linux l3接口,openstack透过Network Namespace和iptables实现租户私有网络互访和L3路由功能...

最新推荐文章于 2021-08-17 10:00:01 发布
最新推荐文章于 2021-08-17 10:00:01 发布
阅读量181 收藏
点赞数
文章标签: linux l3接口

openstack通过Network Namespace和iptables实现租户私有网络互访和L3路由功能

安装架构介绍

本文旨在通过自己搭建类似neutron (openvswitch + gre) 实现SDN 的环境,学习了解其工作原理,模拟核心原理,比如:同一租户自定义网络 instance 互通,手动为instance 分配 floating ip 等相关内容。

08431019.png

虚拟网络

需要新建3个虚拟网络Net0、Net1和Net2,其在virtual box 中对应配置如下。

Net0:

Network name: VirtualBox host-only Ethernet Adapter#2

Purpose: administrator / management network

IP block: 10.20.0.0/24

DHCP: disable

Linux device: eth0

Net1:

Network name: VirtualBox host-only Ethernet Adapter#3

Purpose: public network

DHCP: disable

IP block: 172.16.0.0/24

Linux device: eth1

Net2:

Network name: VirtualBox host-only Ethernet Adapter#4

Purpose: Storage/private network

DHCP: disable

IP block: 192.168.4.0/24

Linux device: eth2

虚拟机

需要新建2个虚拟机VM1和VM2,其对应配置如下。

VM1:

Name : network1

vCPU:1

Memory :1G

Disk:30G

Network:net1,net2,net3

VM2:

Name: compute1

vCPU:1

Memory :1G

Disk:30G

Networks:net1,net2,net3

Linux

interface设置

network1

eth0:10.20.0.201 (management network)

eht1:172.16.0.201 (public/external network)

eht2:192.168.4.201 (private network,gre tunning)

compute1

eth0:10.20.0.202 (management network)

eht1:(disabled)

eht2:192.168.4.202 (private network,gre tunning)

模拟安装网络节点(Network1)

模拟Network 节点相关实现,比如L3、dhcp-agent实现,为了模拟多节点网络情况,这里Network同时也模拟一个计算节点,模拟M2 openvswitch 实现,上面运行instance1。

网络接口配置

vi /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE=eth0

TYPE=Ethernet

ONBOOT=yes

NM_CONTROLLED=yes

BOOTPROTO=static

IPADDR=10.20.0.201

NETMASK=255.255.255.0

vi /etc/sysconfig/network-scripts/ifcfg-eth1

DEVICE=eth1

TYPE=Ethernet

ONBOOT=yes

NM_CONTROLLED=yes

BOOTPROTO=static

IPADDR=172.16.0.201

NETMASK=255.255.255.0

vi /etc/sysconfig/network-scripts/ifcfg-eth2

DEVICE=eth2

TYPE=Ethernet

ONBOOT=yes

NM_CONTROLLED=yes

BOOTPROTO=static

IPADDR=192.168.4.201

NETMASK=255.255.255.0

重启网络服务

service network restart

安装需要用到的包

yum install libvirt openvswitch python-virtinst xauth tigervnc -y

移除默认的libvirt 网络,方便清晰分析网络情况

virsh net-destroy default

virsh net-autostart --disable default

virsh net-undefine default

设置允许ipforwarding

vi /etc/sysctl.conf

net.ipv4.ip_forward=1

net.ipv4.conf.all.rp_filter=0

net.ipv4.conf.default.rp_filter=0

立即生效

sysctl -p

启动openvswitch

service openvswitch start

chkconfig openvswitch on

创建一个linux bridge

brctl addbr qbr01

ip link set qbr01 up

创建一个instance,并连接到qbr01 Bridge,网络接口部分配置如下

可以参考附件./gre/instance1.xml创建

cp ~/gre/ /var/tmp/

cd /var/tmp/gre

mv cirros-0.3.0-x86_64-disk.img instance1.img

virsh define instance1.xml

virsh start instance1

virsh vncdisplay instance1

vncviewer :0

启动console 以后,登录添加ip 地址 192.168.1.11

ip addr add 192.168.1.11/24 dev eth0

route add default gw 192.168.1.1

创建一个内部bridge br-int, 模拟 OpenStack integrated bridge

ovs-vsctl add-br br-int

ovs-vsctl add-port br-int gre0 -- set interface gre0 type=gre options:remote_ip=192.168.4.202

创建一个veth peer,连接Linux Bridge 'qbr01' 和 OpenvSwich Bridge 'br-ini'

ip link add qvo01 type veth peer name qvb01

brctl addif qbr01 qvb01

ovs-vsctl add-port br-int qvo01

ovs-vsctl set port qvo01 tag=100

ip link set qvb01 up

ip link set qvo01 up

查看现在network1上的 br-int

ovs-vsctl show

模拟安装计算节点(compute1)

网络接口配置

vi /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE=eth0

TYPE=Ethernet

ONBOOT=yes

NM_CONTROLLED=yes

BOOTPROTO=static

IPADDR=10.20.0.202

NETMASK=255.255.255.0

vi /etc/sysconfig/network-scripts/ifcfg-eth1

DEVICE=eth1

TYPE=Ethernet

ONBOOT=yes

NM_CONTROLLED=yes

BOOTPROTO=static

IPADDR=172.16.0.202

NETMASK=255.255.255.0

vi /etc/sysconfig/network-scripts/ifcfg-eth2

DEVICE=eth2

TYPE=Ethernet

ONBOOT=yes

NM_CONTROLLED=yes

BOOTPROTO=static

IPADDR=192.168.4.202

NETMASK=255.255.255.0

重启网络服务

service network restart

安装需要用到的包

yum install libvirt openvswitch python-virtinst xauth tigervnc

移除libvirt 默认的网络

virsh net-destroy default

virsh net-autostart --disable default

virsh net-undefine default

设置允许ipforwarding

vi /etc/sysctl.conf

net.ipv4.ip_forward=1

net.ipv4.conf.all.rp_filter=0

net.ipv4.conf.default.rp_filter=0

立即生效

sysctl -p

启动openvswitch

service openvswitch start

chkconfig openvswitch on

创建一个linux bridge

brctl addbr qbr02

ip link set qbr02 up

创建一个vm,并连接到qbr02

上gre目录到compute1 节点,可以参考附件./gre/instance2.xml创建

cp ~/gre/ /var/tmp/

cd /var/tmp/gre

mv cirros-0.3.0-x86_64-disk.img instance2.img

virsh define instance2.xml

virsh start instance2

virsh vncdesplay instance2

vncviewer :0

启动console 以后,登录添加ip得知 192.168.1.12

ip addr add 192.168.1.12/24 dev eth0

route add default gw 192.168.1.1

创建一个内部bridge br-int, 模拟 OpenStack integrated bridge

ovs-vsctl add-br br-int

ovs-vsctl add-port br-int gre0 -- set interface gre0 type=gre options:remote_ip=192.168.4.201

创建一个veth peer,连接Linux Bridge 'qbr02' 和 OpenvSwich Bridge 'br-ini'

ip link add qvo02 type veth peer name qvb02

brctl addif qbr02 qvb02

ovs-vsctl add-port br-int qvo02

ovs-vsctl set port qvo02 tag=100

ip link set qvb02 up

ip link set qvo02 up

查看现在network1 上的 br-int

ovs-vsctl show

检查是否能连通instance1,在instance2的控制台

ping 192.168.1.11

通过

Network Namespace 实现租户私有网络互访

添加一个namespace,dhcp01用于隔离租户网络。

ip netns add dhcp01

为私有网络192.168.1.0/24 ,在命名空间dhcp01 中 创建dhcp 服务

ovs-vsctl add-port br-int tapdhcp01 -- set interface tapdhcp01 type=internal

ovs-vsctl set port tapdhcp01 tag=100

ip link set tapdhcp01 netns dhcp01

ip netns exec dhcp01 ip addr add 192.168.1.2/24 dev tapdhcp01

ip netns exec dhcp01 ip link set tapdhcp01 up

检查网络是否连通,在namespace 访问instance1 和 instance2

ip netns exec dhcp01 ping 192.168.1.12

ip netns exec dhcp01 ping 192.168.1.11

通过

Network Namespace 和Iptables 实现L3 router

ovs-vsctl add-br br-ex

重新配置eth1 和 br-ex

vi /etc/sysconfig/network-scripts/ifcfg-eth1

DEVICE=eth1

ONBOOT=yes

BOOTPROTO=none

PROMISC=yes

MTU=1546

vi /etc/sysconfig/network-scripts/ifcfg-br-ex

DEVICE=br-ex

TYPE=Bridge

ONBOOT=yes

BOOTPROTO=none

IPADDR0=172.16.0.201

PREFIX0=24

重启启动网络服务

ovs-vsctl add-port br-ex eth1 && service network restart

检查网络,配置后是否连通

ping 172.16.0.201

添加一个namespace,router01 用于路由和floating ip 分配

ip netns add router01

在br-int添加一个接口,作为私有网络192.168.1.0/24的网关

ovs-vsctl add-port br-int qr01 -- set interface qr01 type=internal

ovs-vsctl set port qr01 tag=100

ip link set qr01 netns router01

ip netns exec router01 ip addr add 192.168.1.1/24 dev qr01

ip netns exec router01 ip link set qr01 up

ip netns exec router01 ip link set lo up

在br-ex中添加一个接口,用于私网192.168.1.0/24设置下一跳地址

ovs-vsctl add-port br-ex qg01 -- set interface qg01 type=internal

ip link set qg01 netns router01

ip netns exec router01 ip addr add 172.16.0.100/24 dev qg01

ip netns exec router01 ip link set qg01 up

ip netns exec router01 ip link set lo up

模拟分配floating

ip 访问instance1

为instance1 192.168.1.11 分配floating ip,172.16.0.101

ip netns exec router01 ip addr add 172.16.0.101/32 dev qg01

ip netns exec router01 iptables -t nat -A OUTPUT -d 172.16.0.101/32 -j DNAT --to-destination 192.168.1.11

ip netns exec router01 iptables -t nat -A PREROUTING -d 172.16.0.101/32 -j DNAT --to-destination 192.168.1.11

ip netns exec router01 iptables -t nat -A POSTROUTING -s 192.168.1.11/32 -j SNAT --to-source 172.16.0.101

ip netns exec router01 iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 172.16.0.100

测试floating ip

ping 172.16.0.101

如果需要清除nat chain

iptables -t nat -F

版权声明:本文为博主原创文章,未经博主允许不得转载。

jaaaans
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OpenStack企业私有云的若干需求(3):多租户租户间隔离
02-26
本系列会介绍OpenStack企业私有云的几个需求:用户、租户与多租户一个适用于多个行业的普遍性概念。一个环境/系统的一个使用者即该环境/系统的一个用户。系统允许其用户通过一个登录流程(enrollmentprocess)进入...
Neutron路由篇:L3 agent+Namespace
weixin_33816821的博客
04-28 564
Neutron 的路由服务是由 l3 agent 提供的。 除此之外,l3 agent 通过 iptables 提供firewall 和 floating ip 服务。 l3 agent 需要正确配置才能工作,配置文件为 /etc/neutron/l3_agent.ini,位于控制节点或网络节点。 interface_driver 是最重要的选项 ...
nginx+keepalived 主备搭建记录
我是兴锅的博客
07-13 193
nginx安装 1.软件安装 nginx version: nginx/1.16.1 nginx安装的服务器: 192.168.4.201/192.168.4.202 yum install -y nginx 2.软件启动 systemctl start nginx 3.查看nginx.conf位置 [root@localhost bin]# nginx -t nginx: the configuration file /etc/nginx/nginx.conf syntax is ok nginx:
实验:浮动路由的设置和命令 以及注意节点
著名艺术家
06-24 4018
首先我们按照图示使用ENSP搭建一个拓扑图 再按照要求逐一配置 首先配置好各 然后按照静态路由方式搭配一条192.168.1.10到1.1.1.1来回的路 配置PC机IP然后互相pingy一下 如果都能互相ping通 说明第一条要求配置完成 现在来做来做第二条要求配置:当R1和R2挂掉以后,我们让路由从R2走到R3再走到R1 这时候我们用到一条命令 ip route-static X.X.X.X X.X.X.X 下一跳网关 preference 70 因为路由器默认优先级为60,我们.
通过 kubeadm 安装 k8s 1.14.1版本(master 单节点版)
魂醉的一亩二分地
05-08 2173
参考官网: https://kubernetes.io/docs/setup/independent/install-kubeadm/#verify-the-mac-address-and-product-uuid-are-unique-for-every-node kubeadm init 配置文件参数参考: https://kubernetes.io/docs/reference/setup...
OpenStack私有云创建Linux和Windows映像
02-21
本文提出用一种新方式来使用OpenStack云操作系统为私有云构建Linux?和Windows?映像。OpenStack环境目前的映像创建方法麻烦且耗时。作者提出了一种在线自助服务方法,使映像创建对私有云的操作人员和最终用户而言更快...
openstack镜像和路由操作.docx
06-23
openstack的定制操作 自定义云镜像(windows server2012/2016 linux等) 虚拟路由器和浮点ip的操作
openstack_nova-source-code.rar_openstack_site:www.pudn.com
09-24
openstack_nova源码分析,通过对云计算IASS开源解决方案--Openstack中nova部分的源码解读,让你更好的了解openstack开源框架。
营销型网站的5个特性你的网站有吗?
jxsl6的博客
09-15 187
  融合了各种互联网营销策略和网站运营管理方式的网站称之为营销型网站,营销型网站在重视网站建设专业性的同时,也重视网站运营管理的整个过程,作为企业网站建设与经营维护一体化的全新网络营销模式。那么营销型网站的5个特性你的网站有吗?   1、企业形象呈现   营销型网站作为企业在网络上的名片,是全新的线上宣传载体,营销型网站是根据企业需求进行专属定制,可全面对企业的品牌形象和产品优势进行展示,对企业的整体实力进行全方位的展现。   2、网站诚信提升   一般来说企业网站要进行备案,网站上要有公司简介,企
namespace中配iptables规则注意事项
Sherry_Rui的专栏
04-07 1863
最近一个项目要在namespace中添加一条iptables规则,对自己搭建的DHCP服务进行转发: ip netns exec vrouter iptables -t nat -A POSTROUTING -o internal-if  -s 120.0.0.0/24 -d 10.0.0.0/24 -j MASQUERADE 结果发现在internal-if并不能对流量进行转发;找了半天
Neutron SDN 手动实现手册
weixin_33739646的博客
04-08 168
安装架构介绍 本文旨在通过自己搭建类似neutron (openvswitch + gre) 实现SDN 的环境,学习了解其工作原理,模拟核心原理,比如:同一租户自定义网络 instance 互通,手动为instance 分配 floating ip 等相关内容。 <ignore_js_op> 虚拟网络 需要新建3个虚拟网络Net0、Net1和Net2,其在virtual ...
网络虚拟化
weixin_33772645的博客
01-09 785
网络虚拟化技术OpenVSwitch:虚拟交换机VLAN, VXLAN虚拟路由器 什么是VLAN?Virtual LAN:LAN即为广播帧到的节点范围,也即能够直接通信的范围; VLAN:基于MAC地址基于交换机Port实现基于IP地址实现基于用户实现 交换机接口的类型:访问链接:access link汇聚链接:trunk link VLAN的汇聚方式:IEEE 802.1qISL:Inter S...
配置 L3 agent - 每天5分钟玩转 OpenStack(99)
CloudMan6的博客
10-14 4914
上一节我们介绍了路由服务(Routing)的基本功能,今天教大家如何配置。
容器学习笔记(二)Namespace
tyro_blog的博客
06-08 446
Namespace 这一节,我给大家介绍docker的namespace是如何实现资源隔离的 Namespace其实是linux很早就有的一个功能吧,但是因为docker它才被更多的人所熟悉。Linux提供了其中不同的命名空间,分别用于隔离不同的资源 通过这几个命名空间的选项,我们可以在创建新的进程时设置它和宿主机器的其他进程进行哪些资源的隔离。 进程隔离 大家都知道linux的进程是一个树形结构树根是pid为0的上帝进程。还有两个非常特殊的命令一个是pid为1的 /sbin/init进程和pid为2的k
玩转Linux网络namespace-单机自环测试与策略路由
热门推荐
Netfilter
05-18 2万+
上周有厂商到公司测试,拿了一块据说很猛的网络处理加速PCIe板卡,拎在手里沉甸甸的很有分量,最让人意淫的是那4个万兆光口,于是我迫不及待的想要一览光口转发时那种看不见的震撼。       可是,仅凭4个光口怎么测试?起码你要有个“对端”啊!任何人应该都不想扛着三台机器在客户们之间跑来跑去测试其转发性能,当然你也不能指望客户那里就一定有你需要的“对端”设备,比如我们公司就没有这种和万兆光口对接的设备
网络namespace引发的疑问(带解答)
weixin_30631587的博客
08-03 129
网络命名空间namespace 用法: 创建,删除,显示 命令:ip netns add namespace001 命令:ip netns del namespace001 命令:ip netns list namespace001 小技巧:在命名空间中执行bash从而进入命令行 ip netns exec namespace001 bash 在命名空...
namespace通信
qq_37040104的博客
01-07 2711
veth pair可以让两个不同的net namespace之间通信 创建veth pair [root@localhost zh]# ip link add veth0 type veth peer name veth1 创建net namespace [root@localhost zh]# ip netns add ns2 [root@localhost...
OpenStack干货分享 | Neutron源码分析之L3
qq_42533216的博客
08-17 729
OpenStack干货分享 | Neutron源码分析之L3 概念 OpenStack Neutron中,Router提供虚拟三层服务,包括租户网络(Tenant Network)之间、租户网络与外部网络(External Network)之间的路由网络地址转换,原生模式下路由器管理功能以Service Plugin的形式集成在Neutron Server中,路由器实体以Linux网络命名空间的形式存在,由Neutron L3 Agent管理。 本文从Neutron newton版本L3模块源.
openstack创建云主机时网络拓扑和路由点击就报错
最新发布
03-27
1. 检查您的网络拓扑和路由设置是否正确。确保您的网络配置与您的OpenStack部署兼容。 2. 检查您的OpenStack网络服务是否正在运行。确保您的OpenStack网络服务(如neutron)已正确配置并正在运行。 3. 检查您的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值