2. 程式人生 > >幾句話說清楚openstack的網絡問題

幾句話說清楚openstack的網絡問題

阿新 發佈:2018-06-26
互聯網絡 成了 vsc 限制 table 聯系 就會 需要 手動

openstack網絡概念術語比較多,從網絡所處的位置來講可以分為兩類: 一個是openstack各個物理節點(host)的物理網卡之間的互聯網絡。 一個是openstack 裏面的虛擬網絡世界(neutron),互聯用戶(tenant)的 虛機,這時候用到的術語一般是provider network(external network,public network), tenant network(private network,internal network)意思都差不多 。兩者都是neutron create的網絡,但是provider network創建的時候需要 指定provider physical network(關聯到host上的物理網絡),從而這部分網 絡是直接可以和外界聯系的。Private network則是虛機instance直接連接的 網絡,這個網絡保證虛機之間的通信,如果要和外部通信,通常經過一 個router連接到provider network segment上。 Provider physical network是事先在neutron plugin的配置文件裏指定的: /etc/neutron/plugins/ml2/openvswitch_agent.ini: bridge_mappings=extnet:br-ex. 比如這裏就指定一個可以在neutron create network時候使用的 provider phy network名叫extnet,它被mapping到host上的一個 br-ex open virtual switch. 這個br-ex需要自己手動創建, openstack不會幫助創建。創建的辦法可以 是使用ovs-vsctl命令創建,這種是not persistent的,也可以直接寫 ifcfg-br-ex文件來創建persistent的。這個br-ex需要手動添加host的物理網口 ,才能真正和外界的物理網絡聯系起來。方法也是用命令add port或者創建 ifcfg-eth*文件來實現。 一個instance通常掛在private network上,當然也可以增加一個網口直接 掛在provider network上,分配provider network的ip地址。 不管provider 還是internal network, 創建的時候都默認開啟dhcp 功能, 創建instance的時候就可以自動獲取該網段的ip. Instance創建的時候,在compute host上會對應每一個instance的網口創 建一個tap interface, 那麽這個tap interface之間以及和外部provider network 之間是如何聯系起來的?很關鍵的一個是openstack創建的br-int 這個integration bridge. 每個tap interface會被加到這個integration bridge, 所以tap interface之間的通信也就自然實現了。 而provider對應的br-ex又 會被patch port連接到這個br-int,所以虛機和外界通信的通道也建立起 來了(這個通道是為那些create了直接attach到provider network的port的 虛機準備的)。 因為 br-ex是直接連到物理網絡的,所以對應不同節點上的instance如果要 使用到這個br-ex對應的provider網絡,都需要手動建立br-ex ovs,並綁定物 理端口。 那不同節點上的instance之間如果都attach到同一個neutron create的internal network上,彼此之間又是如何通信的呢?顯然需要各個節點上的br-int能 夠互聯。這個互聯是通過vxlan對應的gre tunnel實現的。這個只需要 在neutron裏面配置tunnel的end ip就行了: /etc/neutron/plugins/ml2/openvswitch_agent.ini: local_ip=10.10.10.4 (10.10.10.4是本節點的eth*的ip). 在創建了虛機之後就會發現ovs-vsctl show出來有一個bridge br-tun並且生 成了tunnel。這個br-tun把不同的compute host聯系起來,而他自身又 被patch到br-int,自然就把不同host上的虛機給打通了。 另外provider network經常提到vlan 的概念,其實就是br-ex綁定的物理網 口上支持vlan, 從而也可以一個網口創建多個外部網絡。 neutron配置文件 加上: /etc/neutron/plugins/ml2/ml2_conf.ini:network_vlan_ranges=extent 就可以。在neutron中創建provider網絡的時候接可以指定vlan id了。上面 的extnet後面也可以跟一個vlan range,但是 不跟表示所有的。 在使用vlan的provider的時候,涉及到ovs 的openflow, 它的作用就是在 從internal network 的instance tap interface到外部網絡的時候,給對應的 流打上正確的vlan標簽。因為內部網絡的vlan是自動劃分的,和外部vlan 不能劃等號但是有對應關系(就是create instance的時候哪個網口連到哪 個外部網絡決定的對應關系),所以ovs上的openflow的規則就實現這個 內部vlan到外部vlan的轉換。 在創建虛機的時候會指定security group,它最終體現為host上的一系 列iptables的rules. Iptables -L可以看到。如果你只是實驗網絡不關心安全 又擔心這些規則有問題限制了一些通信,可以簡單的iptables -F臨時清空。

幾句話說清楚openstack的網絡問題

相關推薦

話說清楚openstack問題

互聯網絡 成了 vsc 限制 table 聯系 就會 需要 手動 openstack網絡概念術語比較多,從網絡所處的位置來講可以分為兩類: 一個是openstack各個物理節點(host)的物理網卡之間的互聯網絡。 一個是openstack 裏

闡述清楚log4j、slf4j、logback、tinylog之間的區別

1.早期,jdk不提供日誌功能,所以程式設計師要想輸出相關資訊,基本上都使用 System.out.println( ); 2.在這個背景下,一位偉大的程式設計師,暫且稱呼為 偉員, 設計了一套系統的日誌功能程式碼,也就是log4j,廣受程式設計師歡迎 3.在這之後,log4j表示jdk可以

搞懂URI、URL、URN之間的關系

source span tor strong 命名 ide 資源定位 定義 之間 1、URI,是uniform resource identifier,統一資源標識符,用來唯一的標識一個資源。 2、RL是uniform resource locator,統一資源定位器,它是

Python之禪中的--傳說中的蛇宗總綱

也不能 cit 美的 AC com utc 不能 beats 命名空間 Simple is better than complex. 簡潔勝於復雜。 Now is better than never. Although never is often better than

了解Zookeeper工作原理

思想 觀察者 返回結果 一輪 編號 設置 兩個 規範 創建 1、Zookeeper的角色 領導者(leader),負責進行投票的發起和決議,更新系統狀態。 學習者(learner),包括跟隨者(follower)和觀察者(observer),follower用於接受客戶端請

夠用一輩子的

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

聊聊我們公司的“加班文化”

今天週六,不出意外又加班了,閒來無事,分析一下我們的加班文化,純屬個人見解。 我們的加班有幾個特點: 1、師出無名,政策就是不分情況一律加班,可能個別模組確實緊急,需要加班趕進度,但是也有人手腳麻利,bug都已經清完了,也得一起加班。 2、在第1條的基礎下,我們的加班是長期持續性的“說好三年,過了三年又

讀懂動態規劃:動態規劃與數學歸納法

昨天晚上 今天凌晨在寫動態規劃的練習題 從兩點折騰到四點一連折騰了兩個小時有看了一會參考書還是沒有搞明白。 整什麼無向圖啊路徑啊一點也不新手友好。 但後來慢慢的看了看題目和原始碼,今天下午突然反應過來: 這不就是數學歸納法麼 跟大家分享一下。 首先,我們來回顧一下數學歸納法:

身為程式設計師的你是不是經常說這呢?

1.還不行嗎,你用的什麼瀏覽器,版本多少? 2.重啟試試,強刷試試,清快取試試,其它瀏覽器呢! 3.介面掛了吧,抓包了嗎? 4.在我電腦上是好的… 5.見鬼了,昨天還好好的 6.只改了一行程式碼,不會影響其它程式的。 7.剛剛那個bug,我這裡沒出現,不信你看….(其實自

總結核心中的鎖

原子操作(atomic):         通過在彙編操作碼字首加個lock(0xf0)來給記憶體總線上鎖(其他CPU無法訪問這個記憶體單元),直到這條指令完成。atomic_t型別為volatile int。 自旋鎖(spinlock/spinlock_irqsave):      

javascript 快速找出字串內指定字元的下標。

今天在和朋友討論如何快速找出字串內指定字元的下標 於是就出現了下面的寫法:  寫法1 var str ="this is javascript" var resault ={index:"",count:0}; while ( true ){ var index =

寫給未來的自己

今後在這裡每天記錄我的讀書筆記,怎樣的筆記才是好筆記了?筆記就是記錄自己學習的過程。好的筆記具備一定的參考價值,不好的記錄也是有意與我今後的學習和思考。 未來少說多做,腳踏實地的走。 下面是我自己寫給未來的十句話 1.求職過程中要自信,要準備好,要麼你做過這個行業,要

STM32中的最後面的意思

/* Uncomment the line below to expanse the “assert_param” macro in the Standard Peripheral Library drivers code */ /* #define USE

給年輕程式設計師的

我收到了不少新手的來信,他們都希望能成長為一名真正的程式設計師。我絕對不是第一個談論這個話題的人,所以,我不知道應該做哪方面的補充。不管怎樣,下面的是一些一直記在我心頭的、有必要讀一下的建議: 找其他開發人員合作開發。我們正處在科技歷史上第一個絕好的時代,你幾乎不用在意在

概括atl thunk技術

ATL的thunk技術過一段時間不看就忘記他是怎麼實現的,現在概括為幾句話,方便記憶. CreateWindow時,第一個callback是在同一個堆疊裡的,不是非同步的.所以可以得到視窗對應的類的this指標.後續的callback則是非同步的,得不到對應的視窗物件指標.怎麼辦呢,這時就用到thunk技術

openstack controller ha測試環境搭建記錄(十一)——配置neutron(節點)

efault delete none _for set ext ranges tar edr 在網絡節點配置內核參數:vi /etc/sysctl.confnet.ipv4.ip_forward=1net.ipv4.conf.all.rp_filter=0net.ipv4.

維安全告知勒索病毒愈演愈烈,但更可怕的僵屍還沒開始呢!

評論 get 專業 接受 pack nac 俄羅斯 域名系統 由於 6月27日,一種新型勒索病毒NotPetya席卷全球,其中包括切爾諾貝利核電站、印度最大的集裝箱貨港和一些美國醫院。就像上個月的WannaCry一樣,這個惡意軟件會對電腦裏所有的數據進行加密,並向用戶索取比

繞過010Editor驗證(用python做一個仿真http server真容易,就行代碼)

headers redirect 如果 table 本地 align cnn 破解版 resp 010Editor是一款非常強大的十六進制編輯器,尤其是它的模板功能在分析文件格式時相當好用!網上現在也有不少010Editor的破解版,如果沒錢或者舍不得花錢買授權的話,去官方

#19 子掩碼的由來,與種常見的協議

子網掩碼的由來 與幾種常見的網絡協議 子網掩碼: 對應的IP地址中,網絡位1,主機位0 IP地址和子網掩碼進行邏輯“與”運算,得到的結就是IP地址所對應的網絡地址; 主機(終端)使用子網掩碼的方式: 將本次通信的目標IP地址與本地IP地址所使用的子網掩碼進行邏輯“與”運算,同時

關於對《國家安全事件應急預案》的點認識

信息安全 6月27日,國家互聯網信息辦公室網站發布了一條信息,關於印發《國家網絡安全事件應急預案》的通知。頒布日期為今年的1月10日。信息安全無小事,尤其是在《網絡安全法》發布,國家互聯網網絡攻擊不斷的大背景下,這個文件的發布非常具有指導意義。下面就簡單將個人總結的幾個重要點提煉出來,和大家分享。一、事件分