絕不能錯過的10款最新OpenStack網路運維&監控工具
摘要
今天我們要推薦給大家的是關於奧斯汀OpenStack Summit的OpenStack網路方面功能與工具相關的技術演講。
希望可以幫助國內的開發者、架構師和使用者更好地瞭解OpenStack在SDN網路領域的最新發展。
功能與工具篇的視訊目錄:
- Tap-As-A-Service What You Need to Know Now
- Skydive, Real-Time Network Topology and Protocol Analyzer
- Neutron DSCP Policing your Network
- Troubleshoot Cloud Networking Like a Pro
- Load Balancing as a Service, Mitaka and Beyond
- Tired of Iptables Based Security Groups? Here s How to Gain Trem
- Integration of Neutron, Nova and Designate: How to Use It and How to Configure It
- SNAT High Availability Service in Neutron for Distributed Virtual Routers
- Virtual Routers on Compute Nodes: A (Not So) Irrational Decision?
- F5 Networks – Technically Speaking..Are You in or Are You Out?
說明:
本文所介紹的相關講座在YouTube均有完整視訊,詳見:
接下來,我們就一起來聊聊這些視訊:
1. Tap-As-A-Service What You Need to Know Now
評分:★★★☆
簡介: Tap-As-A-Service 目前的主要用途在監控上,這個Presentation 介紹了 Tap-As-A-Service 的架構、作用、使用方法,做了一個 Demo 演示。
評論: TAAS 目前已經有了OVS的實現和CLI,基本設計是兩個概念,Tap Service、Tap Flow,前者代表要監控的 Port,後者代表具體的 。
Overlay 網路的監控確實是剛需,但是目前基於OVSPortMirror的設計是否可靠,是否能適應大規模的Scale,還沒有相關測試,猜測還有一段路要走。
監控虛擬機器流量對系統管理員還是太過簡單,畢竟自己用命令也可以做,關鍵是將來能否能在其上實現一套流量監控、分析之類的系統,這樣才能比較完整的滿足系統管理員、運維的需求。
2. Skydive, Real-Time Network Topology and Protocol Analyzer
評分:★★★★
簡介:如上所述,我們缺乏一個好用的開源Overlay網路監控、運維工具,於是 RedHat 的開發者開發了Skydive這個工具,功能簡潔、WebUI酷炫,做了一個 Demo,大概就是這樣。
評論:如果能真的解決 Overlay 網路的監控運維那真是所有 OpenStack Overlay 網路使用者的大福音。
目前 OVS 組網運維基本靠手,很麻煩,傳統的監控工具如 Zabbix 完全不適用,靠譜的只有額外購買工具(例如 BigSwitch 的解決方案、Gigamon 的解決方案)。
Skydive 就是來填補這一空白的,自動掃描 Linux 網路和 OVS,自動展現拓撲還可以抓包,通過整合 ElasticSearch,你還可以比較清楚的看到報文在哪裡丟掉了。
這個專案筆者很久以前就關注過,最重要的的問題是,目前沒有做過 Performance 和 Scale 的測試,要知道大型的 OpenStack 雲目前已經有成百上千個 Namespace 和 Port。
包量可能有上兆的 PPS,節點數量可能也是成百上千,如果效能和 Scale 達不到的話,那就成為小實驗室的玩具了。
3. Neutron DSCP Policing your Network
評分:★★★★
簡介: Neutron QoS的最新進展、實現、和實現上遇到的挑戰與解決方案。
評論: Neutron QoS進展不快是事實,但是令人欣慰的是畢竟一直還有進展。
這場 Session 介紹了一些人比較關心的 QoS 中 DSCP 的功能:
首先介紹了 DSCP 是什麼?
然後介紹了在 OpenStack 中如何使用,如何在 OVS 中被實現。
遇到的挑戰主要有以下幾個:
- 一個是下面介紹的為了解決 L2 Agent 重啟的問題。
每個 Flow 增加了 cookie,QoS 需要保證其規則在重啟時不被刷掉,解決方案時 Agent Extension 獲得自己的 cookie 值,自己維護。
- 另一個是 Feature 的隔離。
目前我們在 L2 Agent 上可能實現了很多功能,例如安全組、Vlan、QoS,都通過 OVS Flow 實現,那麼如何保障這些 Flow 可以正常同時工作,或者其中一些功能關閉時保證開啟的功能正常工作?
解決方案是 table 0 會給 packet 的 metadata field 打 0,然後送到 feature table 上,feature table 處理完把相關的 metadata field 打非 0,然後送回,有點像一個小 SFC 似的。
- 最後一個問題是 Server、Agent的RPC版本不同步的問題,解決方案是後面會提到的 OVO。 下一步的Roadmap是實現ECN、最小頻寬保障、進流量限制等等。
4. Troubles hoot Cloud Networking Like a Pro
評分:★★★☆
簡介:幾個印度哥們講的如何給 OpenStack 網路做 Trouble shoot。
評論: 關鍵詞是 ip, brctl, ovs-*, netstat, iptables, arping, ping, tcpdump,然後掌握好架構圖和 IO 路徑。
如果你確實需要的話,可以參考他們寫的PDF:
文末提到了一個 check.sh 的神祕指令碼,遺憾的是筆者並沒有找到這個指令碼,當然其實你也可以自己參考其輸出寫一個,然後貢獻到 OpenStack/Steth 專案裡。
5. Load Balancing as a Service, Mitaka and Beyond
評分:★★★☆
簡介:介紹 LBaaS 專案的進展和未來。
評論: 前面先花了很長時間介紹 Dashboard 的改進,然後 LBaaS 的改進總結起來就是支援了 7 層!然後 Octiva 支援了 A/S HA,支援了一些安全的改進、映象更新更加容易、證書自動獲取等等。
Octiva 的路線圖:
整個介紹中規中矩,算是一個例行對外發佈會吧。
6. Tired of Iptables Based Security Groups? Here s How to Gain Trem
評分:★★★★
簡介:介紹了新的 OVS 實現的安全組。
評論: 安全組其實是個比較簡單的基本功能,之前基於 iptables 實現,問題是虛擬網路拓撲比較複雜,效能一般。
另外就是功能也有限,這個演講提出 Firewall 發展的三級:
第一級是實現基本的 ACL
第二級是實現狀態防火牆
第三級是實現完整的 OSI 防火牆,可以做 DPI。
那麼防火牆能否用 OVS 實現呢?第一級很好做,第二級的關鍵問題是實現狀態。如何實現狀態?一種思路是用 openflow 中的 learn 動作,記錄送出去的流量,效果不錯,但流表不好看:
另一個思路是通過 conntrack 記錄狀態,在 OVS 流表中增加 cs_state 欄位,效能有提升,但遠不如 learn 的實現:
大家都比較鬱悶 conntrack 實現的效能提升有限,所以下一步會將 conntrack 移到使用者態提升效能,以及提升測試和易用性等等工作。
7. Integration of Neutron, Nova and Designate: How to Use It and How to Configure It
評分:★★★☆
簡介:如何使用 Nova、Neutron、Designate 來完成虛擬機器的 DNS name 的自動設定、DNS 記錄自動新增以及整合外部 DNS(Designate)。
根據 User Survey 的資料,DNS 是很多使用者關心的一個問題,根據我們的客戶經驗也確實如此.
簡單的來說,內部 DNS 使用網路(net)資源裡的 dns_domain 屬性設定 domain name,然後根據 nova 裡虛擬機的名字(host name)來設定 dns name,這個 DNS 由 Neutron 裡子網的 DHCP 伺服器,dnsmasq 實現,所以要確保 Neutron 子網的 dns_nameservers 屬性正確,使虛擬機器能用正確的 DNS nameserver。
另一件事情就是與外部系統整合,這個就需要 Designate 專案的支援,目前 Designate 支援 Bind、Power DNS 這些開源 DNS 軟體,也支援 Akamai、DynECT、Infoblox 這些外部 DNS 系統,也是蠻強大的,當然對於國內使用者來說,可能 DNSPod 來的更實在一些。
目前外部 DNS 有幾種 Use case,包括:
建立 Port 時把 Port 的 DNS 資訊推送到外部 DNS 系統
建立 Flaoting IP 時把 Port 的 DNS 資訊推送出去
建立 Floating IP時把Floating IP的DNS資訊推送出去。
詳細過程看文件或者視訊吧。
8. SNAT High Availability Service in Neutron for Distributed Virtual Routers
評分:★★★
簡介:介紹了 DVR 場景下 SNAT Router 的高可用功能。
評論: 簡單的說就是把過去 L3 HA 的功能移到 DVR SNAT Router 上了,過去 DVR 與 L3 HA 不能共存的問題終於得到了解決。
未來有一些計劃,例如更高效的控制平面、支援 BGP 等等。
9. Virtual Routers on Compute Nodes: A (Not So) Irrational Decision?
評分:★★★
簡介:介紹了 TWC 公司在沒有 DVR 時是怎麼設計 OpenStack 架構的。
評論:簡單的說就是把 L3 Agent 混布在所有計算節點上,他們管這個架構叫 VR-D,醉了……
10. F5 Networks – Technically Speaking..Are You in or Are You Out?
評分:★★★★
簡介:很短的贊助演講,但是內容不少,包括 F5 與 OpenStack 的 Roadmap、目前的實現、Demo 等。
評論:最有價值的可能是這個 Roadmap 吧,但願 F5 能按時完成。
說明:
本文所介紹的相關講座在YouTube均有完整視訊,詳見:
文章來源:本文作者為UnitedStack有云SDN網路部PTL 王為。
文章出處:高效運維微信公眾號