第 1 章 OpenStack 网络简介

自定义数据平面中使用的网络。

在 RHOSO 中，默认应用于 data plane 节点的网络配置是单个 NIC VLAN 配置。但是，您可以修改 OpenStack Operator 适用于 RHOSO 环境中设置的每个数据平面节点的网络配置。

如需更多信息，请参阅自定义数据平面网络。

提供与项目中的虚拟机实例的连接。

项目网络的主要目的是，让常规（非特权）项目在不涉及管理员的情况下管理网络。这些网络完全是虚拟的，需要虚拟路由器与其它项目网络和互联网等外部网络交互。项目网络通常向虚拟机（虚拟机）实例提供 DHCP 和元数据服务。RHOSO 支持以下项目网络类型：扁平、VLAN 和 GENEVE。

如需更多信息，请参阅管理项目网络。

为虚拟机实例上的流量设置入口和出口限制。

您可以使用服务质量(QoS)策略将速率限制应用到出口和入口流量，为实例提供不同的服务级别。您可以将 QoS 策略应用到单个端口。您还可以将 QoS 策略应用到项目网络，其中未附加特定策略的端口会继承策略。

如需更多信息，请参阅 配置服务质量(QoS)策略。

控制哪些项目可以将实例附加到共享网络。

在 RHOSO 网络服务中使用基于角色的访问控制(RBAC)策略，云管理员可以删除一些项目创建网络的能力，并可以允许它们附加到与项目对应的预先存在的网络。

如需更多信息，请参阅配置 RBAC 策略。

在端口级别保护您的网络。

安全组为虚拟防火墙规则提供容器，该规则控制入口（绑定到实例）和出口（从实例出站）网络流量。安全组使用默认拒绝策略，仅包含允许特定流量的规则。每个端口可以以增加的方式引用一个或多个安全组。ML2/OVN 使用 Open vSwitch 防火墙驱动程序将安全组规则转换为配置。

默认情况下，安全组是有状态的。在 ML2/OVN 部署中，您还可以创建无状态安全组。无状态安全组可以提供显著的性能优势。与有状态安全组不同，无状态安全组不会自动允许返回流量，因此您必须创建免费安全组规则，以允许返回相关的流量。

如需更多信息，请参阅配置共享安全组。