Neutron里的服务框架 (by quqi99)

最新推荐文章于 2024-05-30 14:02:00 发布
最新推荐文章于 2024-05-30 14:02:00 发布
阅读量3.7k 收藏 2
点赞数
分类专栏: OpenStack Networking
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/quqi99/article/details/42743905
版权

作者:张华  发表于:2014-01-15
版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明

( http://blog.csdn.net/quqi99 )

 在Neutron中,在L2层有ML2, 在L4/L7层有LBaaS, FWaaS, VPNaaS, 没有一个从L2/L7层统一的服务框架。
  而网络服务在L2/L7层是都有的,例如:
   1, FWaaS应该和网络节点在一块
   2, LBaaS可能就不是一定需要和网络节点在一块,那么安装Haproxy的虚机就必须有两个port (新类型,Service Interface),一个port能访问子网的网关,一个port能访问要做LB的其他虚机
   3, 像TapaaS,是在port前面拦一下,可以做port mirror或者port monitoring, 这个可是L2层。
   另一方面,这些网络服务之间可能需要是有序的(用例:一个tenant下的两个networks, 一个network里有FWaaS, 一个network里有LBaaS,现在要求他们有序)
   主要基于上述两大原因,出现了一系列的变种BPs.
   1, Service Insertion, 在原有的Neutron Service Type的代码之上扩展serviceBase来实现,本质在于在每个network的边界neutron port处再插入service port, 缺点在于仍然只在L4/L7层,另外也不够灵活,但通用性更好,与neutron更亲和。(https://review.openstack.org/#/c/93128)
   2, Service Chain, 基于Service Insertion,让服务变得有序。
   3, Traffic Steering, 基于ovs流表截取要走“有序服务”的流量,然后通过流表控制流量在各个service的ports上做有序流转。优点更灵活一些,缺点在于仅限于ovs. (https://review.openstack.org/#/c/92477)
   4, 华为也有一个类似的BP, 和Traffic Steering类似,但不需显式指定neutron port, 粒度更粗一些显示和FW这些服务关联,FW肯定也是有neutron port的,实际上实现原理是一样的,缺点也是仅限于ovs (https://review.openstack.org/#/c/146315/)


Service Insertion

例:

neutron create-service-interface <uuid_of_service_to_be_inserted> --insertion-type <neutron-port | external-port | service> <uuid_of_insertion_point>

uuid_of_insertion_point是指port的uuid, 可以network边缘处的neutron port插入服务port, uuid_of_service_to_be_inserted, 如FWaaS.

此替代方案是使用serviceContexthttps://review.openstack.org/#/c/62599/

实现时,在FWaaS, LBaaS, VPNaaS共同的基类ServiceBase里扩展下列方法:
* get_supported_insertion_type()
  --- returns the type of interface context (neutron port, external port, or attach to service) supported, should only be one
* create_service_interface(service_interface)
  --- create service interface
* delete_service_interface(service_interface_id)
  --- delete service interface
* get_service_interfaces()
  --- get the list of service interfaces for this service

1, 对VPN DB的影响,目前VPN DB里一个叫router的属性表示一个vpn已经和一个l3 router关联了,需要删除这个属性,用新的type=SERVICE and insertion_point_id=VPN代替。
2, 对FW DB的影响,当时每一个l3 router上都关联了一个FW, 这个可以指定FW只和具体的router关联,为和老的兼容,在DB迁移时为每个router都关联一个FW.
3, 对LB DB的影响,目前LB的VIP表中有一个port属性指明具有VIP,需要删除这个属性,用新的type=NEUTRON_PORT and ap_id=<VIP's port>代替。


Service Chain

数据模型

ServiceChainNode (id, name, type, config, config_params)
ServiceChainSpec (id, name, nodes)
ServiceChainInstance (id, name, service-chain-spec, port)
neutron servicechain-node-create --type flavor_id --config_file fw_heat_template --config_params "destion1=IP1;destination2=IP2" fw_node
neutron servicechain-node-create --type flavor_id --config_file lb_heat_template --config_params "router=router_uuid" lb_node
neutron servicechain-spec-create --nodes "fw_node;lb_node" fwlb_spec

https://review.openstack.org/#/c/93524/13/specs/juno/service-chaining.rst


Traffic Steering

服务框架的本质就是在neutron port之上再创建service port关联相应的service嘛,traffic steering直接通过流表根据classfier截取哪些流量要用service chain功能,然后再在各个neutron port之类导流就行了

port chain (id, name, descrip, tenant_id, ports, classfiers, override_warning)
classifier (id, name, descrip, tenant_id, protocol, scr_port_min, src_port_max, dst_port_min, dst_port_max, src_ip, dst_ip)


Huawei Service Chain

和上面的三类做同样的事情
数据结构:
 ServiceFunctionPool (id, name, type[FW|LB])
 ServiceFunctionPoolInstance (id, pool_id, name, sf_id) (用来提供vm port的)
 MatchRule (id, name, protocol, src-port, dst-port)
 ServiceFunctionChain (id, name, chain[FW|LB], rule_id)
用法流程:
即从目标端口为100及源端口为50的流量应用"FW,LB"的service-chain, FW会关联neutron port, LB会关联neutron port (它没有像上面三种方法显示的关联port,但LB等肯定会有neutron port,所以是隐式的), 于是流量在这些port上有序的流动。
neutron sf-pool-create --type FW
neutron sf-pool-create --type LB
neutron sf-pool-inst-associate --pool_Id fw_sfpool_uuid --sf_Id fw1_uuid
neutron sf-pool-inst-associate --pool_Id fw_sfpool_uuid --sf_Id fw2_uuid
neutron sf-pool-inst-associate --pool_Id lb_sfpool_uuid --sf_Id lb1_uuid
neutron sf-pool-inst-associate --pool_Id lb_sfpool_uuid --sf_Id lb2_uuid
neutron sf-chain-create --chain "FW,LB"
neutron sf-matchrule-create --protocol tcp --dst-port 100
neutron sf-matchrule-create --protocol udp --src-port 50
neutron sf-chain-update --sf_chain_Id sf_chain_uuid --rule_Id rule_uuid1 --rule_Id rule_uuid2


也有midonet之类,定义service, 然后为port指定有序的service列表,由pipline来按service列表的顺序来根据流表过滤

 


社区批准的sfc

http://docs.openstack.org/developer/networking-sfc/
+-------+        +----------+        +------------+
 | Port  |--------| Port Pair|--------| Port Pairs |
 | Chain |*      *| Groups   | 1     *|            |
 +-------+        +----------+        +------------+
   |1
   |
   |*
+--------------+
| Flow         |
| Classifiers  |
+--------------+


  +------+     +------+     +------+
  | SF1  |     | SF2  |     | SF3  |
  +------+     +------+     +------+
  p1|  |p2     p3|  |p4      p5| |P6
    |  |         |  |          | |
----+  +---------+  +----------+-|---->


例如:两个service VMs (vm1与vm2), 从源地址22.1.20.1到目的地址172.4.5.6/32的流要经过VM1[p1, p2],和VM2[p3, p4].
nova boot --image xxx --nic port-id=p1 --nic port-id=p2 vm1
nova boot --image yyy --nic port-id=p3 --nic port-id=p4 vm2


neutron flow-classifier-create --ip-version ipv4 --source-ip-prefix 22.1.20.1/32
 --destination-ip-prefix 172.4.5.6/32 --protocol tcp --source-port 23:23
 --destination-port 100:100 FC1


neutron port-pair-create --ingress=p1 --egress=p2 PP1
neutron port-pair-create --ingress=p3 --egress=p4 PP2
neutron port-pair-create --ingress=p5 --egress=p6 PP3


neutron port-pair-group-create --port-pair PP1 --port-pair PP2 PG1  # 虚机有多网卡
neutron port-pair-group-create --port-pair PP3 PG2


neutron port-chain-create --port-pair-group PG1 --port-pair-group PG2 --flow-classifier FC1 PC1


实现:

Traffic from SF Egress port: classify for chain and direct to group:
priority=10,in_port=SF_EGRESS_port,traffic_match_field,
 actions=strip_vlan,set_tunnel:VNI,group:gid.


Traffic from Tunnel port:
priority=10,in_port=TUNNEL_port,
 actions=resubmit(,TUN_TABLE[type]).


Group Table Flows。注: Group 类型:group 类型有四种‘ all ’、“select”、“indirect”、“fast failover”。将一些 flow 指向 group table 是为了处理报文转发中的一些高级功能,譬如‘ all ’是为了处理多播或者广播。
group_id=gid,type=select,selection_method=hash,fields=ip_src,nw_proto,tp_src
 bucket=set_field:10.1.1.3->ip_dst,output:10,
 bucket=set_field:10.1.1.4->ip_dst,output:10


openflow group table flows的流程如下图,其中action bucket指一组有序的action.



服务链如何与外部系统交互:

Ironic通过LLDP协议向Neutron报告ToR Switch的二层网络拓扑,这样Neutron可以统一给裸机分配port。见: https://review.openstack.org/#/c/188528/7/specs/liberty/ironic-ml2-integration.rst


External Attachment Point用于neutron和外部系统(如ironic,如L2 gateway)系统连接:
http://specs.openstack.org/openstack/neutron-specs/specs/juno/neutron-external-attachment-points.html
neutron port-create --external-attachment-point-id <external_attachment_point_id>
neutron external-attachment-point-create --attachment_type 'vlan_switch' --attachment_id switch_id=00:12:34:43:21:00,port=5,vlan_tag=none



参考
[1] https://docs.google.com/a/canonical.com/document/d/1fmCWpCxAN4g5txmCJVmBDt02GYew2kvyRsh0Wl3YF2U/edit
[2] https://review.openstack.org/#/c/93524/13/specs/juno/service-chaining.rst
[3] https://review.openstack.org/#/c/93128/22/specs/juno/service-base-and-insertion.rst

[4] https://wiki.openstack.org/wiki/Neutron/ServiceInsertionAndChaining


quqi99
关注
专栏目录
Neutron 网络服务
timedown的博客
11-01 634
​项目介绍​Openstack Networking(neutron)管理所有虚拟网络,包括网络基础设施(VNI)和访问层方面的物理网络(PNI)。它允许租户创建高级的虚拟网络拓扑结构,包括的服务有防火墙、负载均衡器、虚拟专用网络(VPNs)。​Networking提供了以下对象的抽象:网络、子网、路由器。每个功能模拟其物...
neutron网络服务
qq_37659794的博客
05-08 1093
neutron neutron-server neutronAPI 接受和响应外部的网络管理请求 neutron-linuxbridge-agent:负责创建桥接网卡 neutron-dhcp-agent 负责分配ip neutron-metadata-agent:配合nova-metadata-api实现虚拟机的定制化操作 L3-agent 实现三层网络vxlan(网络层)高级应用 LBaas load balance 即服务负载均衡(阿云SLB) fwaas 防火墙即服务 vpnaas v
integrate k8s with keystone (by quqi99)
技术并艺术着
10-29 639
作者:张华 发表于:2020-09-21 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 Install k8s with keystone (http) juju add-model k8s stsstack/stsstack juju deploy kubernetes-core wget https://raw.githubusercontent.com/juju-solutions/kubernetes-docs/master/assets/keystone.
my cloud test bed (by quqi99)
技术并艺术着
03-10 1577
若容器如果上不了网,如无法访问api.snapcraft.io,是因为lxd容易默认使用了eth1上的dns=10.10.10.1,下面的配置可让eth0, eth1, eth2都默认使用dns=192.168.99.1来避免特色网络对api.snapcraft.io的污染。下列netplan配置创建了br-eth0,也让br-eth0支持wol通过魔术包唤醒,也创建了一个没有dhcp的br-maas用于maas实验。
Neutron的Web框架与规范
实践求真知
06-01 988
Neutron首先是一个Web Server,那么它就存在一个Web框架选型问题。Neutron选用了两种开源的Web框架。早期版本,Neutron使用了Paste+PasteDeploy+Routes+WebOb组合,作为自己的Web框架。从kilo版本开始,Neutron引入了另一个Web框架pecan。pecan相对于前者,使用起来比较简单。不过所谓的简单,在Neutron应用中也仅仅体现在...
HCIP-OpenStack组件之网络服务Neutron(ovs、ovn)
ma1782072的博客
08-24 2634
openvswitch.ko模块在处理网络包时,会先匹配内核中能不能匹配到策略(内核流表)来处理,如果匹配到了策略,则直接在内核态根据该策略做网络包转发,这个过程全程在内核中完成,处理速度非常快,也称之为fast path(快速通道);Neutron最为核心的工作是对二层物理网络的抽象与管理,物理服务器虚拟化后,虚拟机的网络功能由虚拟网卡(vNIC)和虚拟交换机(vSwitch)提供,各个vNIC连接在vSwitch的端口上,最后这些vSwitch通过物理服务器的物理网卡访问外部的物理网络。
OpenStack(T版)——网络(Neutron)服务介绍与安装
不知道
06-29 1917
OpenStack Neutron 就是为 OpenStack 虚拟机提供网络连接的服务。类比于现实生活中的网络,就像我们需要连接电脑、手机等设备到路由器上才能上网一样,虚拟机也需要连接到虚拟网络中才能进行通信和访问外部网络。而 Neutron 就是提供这个连接的服务。它能够帮助用户灵活地管理虚拟机的网络连接,包括分配 IP 地址、设置子网、路由器等网络设备,以及控制网络访问权限等。同时,Neutron 还支持多种网络虚拟化技术,能够让多个虚拟网络之间互相隔离和通信。
Neutron服务运维
weixin_57268991的博客
05-07 618
OpenStack常用命令 - Neutron、Cinder篇 qq_57189464 已于 2022-04-10...
OpenStack之Neutron服务网络架构二
抛物线的博客
04-05 2883
《OpenStack之Neutron基础服务二》 参考: ① 《OpenStack官方文档》 ② 《OpenStack高可用架构与原理》 不论是传统数据中心还是云计算数据中心,网络都是不可或缺的核心资源。Neutron便是OpenStack云计算中的网络服务项目,其源自早期的Nova-network网络组件。 Nova-network从Nova项目中独立出来之后,社区成立了针对网络功能虚拟化的Quantum项目。 但由于商标侵权的原因,在Havana版本后,Quantum 项目更名为现在的Neutron
【云计算学习笔记(二十一)】之Neutron服务详细介绍
开发小鸽
06-14 2461
文章目录本文章由公号【开发小鸽】发布!欢迎关注!!!一.Neutron(一)Neutron介绍(二)Neutron功能1.二层交换Switching2.三层路由Routing3.负载均衡Load Balancing4.防火墙Firewalling(1)Security Group(2)Firewall-as-a-Service(三)Neutron网络的基本概念1.network(1)local(2)flat(3)vlan(4)vxlan(5)gre2.subnet3.port4.Project,Networ
Neutron中的Service类
yeasy的专栏
07-09 1579
Service是OpenStack中很重要的一个概念,各个服务的组件都以Service类的方式来进行交互。 Neutron中的Service类继承自rpc中的Service,整体的继承关系为 neutron.openstack.common.service.Service类-->neutron.common.rpc.Service类-->neutron.service.Service类
OpenStack学习笔记之五:Neutron介绍
最新发布
大龄IT民工
05-30 1424
OpenStack网络服务提供了一个API接口,允许用户在云上设置和定义网络连接和地址。这个网络服务的项目代码名称是Neutron。OpenStack网络处理虚拟设备的创建和管理网络基础设施,包括网络、交换机、子网以及由计算服务(nova)管理的设备路由器。高级服务,如防火墙或虚拟私人网络(VPN)。OpenStack网络由neutron-server,持久化存储数据库,和任意数量的插件代理组成,这些代理提供其他服务,如与本地linux联网接口机制、外部设备或SDN控制器。
Neutron中Portbinding扩展模块详解
sskywatcher的博客
11-02 4538
目录 Extension以及Port binding简述 Port binding 的属性 Port binding 的属性在Neutron的mechanism  driver中作用 SimpleAgentMechanismDriverBase SriovNicSwitchMechanismDriver LinuxbridgeMechanismDriver OpenvswitchMe...
Neutron L2 网络与 Linux网桥
redwingz的博客
07-07 604
此代理agent使用Linux网桥为运行在计算节点上的VM实例提供L2级到public网络的连通性。部署的图示如下所示: 在最常见的部署中,有一个计算节点和一个网络节点。在这两个节点上,Linux网桥代理将管理虚拟交换机、它们之间的连接以及通过虚拟端口与其它网络组件的交互,如命名空间和底层接口。此外,在计算节点上,Linux Bridge代理将管理安全组。 三个用例及它们的报文流程描述在以下三个...
openstack---neutron commands list
Rachel Wang的little tree
11-07 539
This is got from neutron help. usage: neutron [--version] [-v] [-q] [-h] [-r NUM]                [--os-service-type ]                [--os-endpoint-type ]                [--service-type ]    
OpenStack Neutron深度解析:网络服务与组件探究
"OpenStack-Neutron是OpenStack平台中的网络服务组件,主要负责为OpenStack环境中的虚拟机实例提供网络连接和管理。Neutron提供了多种网络模型,以适应不同的云部署需求,如FLAT、FLATDHCP、VLAN等。" OpenStack ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

quqi99

你的鼓励就是我创造的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值