OpenStack八大核心组件精讲之-neutron理论知识

1、OpenStack-neutron理论知识-neutron、OpenStack络、络是openstack最重要的资源之，没有络，虚拟机将被隔离。Openstack的络服务最主要的功能就是为虚拟机实例提供络连接，最初由nova的个单独模块nova-compute实现，但是nova-compute持的络服务有限，法适应规模、密度和多项的云计算,现已被专门的络服务项Neutron所取代。、Neutron为整个openstack环境提供软件定义络持，主要功能包括层交换、三层路由、防墙、VPN,以及负载均衡等。Neutron在由其他openstack服务 (如nova)管理的络接设备(如虚拟卡)之间提供

2、络连接即服务、Linux络虚拟化、实现虚拟化后，多个物理服务器可以被虚拟机取代，部署在同台物理服务器.上。虚拟机由虚拟机管理器(Hypervisor)实现，在Linux系统中Hypervisor通常采kvm。在对服务器进虚拟化的同时，也对络进虚拟化。、Hypervisor为虚拟机创建个或多个虚拟卡(vNIC)，虚拟卡等同于虚拟机的物理卡。物理交换机在虚拟络中被虚拟为虚拟交换机(vSwitch),虚拟机的虚拟卡连接到虚拟交换机上，虚拟机交换机再通过物理主机的物理卡连接到外部络。、 对于物理络来说，虚拟化的主要作是对卡和交换设备的虚拟化。openstack络服务最核的任务是对层物理络进抽象和管理（

3、）、Linux虚拟桥、与物理机不同，虚拟机并没有硬件设备，但是也要与物理机和其他虚拟机进通信。Linux KVM的解决案是提供虚拟桥设备，像物理交换机具有若络接(卡)样，在桥，上创建多个虚拟的络接，每个络接再与KVM虛拟机的卡相连。、在Linux的KVM虚拟系统中，为持虚拟机的络通信，桥接的名称通常以vnet开头，加上从0开始顺序编号，如vnet0、vnet1,在创建虚拟机时会动创建这些接。虚拟桥br1和br2分别连接到物理主机的物理卡1和物理卡2。（）、虚拟局域、个桥可以桥接若虚拟机，当多个虚拟机连接在同桥时，每个虚拟机发出的播包会引发播风暴，影响虚拟机的络性能。通常使虚拟局域(VLAN)将

4、部分虚拟机的播包限制在特定范围内，不影响其他虚拟机的络通信。、通常使VLAN将部分虚拟机的播包限制在特定范围内，不影响其他虚拟机的络通信。、将多个虚拟机划分到不同的VL AN中，同VLAN的虚拟机相当于连接同桥上。、在Linux虚拟化环境中，通常会将桥与VLAN对应起来，也就是将桥划分到不同的VLAN中、VLAN协议为802.1Q,VLAN是具有802.1Q标签的络。（三）、开发虚拟交换机、开放虚拟交换机(Open vSwitch)是与硬件交换机具备相同特性，可在不同虚拟平台之间移植,具有产品级质量的虚拟交换机，适合在产环境中部署。、交换设备的虚拟化对虚拟络来说关重要。在传统的数据中，管理员可

5、以对物理交换机进配置控制服务器的络接，实现络隔离、流量监控、QoS配置、流量优化等标。在云环境中，采Open vSwitch技术的虚拟交换机可使虚拟络的管理、络状态和流量的监控得以轻松实现。、Open Switch在云环境中的虚拟化平台上实现分布式虚拟交换机，可以将不同主机上的OpenvSwitch交换机连接起来，形成个规模的虚拟络。三、openstack络基础服务OpenStack络服务提供个API让户在云中建和定义络连接。该络服务的项名称是Neutron。OpenStack络负责创建和管理虚拟络基础架构,包括络、交换机、和路由器，这些设备由OpenStack计算服务Nova管理。同时，络服

6、务还提供防墙和VPN这样的级服务。可以将络服务部署到特定主机上。OpenStack络组件与份服务、计算服务和仪表板等多个OpenStack组件进整合、neutron络结构个简化的典型的Neutron络结构如图所，包括-个外部络、个内部络和-个路由器。外部络负责连接OpenStack项之外的络环境，称公共络。与其他络不同，它不仅仅是个虚拟络，更重要的是，它表OpenStack络能被外部物理络接并访问。外部络可能是企业的局域(Intranet)，也可能是互联(Internet)， 这类络并不是由Neutron直接管理。内部络完全由软件定义，称私有络。它是虚拟机实例所在的络，能够直接连接到虚拟机。项

7、户可以创建的内部络。默认情况下，项之间的内部络是相互隔离的，不能共享。该络由Neutron直接配置与管理。路由器于将内部络与外部络连接起来，因此，要使虚拟机访问外部络，必须创建个路由器。Neutron需要实现的主要是内部络和路由器。内部络是对层(L2)络的抽象，模拟物理络的层局域，对于项来说，它是私有的。路由器则是对三层(L3)络的抽象，模拟物理路由器，为户提供路由、NAT等服务。、络与端路:个隔离的层播域，类似交换机中的VLAN。Neutron持多种类型的络，如FLAT、VLAN、VXLAN等。:个IPV4或者IPV6的地址段及其相关配置状态。虚拟机实例的IP地址从中分配。每个需要定义IP地

8、址的范围和掩码(这个有点像DHCP中定义的作域的概念)。端:连接设备的连接点，类似虚拟交换机上的个络端。端定义了MAC地址和IP地址，当虚拟机的虚拟卡绑定到端时，端会将MAC和IP分配给该虚拟卡。通常可以创建和配置络、和端来为项搭建虚拟络。络必须属于某个项，个项中可以创建多个络。个只能属于某个络，个络可以有多个。个端必须属于某个，个可以有多个端。、络拓扑类型Local络与其他络和节点隔离。该络中的虚拟机实例只能与位于同节点上同络的虚拟机实例通信，实际意义不，主要于测试环境。位于同Local络的实例之间可以通信，位于不同Local络的例之间法通信。个LocaI络只能位于同个物理节点上，法跨节点部

9、署。Flat是种简单的扁平络拓扑，所有的虚拟机实例都连接在同络中，能与位于同络的实例进通信，并且可以跨多个节点。这种络不使VLAN,没有对数据包打VLAN标签，法进络隔离。Flat是基于不使VLAN的物理络实施的虚拟络。每个物理络最多只能实现个虚拟络。VLAN是持802.1q协议的虚拟局域，使VLAN标签标记数据包，实现络隔离。同VLAN络中的实例可以通信，不同VLAN络中的实例只能通过路由器来通信。VL AN络可以跨节点，是应最泛的络拓扑类型之。VXLAN (虚拟扩展局域)可以看作是VLAN的种扩展，相于VLAN,它有更的扩展性和灵活性，是前持规模多租房络环境的解决案。由于VLAN包头部限长

10、是12位,导致VLAN的数量限制是4096 (212) 个，不能满络空间益增长的需求。前VXL AN的封包头部有24位作VXLAN标识符 (VNID)来区分VXLAN段,最多可以持16777216 (224) 个段。VXLAN使STP防环路，导致半的络路径被阻断。VXL AN的数据包是封装到UDP通过三层传输和转发的，可以完整地利三层路由，能克服VLAN和物理络基础设施的限制，更好地利已有的络路径。GRE (通路由封装)是种络层协议去封装另-种络层协议的隧道技术。GRE的隧道由两端的源IP地址和的IP地址定义，它允许户使IP封装IP等协议，并持全部的路由协议。在OpenStack环境中使GRE

11、意味着“IP over IP”,GRE与VXLAN的主要区别在于，它是使IP包UDP进封装的。GENEVE(通络虚拟封装)的标宣称是仅定义封装数据格式，尽可能实现数据格式的弹性和扩展性GENEVE封装的包通过标准的络设备传送，即通过单播或多播寻址，包从-个隧道端点传送到另个或多个隧道端点。GENEVE帧格式由个封装在IPV4或IPV6的UDP的简化的隧道头部组成。GENEVE推出的主要的是为了解决封装时添加的元数据信息问题(到底多少位，怎么GENEVE动识别与调整),以适应各种虚拟化场景。随着云计算、数据、移动互联等新技术的普及，络虚拟化技术的趋势在传统单层络基础.上叠加层逻辑络。这将络分为两

12、个层次，传统单层络称为Underlay (承载络)，叠加其上的逻辑络称为Overlay (叠加络或覆盖络)。Overlay络的节 点通过虚拟的或逻辑的连接进通信，每个虚拟的或逻辑的连接对应于Underlay络的条路径，由多个前后衔接的连接组成。Overlay络须对基础络进规模修改，不关这些底层实现，是实现云融合的关键。VXLAN、GRE和GENEVE都是基于隧道技术的Overlay络、络基本架构Neutron仅有个主要服务进程neutron-server。它是运在控制节点上的，对外提供Openstack络API作为访问Neutron的，收到请求后调插件进处理，最终由计算节点和络节点上的各种代理

13、完成请求。络提供者是指提供OpenStack络服务的虚拟或物理络设备，如Linux Bridge. Open vSwitch,或者其他持Neutron的物理交换机。与其他服务样，Neutron的各组件服务之间需要相互协调和通信，neutron-server,插件和代理之间通过消息队列进通信和相互调。数据库于存放OpenStack的络状态信息，包括络、端、路由器等。客户端是指使Neutron服务的应程序，可以是命令具Horizon和Nova计算服务等。实例:以个创建VLAN 100虚拟络的流程为例说明这些组件如何协同作。neutron-server收到创建络的请求，通过消息队列通知已注册的Lin

14、ux Bridge插件。(插件可以有很多,这举例创建虚拟络的插件是Linux Bridge插件)该插件将要创建的络信息(如名称、VLAN ID等)保存到数据库中，并通过消息队列通知运在各节点上的代理代理收到消息后会在节点上的物理卡上创建VLAN设备(如eth1.100),并创建-个桥(如brqxxx)来桥接VLAN设备。、neutron-serverRESTful API:直接对客户端提供API服务，属于最前端的API,包括Core API和Extension API两种类型。CoreAPI提供管理络、和端核资源的RESTfulAPI; Extension API则提供管理路由器、防墙、负载均

15、衡、安全组等扩展资源的RESTfulAPI。Common Service:通服务，负责对API请求进检验、认证，并授权。Neutron Core:核处理程序，调相应的插件API来处理API请求。Plugin API:定义插件的抽象功能集合，提供调插件的API接，包括Core Plugin API和Extension。Plugin API两种类型。Neutron Core通过Core Plugin API调相应的Core Plugin,通过ExtensionPlugin API调相应的Service Plugin、遵循的设计原则，采开放性架构，通过插件代理与络提供者的配合来实现各种络功能。插件是

16、Neutron的种API的后端实现，的是增强扩展性。插件按照功能可以分为Core Plugin和Service Plugin两种类型。Core Plugin提供基础层虚拟络持，实现络、和端等核资源抽象。Service Plugin是指Core Plugin之外的其他插件，提供路由器、防墙、安全组、负载均衡等服务持。从H版开始，Neutron提供个名为L3 Router Service Plugin的插件持路由服务。插件的调由neutron-server的Core Plugin API和Extex sion Plugin API调，于确定具体的络功能，即要配置什么样的络。作流程:插件处理neut

17、ron-server发来的请求， 主要职责是在数据库中维护Neutron络的状态信息(更新Neutron数据库)。通知相应的代理实现具体的络功能。每-个插件持组API资源井完成特定的操作，这些操作最终由插件通过RPC调相应的代理来完成。代理处理插件转来的请求，负责在络提供者上真正实现各种络功能。代理使物理络设备或虚拟化技术完成实际的操作任务，如于路由器具体操作的L3代理。、典型的主机系欸但部署案介绍控制节点上可以部署neutron-server,Core Plugin和Service Plugin的代理。这些代理包括neutron-plugin-agent, neutron-medadata-

18、agent. neutron-dhcp-agent. neutron-l3-agent. neutron-lbass-agent等。 Core Plugin和Service Plugin已经靠成到neutron-server中,不需要运独的Plugin服务。计算节点上可以部署Core Plugin, Linux Bridge或Open vSwitch的代理，负责提供层络功能。控制节点和计算节点都需要部署Core Plugin的代理，因为控制节点与计算节点通过该代理，才能建层连接可以通过增加络节点承担更的负载。该案特别适合规模较的OpenStack环境。控制节点部署neutron-server服

19、务，只负责通过neutron-server响应API请求。络节点部署的服务包括Core Plugin的代理和Server Plugin的代理。将所有的代理主键从上述控制节点分离出来，部署到独的络节点上。由独的络节点实现数据的交换、路由以及负载均衡等级络服务。四、Neutron插件、代理和服务、插件Neutron可以通过开发不同的插件和代理来持不同的络技术，这是种相当开放的架构。不过随着所持的络提供者种类的增加，开发员发现了两个突出的问题。个问题是多种络提供者法共存。Core Plugin负责管理和维护Neutron层虚拟络的状态信息，个Neutron络只能由个插件管理，Core Plugin插

20、件与相应的代理是对应的。 如果选择Linux Bridge插件，则只能选择LinuxBridge代理，必须在OpenStack的所有节点上使Linux Bridge插件，则只能选择Linux Bridge代理，必须在OpenStackR的所有节点上使Linux Bridge作为虚拟交换机。另个问题是开发新的插件的作量太，所有传统的Core Plugin之间存在量反复代码。为解决这两个问题，从OpenStack的H版开始，Neutron实现了个插件ML2,旨在取代所有的Core Plugin,允许在OpenStack络中同时使多种层络技术，不同的节点可以使不同的络实现机制。ML2能够与现有的代理

21、缝集成，以前使的代理须变更，只需将传统的Core Plugin替换成ML2。ML2使得对新的络技术的持更为简单，须从头开发Core Plugin,只需要开发相应的机制驱动，减少编写和的代码。类型驱动(Type Driver) : Neutron持的每种络类型都有 个对应的ML2类型驱动。类型驱动负责维护络类型的状态、执验证。创建络等作。机制驱动(Mechansim Driver) : geutron持的每种络机制都有个对应的ML2机制驱动。机制驱动负责获取由类型驱动维护的络状态，并确保在相应络设备(物理或虚拟的)上正确实现这些状态。前Neutron已经实现的络机制有以下3种类型:基于代理的:L

22、inuxBridge. Open vSwitch等。基于控制器的:OpenDaylight,VMWare NSX等.基于物交换机的:Cisco Nexus. Arista. Mellanox等.扩展资源:ML2作为个Core Plugin,在实现络，和端核资源的同时。也实现包括端绑定。安全组等部分扩展资源、Linux Bridge代理Linux Bridge是成熟可靠的Neutron层络虚拟化技术，持Local,Flat、VLAN和VXLAN这4种络类型。Linux Bridge可以将台主机上的多个卡桥接起来，充当台交换机。它既可以桥接物理卡，可以是虚拟卡。于桥接虚拟机卡(虚拟卡)的是Tap接

23、,这是个虚拟出来的络设备，称为Tap设备，作为桥的个端。Tap接在逻辑上与物理接具有相同的功能，可以接收和发送数据包。如果选择Linux Bridge代理，在计算节点上数据包从虚拟机发送到物理卡需要经过以下设备Tap接:于桥连接到虚拟卡，命名规则为tapxxxLinux桥:作为层交换机,命名规则为brxxxx。VLAN接:在VLAN络中于连接桥，命名为ethx.y (x为卡名称，为VLAN ID)VXLAN接:在VXL AN络中于连接桥，命令为vxlan-z(z是VNID)物理络接：于连接到物理络、Open vSwitch代理与Linux Bridge相，Open vSwitch (OVS)具

24、有集中管控功能，且性能更加优化，持更多的功能，前在OpenStack领域成为主流它持Local,Flat, VLAN,VXLAN,GRE和GENEVE等所有络类型。vSwitchTap设备:于桥连接虚拟机卡。Linux桥:桥接络接。VETH对:直接相连的-对虚拟络接。两个虚拟络接收发。来连接两个虚拟桥。OVS桥:Open vSwitch的核设备，包括-个OVS集成桥和个OVS物理连接桥。所有在计算节点上运的虚拟机连接到集成桥，Neutron通过配置集成桥上的端来实现虚拟机络隔离。物理连接桥直接连接到物理卡。这两个OVS桥通过个VETH对来对接。vSwitch如果选择Open vSwitch代理

25、。在计算节点上数据包从虚拟机发送到物理卡需要依次经过以下设备:Tap接:命名为tapxxx.Linux桥:命名为qbrxxxx（xxxx编号要与apxxxx编号要致)。VETH对:两端分别命名为qvbxxx和qvoxx (其中xxx与taxxx中的xxx也要保持致)。OVS PATCH端:两端分别命名为int-br-ethx和phy-br-ethx (x为物理卡名称中的编号).这是特有的端类型，只能在Open vSwitch中使OVS物理连接桥:分为两种类型，在Flat和VLAN中使OVS提供者桥，命名为br-ethx (x为物理卡名称中的编号);在VXLAN.GRE或GENEVE叠加络中使O

26、VS隧道桥，命名为br-un,另外，在Local络中不需要任何OVS物理连接桥。物理络接:于连接到物理络，命名为ethx (x为物理卡名称中的编号)。vSwitch所有的虚拟机都连接到同个桥br-int,Open vSwitch通过配置br-int和br-ethx_上的流规则来进VL AN转换，进实现VLAN之间的隔离。例中内部的VLAN标签分别为1和2，物理络的VLAN标签则为101和102.当br-eth1桥.上的phy-br-eth1端收到个VLAN 1标记的数据包时，会将其中的VLAN 1转让为VLAN 101;当br-int桥上的int-br-eth1端收到个VLAN 101标记的数

27、据包时会将其中的VLAN 101转换为VLAN 1。、DHCP代理DHCP* agent scheduler）-DHCP代理的主要任务定期报告DHCP代理的络状态，通过RPC报告给neutron-server，然后通过Core Plugin报告给数据 库并进更新络状态启动dnsmasq进程，检测qdhcp-xxxx名称空间（namespace）中的ns-xxxx端接收到的DHCPDISCOVER请求DHCP代理配置件/etc/neutron/dhcp_agent.iniinterface_driver：来创建TAP设备的接驱动dhcp_driver：指定DHCP驱动DHCP创建实例时，Neut

28、ron随机成MAC并从配置数据中分配个固定IP地址，起保存到dnsmasq的hosts件中，让dnsmasq进程做好准备。与此同时， nova-compute会设置虚拟机卡的MAC地址实例启动，发出DHCPDISCOVER播，该播消息在整个络中都可以被收到。播到达dnsmasq监听Tap接。Dnsmasq收到后检查其host件，发现有对应项，它以 -DHCPOFFER消息将IP和关IP发回到虚拟机实例。虚拟机实例发回DHCPREQUEST消息确认接受DHCPOFFER.Dnsmasq发回确认消息DHCPACK,整个过程结束。、 Linux络名称空间是Linux提供的种内核级别络环境隔离的法。当

29、前Linux持6种不同类别的命名空间，络名称空间只是其中种。在层络上,VLAN可以将-个物理交换机分割成个独的虚拟交换机。在三层络上,Linux络名称空间可以将个物理三层络分割成个独的虚拟三层络。-Linux络名称空间概述在Linux中，络名称空间可以被认为是隔离的拥有单独络栈的环境。它经常来隔离络资源(设备和服务)，只有拥有同样络名称空间的设备才能彼此访问。它还提供了在络名称空间内运进程的功能。后台进程可以运在不同名称空间内的相同端上，户还可以虚拟出块卡。络名称空间可以创建个完全隔离的全新络环境，包括个独的络接、路由表、ARP表、IP地址表、iptables或ebtables等，与络有关的组

30、件都是独的。执以下命令进指定的络名称空间:ip netns exec net001(netns) bashnet001eth0地址ip netns exec net001 ip address add xx.xx.xx.xx/24 dev eth0络名称内部通信没有问题，但被隔离的络名称空间之间要通信，就必须采特定法，即VETH对VETH对是种成对出现的特殊络设备，它们像根虚拟的线，可于连接两个名称空间，向VETH对 端输的数据将动转发到另端。例如创建两个络名称空间netns1和netns2并使他们之间通信，执以下步骤:(1)、创建两个络名称ip netns add netns1ip netn

31、s add netns2(2)、创建个VETH对ip link add veth1 type veth peer name veth2(3)、将上述两个VETH虚拟接分别放置到两个络名称空间中ip link set veth1 netns netns1ip link set veth2 netns netns2这样两个VETH虚拟接就分别出现在两个络名称中,两个空间就打通了,其中的设备可以互相访问。Linux络名称空间实现DHCP服务隔离Neutron通过络名称空间为每个络提供独的DHCP和路由服务，从允许项创建重叠的络。如果没有这种隔离机制，络就不能重叠，这样就失去了很多灵活性。每个dnsm

32、asq进程都位于独的络名称空间，命名为qdhcp:xxx.以创建Flat络为例，Neutron动新建该络对应的桥brqaxxxx,以及DHCP的Tap设备tapxxxx。 物理主机本也有个络名称空间，称为root,拥有所有物理和虚拟接设备，物理接只能位于root名称空间。新创建的名称空间默认只有个回环设备。如果DHCP的Tap虛拟接放置到qdhcp-xxx名称空间，该Tap虚拟接将法直接与root名称空间中桥设备brqxxxx连接。为此，Neutron使VETH对来解决这个问题，添加VETH对tapxxxx与ns-xxxx,让qdexxxxx连接到brqxxxxLinux络名称空间实现路由器N

33、eutron允许在不同络中的的CIDR和IP地址重叠，具有相同IP地址的两个虚拟机也不会产冲突，这是由于Neutron的路由器通过Linux络名称空间实现的，每个路由器有独的路由表Neutron路由器是个三层(L3)络的抽象，其模拟物理路由器，为户提供路由、NAT等服务。在OpenStack络中，不同之间的通信需要路由器，项络与外部络之间的通信更需要路由器。Neutron提供虚拟路由器，也持物理路由器。例如，两个隔离的VLAN络之间要实现通信，可以通过物理路由器实现，如上图所，由物理路由器提供相应的IP路由表，确保两个IP之间的通信。将两个VLAN络中的虚拟机的默认关分别设置为物理路由器的接A

34、和B的IP地址，VLANA中的虚拟机要与VLAN B中的虚拟机通信时，数据包通过VLAN A中的物理卡到达物理路由器，由物理路由器转发到VLAN B中的物理卡，再到的虚拟机。Neutron的虚拟路由器使软件模拟物理路由器，路由实现机制相同。Neatron的路由L3代理提供。在Neutron中L3代理具有举轻重的地位，它不仅提供虚拟路由器，且通过iptables漫供地址转换、浮动地址利安全组功能。L3代理利Linux IP栈、路由和iptables来实现内部络中同络的虚拟机实例之间的通信，以及虚拟机实例和外部络之间的络流量的路由和转发。L3代理可以部署在控制节点或者络节点上。1、路由L3代理提供

35、的虚拟路由器通过虚拟接连接到，个个接，该接的地址是该的关地址。L3代理会为每个路由器创建个名称空间，通过VETH对与TAP相连，然后将关IP配置在位于名称空间的VETH接上，这样就能够提供路由。络节点如果不持Linux名称空间，则只能运个虚拟路由器。2、通过络名称空间持络重叠在云环境下户可以按照的规划创建络，不同项的络IP地址可能会重叠。L3代理使Linux络名称空间来提供隔离的转发上下，隔离不同项的络。每个L3代理运在-个名称空间中，每个名称空间由quouter-命名。3、源地址转换L3代理通过在ptables表中增加POSTROUTING链来实现源地址转换，即内计算机访问外时，发起访问的内

36、P地址转换为外关的IP地址。种功能让虚拟机实例能够直接访问外，并能够从外返回。项络连接到Neutron路由器,通常将路由器作为默认关。4、的地址转换Neutron需要设置浮动IP地址持从外访问项络中的实例。每个浮动IP唯对应-个路由器,浮动IP-关联的端-所在的-包含该以及外部的路由器。创建浮动IP时，在Neutron分配浮动IP后，通过PRC通知该浮动IP对应的路由器去设置该浮动IP对应的iptables规则。从外访问虚拟机实例时，的IP地址为实例的浮动IP地址， 因此必须由iptables将其转化为固定IP地址，然后再将其路由到实例。浮动IP地址提供静态NAT功能，建外IP地址与实例所在项

37、IP地址的对-映射。浮动IP地址配置在路由器提供关的外接上，不是实例中。5、安全组安全组定义了哪些进络流量能被转发给虚拟机实例，每个安全组可以有若条规则，可以给每个实例绑定若安全组FWaaS是种基于Neutron L3 Agent的虚拟防墙，是Neutron的个级服务。通过它，OpenStack可以将防墙应到项、路由器、路由器端和虚拟机端，在边界.上对三层和四层的流量进过滤。Neatron路由器上应防墙规则，控制进出项络的数据。防墙必须关联某个策略。FWaaS的应对象是虚拟路由器，可以在安全组之前控制从外部注的流量，但是对于同个内的流量不做限制，安全组保护的是实例，FWaaS保护的是，两者互为补充。两个版本:FWaaSv1与FWaaSv2FWaaSv1是传统的防墙案，对路由器提供保护，将防墙应到路由器时，该路由器的内部端受到保护。FWaaSv2防墙概念由防墙组替代，个防墙包括两项策略:策略和出策略。防墙组不再应于路由器级，是路由器端。FWaaSv2的配置仅提供命令具，