Basic Networking
1、混杂模式(promiscuous mode):当网卡被配置为混杂模式时,它们会将所有的frame传递给操作系统,即使MAC地址不匹配。
2、交换机(switch)是一种拥有多个端口的网络硬件,能将frame从连接的一个主机转发到另一个主机。它会维护一张叫做forwarding table或者交forwarding information base(FIB)的表,用于记录MAC地址和端口的关系,该表由交换机转发frame的过程中学习获得。交换机还可以级联在一起,这些连接在一起的交换机和主机可以看成是单个网络。
3、VLAN可以让单个交换机看起来像多个独立的交换机一样,即连接在同一个交换机上的主机,如果它们不属于同一个VLAN就看不见对方。每一个VLAN有一个编号从1到4095的ID。
当多个交换机连接在一起时,连接的端口(即trunck port)必须能够转发来自任何VLAN的Ethernet frames,而且发送frame的交换机必须给frame加上VLAN ID,这样接收的交换机才能保证合适的主机收到该frame。
4、如果两个主机的IP地址的网络号相同,那么它们属于同一个subnet,而以太网中位于同一个local network的两台主机之间可以互相通信。ARP协议假设,同一个subnet中的主机都位于同一个local network。
5、有两种方式来表示一个子网:
dotted quad: 255.255.255.0
classless inter-domain routing(CIDR): 192.168.1.5/24
6、DHCP(Dynamic Host Configuration Protocol)用于在主机启动时自动为其分配IP。
DHCP client由端口67向地址255.255.255.255的端口68发送一个UDP包,DHCP server会从端口68向client的端口67发送响应。具体交互过程如下:
- client发送一个discover(我是MAC地址为08:00:27:b9:88:74的client,需要一个IP地址)
- server发送一个offer(好的,08:00:27:b9:88:74,我给你一个IP地址10.10.0.112)
- client发送一个request(Server 10.10.0.113,我愿意接受IP 10.10.0.112)
- server返回一个acknowledgement(好的,08:00:27:b9:88:74, IP 10.10.0.112是你的了)
DHCP server通常会在发送给DHCP client IP地址和子网掩码的同时,还会发送default gateway的IP地址。OpenStack用dnsmasq来实现DHCP server。
7、因为TCP能够检测(detect)和重传(retransmit)丢失的包,因此它被称为reliable protocol。
8、应用可以用多播(IP multicast)技术将UDP数据包发送到指定的主机集合。接收的应用必须首先通过给UDP socket绑定一个合法的multicast group address来加入一个multicast group。接收主机和发送主机不需要在同一个local network,但是中间经过的路由器必须被配置成支持IP多播的。VXLAN就是一种使用IP多播基于UDP的协议。
Network Components
1、防火墙(Firewalls) 用于对流量进行管理。防火墙可以是用来连接两个网络的定制的设备,也可以是在操作系统中基于软件的过滤规则。它可以基于源IP地址,目标IP地址,端口号以及连接状态等条件对包进行过滤。主要用来让主机避免未经授权的登陆以及恶意的攻击。Linux系统一般使用iptables来实现防火墙。
Overlay(tunnel)protocols
使用隧道的原因是在不兼容的网络上传输数据,或者在不安全的网络上提供一个安全的路径。通常被传输的数据都会进行加密,从而让那些私密的数据也能公开进行传输。
1、GRE(Generic routing encapsulation)
2、VXLAN(Virtual extensible local area network)是为了提供可扩展的网络隔离。它运行在多个三层网络之上构建一个二层的overlay网络。每个overlay都被称为一个VXLAN segment。只有处于同一个VXLAN segment中的虚拟机才能互相通信。
Network Namespace
1、Linux启动时存在一个default namespace,所有的网络设备都存在其中。但是我们也可以新建network namespace,并且在其中创建新的设备,或者将已有的设备从一个namespace转移到另一个namespace。
2、每个network namespace都有它自己的路由表,这是network namespace存在的主要原因。路由表的关键是目标IP地址,而如果想要同样的目标IP地址在不同的时候代表不同的含义,network namespace正是我们需要的。而这对OpenStack Networking对于不同的虚拟网络提供有重复的IP地址的特性是非常重要的。
3、VRF(Virtual routing and forwarding)是一种能够让多个路由表实例存在于同一个路由器的IP技术。
Network Address Translation
1、NAT可以在IP包传输的过程中改变其头部的源地址或目标地址。通常IP包的发送者和接收者通常都不会意识到包被修改过了。在OpenStack中,通常是Linux服务器用iptables软件包来实现NAT的。
2、RFC 1918保留了以下三个子网作为私有地址:
- 10.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16
3、SNAT(Source Network Address Translation)在数据包进入公网之前,NAT路由器会将IP数据包头部的源地址改成它自己的公网IP,并且修改源TCP或者UDP端口,同时路由器会维护一个表,用于记录源IP地址以及端口到修改后的IP地址和端口的映射关系。这种既改变端口也改变IP地址的SNAT方式称为PAT(Port Address Translation)或者NAT overload。
4、DNAT(Destination Network Address Translation)显然就是用于修改IP数据包头部的目标IP地址。OpenStack使用DNAT将实例的数据包转发到OpenStack metadata service。通常,OpenStack实例中的应用都是通过发送一个HTTP GET请求给IP地址为169.254.169.254的web server来访问OpenStack metadata service。不过事实上OpenStack中并没有主机有这么一个地址。所以OpenStack使用DNAT用于转换这些包中的目标IP,从而让它们能访问metadata service的网络接口。
5、One-to-one NAT,在这种NAT路由器中维护了私有IP和公网IP之间的一对一映射关系。OpenStack通常使用one-to-one NAT来实现floating IP address。
OpenStack Networking
Networking service,又称neutron,提供了能够让我们在云中定义网络的连接性和寻址的API。同时,它也提供了能够配置和管理各种网络服务,包括L3 forwarding, NAT到负载均衡,外围防火墙和VPN等等。它主要包括了以下三个组件:
- API server: OpenStack的Networking API支持二层网络,IPAM以及一个三层路由结构的扩展,用于二层网络,网关到外部网络的路由。
- OpenStack Networking plug-in and agents:用于plug或者unplug端口,创建网络或子网,提供IP寻址。需要注意的是,一次只能使用一个plug-in
- Message queue:用于在agents之间接收并且路由RPC请求。
在OpenStack中有project network和provider network两种类型的网络。
Provider networks
Provider networks提供虚拟机实例之间的二层连通性,同时对于DHCP和metadata services提供可选的支持。这些网络会连接或者映射到数据中心的二层网络上,通常用VLAN tag来标识和划分它们。Provider networks在牺牲灵活性的情况下,能够提供简单性,性能和可靠性。默认只有管理员能够创建和更新provider network,因为它需要对基础物理网络的设置。
Routed provider networks
Routed provider networks提供了虚拟机实例之间的三层连通性。这些网络通常映射到数据中心已有的三层网络。事实上,它们会映射到多个layer-2 segments,每一个segment其实就是一个provider network。每一个网络都有一个router gateway与它相连,用于在它们之间以及外部路由流量。Networking service是不提供路由的。
Self-service networks
Self-service network 是完全虚拟化的并且需要虚拟路由器来连接provider network和external network。通常它们还给虚拟机实例提供DHCP和metadata service。一般情况下,self-service network使用overlay network例如VXLAN和GRE,因为它们相比于使用VLAN tag的layer-2 segmentation可以支持更多的网络。而且,VLAN一般需要对基础物理网络进行设置。
IPv4 self-service network一般使用私有IP地址段并且通过虚拟交换机的SNAT和provider进行交互。而Floating IP能够让provider network通过虚拟路由器的DNAT访问虚拟机实例。IPv6 self-network通常使用公网IP地址段并且通过虚拟路由器的静态路由和provider network进行交互。
Networking service使用在之上一个Network node中的layer-3 agent来实现router。与provider Network直接将实例连接到物理网络中不同的是,self-service network必须经过一个layer-3 agent。因此layer-3 agent或者network node的故障都会对self-service network和使用它们的实例产生巨大的影响。
OpenStack主要支持Flat,VLAN,GRE和VXLAN这四种网络拓扑结构
Subnets
Subnets用于新的ports在一个network中创建时,为其分配IP地址。
Subnet pools
Subnet pools是一个预先定义的地址池,从而让规定了可以使用的IP地址的范围,让所有子网都在给定的地址池内。以此来避免同一个地址池内地址的重用以及子网之间地址的重合。
Ports
port是设备和虚拟网络的连接点,同时,port描述了相关的网络配置,例如该port使用的MAC和IP地址
Routers
路由器用于在self-service和provider network之间,或者属于同一个project的self-service network之间提供layer-3 services,例如路由和NAT。Networking service通常使用layer-3 agent,通过namespace,来管理路由。
Security groups
每个project都包含一个default security group,它允许所有的出口流量并且拒绝所有的入口流量。
Service and component hierarchy
- Server:提供API,管理数据库等等
- Plugin-ins:管理agents
- Agents:提供实例间的二层或三层连接,处理物理和虚拟网络之间的转换,处理元数据