN 环境中,为
ControllerCentralParameter定义单个 AZ,以便在与特定边缘站点相关的 AZ 中调度端口。默认情况下,路由器调度程序是
AZLeastRoutersScheduler。如果要更改此功能,请使用NeutronRouterSchedulerDriver参数输入新的调度程序。示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 运行
openstack overcloud deploy命令,并包含核心 heat 模板、环境文件以及新的自定义环境文件。重要但是,环境文件的顺序非常重要,因为后续环境文件中定义的参数和资源更为优先。
示例
openstack overcloud deploy --templates \ -e <your-environment-files> \ -e /usr/share/openstack-tripleo-heat-templates/environments/services/\ my-neutron-environment.yaml
$ openstack overcloud deploy --templates \ -e <your-environment-files> \ -e /usr/share/openstack-tripleo-heat-templates/environments/services/\ my-neutron-environment.yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow
验证
运行
availability zone list命令,确认可用区是否已正确定义。示例
openstack availability zone list
$ openstack availability zone listCopy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
20.4. 手动将可用区分配给网络和路由器
在创建 RHOSP 网络或路由器时,您可以手动分配 Red Hat OpenStack Platform (RHOSP)网络服务(neutron)可用区(AZ)。AZ 允许您使 RHOSP 网络资源高度可用。您可以对附加到不同 AZ 上不同电源源的网络节点进行分组,然后调度运行关键服务的节点,使其位于单独的 AZ 上。
如果您在创建网络或路由器时无法分配 AZ,RHOSP 网络服务会自动分配给资源,指定给 RHOSP Orchestration 服务(heat)参数的值。如果没有为 NeutronDefaultAvailabilityZones 定义值,则在没有 AZ 属性的情况下调度资源。
对于使用带有 Open vSwitch (ML2/OVS)机制驱动程序的 Modular Layer 2 插件的 RHOSP 网络服务代理,如果没有提供 AZ hint 且没有为 NeutronDefaultAvailabilityZones 指定的值,则使用 Compute 服务(nova) AZ 值来调度代理。
先决条件
- 部署的 RHOSP 16.2 或更高版本。
- 运行使用 ML2/OVS 或 ML2/OVN (Open Virtual Network)机制驱动程序的 RHOSP 网络服务。
流程
使用 OpenStack 客户端在 overcloud 上创建网络时,请使用
--availability-zone-hint选项。注意ML2/OVN 机制驱动程序只支持路由器可用区。ML2/OVN 有一个分布式 DHCP 服务器,因此不支持网络 AZ。
在以下示例中,会创建一个网络(
net1),并分配给 AZzone-1或zone-2:网络示例
openstack network create --availability-zone-hint zone-1 \ --availability-zone-hint zone-2 net1
$ openstack network create --availability-zone-hint zone-1 \ --availability-zone-hint zone-2 net1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 使用 OpenStack 客户端在 overcloud 上创建路由器时,请使用--
ha and-availability-zone-hint选项。在以下示例中,会创建一个路由器(
router1)并分配给 AZzone-1或zone-2:路由器示例
openstack router create --ha --availability-zone-hint zone-1 \ --availability-zone-hint zone-2 router1
$ openstack router create --ha --availability-zone-hint zone-1 \ --availability-zone-hint zone-2 router1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 请注意,创建网络资源时不会分配实际的 AZ。RHOSP 网络服务在调度资源时分配 AZ。
验证
输入适当的 OpenStack client
show命令,以确认托管在哪个区域中。示例
openstack network show net1
$ openstack network show net1Copy to Clipboard Copied! Toggle word wrap Toggle overflow 输出示例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
第 21 章 使用标签识别虚拟设备
21.1. 标记虚拟设备
在 Red Hat OpenStack Platform 中,如果您启动具有多个网络接口或块设备的虚拟机实例,您可以使用设备标记将每个设备的预期角色与实例操作系统通信。标签在实例引导时分配给设备,可通过元数据 API 和配置驱动器(如果启用)提供给实例操作系统。
流程
要标记虚拟设备,请在创建实例时使用标签参数
--块-。设备和-nic示例
nova boot test-vm --flavor m1.tiny --image cirros \ --nic net-id=55411ca3-83dd-4036-9158-bf4a6b8fb5ce,tag=nfv1 \ --block-device id=b8c9bef7-aa1d-4bf4-a14d-17674b370e13,bus=virtio,tag=database-server NFVappServer
$ nova boot test-vm --flavor m1.tiny --image cirros \ --nic net-id=55411ca3-83dd-4036-9158-bf4a6b8fb5ce,tag=nfv1 \ --block-device id=b8c9bef7-aa1d-4bf4-a14d-17674b370e13,bus=virtio,tag=database-server NFVappServerCopy to Clipboard Copied! Toggle word wrap Toggle overflow 生成的标签会添加到现有实例元数据中,并通过元数据 API 和配置驱动器在配置驱动器中可用。
在本例中,以下 devices 部分会填充元数据:
meta_data.json文件的内容示例:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 设备标签元数据可以通过元数据 API 中的
GET /openstack/latest/meta_data.json获取。如果启用了配置驱动器,并且挂载到实例操作系统中的
/configdrive下,则元数据也存在于/configdrive/openstack/latest/meta_data.json中。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}