《虚拟化技术与应用》 课件 11-ETSI的工作流程与部署模式；12-OpenStack网络组件之Neutron

ETSI的工作流程与部署模式了解ETSINFV的工作过程熟悉NFV的部署模式熟悉NFV架构的优势以及NFV架构的驱动力教学目标目录ETSINFV架构工作流程NFV部署模式ETSINFV架构优势及驱动力ETSINFV架构工作流程计算硬件、存储硬件、软件硬件虚拟化层虚拟计算虚拟存储虚拟网络网络功能虚拟化架构（NFVI）VNF#2VNF#1VNF#3虚拟网络功能（VNF）NFV管理与编排ETSINFV架构中端到端的数据流运营与计费支持系统NFV编辑器（NFVO）VNF管理（VNFM）虚拟基础架构管理（VIM）EM#2EM#1EM#312345678910ETSI架构的工作流程执行步骤ETSINFV架构工作流程第5步NFVO将创建虚拟机和这些虚拟机所需资源分配的请求发送到VIM。第4步因为NFVO有关于硬件资源的信息，它会验证是否有足够的可用资源以满足虚拟机的创建。这时NFVO需要发起一个创建这些虚拟机的请求。第3步VNFM决定虚拟机需求数量，以及每一个虚拟机的资源需求，并将结果返回NFVO，提出可以完全满足VNF的创建的需求。第2步NFVO对有需求的VNF进行实例化，并与VNFM通信。第1步NFVO对端到端的拓扑具有可视性。12345ETSI架构的工作流程执行步骤ETSINFV架构工作流程第10步VNF被成功配置，VNFM告知NFVO:VNF已经配置完成并准备完毕，你可以随时使用它。第9步VNFM就可以使用任何特定的参数配置VNF了。第8步NFVO通知VNFM:你所需要的虚拟机已经创建完毕并且是可用状态，你可以接管工作了。第7步一旦虛拟机被成功创建，VIM就会通知NFVO。第6步VIM要求虚拟化层创建这些虚拟机。12345NFV架构的目的为什么要定义NFV的架构？定义架构的目的，是消除互操作性上的挑战和实现实施的规范化(或说是为了将挑战降至最低,或变得更加实际)。这些功能模块的目的和功能范围在架构中有很好的定义。厂商可以独自开发这些功能，并将其部署到其他厂商开发的相关功能模块中，从而顺利地工作。只要实现方式遵循架构定义的范围和角色，并在通过参考点与其他模块进行通信时使用了开放的标准，则网络就可以通过异构的方式部署为NFV模式。这意味着服务提供商可以在不同功能模块的部署上，灵活地对厂商进行选择。目录ETSINFV架构工作流程NFV部署模式ETSINFV架构优势及驱动力NFV的部署方式对于硬件基础设置层、虚拟资源层和网络功能层，NFV部署方式主要有三种。软硬件接耦单厂商三层解耦单厂商部署硬件基础层虚拟资源层VIM网络功能层VNFMNFVO厂商A单厂商部署单厂商方式即硬件基础设施层，虚拟资源层和网络功能层均由单一厂商提供，NFVO既可以选择独立部署，也可以选择由同一厂商提供。该方式对接口开放性要求不高，可实现快速部署。软硬件解耦硬件基础层虚拟资源层VIM网络功能层VNFMNFVO厂商A软硬件解耦软硬件解耦方式即虚拟资源层和网络功能层由同一厂商提供，硬件基础设施层由运营商同一采购，NFVO独立设置并定义相关模块的接口，实现与不同厂商相关功能模块的互通和适配厂商B三层解耦硬件基础层虚拟资源层VIM网络功能层VNFMNFVO厂商A厂商B厂商B三层解耦三层解耦方式即硬件基础设施层、虚拟资源层和网络功能层分别由不同的厂商提供。NFVO独立设置并定义相关模块的接口，实现与不同厂商相关功能模块的互通和适配。本方式接口开放性要求高，能狗实现资源层的充分共享哪一种方式更加适合云化网络呢？思考：三种方式中，哪一种最适合云化演进的需求呢？目录ETSINFV架构工作流程NFV部署模式ETSINFV架构优势及驱动力NFV架构优势硬件灵活性更快速的生命周期可扩展性和弹性可以利用现有工具敏捷性NFV架构优势解读硬件灵活性：由于NFV使用常规的COTS硬件，因此用户可以自行选择和部署硬件，以最有效的方式去满足他们的需求。更快速的生命周期：有了NFV，就可以更快地部署新的网络服务或特性，基于按需分配的模式，为最终用户和网络供应商带来好处。可扩展性和弹性：VNF不受定制的物理硬件限制的约束，它们提供了极大的弹性。因此网络不需要为适应容量需求的变化而被过多地超量配置。可利用现有工具：由于NFV使用与当前数据中心相同的基础架构，因此它可以支持并重复利用数据中心使用的部署和管理工具。快速部署和厂商独立性：NFV提供了一种可以轻松部署融合了不同厂商解决方案的方式，因此用户不会再被一个特定的厂商所绑定，新的解决方案和功能可以快速投入生产，无须等待提供现有设备的厂商去开发和支持。NFV的市场驱动力向云迁移新的业务服务节省资本费用厂商独立运维费用节省更低的门槛NFV市场驱动力解读（一）向云迁移：经研究表明，在2015~2020年，NFV市场份额将以83.1%的年复合增长率增长至超过90亿美金。这是一个容易被传统供应商错过的巨大市场，许多新的供应商则正在进入这个市场，如云提供商、服务提供商、企业、初创公司等。新的业务服务：NFV带来了一个新的商业机会，使用大规模服务器部署实现托管式网络和IT服务。这种类型的服务业务增长非常快，并且已经被证明是一种高收入业务。节省资本费用：NFV使用标准的高容量硬件(如服务器、交换机和存储设备)，替代传统网络中的专用设备，并且能够提供给用户多元化的选择方案NFV市场驱动力解读（二）节省运维费用：随着NFV对标准架构的推动，绑定了结合厂商专有硬件和软件的现有网络将被被淘汰或份额降低。NFV在其功能模块及融合现有管理工具方面鼓励并支持使用开放标准。这使得NFV在服务器和数据中心，可以使用诸多现有厂商提供的独立工具对网络进行部署和运维，而不需要进行新的投资。进入门槛：对于传统网络设备，新的厂商或服务供应商很难进入市场。厂商的开发成本和供应商搭建基础架构的成本成为了一种门槛，有很强的挑战性。NFV通过开放的软件实现多种网络功能，并带来更低的硬件成本，这种门槛就被消除了。NFV应用案例RR可以率先迁移到x86架构上，来更快的实现一些需求，比如：改变BGP的下一跳等等。利用NFV技术，将物理防火墙都各种板卡都转化为虚拟机，这些虚拟机在内部可以形成防火墙集群VRR虚拟反射路由器VFW虚拟防火墙ETSINFV的工作过程NFV的部署模式NFV架构的优势以及NFV架构的驱动力总结OpenStack关键网络组件OpenStack概述了解Neutron的基本功能描述Neutron网络资源完成Neutron架构的学习描述Neutron典型操作教学目标目录Neutron概述Neutron网络资源Neutron架构Neutron典型操作传统的网络管理方式很大程度上依赖于管理员手工配置和维护各种网络硬件设备；而云环境下的网络已经变得非常复杂，特别是在多租户场景里，用户随时都可能需要创建、修改和删除网络，网络的连通性和隔离不已经太可能通过手工配置来保证了。如何快速响应业务的需求对网络管理提出了更高的要求。传统的网络管理方式已经很难胜任这项工作，而“软件定义网络（software-definednetworking,SDN）”所具有的灵活性和自动化优势使其成为云时代网络管理的主流。Neutron的设计目标是实现“网络即服务（NetworkingasaService）”。为了达到这一目标，在设计上遵循了基于SDN实现网络虚拟化的原则，在实现上充分利用了Linux系统上的各种网络相关的技术。SDN模式服务—NeutronSDN(软件定义网络),通过使用它，网络管理员和云计算操作员可以通过程序来动态定义虚拟网络设备。Openstack网络中的SDN组件就是Quantum.但因为版权问题而改名为Neutron。Neutron概述Neutron为整个OpenStack环境提供网络支持，包括二层交换，三层路由，负载均衡，防火墙等。Neutron提供了一个灵活的框架，通过配置，无论是开源还是商业软件都可以被用来实现这些功能。二层交换

Switching

Nova的Instance是通过虚拟交换机连接到虚拟二层网络的。

Neutron支持多种虚拟交换机，包括Linux原生的LinuxBridge和第三方OpenvSwitch。

利用

LinuxBridge和OVS，Neutron除了可以创建传统的VLAN网络，还可以创建基于隧道技术的

Overlay网络，比如VxLAN和GRE（LinuxBridge目前只支持VxLAN，此外，由于GRE容易单点故障已经被弃用）。

OpenvSwitch­­（OVS）是一个开源的虚拟交换机，它支持标准的管理接口和协议。比Linuxbridge的功能更强大，是为了配合Neutron而产生的。三层路由

Routing

Instance可以配置不同网段的IP，Neutron的router（虚拟路由器）实现instance跨网段通信。router通过IPforwarding，iptables等技术来实现路由和NAT。dhcp获取的地址一般是私网地址，极个别是公网地址，这取决于使用了哪种通讯方式。Neutron的功能（1）负载均衡

LoadBalancing

提供了将负载分发到多个

instance的能力。LBaaS支持多种负载均衡产品和方案，不同的实现以

Plugin的形式集成到Neutron，目前默认的Plugin是HAProxy。所以不用搭建LVS，直接设置策略就可以。防火墙

Firewalling

SecurityGroup通过iptables限制进出instance的网络包。

Firewall­as­a­ServiceFWaaS，限制进出虚拟路由器的网络包，也是通过iptables实现。

防火墙的本质都是使用内核挂载的filter模块，只不过实现的方式有所区别，firewalld是利用分区实现，iptables是利用三表五链实现。Neutron的功能（2）目录Neutron概述Neutron网络资源Neutron架构Neutron典型操作Neutron的网络资源-NetworkLocal：网络中的

instance只能与位于同一节点上同一网络的instance通信，local网络主要用于单机测试。Flat：网络是无

vlantagging的网络，其实就是交换机形成的二层网络，和网桥一样。flat网络中的instance能与位于同一网络的instance通信，并且可以跨多个节点。VLAN：网络是具有

802.1qtagging的网络，一共可以划分4095个子网。vlan是一个二层的广播域，同一vlan中的instance可以通信，不同vlan只能通过router通信。vlan网络可以跨节点，是应用最广泛的网络类型。

VxLAN：基于隧道技术的

overlay网络，是VLAN的扩展。VxLAN有1600万个VNI编号，足够在云计算平台使用了。vxlan网络通过唯一的segmentationID（也叫VNI）与其他vxlan网络区分。vxlan中数据包会通过VNI封装成UPD包进行传输。因为二层的包通过封装在三层传输，能够克服

vlan和物理网络基础设施的限制。Linuxbridge只支持VxLAN。GRE：与

vxlan类似的一种overlay网络。主要区别在于使用IP包而非UDP进行封装。不同

network之间在二层上是隔离的。现在已经被弃用了。network必须属于某个Project（Tenant租户），Project中可以创建多个network。network与Project之间是多对1的关系。subnet是一个IPv4或者IPv6地址段。instance的IP从subnet中分配。每个subnet需要定义

IP地址的范围和掩码。

subnet与network是1对多关系。一个

subnet只能属于某个network；一个

network可以有多个

subnet，这些subnet可以是不同的IP段，但不能重叠。例如，以下这两种设置都是被允许的：Neutron的网络资源–Subnetport可以看做虚拟交换机上的一个端口。port上直接定义了MAC地址和IP地址，当instance的虚拟网卡

VIF（VirtualInterface）绑定到port时，port会将MAC和IP分配给VIF。而原来我们做网桥时，是虚拟机的网卡eth0在物理机里对应的是vnet0，vnet0是加在br0上的。

port与subnet是1对多关系。一个

port必须属于某个subnet；一个

subnet可以有多个port。有了port直接定义MAC与IP就不用使用ARP与RARP协议了。Neutron的网络资源–PortNeutron定义的三大网络资源只是二层的网络资源，与三层的没有关系。目录Neutron概述Neutron网络资源Neutron架构Neutron典型操作与openstack其他服务和组件的设计思路一样，Neutron也采用分布式架构，由多个组件（服务）共同对外提供网络服务。Neutron架构非常灵活，层次多一方面是为了支持各种现有或者将来会出现的先进网络技术加入到架构中，有足够的逻辑扩展性另一方面支持分布式部署，可以获得足够的物理扩展性；比如扩展计算节点，Neutron只需要增加一个相应的计算组件即可。Neutron架构Neutron-server收到创建网络的请求，通过消息队列（rabbit）告知已注册的linuxbridge插件，这里假设网络提供者为linuxbridgelinuxbridge将要创建的网络信息保存到数据库，并通过消息队列传话筒通知运行在各个节点上的代理代理收到信息后会在节点上的物理网卡上创建vlan设备（比如物理接口的子接口，eth1.10），并创建一个网桥来桥接网络设备。创建vlan10虚拟网络的流程Neutron-server提供一组API来定义网络连接和IP地址，也就是提供一个IP地址，供nova等客户端调用，让我们去连接，去发出指令它本身也是一个分层的模型设计Neutron架构-NeutronServer（1）CoreAPI：对外提供管理network,subnet和port的RESTfulAPI。ExtensionAPI：对外提供管理router,loadbalance,firewall等资源的RESTfulAPI。CommnonService：认证和校验API请求。NeutronCore：Neutronserver的核心处理程序，通过调用相应的Plugin处理请求。CorePluginAPI：定义了CorePlgin的抽象功能集合，NeutronCore通过该API调用相应的CorePlgin。ExtensionPluginAPI：定义了ServicePlgin的抽象功能集合，NeutronCore通过该API调用相应的ServicePlgin。CorePlugin：实现了CorePluginAPI，在数据库中维护network,subnet和port的状态，并负责调用相应的agent在networkprovider上执行相关操作，比如创建network。ServicePlugin：实现了ExtensionPluginAPI，在数据库中维护router,loadbalance,securitygroup等资源的状态，并负责调用相应的agent在networkprovider上执行相关操作，比如创建router。Neutron架构-NeutronServer（2）Neutron遵循openstack的设计原则，采用开放式架构，通过插件、代理与网络提供者的配合来实现各种网络功能插件是Neutron的一种API的后端实现，目的是增强扩展性。插件按照功能可分为coreplugin和service两种类型；由corepluginAPI和extensionpluginAPI去调用coreplugin提供基础二层虚拟网络支持，实现网络、子网和端口核心资源的支持serviceplugin提供coreplugin之外的功能，提供路由器、防火墙、安全组、负载均衡扽该服务支持Neutron架构-Core-plugin插件（1）Neutron可以通过开发不同的plugin和agent支持不同的网络技术，但是随着支持的networkprovider数量的增加，开发人员面临两个突出的问题：只能在OpenStack中使用一种coreplugin，多种networkprovider无法共存。只使用一个coreplugin本身没有问题。但问题在于传统的coreplugin与corepluginagent是一一对应的。也就是说，如果选择了linuxbridgeplugin，那么linuxbridgeagent将是唯一选择，就必须在OpenStack的所有节点上使用linuxbridge作为虚拟交换机（即networkprovider）。不同plugin之间存在大量重复代码，开发新的plugin工作量大。所有传统的coreplugin都需要编写大量重复和类似的数据库访问的代码，大大增加了plugin开发和维护的工作量。Neutron架构-Core-plugin插件（2）ModulerLayer2（ML2）：是Neutron在Havana版本实现的一个新的coreplugin，用于替代原有的linuxbridgeplugin和openvswitchplugin。作为新一代的coreplugin，提供了一个框架，允许在OpenStack网络中同时使用多种Layer2网络技术，不同的节点可以使用不同的网络实现机制。ML2对二层网络进行抽象和建模，引入了typedriver和mechansimdriver。这两类driver解耦了Neutron所支持的网络类型（type）与访问这些网络类型的机制（mechanism），其结果就是使得ML2具有非常好的弹性，易于扩展，能够灵活支持多种type和mechanism。Neutron架构-Core-plugin插件（3）TypeDriver：Neutron支持的每一种网络类型都有一个对应的ML2typedriver。typedriver负责维护网络类型的状态，执行验证，创建网络等。ML2支持的网络类型包括local,flat,vlan,vxlan和gre。MechansimDriver：Neutron支持的每一种网络机制都有一个对应的ML2mechansimdriver。mechanismdriver负责获取由typedriver维护的网络状态，并确保在相应的网络设备（物理或虚拟）上正确实现这些状态。Agent-based类型：包括linuxbridge,openvswitch等Controller-based类型：包括OpenDaylight,VMWareNSX等基于物理交换机：包括CiscoNexus,Arista,Mellanox等。Neutron架构-Core-plugin插件（4）CorePlugin/Agent负责管理核心实体：net,subnet和port。而对于更高级的网络服务，则由ServicePlugin/Agent管理。ServicePlugin及其Agent提供更丰富的扩展功能，包括路由，loadbalance，firewall等。DHCP：dhcpagent通过dnsmasq为instance提供dhcp服务。Routing：l3agent可以为project（租户）创建router，提供Neutronsubnet之间的路由服务。路由功能默认通过IPtables实现。Neutron架构-ServicePlugin/Agent（1）Firewall：l3agent可以在router上配置防火墙策略，提供网络安全防护。另一个与安全相关的功能是SecurityGroup，也是通过IPtables实现。Firewall与SecurityGroup的区别在于：Firewall安全策略位于router，保护的是某个project的所有network。