OpenStack概念

　　OpenStack是一個美國國家航空航天局和Rackspace合作研發(fā)的，以Apache許可證授權(quán)，并且是一個自由軟件和開放源代碼項目。、

　　OpenStack是一個旨在為公共及私有云的建設(shè)與管理提供軟件的開源項目。它的社區(qū)擁有超過130家企業(yè)及1350位開發(fā)者，這些機構(gòu)與個人都將OpenStack作為基礎(chǔ)設(shè)施即服務(wù)（簡稱IaaS）資源的通用前端。OpenStack項目的首要任務(wù)是簡化云的部署過程并為其帶來良好的可擴展性。本文希望通過提供必要的指導(dǎo)信息，幫助大家利用OpenStack前端來設(shè)置及管理自己的公共云或私有云。

　　openstack neutron中定義了四種網(wǎng)絡(luò)模式：

　　# tenant_network_type = local

　　# tenant_network_type = vlan

　　# Example: tenant_network_type = gre

　　# Example: tenant_network_type = vxlan

　　本文主要以vlan為例，并結(jié)合local來詳細的分析下openstack的網(wǎng)絡(luò)模式。

　　1. local模式

　　此模式主要用來做測試，只能做單節(jié)點的部署(all-in-one)，這是因為此網(wǎng)絡(luò)模式下流量并不能通過真實的物理網(wǎng)卡流出，即neutron的integration bridge并沒有與真實的物理網(wǎng)卡做mapping，只能保證同一主機上的vm是連通的，具體參見RDO和neutron的配置文件。

　　(1)RDO配置文件(answer.conf)

　　主要看下面紅色的配置項，默認為空。

　　openswitch默認的網(wǎng)橋的映射到哪，即br-int映射到哪。 正式由于br-int沒有映射到任何bridge或interface，所以只能br-int上的虛擬機之間是連通的。

　　流量最后從哪塊物理網(wǎng)卡流出配置項

　　(2)neutron配置文件(/etc/neutron/plugins/openvswitch/ovs_neutron_plugin.ini)

　　RDO會根據(jù)answer.conf中l(wèi)ocal的配置將neutron中open vswitch配置文件中配置為local

　　2. vlan模式

　　大家對vlan可能比較熟悉，就不再贅述，直接看RDO和neutron的配置文件。

　　(1)RDO配置文件

　　CONFIG_NEUTRON_OVS_BRIDGE_IFACES=br-eth1:eth1 //設(shè)置eth0橋接到br-eth1上，即最后的網(wǎng)絡(luò)流量從eth1流出 (會自動執(zhí)行ovs-vsctl add br-eth1 eth1)

　　此配置描述的網(wǎng)橋與網(wǎng)橋之間，網(wǎng)橋與網(wǎng)卡之間的映射和連接關(guān)系具體可結(jié)合 《圖1 vlan模式下計算節(jié)點的網(wǎng)絡(luò)設(shè)備拓撲結(jié)構(gòu)圖》和 《圖2 vlan模式下網(wǎng)絡(luò)節(jié)點的網(wǎng)絡(luò)設(shè)備拓撲結(jié)構(gòu)圖 》來理解。

　　思考：很多同學(xué)可能會碰到一場景：物理機只有一塊網(wǎng)卡，或有兩塊網(wǎng)卡但只有一塊網(wǎng)卡連接有網(wǎng)線

　　此時，可以做如下配置

　　(2)單網(wǎng)卡：

　　CONFIG_NEUTRON_OVS_BRIDGE_MAPPINGS=physnet1:br-eth0 //設(shè)置將br-int映射到橋br-eth10

　　這個配置的含義是將br-int映射到br-eth0，但是br-eth0并沒有與真正的物理網(wǎng)卡綁定，這就需要你事先在所有的計算節(jié)點(或網(wǎng)絡(luò)節(jié)點)上事先創(chuàng)建好br-eth0橋，并將eth0添加到br-eth0上，然后在br-eth0上配置好ip，那么RDO在安裝的時候，只要建立好br-int與br-eth0之間的連接，整個網(wǎng)絡(luò)就通了。

　　此時如果網(wǎng)絡(luò)節(jié)點也是單網(wǎng)卡的話，可能就不能使用float ip的功能了。

(3)雙網(wǎng)卡，單網(wǎng)線

　　還是默認都配置到eth1上，然后通過iptables將eth1的流量forward到eth0(沒有試驗過，不確定是否可行)

　　3. vlan網(wǎng)絡(luò)模式詳解

　　圖1 vlan模式下計算節(jié)點的網(wǎng)絡(luò)設(shè)備拓撲結(jié)構(gòu)圖

　　首先來分析下vlan網(wǎng)絡(luò)模式下，計算節(jié)點上虛擬網(wǎng)絡(luò)設(shè)備的拓撲結(jié)構(gòu)。

　　(1)qbrXXX 等設(shè)備

　　前面已經(jīng)講過，主要是因為不能再tap設(shè)備vnet0上配置network ACL rules而增加的

　　(2)qvbXXX/qvoXXX等設(shè)備

　　這是一對veth pair devices，用來連接bridge device和switch，從名字猜測下：q-quantum, v-veth, b-bridge, o-open vswitch(quantum年代的遺留)。

　　(3) int-br-eth1和phy-br-eth1

　　這也是一對veth pair devices，用來連接br-int和br-eth1, 另外，vlan ID的轉(zhuǎn)化也是在這執(zhí)行的，比如從int-br-eth1進來的packets，其vlan id=101會被轉(zhuǎn)化成1，同理，從phy-br-eth1出去的packets，其vlan id會從1轉(zhuǎn)化成101

　　(4)br-eth1和eth1

　　packets要想進入physical network最后還得到真正的物理網(wǎng)卡eth1，所以add eth1 to br-eth1上，整個鏈路才完全打通

　　圖2 vlan模式下網(wǎng)絡(luò)節(jié)點的網(wǎng)絡(luò)設(shè)備拓撲結(jié)構(gòu)圖

　　網(wǎng)絡(luò)節(jié)點與計算節(jié)點相比，就是多了external network，L3 agent和dhcp agent。

　　(1)network namespace

　　每個L3 router對應(yīng)一個private network，但是怎么保證每個private的ip address可以overlapping而又不相互影響呢，這就利用了linux kernel的network namespace

　　(2)qr-YYY和qg-VVV等設(shè)備 (q-quantum, r-router, g-gateway)

　　qr-YYY獲得了一個internal的ip，qg-VVV是一個external的ip，通過iptables rules進行NAT映射。

　　思考：phy-br-ex和int-br-ex是干啥的?

　　堅持"所有packets必須經(jīng)過物理的線路才能通"的思想，雖然 qr-YYY和qg-VVV之間建立的NAT的映射，歸根到底還得通過一條物理鏈路，那么phy-br-ex和int-br-ex就建立了這條物理鏈路。

　　以上就是基于openstack網(wǎng)絡(luò)模式的vlan分析，希望能幫助大家，，謝謝閱讀，希望能幫到大家，請繼續(xù)關(guān)注VEVB武林網(wǎng)，我們會努力分享更多優(yōu)秀的文章。