OpenStack模块(T版)—Neutron网络服务详解

Mr_XHC

已于 2022-07-18 09:37:29 修改

阅读量1.6k

点赞数

分类专栏： OpenStack 云平台文章标签： openstack

于 2021-02-15 17:15:57 首次发布

本文链接：https://blog.csdn.net/Mr_XHC/article/details/113811034

版权

本文详细介绍了OpenStack的Neutron网络服务，包括Neutron的基础服务、网络架构和部署过程。Neutron作为OpenStack的网络服务，提供软件定义网络支持，包括二层交换、三层路由等功能。网络结构涉及外部网络、内部网络、路由器，以及多种网络拓扑类型如Local、Flat、VLAN、VXLAN和GRE。Neutron-server层次结构包括RESTful API、Common Service和Core Plugin。部署过程中涉及控制节点和计算节点的配置。

摘要由CSDN通过智能技术生成

一、Neutron服务简介
- 1.1 Neutron网络基础服务
二、Neutron网络基本架构
- 2.1 Neutron-server 层次结构
- 2.2 Neutron模块工作原理
三、Neutron服务部署
总结

一、Neutron服务简介

1、网络是openstack最重要的资源之一，没有网络，虚拟机将被隔离。Openstack的网络服务最主要的功能就是为虚拟机实例提供网络连接，最初由nova的一个单独模块nova-compute实现，但是nova-compute支持的网络服务有限，无法适应大规模、高密度和多项目的云计算，现已被专门的网络服务项目Neutron所取代。

2、Neutron为整个openstack环境提供软件定义网络支持，主要功能包括二层交换、三层路由、防火墙、VPN，以及负载均衡等。Neutron在由其他openstack服务（如nova)管理的网络接口设备(如虚拟网卡)之间提供网络连接即服务。

3、OpenStack网络服务提供一个API让用户在云中建立和定义网络连接。该网络服务的项目名称是Neutron。OpenStack网络负责创建和管理虚拟网络基础架构，包括网络、交换机、子网和路由器，这些设备由OpenStack计算服务Nova管理。同时，网络服务还提供防火墙和VPN这样的高级服务。可以将网络服务部署到特定主机上。OpenStack网络组件与身份服务、计算服务和仪表板等多个OpenStack组件进行整合。

1.1 Neutron网络基础服务

网络结构图

在这里插入图片描述
1、外部网络：负责连接OpenStack项目之外的网络环境，又称公共网络。与其他网络不同，它不仅仅是一个虚拟网络，更重要的是，它表示OpenStack网络能被外部物理网络接入并访问。外部网络可能是企业的局域网（Intranet），也可能是互联网（Internet），这类网络并不是由Neutron直接管理。

2、内部网络：完全由软件定义，又称私有网络。它是虚拟机实例所在的网络，能够直接连接到虚拟机。项目用户可以创建自己的内部网络。默认情况下，项目之间的内部网络是相互隔离的，不能共享。该网络由Neutron直接配置与管理。

3、路由器：用于将内部网络与外部网络连接起来，因此，要使虚拟机访问外部网络，必须创建一个路由器。

4、Neutron需要实现的主要是内部网络和路由器。内部网络是对二层(L2)网络的抽象，模拟物理网络的二层局域网，对于项目来说，它是私有的。路由器则是对三层（L3）网络的抽象，模拟物理路由器，为用户提供路由、NAT等服务。

网络子网与端口

1、网路：一个隔离的二层广播域，类似交换机中的VLAN。Neutron支持多种类型的网络，如FLAT、VLAN、VXLAN等。

2、子网：一个IPV4或者IPV6的地址段及其相关配置状态。虚拟机实例的IP地址从子网中分配。每个子网需要定义IP地址的范围和掩码（这个有点像DHCP中定义的作用域的概念）。

3、端口：连接设备的连接点，类似虚拟交换机上的一个网络端口。端口定义了MAC地址和IP地址，当虚拟机的虚拟网卡绑定到端口时，端口会将MAC和IP分配给该虚拟网卡。

4、通常可以创建和配置网络、子网和端口来为项目搭建虚拟网络。网络必须属于某个项目，一个项目中可以创建多个网络。一个子网只能属于某个网络，一个网络可以有多个子网。一个端口必须属于某个子网，一个子网可以有多个端口。

网络拓扑类型

1、Local
Local网络与其他网络和节点隔离。该网络中的虚拟机实例只能与位于同一节点上同一网络的虚拟机实例通信，实际意义不大，主要用于测试环境。位于同一Local网络的实例之间可以通信，位于不同Local网络的示例之间无法通信。一个Local网络只能位于同一个物理节点上，无法跨节点部署。

2、Flat
Flat是一种简单的扁平网络拓扑，所有的虚拟机实例都连接在同一网络中，能与位于同一网络的实例进行通信，并且可以跨多个节点。这种网络不使用VLAN，没有对数据包打VLAN标签，无法进行网络隔离。Flat是基于不使用VLAN的物理网络实施的虚拟网络。每个物理网络最多只能实现一个虚拟网络。

3、VLAN
VLAN是支持802.1q协议的虚拟局域网，使用VLAN标签标记数据包，实现网络隔离。同一VLAN网络中的实例可以通信，不同VLAN网络中的实例只能通过路由器来通信。VLAN网络可以跨节点，是应用最广泛的网络拓扑类型之一。

4、 VXLAN
VXLAN（虚拟扩展局域网）可以看作是VLAN的一种扩展，相比于VLAN，它有更大的扩展性和灵活性，是目前支持大规模多租房网络环境的解决方案。由于VLAN包头部限长是12位，导致VLAN的数量限制是4096（212）个，不能满足网络空间日益增长的需求。目前VXLAN的封包头部有24位用作VXLAN标识符（VNID）来区分VXLAN网段，最多可以支持16777216（224）个网段。
VXLAN使用STP防止环路，导致一半的网络路径被阻断。VXLAN的数据包是封装到UDP通过三层传输和转发的，可以完整地利用三层路由，能克服VLAN和物理网络基础设施的限制，更好地利用已有的网络路径。

5、GRE
GRE（通用路由封装）是用一种网络层协议去封装另一种网络层协议的隧道技术。GRE的隧道由两端的源IP地址和目的IP地址定义，它允许用户使用IP封装IP等协议，并支持全部的路由协议。在OpenStack环境中使用GRE意味着“IP over IP”,GRE与VXLAN的主要区别在于，它是使用IP包而非UDP进行封装的。

二、Neutron网络基本架构

在这里插入图片描述

Neutron仅有一个主要服务进程neutron-server。它是运行在控制节点上的，对外提供Openstack网络API作为访问

Neutron的入口，收到请求后调用插件进行处理，最终由计算节点和网络节点上的各种代理完成请求。

网络提供者是指提供OpenStack网络服务的虚拟或物理网络设备，如Linux Bridge、Open vSwitch，或者其他支持Neutron的物理交换机。

与其他服务一样，Neutron的各组件服务之间需要相互协调和通信，neutron-server、插件和代理之间通过消息队列进行通信和相互调用。

数据库用于存放OpenStack的网络状态信息，包括网络、子网、端口、路由器等。

客户端是指使用Neutron服务的应用程序，可以是命令行工具、Horizon和Nova计算服务等。

实例：以一个创建VLAN 100虚拟网络的流程为例说明这些组件如何协同工作。

neutron-server收到创建网络的请求，通过消息队列通知已注册的Linux Bridge插件。(插件可以有很多，这里举例创建虚拟网络的插件是Linux Bridge插件)

该插件将要创建的网络信息（如名称、VLAN ID等）保存到数据库中，并通过消息队列通知运行在各节点上的代理

代理收到消息后会在节点上的物理网卡上创建VLAN设备（比如eth1.100），并创建一个网桥(比如brqxxx)来桥接VLAN设备。

2.1 Neutron-server 层次结构

在这里插入图片描述
1、RESTful API：直接对客户端提供API服务，属于最前端的API，包括Core API和Extension API两种类型。Core API提供管理网络、子网和端口核心资源的RESTful API；Extension API则提供管理路由器、防火墙、负载均衡、安全组等扩展资源的RESTful API。