1. Пять способов развертывания гостевых сетей через OpenStack Neutron
2. Прямое подключение одного арендатора
3. VLAN с одним арендатором
4. Узнайте все, что вам нужно знать о Инструменты развертывания OpenStack
5. Layer3 Единственная Изоляция Арендатора
6. Узнайте, как создать маршрутизатор и плавающий IP-адрес из OpenStack Neutron CLI
7. Самостоятельная многопользовательская маршрутизация
8. Централизованное управление мультитенантной маршрутизацией

Гостевая сеть в OpenStack Neutron использует несколько стандартных блоков. Первый блок - это сетевой домен на уровне 2 . Любой широковещательный трафик на этом уровне будет получен любым, подключенным к сети. Другим блоком на уровне 2 является порт, который определяет, может ли виртуальная машина (ВМ) или виртуальное сетевое устройство подключаться к сети.

Двигаясь вверх, третий блок - это подсеть, которая определяет свойства уровня 3 этой конкретной сети. Несколько подсетей могут подключаться к одной и той же сети, например IPV4 и IPV6. Подсеть определяет свойства L3, такие как пулы распределения IP-адресов, выделять ли DHCP, шлюз по умолчанию и список DNS.

Пять способов развертывания гостевых сетей через OpenStack Neutron

Обратите внимание, что в этой статье я буду использовать только VLAN в качестве метода изоляции провайдера. В следующих статьях я также расскажу о VxLAN, что подразумевает некоторые конкретные соображения. Пять способов, которыми гостевые сети могут быть развернуты через OpenStack Нейтрон, описанный здесь, включает в себя:

• Прямое подключение одного арендатора
• VLAN с одним арендатором
• Layer3 Single Арендатор изоляции
• Маршрутизация с несколькими арендаторами самообслуживания
• Централизованное управление мультитенантной маршрутизацией

В первых двух сценариях с одним арендатором вся настройка на сетевом уровне выполняется и принадлежит администратору, а затем присваивается одному арендатору. Арендатор не может создавать или владеть сетью, подсетями, DHCP и подключением виртуальных машин к сети.

Изоляция уровня 3 обеспечивает возможности самообслуживания арендаторов, как показано в третьем сценарии для одного арендатора и в четвертом сценарии для мультитенанта. Пятый сценарий - централизованное управление мультитенантной маршрутизацией, демонстрирует мультитенантность, в то время как администратор поддерживает централизованное управление.

Прямое подключение одного арендатора

Мы должны упомянуть эту конфигурацию, поскольку таким образом можно развернуть нативный OpenStack Neutron, но старайтесь избегать его и проявлять крайнюю осторожность, если вы решите пойти по этому пути.

Single Tenant Direct Attach, как вы можете догадаться, подключает гостевую сеть Neutron (которая изначально имеет функции SDN) к офисному маршрутизатору непосредственно к сети компании. Офисный маршрутизатор действует как DHCP-сервер и выделяет все IP-адреса, шлюз и DNS. Все экземпляры, порожденные гостевой сетью Neutron, теперь находятся в одном широковещательном домене с другими собственными машинами пользователя, такими как серверы и испытательные стенды.

Прямое подключение противоречит интуитивно понятному использованию облачного SDN для управления сетевыми свойствами. Поскольку невозможно узнать, какие IP-адреса были назначены этим виртуальным машинам DHCP, группы безопасности не могут контролироваться. Невозможно ни изолировать трафик, ни управлять свойствами маршрутизации на серверы и другими функциями SDN. Это означает, что на уровне SDN мы утратили способность управлять плоскостью управления, и у нас просто остается путь данных, по которому мы не можем контролировать IP-адреса, проходящие по этому пути. Кроме того, свойства сети (особенно IP-адреса), представленные Nova и Neutron, не будут согласованы с фактическим состоянием сети.

Хотя эта опция поддерживается OpenStack, она требует, чтобы группы безопасности Neutron и служба DHCP были отключены, что оставляет нам очень простой контроль над сетью .

VLAN с одним арендатором

В этом случае в правильной конфигурации OpenStack Neutron создает изолированную сеть L2 через VLAN, которая подключается к офисному маршрутизатору. Затем Neutron может выделить подсеть, шлюз и другие свойства SDN через своего агента DHCP. Neutron теперь контролирует поток трафика, такой как назначение IP-адресов для каждой виртуальной машины и групп безопасности.

Основным недостатком этой конфигурации является неспособность Neutron контролировать сервисы L3 . Без маршрутизатора для буферизации между внутренней и внешней сетями межсетевые экраны Neutron не могут быть назначены.

Узнайте все, что вам нужно знать о Инструменты развертывания OpenStack

Кроме того, встроенная поддержка в Neutron недоступна для статического выделения IP-адресов виртуальным машинам. Как вы можете видеть на диаграмме ниже, это достигается с помощью функции плавающего IP в агенте L3 .

Важно отметить, что подсеть, связанная с этой VLAN, удалена из пула маршрутизируемых подсетей центра обработки данных.

Поскольку VLAN по определению должна быть изолирована как гостевая сеть, следует отключить DHCP, который потенциально может назначать конфликтующие IP-адреса.

Layer3 Единственная Изоляция Арендатора

Эта конфигурация использует все преимущества способности Neutron контролировать и защищать трафик на уровне L3, в то же время изолируя гостевой трафик на уровне L2. Арендаторы могут самостоятельно управлять своей сетью на основе ресурсов поставщика, выделенных администратором, при этом используя общие ресурсы, предоставляемые арендатору. Администраторы могут выбирать, какие привилегии администратора сети будут иметь арендатор: создание сетей, выделение подсетей, управление брандмауэрами и группами безопасности и т. Д.

Минимальное развертывание изображено на следующем рисунке. На уровне L2 одна VLAN выделяется арендатору из пула сетей провайдеров, который будет использоваться в качестве изолированной гостевой сети. Другая VLAN объявлена ​​как внешняя сеть. Эта сеть не контролируется Neutron, ей выделяется только пул IP-адресов, которые она может использовать для получения доступа к этой сети - для виртуальных маршрутизаторов и публичных IP-адресов виртуальных машин. Остальная часть этой подсети совместно используется другими серверами, маршрутизатором и так далее.

Как внутренние, так и внешние VLAN изолированы виртуальным маршрутизатором. Виртуальный маршрутизатор дает Neutron возможность контролировать, защищать и изолировать трафик от собственного трафика пользователя.

Узнайте, как создать маршрутизатор и плавающий IP-адрес из OpenStack Neutron CLI

Внутренняя сеть соединяет виртуальные машины и использует DHCP для выделения частных IP-адресов . Он содержит подсеть, которая изолирована от сети пользователя, но имейте в виду, что эта подсеть не может перекрываться с внешними подсетями, поскольку виртуальный маршрутизатор не сможет решить, следует ли маршрутизировать трафик внутренне или внешне.

Виртуальный маршрутизатор позволяет назначать общедоступные IP-адреса IP-адресам в частной подсети. Эта способность служит двум целям:

• Виртуальные машины могут быть представлены во внешней сети как имеющие статический IP-адрес , в то время как фактически они находятся в частной подсети. Выделение общедоступного маршрутизируемого IP-адреса подмножеству частной подсети экономит значительные ресурсы.
• Арендатор может переключать публичные IP-ассоциации между виртуальными машинами , тем самым изменяя «рабочую машину за кадром».

Кроме того, виртуальный маршрутизатор обеспечивает управление арендатором входящего и исходящего трафика виртуальных машин внутренней сети, используя атрибуты брандмауэра и группы безопасности.

Самостоятельная многопользовательская маршрутизация

Эта конфигурация соединяет несколько арендаторов и внутренние сети с виртуальными маршрутизаторами, каждый из которых принадлежит арендатору. Мы можем продублировать строительный блок внутренней сети и виртуального маршрутизатора и соединить эти блоки в единую внешнюю сеть, общую для всех арендаторов, или внешнюю сеть каждого арендатора.

Преимущество здесь - самообслуживание , поскольку каждый арендатор имеет полный контроль над внутренним виртуальным маршрутизатором, сетью и безопасностью. Внутренняя сеть изолирована от других сетей, что позволяет арендатору контролировать группы безопасности и брандмауэры. Подсети могут перекрываться между арендаторами в этой конфигурации, так как они могут быть абсолютно независимы друг от друга.

Подключение всех виртуальных маршрутизаторов клиента к одной внешней сети экономит ресурсы центра обработки данных с точки зрения сетей поставщиков и общедоступных IP-подсетей. С другой стороны, правила брандмауэра должны быть наложены администратором на каждый виртуальный маршрутизатор , чтобы трафик одного клиента не попадал в частную сеть другого клиента через общую внешнюю сеть.

Каждый виртуальный маршрутизатор клиента также может быть подключен к сети поставщика в центре обработки данных и предоставлять такие услуги, как шлюз доступа IP VPN.

Централизованное управление мультитенантной маршрутизацией

В этом сценарии описываются сети арендаторов без самообслуживания, которые определяют многопользовательские среды с единой точкой управления . Администратор создает сеть с внешней сетью, виртуальным маршрутизатором и внутренними сетями, а затем передает владение внутренней сетью арендатору.

Арендатор может создавать виртуальные машины в этой внутренней сети на основе определенной подсети, распределения, безопасности и других свойств. Внутренние сети принадлежат арендатору, но не принадлежат арендатору, обеспечивая среду частного облака с единым централизованным управлением сетью. Как описано в предыдущем случае, правила брандмауэра должны быть наложены администратором на виртуальном маршрутизаторе , чтобы трафик одного клиента не попадал в частную сеть другого клиента через общий маршрутизатор.

Вернуться в блог>

Похожие

Комментарии