在Nova中,为解决租户间网络隔离问题,引入了VLAN网络模式。每个租户拥有独立的VLAN、网桥和子网,实现安全隔离。VLAN基于802.1Q标准,利用交换机的access、trunk和hybrid端口类型进行配置,确保多租户环境下网络通信。然而,这也意味着每次添加租户或子网时,管理员需手动配置交换机。
因为flat和flatdhcp中所有虚拟机处于同一个虚拟网络, 所以不同租户间不能进行网络隔离。为了解决这个问题, 引入了vlan网络,这也是默认的网络模式。在vlan网络中,nova-network会为每个租户创建一个vlan和网桥,在多节点部署的情况下,vlan需要交换机能支持vlan tagging(IEEE 802.1Q)。每个租户会获取一段私有IP并且只能在对应的vlan中访问;为了让用户能访问虚拟机实例,需要创建一个特殊的VPN实例(代码中命名为cloudpipe)。在这种模式下,每个租户会获取属于自己的vlan、linux网桥和子网。
vlan即虚拟局域网,一个vlan相当于一个2层的广播域,它能将广播控制在内部,不同vlan之间的数据通信必须通过网络层完成。传统的linux网桥只能用于构建单一的广播域,为了进行广播隔离,我们可以使用vlan这种逻辑分段技术,将一个网络划分为多个虚拟子网。802.1Q vlan是通过在以太网帧头插入4字节的vlan tag来工作的,因此多节点部署的情况下,我们需要使用支持vlan的交换机。
支持vlan的交换机的端口有3种类型可供配置:access/trunk/hybird:
1.access端口只能加入1个vlan,它有一个缺省的vlan id,收到一个以太网帧时,先判断是否有vlan tag;如果没有则打上端口的PVID,然后进行交换转发;有则直接丢弃。发送以太网帧时,会先剥离vlan信息,然后直接发送出去。access口适合PC之间的连接
2.trunk端口可以允许多个vlan通过,它需要设置缺省的vlan id;收到一个以太网帧时,先判断是否有vlan tag;如果没有则打上端口的PVID,并进行交换转发;有则判断该端口是否允许该vlan的
最低0.47元/天 解锁文章
2956
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
