OpenStack技术原理与实战：Neutron网络组件的介绍

Neutron网络组件的介绍南阳理工学院1目录1.Neutron基本概念2.Neutron网络的一种典型结构3.Neutron架构和核心组件4.Neutron网络类型5.Horizon上操作网络5.1管理员创建外网5.2工程demo创建工程网络1、什么是Neutron？

Neutron是OpenStack核心项目之一，提供云计算环境下的虚拟网络功能。在早期版本的OpenStack中没有单独列出，随着OpenStack不断升级和发展，OpenStack的网络组件名称上已经从Nova-network演变成为Quantum。因为商标侵权的原因，Openstack在Havana版本上将Quantum更名为Neutron，所以Neutron并不是新的东西。在Havana版里，Neutron也只增加和增强了少数功能。Neutron提供一个可插拔的体系架构，它能支持很多流行的网络供应商和技术，现在在Horizon面板中已经集成该模块。3网络在普通人的眼里，网络就是网线和供网线插入的端口，一个盒子会提供这些端口。对于网络工程师来说，网络的盒子指的是交换机和路由器。所以在物理世界中，网络可以简单地被认为包括网线，交换机和路由器。当然，除了物理设备，我们还有软的物件：IP地址，交换机和路由器的配置和管理软件以及各种网络协议。要管理好一个物理网络需要非常深的网络专业知识和经验。4Neutron中的一些关键概念

端口在物理网络环境中，端口是用于连接设备进入网络的地方。Neutron中的端口起着类似的功能，它是路由器和虚拟机挂接网络的着附点。一个端口代表了在逻辑网络交换机上的虚拟交互端口，虚拟机的虚拟接口（可以理解成网卡）连接到这些端口上，端口上有相应的MAC和IP地址。当给端口分配IP地址，需要将端口关联到子网中，从子网的地址池取出IP地址。5路由器和物理环境下的路由器类似，Neutron中的路由器也是一个路由选择和转发部件。只不过在Neutron中，它是可以创建和销毁的软部件。子网简单地说，子网是由一组IP地址组成的地址池。不同子网间的通信需要路由器的支持，这个Neutron和物理网络下是一致的。Neutron中子网隶属于网络。6DHCP为项目网络提供DHCP服务，即IP地址动态分配，另外还会提供metadata请求服务。DHCPagent

负责处理dhcp请求，为网络分配IPDHCPagentscheduler

负责DHCPagent与network的调度OpenvSwitchOpenvSwitch（OVS）是一个虚拟交换软件，主要用于虚拟机VM环境，作为一个虚拟交换机，还支持多种linux虚拟化技术7linuxbridge主要用于安全组增强。安全组通过iptables实现，iptables只能用于linuxbridge而非OVSbridge。Vethpairs在openstack网络中大量使用。Vethpairs是一个简单的虚拟网线，所以一般成对出现。通常Vethpairs的一端连接到bridge，另一端连接到另一个bridge或者留下在作为一个网口使用。89基本命令网络（network）

neutronnet-create--tenant-id$tenantnet1\

--provider:network_typevlan\--provider:physical_networkphysnet1\--provider:segmentation_id100子网（subnet）

neutronsubnet-create--tenant-id$tenant\ --namenet1_subnet1net1192.168.100.0/24

port一般都是自动创建的，很少用户手动创建2、Neutron网络的一种典型结构Neutron网络目的是为OpenStack云更灵活地划分物理网络，在多工程环境下提供给每个工程独立的网络环境。另外，Neutron提供API来实现这种目标。Neutron中用户可以创建自己的网络对象，如果要和物理环境下的概念映射的话，这个网络对象相当于一个巨大的交换机，可以拥有无限多个动态可创建和销毁的虚拟端口。Neutron典型的网络结构如下图所示：1112Neutron典型的网络结构如下图所示：在这个图中，我们有一个和互联网（互联网可以由其它网络代替，比如办公网络）连接的外部网络。这个外部网络是工程虚拟机访问互联网或者互联网访问虚拟机的途径。外部网络有一个子网，它是一组在互联网上可寻址的IP地址。一般情况下，外部网络只有一个（neutron是支持多个外部网络的），且由管理员创建。工程网络可由工程任意创建。当一个工程的网络上的虚拟机需要和外部网络以及互联网通信时，这个工程就需要一个路由器。路由器有两种臂，一种是gateway网关臂，另一种是interfaces接口臂。网关臂只有一个，连接外部网。接口臂可以有多个，连接工程网络的子网。经过这样的网络规划，我们有下面的步骤来实施：首先管理员拿到一组可以在互联网上寻址的IP地址，并且创建一个外部网络和子网工程创建一个网络和子网工程创建一个路由器并且连接工程子网和外部网络工程创建虚拟机133、Neutron网络架构Neutron是由一个Neutron-server和若干agent构成，按照OpenStack的设计原则，Neutron项目对外提供了一系列的接口，使得OpenStack其他的组件可以与Neutron进行交互，同时Neutron的各种代理（agent）也可以使用Neutron-api与Neutron-server通信。如果对应到具体的部署节点上，则是控制节点（或者网络节点）和计算节点的关系。143、Neutron核心组件15模块功能说明neutron-serverAPI服务neutron-*(l2)-agent网桥、安全组等每网络/计算结点一个neutron-dhcp-agentDhcp服务可多个neutron-l3-agentRouter/防火墙可多个neutron-vpn-agentRouter/防火墙/vpn可多个neutron-lbaas-agent负载均衡可多个neutron-metadata-agentMetadata代理服务4、OpenStack网络类型一个标准的OpenStack网络设置有4个不同的物理数据中心网络：16管理网络：用于OpenStack各组件之间的内部通信。数据网络：用于云部署中虚拟数据之间的通信。API网络：暴露所有的OpenStackAPIs,包括OpenStack网络API给租户们。外部网络：公共网络，外部或internet可以访问的网络。OpenStack网络类型174、网络管理模式OpenStack网络组件中经常采用的三种网络管理模式：Flat模式FlatDHCP模式VLAN模式。184、Flat模式Flat模式是最简单的一种网络管理模式，这种模式将所有实例（虚拟机）桥接到同一个虚拟网络，但这种模式下需要手动设置网桥（包括配置网桥和外部的DHCP设备）。这种模式的由来是在OpenStack网络组件没有独立出来之前的nova-network网络模型，这种模式的网络拓扑是一种扁平的结构，虚拟机之间的网络连接关系也不复杂，基本上属于同一个网段。194、FlatDHCP模式FlatDHCP模式是在Flat模式的基础上进行一些优化和改进，就上图中虚线部分用一个具有dhcp功能的进程代替，并将这个进程合并至计算节点，并在计算节点上创建对应的网桥，此时的计算节点网卡可以不需要IP地址，因为网桥把虚拟机与nove-network主机连接在一个逻辑网络内。204、VLAN模式VLAN是一种将局域网设备从逻辑上划分成一个个网段，这是一种常见的网络划分技术。在OpenStack中的任务均是基于工程的，在高版本的OpenStack中，工程可以拥有自己的子网，并对这些子网具有相应的管理权限。默认的是使用VLAN模式。网络控制器为所有instance做NAT转换解决了二层隔离的问题,但是VLAN4096的限制,导致单个集群只能最多4096个用户使用,符合企业私有云使用,但是不适合公有云。

214、VLAN模式VS

Flat模式VLAN模式是一种先固定一个IP地址段（fixed_range），例如使用以下命令：nova-managenetworkcreate--fixed_range_v4=10.0.1.0/24--vlan=102--project_id="tenantID"然后，当在一个工程中创建虚拟机时，该工程就能够按照事先配置好的固定IP段中的某一个地址分配给这台虚拟机。从系统实现上是将网络与工程关联和为网络分配一个VLAN号。Flat模式，首先使用nova-manage命令为所有的工程创建一个IP资源池，例如：nova-managenetworkcreate--fixed_range_v4=10.0.0.0/16–label=public该命令相当于将所有的IP地址放在一个池中，当创建虚拟机以后，虚拟机就能够从该池中得到一个IP地址，也就是说，在Flat模式下的虚拟机构成的网络没有子网的概念，所有的虚拟机是存在于同一个局域网中的。VLAN模式功能丰富，很适合提供给企业内部部署使用，属于同一个VLAN中的虚拟机是桥接在一个单独的网桥上，并且这些虚拟机的创建是基于工程的，这种方式很容易实现工程有隔离。但是，需要支持VLAN的switches来连接，而且实际部署时比较复杂，VLAN的个数为4096个，也就是最多4096个子网工程，这一点不适用于公有云，一般在小范围实验中常采用FlatDHCP模式。22我们先通过如下一个简单的流程来了解客户机如何连接到网络上。-工程创建了一个网络，比方说mynet-工程为此网络分配一个子网，比如192.168.122.0/24-工程启动一个客户机，并指明一个网口连接到mynet-Nova通知Neutron并在mynet上创建一个端口，如port1-Neutron选择并分配一个IP给port1-客户机通过port1就连接到了mynet上235、Horizon上操作网络我们说过外网要由管理员创建。假设我们拿到的外部网络的IP地址是20.0.2.0/24，可用的地址段是20.0.2.10-20.0.2.20，网关是20.0.2.1。我们现在就以管理员的身份在horizon上创建一个外网：24(1).以管理员身份登录后，选择管理员面板，点击’Networks’项后显示当前网络列表：255.1管理员创建外网(2).在上图中点击“CreateNetwork”按钮弹出“CreateNetwork”窗口在上面的弹出窗口中，填入网络名:ExternalNet，而且勾选ExternalNetwork然后点击“CreateNetwork”。265.1管理员创建外网（3）.下面是我们刚才创建好的网络：275.1管理员创建外网（4）.现在我们点击“ExternalNet”查看这个网络的详细情况：285.1管理员创建外网（5）.在网络详细情况页面中，我们点击“CreateSubnet”弹出窗口创建外部网络的子网：295.1管理员创建外网这是一个多标签页面，在上面的“Subnet”页面中填入子网名，子网CIDR(NetworkAddress)。在下面的“SubnetDetail”页中填入地址范围：注意：因为外部网络不挂接虚拟机，可以不选泽“EnableDHCP“。最后点击子网创建窗口上的“Create”完成子网的创建305.1管理员创建外网5.2用普通项目demo身份创建项目网络

我们现在以普通项目身份登录horizon，并点击“Networks”项：31点击上图的“CreateNetwork”弹出项目网络创建窗口：325.2用普通项目demo身份创建项目网络显然，这是一个多Tab的界面，和我们先前管理员创建网络的界面不一样。在这个界面里，我们可以一气完