云系列---Openstack Neutron组件 | 参数说明 | 详细讲解

前言

网络是openstack最重要的资源之一,没有网络,虚拟机将被隔离。Openstack的网络服务最主要的功能就是为虚拟机实例提供网络连接,最初由nova的一个单独榜块nova-compute实现,但是nova-compute支持的网络服务有限,无法适应大规模、高密度和多项目的云计算,现已被专门的网络服务项目Neutron所取代。

Neutron为整个openstack环境提供软件定义网络支持,主要功能包括二层交换、三层路由、防火墙、VPN,以及负载均衡等。Neutror在由其他openstack服务(如nova)管理的网络接口设备（如虚拟网卡)之间提供网络连接即服务。

linux 虚拟网络

openstack网络服务最核心的任务就是对二层网络进行抽象和管理

linux 虚拟网桥

与物理机不同,虚拟机并没有硬件设备,但是也要与物理机和其他虚拟机进行通信。Linux KVM的解决方案是提供虚拟网桥设备,像物理交换机具有若干网络接口(网卡)一样,在网桥上创建多个虚拟的网络接口,每个网络接口再与KVM虚拟机的网卡相连。

在Linux的KVM虚拟系统中,为支持虚拟机的网络通信,网桥接口的名称通常以vnet开头,加上从0开始顺序编号,如vnet0, vnet1,在创建虚拟机时会自动创建这些接口。虚拟网桥br1和br2分别连接到物理主机的物理网卡1和物理网卡2。

虚拟局域网

一个网桥可以桥接若干虚拟机,当多个虚拟机连接在同一网桥时,每个虚拟机发出的广播包会引发广播风暴,影响虚拟机的网络性能。通常使用虚拟局域网(VLAN)将部分虚拟机的广播包限制在特定范围内,不影响其他虚拟机的网络通信。

通常使用VLAN将部分虚拟机的广播包限制在特定范围内,不影响其他虚拟机的网络通信。

将多个虚拟机划分到不同的VLAN中,同一VLAN的虚拟机相当于连接同一网桥上。

在Linux虚拟化环境中,通常会将网桥与VLAN对应起来,也就是将网桥划分到不同的VLAN中

VLAN协议为802.1Q, VLAN是具有802.1Q标签的网络。

linux网路虚拟化

实现虚拟化后，多个物理服务器可以被虚拟机取代,部署在同一台物理服务器上。虚拟机由虚拟机管理器(Hypervisor)实现,在Linux系统中Hypervisor通常采用kvm。在对服务器进行虚拟化的同时，也对网络进行虚拟化。

Hypervisor为虚拟机创建一个或多个虚拟网卡(vNIC),虚拟网卡等同于虚拟机的物理网卡。物理交换机在虚拟网络中被虚拟为虚拟交换机(vSwitch),虚拟机的虚拟网卡连接到虚拟交换机上,虚拟机交换机再通过物理主机的物理网卡连接到外部网络。

对于物理网络来说,虚拟化的主要工作是对网卡和交换设备的虚拟化。

开放虚拟交换机

开放虚拟交换机(Open vSwitch)是与硬件交换机具备相同特性,可在不同虚拟平台之间移植,具有产品级质量的虚拟交换机,适合在生产环境中部署。

交换设备的虚拟化对虚拟网络来说至关重要。在传统的数据中心,管理员可以对物理交换机进行配置,控制服务器的网络接入,实现网络隔离、流量监控、QoS配置、流量优化等目标。在云环境中,采用Open vSwitch技术的虚拟交换机可使虚拟网络的管理、网络状态和流量的监控得以轻松实现。

Open Switch在云环境中的虚拟化平台上实现分布式虚拟交换机,可以将不同主机上的OpenvSwitch交换机连接起来,形成一个大规模的虚拟网络

什么是 QOS?

服务质量，指一个网络能够利用各种基础技术，
为指定的网络通信提供更好的服务能力，
是网络的一种安全机制，用来解决网络延迟和阻塞等问题的一种技术
功能：
尽力避免网络拥塞
在不能避免拥塞时对带宽进行有效管理
降低报文丢包率
调控IP网络流量
为 特定用户 或特定业务提供专用带宽
支撑网络上的实事业务
Qos不能创造带宽，只能是带宽的 分配更加合理

openstack 网络基础服务

OpenStack网络服务提供一个APl让用户在云中建立和定义网络连接。该网络服务的项目名称是Neutron.

OpenStack网络负责创建和管理虚拟网络基础架构,包括网络、交换机、子网和路由器,这些设备由OpenStack计算服务Nova管理。同时,网络服务还提供防火墙和VPN这样的高级服务。可以将网络服案部署到特定主机上。OpenStack网络组件与身份服务、计算服务和仪表板等多个OpenStack组件进行整合

1.openstack 中提供网络连接、相关网络技术、拓扑结构的服务是neutron 2.neutron 可以提高基础网络服务和高级网络服务，单都是由nova进行管理 3.neutron 会为其他组件、服务、设备提供服务（集成）

neutron 网络结构

一个简化的典型的Neutron网络结构如图所示,包括一个外部网络、一个内部网络和一个路由器。

外部网络负责连接OpenStack项目之外的网络环境,又称公共网络。与其他网络不同,它不仅仅是一个虚拟网络 更重要的是,它表示OpenStack网络能被外部物理网络接入并访问。外部网络可能是企业的局域网(Intranet) ,也可能是互联网(Internet) ,这类网络并不是由Neutron直接管理。

内部网络完全由软件定义,又称私有网络。它是虚拟机实例所在的网络,能够直接连接到虚拟机。项目用户可以创建自己的内部网络。默认情况下,项目之间的内部网络是相互隔离的,不能共享。该网络由Neutron直接配置与管理。

路由器用于将内部网络与外部网络连接起来,因此,要使虚拟机访问外部网络,必须创建一个路由器。

Neutron需要实现的主要是内部网络和路由器。内部网络是对二层(L2)网络的抽象,模拟物理网络的二层局域网,对于项目来说,它是私有的。路由器则是对三层(L3)网络的抽象,模拟物理路由器,为用户提供路由、NAT等服务。
外部访问内部，不是由neutron直接负责

网络子网与端口

网路:一个隔离的二层广播域,类似交换机中的VLAN, Neutron支持多种类型的网络,如FLATVLAN, VXLAN等。

子网:一个IPV4或者IPV6的地址段及其相关配置状态。虚拟机实例的IP地址从子网中分配。每个子网需要定义IP地址的范围和掩码(这个有点像DHCP中定义的作用域的概念)。

端口:连接设备的连接点,类似虚拟交换机上的一个网络端口。端口定义了MAC地址和IP地址,当虚拟机的虚拟网卡绑定到端口时,端口会将MAC和IP分配给该虚拟网卡。

通常可以创建和配置网络、子网和端口来为项目搭建虚拟网络。网络必须属于某个项目,一个项目中可以创建多个网络。一个子网只能属于某个网络,一个网络可以有多个子网。一个端口必须属于某个子网，一个子网可以有多个端口。

网络拓扑类型

Local:
Local网络与其他网络和节点隔离。该网络中的虚拟机实例只能与位于同一节点上同一网络的虚拟机实例通信,实际意义不大,主要用于测试环境。位于同-Local网络的实例之间可以通信,位于不同Local网络的示例之间无法通信。一个Local网络只能位于同一个物理节点上,无法跨节点部署。

Flat
Flat是一种简单的扁平网络拓扑,所有的虚拟机实例都连接在同一网络中,能与位于同一网络的实例进行通信,并且可以跨多个节点。这种网络不使用VLAN,没有对数据包打VLAN标签,无法进行网络隔离。Flat是基于不使用VLAN的物理网络实施的虚拟网络。每个物理网络最多只能实现一个虚拟网络。

VLAN
VLAN是支持802.1q协议的虚拟局域网,使用VLAN标签标记数据包,实现网络隔离。同-VLAN网络中的实例可以通信,不同VLAN网络中的实例只能通过路由器来通信。VLAN网络可以跨节点,是应用最广泛的网络拓扑类型之一。

VXLAN
VXLAN (虚拟扩展局域网)可以看作是VLAN的一种扩展,相比于VLAN,它有更大的扩展性和灵活性,是目前支持大规模多租房网络环境的解决方案。由于VLAN包头部限长是12位,导致VLAN的数量限制是4096 (2^12)个,不能满足网络空间日益增长的需求。目前VXLAN的封包头部有24位用作VXLAN标识符(VNID)来区分VXLAN网段,最多可以支持16777216 (2^24)个网段。

VXLAN使用STP防止环路,导致一半的网络路径被阻断。VXLAN的数据包是封装到UDP通过三层传输和转发的,可以完整地利用三层路由,能克服VLAN和物理网络基础设施的限制,更好地利用已有的网络路径。

GRE
GRE (通用路由封装)是用一种网络层协议去封装另一种网络层协议的隧道技术。GRE的隧道由两端的源IP地址和目的IP地址定义,它允许用户使用IP封装IP等协议,并支持全部的路由协议。在OpenStack环境中使用GRE意味着"IP over IP" ,GRE与VXLAN的主要区别在于,它是使用IP包而非UDP进行封装的。

GENEVE
GENEVE(通用网络虚拟封装)的目标宣称是仅定义封装数据格式,尽可能实现数据格式的弹性和扩展性GENEVE封装的包通过标准的网络设备传送,即通过单播或多播寻址,包从一个隧道端点传送到另一个或多个隧道端点。GENEVE帧格式由一个封装在IPV4或IPV6的UDP里的简化的隧道头部组成。GENEVE推出的主要目的是为了解决封装时添加的元数据信息问题(到底多少位,么用GENEVE自动识别与调整) ,以适应各种虚拟化场景。
总结
随着云计算、大数据、移动互联网等新技术的普及,网络虚拟化技术的趋势在传统单层网络基础上叠加一层逻辑网络。这将网络分为两个层次,传统单层网络称为Underlay (承载网络),叠加其上的逻辑网络称为Overlay (叠加网络或覆盖网络)。 Overlay网络的节点通过虚拟的或逻辑的连接进行通信,每一个虚拟的或逻辑的连接对应于Underlay网络的一条路径,由多个前后衔接的连接组成。Overlay网络无须对基础网络进行大规模修改,不用关心这些底层实现,是实现云网融合的关键。

VXLAN GRE GENEVE 都是其隧道结束的overlay网络

网络基本框架

Neutron仅有一个主要服务进程neutron-server,它是运行在控制节点上的,对外提供Openstack网络AP作为访问Neutron的入口,收到请求后调用插件进行处理,最终由计算节点和网络节点上的各种代理完成请求。

网络提供者是指提供OpenStack网络服务的虚拟或物理网络设备,如Linux Bridge, Open vSwitch,或者其他支持Neutron的物理交换机。

与其他服务一样, Neutron的各组件服务之间需要相互协调和通信, neutron-server,插件和代理之间通过消息队列进行通信和相互调用。

数据库用于存放OpenStack的网络状态信息,包括网络、子网、端口、路由器等。

客户端是指使用Neutron服务的应用程序,可以是命令行工具、Horizon和Nova计算服务等。

nova-api api 接受/相应请求，请求转换过命令之后，给conductor去协调分配任务，调度器compute 去写入db

neutron-server 监听API 接受/相应请求，根据请求类型，分配相应的插件，去控制对应的代理，实现网络需求代理：会需要网络提供者给它提供技术/功能直接

Nentron-server

RESTful API:直接对客户端提供API服务,属于最前端的API,包括Core API和Extension API两种类型. Core API提供管理网络、子网和端口核心资源的RESTful API; Extension API则提供管理路由器、防火墙、负载均衡、安全组等扩展资源的RESTful API

Common Service:通用服务,负责对API请求进行检验、认证,并授权。

Neutron Core:核心处理程序,调用相应的插件API来处理AP请求。

Plugin API:定义插件的抽象功能集合,提供调用插件的API接口,包括Core Plugin API和ExtensionPlugin API两种类型,Neutron Core通过Core Plugin API调用相应的Core Plugin,通过Extension

Neutron 设计原则

插件是Neutron的一种API的后端实现,目的是增强扩展性。插件按照功能可以分为Core Plugin和Service Plugin两种类型。Core Plugin提供基础二层虚拟网络支持,实现网络、子网和端口等核心资源抽象。Service Plugin是指Core Plugin之外的其他插件,提供路由器、防火墙、安全组、负载均衡等服务支持。从H版开始, Neutron提供一个名为L3 Router Service Plugin的插件支持路由服务。

插件的调用由neutron-server的Core Plugin AP和Extension Plugin API调用,用于确定具体的网络功能,即要配置什么样的网络。<