红帽全球峰会2.2. 网络要求
裸机网络必须是专用网络,才能使裸机置备服务用于以下操作:
- overcloud 上裸机的调配和管理。
- 当节点被取消置备时,清理裸机节点。
- 对裸机的租户访问。
裸机网络提供 DHCP 和 PXE 引导功能来发现裸机系统。此网络必须在中继接口上使用原生 VLAN,以便裸机置备服务能够提供 PXE 引导和 DHCP 请求。
overcloud 中的裸机置备服务是为可信租户环境设计的,因为裸机可以直接访问 Red Hat OpenStack Platform (RHOSP)环境的 control plane 网络。因此,默认的裸机网络对 ironic-conductor 服务使用扁平网络。
默认扁平置备网络可能会给客户环境中引入安全问题,因为租户可能会干扰 control plane 网络。要防止这个风险,您可以为无法访问 control plane 的裸机置备服务配置自定义可组合裸机置备网络。
裸机网络必须取消标记以进行置备,还必须有权访问裸机置备 API。control plane 网络(也称为 director 置备网络)始终未标记。可以标记其他网络。
托管裸机置备服务的 Controller 节点必须有权访问裸机网络。
裸机机器配置为 PXE-boot 的 NIC 必须有权访问裸机网络。
裸机网络由 OpenStack 操作器创建。云用户可以直接访问公共 OpenStack API 和裸机网络。对于默认的扁平裸机网络,云用户也具有对 control plane 的间接访问权限。
裸机置备服务使用裸机网络进行节点清理。
2.2.1. 默认裸机网络
在默认的裸机置备服务部署架构中,裸机网络与 control plane 网络分开。裸机网络是一个扁平网络,它也充当租户网络。此网络必须路由到 control plane 上的裸机置备服务,称为 director 置备网络。如果您定义了隔离的裸机网络,裸机节点无法 PXE 引导。
默认裸机网络架构图
2.2.2. 自定义可组合裸机网络
当您在裸机置备服务部署架构中使用自定义可组合裸机网络时,裸机网络是一个自定义可组合网络,它无法访问 control plane。如果要限制对 control plane 的访问,请使用自定义可组合裸机网络。
