openstack网络(二)
连接物理服务器
每个物理主机所需的网卡数量取决于云平台使用领域,组织的安全性和性能要求以及硬件的可用性。要完全运行的OpenStack云必须具有管理网络和数据网络。如果物理服务器只有一个网卡接口,导致的是管理数据和业务数据走一个接口。这样的部署方式在规模比较小时可以用,但是如果大型的数据中心这种方法并不可取。我的建议是,尽可能在多个接口之间分散控制和数据流量。
单网卡
对于使用单个网卡接口的物理主机,进出虚拟机的流量、SSH管理流量和API流量的所有流量都会流过这个接口。 此配置可能导致严重的性能降级,因为客户可以通过消耗所有可用带宽来对其主机创建拒绝服务攻击。 下图说明了在使用Open vSwitch驱动程序时对所有流量使用单个物理接口。 在控制节点上,单个接口连接到桥接器,并处理外部网络,虚拟机,管理和API服务的流量。 在计算节点上,单个接口处理客户和管理流量:
多网卡
为了降低访客网络带宽消耗影响管理流量的可能性并维持更稳健的安全状态,建议在多个物理接口之间隔离流量。 至少应使用两个接口:一个用作管理和API流量的专用接口,另一个用作外部和访客流量的专用接口。 其他接口可用于进一步隔离流量。 下图显示了在使用Open vSwitch驱动程序时,在两个物理接口上拆分的流量:
跨主机安装网络服务
与其他OpenStack服务一样,云运营商可以跨多个节点拆分安装OpenStack Networking服务。 小型部署可以使用单个节点托管所有服务,包括网络,计算,数据库和消息传递。 其他人可能会发现使用专用计算节点和专用网络节点来处理通过软件路由器来路由访客流量和分担Neutron DHCP和元数据服务会有好处。 以下部分描述了几个常见的服务部署模型。
使用单个控制节点安装
在由单个控制节点和一个或多个计算节点组成的环境中,控制节点将可能处理所有联网服务和其他OpenStack服务,同时计算节点还要提供计算节点服务所需资源。 下图演示了托管所有OpenStack管理和网络服务的控制器节点,其中未使用Neutron第3层代理。两个物理接口用于分隔管理和虚拟机网络流量:
上图反映了单个组合的控制节点/网络节点和一个或多个计算节点的使用,Neutron仅提供实例和外部网关设备之间的2层连接。 需要外部路由器来处理网段之间的路由。
下图演示了托管所有OpenStack管理和网络服务的控制器节点,包括Neutron L3代理。 三个物理接口用于提供单独的控制和数据平面:
上图反映了在使用Neutron L3代理的网络配置中使用单个组合的控制节点/网络节点和一个或多个计算节点。 使用Neutron创建的软件路由器安装在控制器节点上,并处理连接的租户网络和外网之间的路由。
使用专用网络节点安装
网络节点用于处理大多数或所有OpenStack网络服务,包括L3代理,DHCP代理,元数据代理等。 使用专用网络节点可以提供安全性和弹性,因为控制器节点将处于较小的网络和资源饱和的风险。 一些Neutron服务,例如L3和DHCP代理和Neutron API服务,可以跨多个节点部署以实现冗余和增加性能。
下图演示了托管所有OpenStack Networking服务的网络节点,包括Neutron L3,DHCP,元数据和LBaaS代理。 但是,Neutron API服务仍然安装在控制器节点上。 在必要时使用三个物理接口来提供单独的控制和数据平面:
上图反映了在使用Neutron L3代理的网络配置中使用专用网络节点。 使用Neutron API创建的软件路由器安装在网络节点上,并处理连接租户网络和外部提供商网络之间的路由。 neutron-server服务器的Neutron API服务保留在控制器节点上。
本文翻译自Learning OpenStack Networking (Neutron) Second Edition James Denton
仅供学习交流
