openstack公有云須要放通的網絡平面

1、前言

openstack當下已成爲各大公有云廠商的首選，做者也在一個公有云廠商作外協（對，就是那個出摺疊屏手機的廠商），他家的網絡設備默認是作白名單（deny any），只容許指定放通的流量通過，生產環境中出於網絡安全的因素也不容許permit any any，本文就詳細說明他家的openstack公有云場放通哪些網絡平面及爲何要放通這些平面。咱們假設每一個服務器有4張網卡，管理和業務流量分開，eth0/eth1走管理流量，eth4/eth5走業務流量進行說明。

2、openstack的構成

openstack是一個雲操做系統，大致可分爲：控制節點，計算節點、網絡節點、存儲結點，生產環境中爲了不網絡節點成爲瓶頸都會開啓dvr功能（即東西走向的流量不會再通過網絡節點，南北走向的流量也只當vm在沒有fip的狀況下才會走網絡節點），上述架構能夠簡化爲下圖所示：

3、vm的建立過程

要了解放通vlan的準則，首先要了解一個vm在openstack中是如何生成的，每個vm稱爲一個實例，每個實例比如一臺電腦，一個電腦要能正常工做，除了有計算資源外還須要有操做系統、網絡、硬盤，這些功能在openstack中對應的經過nova、glance、neutron和cinder組建實現。下圖是簡化後的vm建立流程，詳細流程能夠參考做者其餘博文。簡化後虛擬機的建立流程爲：

1. 客戶端經過keystone認證後，發起vm建立請求；
2. nova-api接收到請求後，經過scheduler組件選擇一個承載vm的宿主機；
3. nova-compute組件提供vm所須要的計算功能，同時向glance、neutron、cinder組件的api發起請求，請求鏡像、網絡和存儲資源。至此，一個電腦所需的組件就已經具有齊全；
4. nova-conpute經過libvert聯繫提供hypervisor的計算節點主機（kvm、xen，vmware等）。

4、放通vlan說明

1.管理節點
管理節點使用eth0/eth1做爲管理接口，生產場景中操做系統由pxe進行安裝，安裝後的主機經過管理平面進行通訊，同時nova-conpute須要經過各組件的api請求資源，並對後端存儲進行管理，因此須要放通的vlan爲：
==eth0/eth1==
pvid：

• pxe #安裝操做系統；

vlan：

• om #主機間管理平面通訊，如nova-conpute向其餘組件api發起請求；
• api #此處的api是external-api，是用於第三方產品調用管理節點，如監控等；
• storage #管理節點管理後端存儲；
• vtep #他家的產品中須要建立2個管理虛擬機對物理主機和虛擬機進行管理，因此還須要放通vtep平面。

端口	放通vlan
eth0/eth1	pvid:pxe vlan:om/api/vtep/storage

2.計算節點
計算節點在上圖中表示爲hypervisor，是實際提供計算能力的主機，eth0/eth1做爲管理口，eth4/eth5做爲業務口，放通的vlan爲：
==eth0/eth1==
pvid：

• pxe #安裝操做系統；

vlan:

• om #主機間管理平面通訊；
• storage #vm實際存儲在後端存儲中，須要計算節點可以訪問存儲節點。

==eth4/eth5==
vlan:

• vtep #計算節點之間創建的vxlan隧道，用於不一樣宿主機上vm間的通訊；
• fip #爲計算節點內部的vm提供dnat功能，可讓用戶經過internet訪問（eip轉換成fip）。

端口	放通vlan
eth0/eth1	pvid:pxe vlan:om/storage
eth4/eth5	vlan:vtep/fip

3.存儲節點
存儲節點使用eth0/eth1做爲管理業務口，放通的vlan爲：
==eth0/eth1==
pvid：

• om #安裝操做系統及管理流量，此處沒有爲pxe單獨劃分一個vlan，pxe使用的是om平面的vlan；

vlan：

• storage #存儲節點的業務平面。

端口	放通vlan
eth0/eth1	pvid:om vlan:storage

以上就是openstack公有云場景下須要放通的網絡平面。