OpenStack网络管理-neutron

物理网络与虚拟网络区别

Switch：物理交换机
vSwitch：虚拟交换机
NIC：网络接口卡、网络适配器、网卡
vNIC：虚拟网卡

Linux网络虚拟化技术

网卡虚拟化：
TAP
TUN
VETH PAIR

交换机虚拟化：
linux bridge
open vswitch

网络隔离：
network namespace

Linux网卡虚拟化TAP/TUN/VETH

TAP设备：模拟一个二层的网络设备，可以接收和发送二层网包
TUN设备：模拟一个三层的网络设备，可以接收和发送三层网包
VETH：虚拟ethernet接口，通常以pair的方式出现，一端发出的网包，会被另一端接收，可以形成两个
网桥之间的通道

Linux bridge

Linux bridge：工作于二层的网络设备，功能类似于物理交换机
Bridge可以绑定Linux上的其他网络设备，并将这些设备虚拟化为端口
当一个设备被绑定到bridge时，就相当于物理交换机端口插入了一条连接着终端的网线

OVS

Open vSwitch是产品级的虚拟交换机
Linux bridge更适用于小规模，主机内部间通信场景
Open vSwitch更适合于大规模、多主机间通信场景

Neutron功能概述

Neutron 为整个 OpenStack 环境提供网络支持，包括二层交换，三层路由，负载均衡，防火墙和 VPN
等。Neutron 提供了一个灵活的框架，通过配置，无论是开源还是商业软件都可以被用来实现这些功
能。

Neutron网络基本概念

network

network 是一个隔离的二层广播域。Neutron 支持多种类型的 network，包括 local, flat, VLAN, VxLAN
和 GRE。

local

local 网络与其他网络和节点隔离。local 网络中的 instance 只能与位于同一节点上同一网络的 instance
通信，local 网络主要用于单机测试。

flat

flat 网络是无 vlan tagging 的网络。flat 网络中的 instance 能与位于同一网络的 instance 通信，并且可
以跨多个节点。

vlan

vlan 网络是具有 802.1q tagging 的网络。vlan 是一个二层的广播域，同一 vlan 中的 instance 可以通
信，不同 vlan 只能通过 router 通信。vlan 网络可跨节点，是应用最广泛的网络类型。

vxlan

vxlan 是基于隧道技术的 overlay 网络。vxlan 网络通过唯一的 segmentation ID（也叫 VNI）与其他
vxlan 网络区分。vxlan 中数据包会通过 VNI 封装成 UDP 包进行传输。因为二层的包通过封装在三层传
输，能够克服 vlan 和物理网络基础设施的限制。

gre

gre 是与 vxlan 类似的一种 overlay 网络。主要区别在于使用 IP 包而非 UDP 进行封装。

subnet

subnet 是一个 IPv4 或者 IPv6 地址段。instance 的 IP 从 subnet 中分配。每个 subnet 需要定义 IP 地址
的范围和掩码。

port

port 可以看做虚拟交换机上的一个端口。port 上定义了 MAC 地址和 IP 地址，当 instance 的虚拟网卡
VIF（Virtual Interface） 绑定到 port 时，port 会将 MAC 和 IP 分配给 VIF。

Neutron架构

Neutron 由如下组件构成：

Neutron Server

对外提供 OpenStack 网络 API，接收请求，并调用 Plugin 处理请求。

Plugin

处理 Neutron Server 发来的请求，维护 OpenStack 逻辑网络状态， 并调用 Agent 处理请求。

Agent

处理 Plugin 的请求，负责在 network provider 上真正实现各种网络功能。

network provider

提供网络服务的虚拟或物理网络设备，例如 Linux Bridge，Open vSwitch 或者其他支持 Neutron 的物
理交换机。

Queue

Neutron Server，Plugin 和 Agent 之间通过 Messaging Queue 通信和调用。

Database

存放 OpenStack 的网络状态信息，包括 Network, Subnet, Port, Router 等。