第 1 章 OpenStack 网络简介


Networking 服务 (neutron) 是 Red Hat OpenStack Platform (RHOSP) 的软件定义型网络 (SDN) 组件。RHOSP 网络服务管理进出虚拟机实例的内部和外部流量,并提供路由、分段、DHCP 和元数据等核心服务。它为虚拟网络功能提供 API,并管理交换机、路由器、端口和防火墙。

1.1. 管理 RHOSP 网络

使用 Red Hat OpenStack Platform (RHOSP) 网络服务(neutron),您可以有效地满足您的站点的网络目标。您可以:

  • 提供与项目中的虚拟机实例的连接。

    项目网络的主要目的是,让常规(非特权)项目在不涉及管理员的情况下管理网络。这些网络完全是虚拟的,需要虚拟路由器与其它项目网络和互联网等外部网络交互。项目网络通常向虚拟机(虚拟机)实例提供 DHCP 和元数据服务。RHOSP 支持以下项目网络类型:扁平(flat)、VLAN、VXLAN、GRE 和 GENEVE。

    如需更多信息,请参阅管理项目网络

  • 将虚拟机实例连接到项目外的网络。

    提供商网络提供像项目网络一样的网络连接。但是,只有管理(特权)用户可以管理这些网络,因为它们与物理网络基础架构接口。RHOSP 支持以下提供商网络类型: flat 和 VLAN。

    在项目网络内,您可以使用浮动 IP 地址池或单个浮动 IP 地址将入口流量定向到虚拟机实例。使用网桥映射,您可以将物理网络名称(接口标签)与使用 OVS 或 OVN 创建的网桥关联,以允许提供商网络流量访问物理网络。

    如需更多信息,请参阅将虚拟机实例连接到物理网络

  • 创建为边缘计算优化的网络。

    Operator 可以创建通常在边缘部署中使用的路由供应商网络,它依赖于多个第 2 层网络段,而不是仅有一个网段的传统网络。

    路由提供商网络为最终用户简化云,因为它们只看到一个网络。对于云操作员,路由供应商网络提供可扩展和容错能力。例如,如果发生主要错误,则只有一个网段会受到影响,而不是整个网络失败。

    如需更多信息,请参阅部署路由供应商网络

  • 使您的网络资源高度可用。

    您可以使用可用区(AZ)和虚拟路由器冗余协议(VRRP)来保持网络资源高度可用。Operator 对附加到不同 AZ 上不同电源源的网络节点进行分组。接下来,操作员将重要的服务(如 DHCP、L3、FW 等)调度到单独的 AZ 上。

    RHOSP 使用 VRRP 使项目路由器和浮动 IP 地址高度可用。集中式路由分布式虚拟路由(DVR)的替代路由设计基于 VRRP,可在每个 Compute 节点上部署 L3 代理和调度路由器。

    如需更多信息,请参阅使用可用区使网络资源高度可用

  • 在端口级别保护您的网络。

    安全组为虚拟防火墙规则提供容器,该规则控制入口(绑定到实例)和出口(从实例出站)网络流量。安全组使用默认拒绝策略,仅包含允许特定流量的规则。每个端口可以以增加的方式引用一个或多个安全组。防火墙驱动程序将安全组规则转换为底层数据包过滤技术(如 iptables)的配置。

    默认情况下,安全组是有状态的。在 ML2/OVN 部署中,您还可以创建无状态安全组。无状态安全组可以提供显著的性能优势。与有状态安全组不同,无状态安全组不会自动允许返回流量,因此您必须创建免费安全组规则,以允许返回相关的流量。

    如需更多信息,请参阅配置共享安全组

  • 管理端口流量。

    通过允许的地址对,您可以识别特定的 MAC 地址、IP 地址或两者,以允许网络流量通过端口(无论子网是什么)。当您定义允许的地址对时,您可以使用 VRRP (虚拟路由器冗余协议)等协议,该协议在两个虚拟机实例之间浮点数,以启用快速数据平面故障转移。

    如需更多信息,请参阅配置允许的地址对

  • 优化大型覆盖网络。

    通过使用 L2 Population 驱动程序,您可以启用广播、多播和单播流量,以便在大型覆盖网络上横向扩展。

    如需更多信息,请参阅配置 L2 填充驱动程序

  • 为虚拟机实例上的流量设置入口和出口限制。

    您可以使用服务质量(QoS)策略将速率限制应用到出口和入口流量,为实例提供不同的服务级别。您可以将 QoS 策略应用到单个端口。您还可以将 QoS 策略应用到项目网络,其中未附加特定策略的端口会继承策略。

    如需更多信息,请参阅配置服务质量(QoS)策略

  • 管理 RHOSP 项目可以创建的网络资源量。

    通过网络服务配额选项,您可以设置可以创建的网络资源项目数量的限值。这包括端口、子网、网络等资源。

    如需更多信息,请参阅管理项目配额

  • 优化网络功能虚拟化(NFV)的虚拟机实例。

    实例可以通过单个虚拟 NIC 发送和接收 VLAN 标记的流量。这对希望 VLAN 标记流量的 NFV 应用(VNF)特别有用,允许单个虚拟 NIC 为多个客户或服务提供服务。

    在 VLAN 透明网络中,您可以在虚拟机实例中设置 VLAN 标记。VLAN 标签通过网络传输,并由同一 VLAN 上的虚拟机实例使用,并被其他实例和设备忽略。VLAN 中继通过将 VLAN 合并到单一中继端口来支持 VLAN 感知实例。

    如需更多信息,请参阅 VLAN 感知实例

  • 控制哪些项目可以将实例附加到共享网络。

    在 RHOSP 网络服务中使用基于角色的访问控制(RBAC)策略,云管理员可以删除某些项目创建网络的能力,并允许它们连接到与其项目对应的预先存在的网络。

    如需更多信息,请参阅配置 RBAC 策略

  • 控制对实例的网络访问。

    您可以使用安全组来控制对实例的网络和协议访问。安全组是 IP 过滤规则的集合,例如,允许用户对实例执行 ICMP ping,并运行 SSH 来连接实例。安全组规则应用到项目中的所有实例。

    如需更多信息,请参阅配置安全组

  • 将流量流事件记录到实例进出。

    您可以为安全组创建数据包日志,以监控进出虚拟机 (VM) 实例的流量。每个日志生成有关数据包流事件的数据流,并将其附加到启动虚拟机实例的 Compute 主机上的通用日志文件。

    如需更多信息,请参阅日志记录安全组操作

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.