Netzwerk- und Sicherheitsmodelle

Ein Share-Treiber im Shared File Systems-Dienst ist eine Python-Klasse, die für das Backend gesetzt werden kann und darin ausgeführt wird, um Share- Operationen zu verwalten, von denen einige herstellerspezifisch sind. Das hintere Ende ist eine Instanz von Manila-Share-Service. Es gibt eine große Anzahl von Freigabe-Treiber, die von verschiedenen Anbietern im Shared File Systems Service erstellt wurden. Jeder Share-Treiber unterstützt einen oder mehrere Back-End-Modi: share servers und no share servers. Ein Administrator wählt, welcher Modus verwendet wird, indem er ihn in der manila.conf` Konfigurationsdatei spezifiziert. Hier wird eine Option `` driver_handles_share_servers``verwendet.

Der share servers mode kann mit flachem Netzwerk oder mit segmentiertem Netzwerk konfiguriert werden. Dies hängt vom Netzanbieter ab.

Es ist möglich, separate Treiber für verschiedene Modi zu verwenden, die dieselbe Hardware verwenden, wenn man verschiedene Konfigurationen haben möchte. Abhängig davon, welcher Modus gewählt wird, muss ein Administrator möglicherweise mehr Konfigurationsdetails über die Konfigurationsdatei bereitstellen.

Share Back-End-Modi

Jeder Share-Treiber unterstützt mindestens einen der möglichen Treiber-Modi:

  • share servers mode

  • no share servers mode

Die Konfigurationsoption in manila.conf, die share servers mode oder no share servers mode setzt, ist die `` driver_handles_share_servers``Option. Es gibt an, ob ein Treiber Share- Server selbst behandelt oder es erwartet, dass der Shared File Systems- Dienst es macht.

Modus

Config-Option

Beschreibung

share servers

driver_handles_share_servers = True

Der Freigabetreiber erstellt den Freigabeserver und verwaltet oder verarbeitet den Lebenszyklus des Share-Servers.

no share servers

driver_handles_share_servers = False

Ein Administrator verwaltet anstelle eines Share-Treibers den Bare-Metal-Speicher mit einer net-Schnittstelle statt der Anwesenheit der Share-Server.
No share servers mode

In diesem Modus haben die Treiber grundsätzlich keine Netzwerkanforderungen. Es wird davon ausgegangen, dass der Speichercontroller, der vom Treiber verwaltet wird, alle Netzwerkschnittstellen bereitstellt, die er benötigen wird. Der Shared File Systems-Dienst erwartet, dass der Treiber die Bereitstellung von Freigaben direkt vorsieht, ohne zuvor einen Freigabe-Server zu erstellen. Dieser Modus entspricht dem, was einige vorhandene Treiber bereits machen, aber es macht die Wahl explizit für den Administrator. In diesem Modus werden die Freigaben-Netzwerke nicht zum Zeitpunkt der Erstellung der Freigabe benötigt und dürfen nicht bereitgestellt werden.

Bemerkung

In no share servers mode wird der Shared File Systems Service davon ausgehen, dass die Netzwerkschnittstellen, durch die alle Freigaben exportiert werden, bereits von allen Tenants erreichbar sind.

Im Modus no share servers verarbeitet ein Freigabe-Treiber den Speicherlebenszyklus nicht. Es wird erwartet, dass ein Administrator die Speicher-, Netzwerkschnittstellen und andere Host-Konfigurationen verarbeiten soll. In diesem Modus kann ein Administrator Speicher als Host setzen, der Freigaben exportiert. Das Hauptmerkmal dieses Modus ist, dass die Speicherung nicht durch den Shared File Systems Service behandelt wird. Benutzer in einem Tenant teilen gemeinsame Netzwerk-, Host-, Prozessor-und Netzwerk-Pipe. Sie können sich gegenseitig behindern, wenn es keine korrekte Ausgleichseinstellung auf dem von admin oder Proxy konfigurierten Speicherplatz gibt. In öffentlichen Clouds ist es möglich, dass alle Netzwerkkapazitäten von einem Client genutzt werden, so dass ein Administrator darauf achten sollte, dass dies nicht passiert. Die Ausgleichsanpassung kann mit allen Mitteln erfolgen, nicht unbedingt mit OpenStack-Werkzeugen.

Share servers mode

In diesem Modus kann ein Treiber Share-Server erstellen und an bestehende Netzwerke anschließen. Bei der Bereitstellung eines neuen Freigabeservers erwarten Treiber eine IP-Adresse und ein Subnetz aus dem Shared File Systems Service.

Im Gegensatz zu no share servers -Modus, in share servers Modus haben Benutzer ein Share-Netzwerk und einen Share-Server, der für jedes Share-Netzwerk erstellt wird. So haben alle Benutzer eine separate CPU, CPU-Zeit, Netzwerk, Kapazität und Durchsatz.

Sie können auch Sicherheitsdienste in beiden share servers und no share servers Back-End-Modi konfigurieren. Aber mit no share servers Back-End-Modus, sollte ein Administrator die gewünschten Authentifizierungsdienste manuell auf dem Host setzen. Und in share servers -Modus kann der Shared File Systems Service automatisch mit allen vorhandenen Sicherheitsdiensten konfiguriert werden, die vom Share-Treiber unterstützt werden.

Flache vs. segmentierte Vernetzung

Der Shared File Systems Service ermöglicht es, mit verschiedenen Arten von Netzwerken zu arbeiten:

  • flat

  • GRE

  • VLAN

  • VXLAN

Bemerkung

Der Shared File Systems Service hält lediglich die Informationen über Netzwerke in der Datenbank und echte Netzwerke werden vom Netzbetreiber bereitgestellt. In OpenStack kann es sich um Legacy Networking (nova- network) oder Networking (Neutron) Dienste handeln, aber der Shared File Systems Service kann sogar aus OpenStack arbeiten. Das ist erlaubt von `` StandaloneNetworkPlugin``, die mit jeder Netzwerkplattform verwendet werden kann und keine bestimmten Netzwerkdienste in OpenStack wie Networking oder Legacy Networking Services benötigt. Sie können die Netzwerkparameter in der

In :ref:`share servers <share-servers-vs-no-share-servers>`Back-End-Modus ein Share-Treiber erstellt und verwaltet einen Share-Server für jedes Share-Netzwerk. Dieser Modus kann in zwei Varianten aufgeteilt werden:

  • Flat-Netzwerk in share servers Back-End-Modus

  • Segmentiertes Netzwerk in share servers Back-End-Modus

Anfänglich können Sie bei der Erstellung eines Share-Netzwerks entweder ein Netzwerk und ein Subnetz des OpenStack Networking (Neutron) oder ein Netzwerk von Legacy Networking (Nova-Netzwerk)-Dienst einrichten.

Tipp

Alle Freigabe-Treiber, die den OpenStack Compute-Dienst verwenden, verwenden keine Netzwerk-Plug-Ins. In Mitaka Release ist es Windows und Generic Treiber. Diese Freigabe-Laufwerke haben andere Optionen und verwenden einen unterschiedliche Ansatz.

Nachdem ein Freigabenetzwerk erstellt wurde, ruft der Shared File Systems-Dienst die von einem Netzbetreiber bestimmten Netzwerkinformationen ab: Netzwerktyp, Segmentierungskennung, wenn das Netzwerk Segmentierung und IP-Block in der CIDR-Notation verwendet, aus der das Netzwerk zugewiesen werden soll.

** Flat-Netzwerk im share-servers-Back-End-Modus **

In diesem Modus können einige Speichercontroller geteilte Server erstellen, aber aufgrund verschiedener Einschränkungen des physischen oder logischen Netzwerks müssen alle geteilte Server auf einem flachen Netzwerk sein. In diesem Modus braucht ein Share-Treiber etwas, um IP-Adressen für Share-Server bereitzustellen, aber IPs werden alle aus demselben Subnetz kommen und das Subnetz selbst wird von allen Tenantn als erreichbar angenommen.

Die security service part von geteilten Netzwerken spezifizieren Sicherheitsanforderungen wie AD oder LDAP Domains oder ein Kerberos Realm. Der Shared File Systems Service geht davon aus, dass alle im Sicherheitsdienst erwähnten Hosts aus einem Subnetz erreichbar sind, in dem ein geteilter Server erstellt wird, der die Anzahl der Fälle begrenzt, in denen dieser Modus verwendet werden könnte.

**Segmentiertes Netzwerk im share-servers-Back-End-Modus **

In diesem Modus kann ein Share-Treiber Share-Server erstellen und an ein bestehendes segmentiertes Netzwerk anschließen. Share-Treiber erwarten, dass der Shared File Systems-Dienst eine Subnetzdefinition für jeden neuen Share-Server bereitstellt. Diese Definition sollte Segmentierungstyp, Segmentierungs-ID und alle anderen für den Segmentierungstyp relevanten Informationen enthalten.

Bemerkung

Einige Share-Treiber unterstützen möglicherweise nicht alle Arten von Segmentierung, für Details siehe Spezifikation für den verwendeten Treiber.

Netzwerk-Plug-ins

Die Dienstarchitektur für freigegebene Dateisysteme definiert eine Abstraktionsschicht für die Bereitstellung von Netzwerkressourcen. Es erlaubt den Administratoren, aus verschiedenen Optionen zu wählen, wie Netzwerkressourcen dem vernetzten Speicher der Tenants zugewiesen werden. Es gibt mehrere Netzwerk-Plug-Ins, die eine Vielzahl von Integrationsansätzen mit den Netzwerkdiensten bieten, die mit OpenStack verfügbar sind.

Netzwerk-Plug-Ins erlauben es, alle Funktionen, Konfigurationen der OpenStack Networking und Legacy Networking Services zu nutzen. Man kann jede Netzwerksegmentierung nutzen, die der Networking Service unterstützt, Sie können flache Netzwerke oder VLAN-segmentierte Netzwerke des Legacy Networking (nova-network) Service nutzen oder Plugins für die Festlegung von Netzwerken unabhängig von OpenStack Networking Services. Weitere Informationen zur Verwendung verschiedener Netzwerk-Plug-Ins finden Sie unter Shared File Systems Service-Netzwerk-Plug-Ins.