5005人阅读
对于openstack中为什么要用VLAN和GRE的原因，这里算是解惑了：
“对于网络隔离，可以采用传统的基于 802.1Q 协议的 VLAN 技术，但这受限于 VLAN ID 大小范围的限制，
并且需要手动地在各物理交换机上配置 VLAN；也可以采用虚拟交换机软件，如 Openvswitch，它可以
自动创建 GRE 隧道来避免手动去为物理交换机配置 VLAN。”
GRE的本质：
GRE 是 L3 层的遂道技术，本质是在遂道的两端的 L4 层建立 UDP 连接传输重新包装的 L3 层包头，在目的地再取出包装后的包头进行解析。&
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：100294次
积分：1394
积分：1394
排名：千里之外
原创：36篇
评论：30条
(1)(1)(3)(3)(1)(3)(1)(2)(2)(1)(1)(1)(3)(2)(3)(3)(3)(4)(2)(2)OpenStack计算节点上虚拟网络（Neutron）详解 - 推酷
OpenStack计算节点上虚拟网络（Neutron）详解
下面是部分源自我实习期间的调研报告，本作品采用
进行许可，转载前请先联系作者（
下面我们以这样一个场景来解释Open vSwitch如何在Neutron（OpenStack发挥作用），假定读者实践过前文第二章“Neutron与其他OpenStack模块安装 ”（暂未公开~不过基本类似于前边的
），或对OpenStack有一定认识，最好实践过官方OpenStack安装手册的内容。
场景（一个租户，两个网络，一个路由，内部网络使用GRE，Libvirt VIF Driver使用LibvirtHybridOVSBridgeDriver）：
场景一虚拟网络拓扑
Figure 11 场景一虚拟网络拓扑
如图我们有一个外网（External Network），IP段为172.16.0.0/16，两个内网，分别是Internal：10.18.0.0/24，和Internal2：10.22.22.0/24，值得注意的是这是两个网络（network），而不是子网（subnet）。
在这个场景下，计算节点的内部应当是这样的：
计算节点网络连接原理
下面我将解释如何得到这幅图。首先我们看下我们的虚拟机在libvirt的名称，通过 nova show 命令我们大概可以获得像这样输出（截取前半部分）：
+--------------------------------------+-------------------------------
| Property&&&&&&&&&&&&&&&&&&&&&&&&&&&& | Value&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& |
+--------------------------------------+-------------------------------
| Internal network&&&&&&&&&&&&&&&&&&&& | 10.18.0.3, 172.16.19.232&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&|
| OS-DCF:diskConfig&&&&&&&&&&&&&&&&&&& | MANUAL&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& |
| OS-EXT-AZ:availability_zone&&&&&&&&& | nova&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& |
| OS-EXT-SRV-ATTR:host&&&&&&&&&&&&&&&& | compute1&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& |
| OS-EXT-SRV-ATTR:hypervisor_hostname& | compute1&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& |
| OS-EXT-SRV-ATTR:instance_name&&&&&&& | instance-0000001e&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&&&&&|
我们看到这台虚拟机被部署在compute1节点上，instance_name为instance-0000001e，我们上compute1节点使用virsh dumpxml将instance-0000001e的信息打印出来（截取网络相关）：
&&& &interface type='bridge'&&mac address='fa:16:3e:e9:26:5a'/& &source bridge='qbr48e06cd2-60'/& &target dev='tap48e06cd2-60'/& &model type='virtio'/& &alias name='net0'/& &address type='pci' domain='0x0000' bus='0x00' slot='0x03' function='0x0'/& &/interface&
在这里我们看到这台虚拟机的网络设备是tap48e06cd2-60，而且似乎连到了qbr48e06cd2-60上，让我们用brctl show再看下（截取相关部分）：
qbr48e06cd2-60&&&&&& 8000.bed no&&&& qvb48e06cd2-60tap48e06cd2-60
看到这里网桥qbr48e06cd2-60上接了两个接口，qvb48e06cd2-60和tap48e06cd2-60，其中的tap设备是我们虚拟机使用的虚拟网络设备，那qvb48e06cd2-60是什么？我们先用lshw –class network把所有网络设备打印出来（截取相关部分）：
& *-network:5description: Ethernet interface physical id: 7 logical name: qvb48e06cd2-60 serial: be:d5:53:6f:f3:12 size: 10Gbit/s capabilities: ethernet physical configuration: autonegotiation=off broadcast=yes driver=veth driverversion=1.0 duplex=full firmware=N/A link=yes multicast=yes port=twisted pair promiscuous=yes speed=10Gbit/s
我们注意到这里显示这个设备的driver是veth，而veth总是成对出现的，我们用ethtool -S 看下这个veth的另一端连到了那里：
# ethtool -S qvb48e06cd2-60NIC statistics: peer_ifindex: 16
OK，看下16号是哪个设备，ip link（截取相关部分）：
16: qvo48e06cd2-60: &BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP& mtu 1500 qdisc pfifo_fast state UP qlen 1000link/ether aa:c0:0f:d2:e2:43 brd ff:ff:ff:ff:ff:ff
通过上面两个步骤我们已经知道了这对从虚拟机的网络设备到veth pair这个流程，这个过程在官方文档中针对不同的 Libvirt VIF Driver有不同的简单的描述，见
下面应该是连到Open vSwitch上吧，让我们验证下：
# ovs-vsctl show
2-4214-acdf-da4
Bridge br-int
Port br-int
Interface br-int
type: internal
Port patch-tun
Interface patch-tun
type: patch
options: {peer=patch-int}
Port &qvo48e06cd2-60&
Interface &qvo48e06cd2-60&
Port &qvodfdc29e2-9a&
Interface &qvodfdc29e2-9a&
Port &qvo18cec000-80&
Interface &qvo18cec000-80&
Port &qvob86d15f1-8f&
Interface &qvob86d15f1-8f&
Bridge br-tun
Port br-tun
Interface br-tun
type: internal
Port patch-int
Interface patch-int
type: patch
options: {peer=patch-tun}
Port &gre-1&
Interface &gre-1&
options: {in_key=flow, local_ip=&192.168.10.11&, out_key=flow, remote_ip=&192.168.10.10&}
ovs_version: &1.11.0&
果然qvo48e06cd2-60是连到了br-int上， OpenStack采用这么复杂的机制，而不是把tap设备直接连到Open vSwitch上，这与安全组有关，将在3.2.4基于iptables的Security Group介绍。
在研究到OVS内部前，我们先注意下在poty “qvo48e06cd2-60”下有一个“tag: 1”，这个tag是Open vSwitch用来区分不同子网的。在这里，tag1表示我们的10.18.0.0/24子网，tag2表示10.22.22.0/24子网。
br-int和br-tun通过patch连接，在官方文档上patch的介绍并不多，但一旦两个OVS网桥通过网桥连接，这两个网桥将近乎为同一个网桥，参考资料见：
首先看下bt-int的流表规则：
# ovs-ofctl dump-flows br-intNXST_FLOW reply (xid=0&4):
cookie=0&0, duration=s, table=0, n_packets=702, n_bytes=78521, idle_age=1324, hard_age=65534, priority=1 actions=NORMAL
只有一个NORMAL的动作，在Open vSwitch的官方文档里解释为将包以传统的，非OpenFlow的方式进行交换，也就是说效果和没设置OpenFlow规则一样（见
）。那么我们分析br-tun的流表规则，首先在计算节点上用ovs-ofctl dump-ports-desc查看br-tun上所有接口：
OFPST_PORT_DESC reply (xid=0x2):1(patch-int): addr:ea:a2:71:f5:9f:ad config:&&&& 0 state:&&&&& 0 speed: 0 Mbps now, 0 Mbps max 2(gre-1): addr:d6:89:b0:03:d2:72 config:&&&& 0 state:&&&&& 0 speed: 0 Mbps now, 0 Mbps max LOCAL(br-tun): addr:9a:49:9a:35:d1:4e config:&&&& 0 state:&&&&& 0 speed: 0 Mbps now, 0 Mbps max
然后用ovs-ofctl dump-flows或者EasyOVS查看br-tun的流表规则（这里使用EasyOVS使排版相对好看）：
ID TAB PKT&&&&&& PRI&& MATCH&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& ACT
0& 0&& 339&&&&&& 1&&&& in=1&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& resubmit(,1)
1& 0&& 285&&&&&& 1&&&& in=2&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& resubmit(,2)
2& 0&& 3&&&&&&&& 0&&&& *&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &drop
3& 1&& 216&&&&&& 0&&&& dl_dst=00:00:00:00:00:00/01:00:00:00:00:00&&&&&&&&&&&&& resubmit(,20)
4& 1&& 123&&&&&& 0&&&& dl_dst=01:00:00:00:00:00/01:00:00:00:00:00&&&&&&&&&&&&& resubmit(,21)
5& 10& 363&&&&&& 1&&&& *&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& learn(table=20,hard_timeout=300,priority=1,NXM_OF_VLAN_TCI[0..11],NXM_OF_ETH_DST[]=NXM_OF_ETH_SRC[],load:0-&NXM_OF_VLAN_TCI[],load:NXM_NX_TUN_ID[]-&NXM_NX_TUN_ID[],output:NXM_OF_IN_PORT[]),output:1
6& 2&& 341&&&&&& 1&&&& tun_id=0x2&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&mod_vlan_vid:1,resubmit(,10)
7& 2&& 17&&&&&&& 1&&&& tun_id=0x3&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& mod_vlan_vid:2,resubmit(,10)
8& 2&& 3&&&&&&&& 0&&&& *&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& drop
9& 20& 0&&&&&&&& 0&&&& *&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& resubmit(,21)
10 21& 3&&&&&&&& 1&&&& vlan=2&&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&strip_vlan,set_tunnel:0x3,output:2
11 21& 16&&&&&&& 1&&&& vlan=1&&&&&&&&&&&&&&&& &&&&&&&&&&&&&&&&&&&&&&&&&strip_vlan,set_tunnel:0x2,output:2
12 21& 4&&&&&&&& 0&&&& *&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &drop
13 3&& 0&&&&&&&& 0&&&& *&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&drop
这里为了好看只显示了ID、表名、计数器、匹配规则和行为。先看这几条流：0、3、4、9、10、11、12，这些流定义了从br-int进入的包的行为，逐条从上往下看：
0. 表0：当匹配到从port 1（patch-int）进入的包时，提交给表1继续匹配；3. 表1：当目标MAC地址为单播地址时，提交给表20继续匹配；
4. 表1：当目标MAC地址为多播/广播地址时，提交给表21继续匹配；、
9. 表20：提交给21继续匹配（这个表并非只是转发，当OVS根据表10动态建立自动学习的规则时，会添加到表20，比如下面这条流表规则是自动建立的目标MAC地址为路由的规则：“cookie = 0&0, duration = 11.099s, table = 20, n_packets = 45, n_bytes = 6132, hard_timeout = 300, idle_age = 3, hard_age = 2, priority = 1,vlan_tci = 0&fff,dl_dst = fa:16:3e:a1:3f:19 actions = load:0 -& NXM_OF_VLAN_TCI[], load:0&2 -& NXM_NX_TUN_ID[], output:2”）；
10. 表21：当目标VLan标签为2时，剥去VLan标签，然后将Tunnel Key设置为3（GRE通道的Key，详见
的相关描述）并从port 2（gre-1）发出去；
11. 表21：当目标VLan标签为1时，剥去VLan标签，然后将Tunnel Key设置为2并从port 2（gre-1）发出去；
12. 表21：对没成功匹配的包，丢弃。
再看1、6、7、5，这几个流定义了来自GRE通道（Network节点）的包的行为：
1. 表0：当匹配到从port 2（gre-1）进入的包时，提交给表2继续匹配；6. 表2：当Tunnel Key为2时，添加VLan tag 1，提交给表10继续匹配；
7. 表2：当Tunnel Key为3时，添加VLan tag 2，提交给表10继续匹配；
5. 表10：首先从报文中学习VLan、MAC等信息并把规则添加表20，然后再从port 1（patch-int）发出去。
至此，计算节点的网络分析已经基本完成。后面到网络节点的连接等主要涉及到3层路由，暂且不表。
已发表评论数()
请填写推刊名
描述不能大于100个字符!
权限设置： 公开
仅自己可见
正文不准确
标题不准确
排版有问题
主题不准确
没有分页内容
图片无法显示
视频无法显示
与原文不一致您所在的位置： &
OpenStack网络技术点概述
OpenStack网络技术点概述
beginning1126
beginning1126的博客
openstack网络体系中，网络技术没有创新，但用到的技术点非常庞杂，包括bridge、vlan、gre、vxlan、ovs、openflow、sdn、iptables等，当然这里不会做具体技术介绍，概述技术，主要将其与openstack的结合点做详细分析。
openstack网络架构（nova-network/neutron）
openstack网络体系中，网络技术没有创新，但用到的技术点非常庞杂，包括bridge、vlan、gre、vxlan、ovs、openflow、sdn、iptables等，当然这里不会做具体技术介绍，概述技术，主要将其与openstack的结合点做详细分析。
nova-network网络架构
在nova-network中，其网络模型包括flat、dhcp flat、vlan，用到的技术主要有bridge、vlan，
dhcp flat多网络节点架构图如下所示：
498)this.width=498;' onmousewheel = 'javascript:return big(this)' width="482" height="360" alt="" src="http://img.blog.csdn.net/57599" />
优点：结构简单，稳定
缺点：所有租户都在一个水平面上，租户之间没有隔离，由于所有租户都在一个子网内，当大规模部署后，其广播风暴将会是不小的负面因素，至于这种模型其vm的上限，笔者还没有条件测试。
vlan架构如下所示：
498)this.width=498;' onmousewheel = 'javascript:return big(this)' width="468" height="231" alt="" src="http://img.blog.csdn.net/59562" />
为租户创建独占的bridge
创建vlan接口vlan100，依据802.1q协议打vlanid
Dnsmasq监听网桥网关，负责fixedip的分配
switch port设定为chunk mode
eth0负责vm之间的数据通信，eth1负责外网访问
vlan模型：
优点：租户有隔离
缺点：需要物理交换机chunk口的支持，实际部署时比较复杂，vlan id个数为4094个，也就是最多4094个子网租户，不适用于公有云。
结论：相比于neutron网络，虽说没有neutron那么多的功能插件，仅有bridge，但是其稳定性已得到大多数用户的验证，对于小规模的私有云(1千台虚机的规模)，nova-network是可以考虑的，目前线上部署的环境也是nova-network。
neutron网络架构
neutron网络体系相比于nova-network要复杂的多，用到的技术点也非常庞杂，在介绍网络架构之前，有必要概述下gre、vxlan、ovs、openflow、sdn技术点。
上面阐述过，vlan技术存在vlan id个数限制4094，公有云租户肯定不止4094，二层技术，只能部署在一个局域网内，无法实现跨机房部署。为了突破这俩个限制，增加了gre和vxlan隧道技术。
跨机房部署：3层隧道技术，在原来小网ip头前面加入大网ip头和gre头，大网ip头里面的ip是公网ip；
segment id：而gre头里面最重要的字段应该是4字节key值（segment id），充当了vlan技术里面的vlan id，隔离租户的作用，由于是4个字节，已经不受4094 vlan id限制。下图是gre典型应用vpn。
498)this.width=498;' onmousewheel = 'javascript:return big(this)' width="460" height="167" alt="" src="http://img.blog.csdn.net/37616" />
当然gre也有其缺点，
gre是点对点技术，每两个点之间都需要有一个隧道，对于4层的端口资源是一种浪费；
增加ip头，势必减少vm的mtu值，同样大小的数据，需要更多的ip包来传，传输效率有影响。
针对vlan和gre的第一个缺点，业界提出了vxlan技术，下图分别是vxlan头结构和通信流程。
498)this.width=498;' onmousewheel = 'javascript:return big(this)' width="457" height="290" alt="" src="http://img.blog.csdn.net/41599" />
498)this.width=498;' onmousewheel = 'javascript:return big(this)' width="473" height="301" alt="" src="http://img.blog.csdn.net/18406" />
24bit的VNID：vxlan技术在原有mac帧基础上增加了新的mac头、ip头、vxlan header，在vxlan header中，VNID相当于vlan id，24bit，16M的大小，远大于4094.
大 二层网络，实现跨机房部署：在通信两端增加了VTEP设备，可以硬件设备，也可以软件实现，当然在neutron网络中，其是由软件实现的。该设备记录 vlan id、vm mac、vtep
ip的对应关系，这个关系是由vm发起arp请求获取到的。在vxlan网络中有个组播地址，所有vtep设备都需要加入该组播地址，vtep将arp的 广播请求增加组播ip头转变为组播请求，一旦一个vm发起arp请求，所有vtep都能收到，vtep在将组播ip头去掉，将原始广播包发给vm，这样不 同vm之间将建立起arp表。vxlan网络为所有vm建立一个大2层网络。
能让遗留子网不改变 IP 地址的情况下无缝的迁移到云上来；也可以让虚机跨数据中心进行迁移（以前顶多只能在同一个 VLAN 里迁移）
关 于跨机房vxlan互通：前述通过组播消息实现arp的传输，但是在广域网上，组播包传输是受限制的，目前业界通常的解决方案是通过SDN
controller，SDN controller兼做arp代理，并获取vm内层mac和外层VTEP
ip对应关系，不同controller之间交换这些信息。
gre解决了vlan id个数限制和跨机房互通问题；
vxlan解决了vlan id个数限制和跨机房互通问题，同时解决了gre点对点隧道个数过多问题，同时实现了大2层网络，可用于vm在机房之间的的无缝迁移。
498)this.width=498;' onmousewheel = 'javascript:return big(this)' width="397" height="277" alt="" src="http://img.blog.csdn.net/59718" />
openflow主要分为controller和flow
table，并且其通信遵循openflow协议。增加了controller点，openflow switch仅仅根据flow
table设定好的规则对数据做路由或丢弃等操作，而整个系统的大脑部分在controller，所有flow
table的路由规则、处理方法都是从controller得到。
Openflow的优点：
控制逻辑和物理交换网络相分离；
物理网络分割成相互独立的逻辑网络
Openflow问题：
和现有物理网络相冲突，很难实际应用
实验室截取的流表实例：
498)this.width=498;' onmousewheel = 'javascript:return big(this)' width="387" height="233" alt="" src="http://img.blog.csdn.net/53949" />
498)this.width=498;' onmousewheel = 'javascript:return big(this)' width="375" height="258" alt="" src="http://img.blog.csdn.net/09578" />
相比于Linux bridge，ovs有以下好处
Qos配置，可以为每台vm配置不同的速度和带宽
数据包分析
将openflow引入到ovs中，实现控制逻辑和物理交换网络分离。
到此为止，关于gre、vxlan、openflow、ovs基本情况基本介绍完了，下面将是应用这些技术介绍neutron网络架构体系。
在neutron体系中，应用最多的两个插件就是Linux bridge和ovs，笔者在实验室分别搭建过Linux bridge+vxlan和ovs+vxlan。下面分别是从官网上截取的网络结构图，官网给出的是vlan的情况，其实和vxlan区别不大。
原文出自：
【编辑推荐】
【责任编辑： TEL：（010）】
关于&&&&&&的更多文章
金秋九月，是收获的季节，同样也是IT厂商展示技术成果、共享心得
180天的Windows Server 2012试用版下载（标准版或数据中心版）
讲师： 9人学习过讲师： 888人学习过讲师： 747人学习过
Windows Server 2012是微软公司改良研发中的下一代服
在36小时的应用马拉松中，微软安排了各类互动环节以鼓
2月28日下午，微软在中国正式发布Office 365企业版，
以Linux为代表的自由软件及其稳定性，逐渐在全世界崭露头角且备受重视。由于可以支持多种网络环境，因此在采用Linux系统之前，必
51CTO旗下网站Openstack平台neutron模块之网络基础概念
Openstack平台neutron模块之网络基础概念
因为项目需要，最近开始学习openstack，主要负责其中的网络模块–neutron，接下来会写几篇文章来记录在学习过程中的收获。所以这里第一篇就先介绍一下neutron中所涉及到的一些基本的网络概念。
一，组网技术
1，Flat（DHCP）技术：openstack中最简单的网络模型，所有的虚拟机共用一个私有IP段，相当于大家都处于一个局域网中，IP地址在虚拟机启动时完成注入。Flat DHCP组网模式与Flat的区别就在于其开启了DHCP功能，虚拟机通过DHCP消息获得IP地址（DHCP Agent）。
2，VLAN技术：VLAN是一种将局域网（LAN）设备从逻辑上划分（注意，不是从物理上划分）成一个个网段（或者说是更小的局域网LAN），从而实现虚拟工作组（单元）的数据交换技术。VLAN技术的好处主要有三个：
(1)端口的分隔。即便在同一个交换机上，处于不同VLAN的端口也是不能通信的。这样一个物理的交换机可以当作多个逻辑的交换机使用。
(2)网络的安全。不同VLAN不能直接通信，杜绝了广播信息的不安全性。
(3)灵活的管理。更改用户所属的网络不必换端口和连线，只更改软件配置就可以了。
在openstack中使用VLAN技术引入了多租户机制，虚拟机可以使用不同的私有IP段，并且一个租户可以拥有多个IP段，以实现不同租户的网络隔离。但是，如果不同租户逻辑上共用一个网关，则无法实现租户间IP地址的复用。
3，overlay（GRE和VXLAN）技术： 通过隧道的方式建立通信。其中VXLAN将虚拟机发出的数据包封装在UDP中，并使用物理网络的IP/MAC作为outer-header进行封装，然后在物理IP网上传输，到达目的地后由隧道终结点解封并将数据发送给目标虚拟机。GRE是在L3上面包装L3，封装在IP报文中，建立点对点隧道进行通信。相对VLAN而言，引入overlay模型主要解决了以下问题：
1）租户数量从4K增加到16million；
2）租户内部通信可以跨越任意IP网络，支持虚拟机任意迁移；
3）一般来说每个租户逻辑上都有一个网关实例，IP地址可以在租户间进行复用；
4）能够结合SDN技术对流量进行优化。
二、网络模型
1，单一平面网络模型，这种网络模型主要存在以下缺陷：
存在单一网络瓶颈，缺乏可伸缩性；缺乏合适的多租户隔离；不支持floating ip；
2，多平面网络模型，支持VLAN，不支持floatingip；
3，混合平面私有网络，具有两个ip，支持floating ip；
4，通过私有网络实现运营商路由功能，增加了provider router，但是租户没办法定义自己的路由；
5，通过私有网络实现每个租户创建自己专属的网络区段，租户定义自己的网络，sdn网络比较灵活；
可以看出neutron模块中的网络模型变得越来越复杂，越来越适应用户的需求。
三、核心资源
Neutron管理的实体核心资源主要包括网络、子网、端口：
1，网络：隔离的L2域，可以是虚拟、逻辑或交换，同一个网络中的主机彼此L2可见。一般是创建它的用户所有。用户可以拥有多个网络。网络是最基础的，子网和端口都需要关联到网络上。
2，子网：隔离的L3域，IP地址块。其中每个机器有一个IP，同一个子网的主机彼此L3可见。子网代表了一组分配了IP的虚拟机。每个子网必须有一个CIDR和关联到一个网络IP可以从CIDR或者用户指定池中选取。子网可能会有一个网关、一组DNS和主机路由。不同子网之间L2是互相不可见的，必须通过一个三层网关（即路由器）经过L3上进行通信。
3，端口：网络上虚拟、逻辑或交换端口。 所有这些实体都是虚拟的，拥有自动生成的唯一标示id，支持CRUD功能，并在数据库中跟踪记录状态。可以进出流量的接口，往往绑定上若干 MAC 地址和 IP 地址，以进行寻址。一般为虚拟交换机上的虚拟接口。虚拟机挂载网卡到端口上，通过端口访问网络。当端口有 IP 的时候，意味着它属于某个子网。
四、三个网络
1，External Network/API Network，这个网络是连接外网的，无论是用户调用Openstack的API，还是创建出来的虚拟机要访问外网，或者外网要ssh到虚拟机，都需要通过这个网络；
2，Data Network，数据网络，虚拟机之间的数据传输通过这个网络来进行，比如一个虚拟机要连接另一个虚拟机，虚拟机要连接虚拟的路由都是通过这个网络来进行；
3，Management Network，管理网络，Openstack各个模块之间的交互，连接数据库，连接Message Queue都是通过这个网络来；
我的热门文章
即使是一小步也想与你分享经常参与各类话题的讨论，发帖内容较有主见
经常帮助其他会员答疑
活跃且尽责职守的版主
为论坛做出突出贡献的会员
站长推荐 /6
about云|新出视频，openstack零基础入门，解决你ping不通外网难题
云计算hadoop视频大全(新增 yarn、flume|storm、hadoop一套视频
视频资料大优惠
大数据零基础由入门到实战
阶段1：hadoop零基础入门基础篇
阶段2：hadoop2入门
阶段3：大数据非hadoop系列课程
阶段4：项目实战篇
阶段5：大数据高级系列应用课程
阶段6：工作实用系列教程
等待验证会员请验证邮箱
新手获取积分方法
Powered by}