Layanan Networking¶
Pada tahap arsitektur awal untuk merancang infrastruktur OpenStack Network Anda, penting untuk memastikan keahlian yang sesuai tersedia untuk membantu perancangan infrastruktur jaringan fisik, untuk mengidentifikasi mekanisme kontrol keamanan dan audit yang tepat.
OpenStack Networking menambahkan lapisan layanan jaringan virtual yang memberi penyewa kemampuan untuk membuat arsitek jaringan virtual mereka sendiri. Saat ini, layanan virtual ini tidak semewah jaringan jejaring tradisional mereka. Pertimbangkan keadaan saat ini dari layanan virtual ini sebelum mengadopsi mereka karena menentukan kontrol apa yang mungkin harus Anda terapkan di network boundary (batas jaringan) virtual dan tradisional.
Isolasi L2 menggunakan VLAN dan tunneling¶
Jaringan OpenStack dapat menggunakan dua mekanisme yang berbeda untuk segregasi lalu lintas pada kombinasi per tenant/network: VLAN (IEEE 802.1Q tagging) atau L2 tunnel menggunakan enkapsulasi GRE. Ruang lingkup dan skala penyebaran OpenStack Anda menentukan metode mana yang harus Anda gunakan untuk segregasi lalu lintas atau isolasi.
VLAN¶
VLAN direalisasikan sebagai paket pada jaringan fisik tertentu yang berisi header IEEE 802.1Q dengan nilai field VLAN ID (VID) tertentu. Jaringan VLAN yang berbagi jaringan fisik yang sama diisolasi satu sama lain di L2, dan bahkan bisa memiliki ruang alamat IP yang tumpang tindih. Setiap jaringan fisik yang berbeda yang mendukung jaringan VLAN diperlakukan sebagai VLAN trunk yang terpisah, dengan ruang nilai VID yang berbeda. Nilai VID yang valid adalah 1 sampai 4094.
Kompleksitas konfigurasi VLAN bergantung pada persyaratan desain OpenStack Anda. Untuk memungkinkan OpenStack Networking menggunakan VLAN secara efisien, Anda harus mengalokasikan rentang VLAN (satu untuk setiap penyewa) dan mengubah masing-masing compute node physical switch port menjadi VLAN trunk port.
Catatan
Jika Anda ingin jaringan Anda mendukung lebih dari 4094 penyewa VLAN mungkin bukan pilihan yang tepat untuk Anda karena beberapa 'hacks' diperlukan untuk memperpanjang tag VLAN ke lebih dari 4094 penyewa.
L2 tunneling¶
Jaringan tunneling merangkum masing-masing penyewa jaringan kombinasi dengan unik "tunnel-id" yang digunakan untuk mengidentifikasi lalu lintas jaringan milik kombinasi itu. Konektivitas jaringan L2 penyewa tidak bergantung pada lokasi fisik atau disain jaringan yang mendasarinya. Dengan mengenkapsulasi lalu lintas di dalam paket IP, lalu lintas tersebut dapat melintasi batas Layer-3, menghapus kebutuhan akan VLAN yang telah dikonfigurasikan sebelumnya dan trunking VLAN. Tunneling menambahkan lapisan obfuscation ke lalu lintas data jaringan, mengurangi visibilitas lalu lintas penyewa individu dari sudut pandang pemantauan.
OpenStack Networking saat ini mendukung enkapsulasi GRE dan VXLAN.
Pilihan teknologi untuk memberikan isolasi L2 bergantung pada cakupan dan ukuran jaringan penyewa yang akan dibuat dalam penerapan Anda. Jika lingkungan Anda memiliki ketersediaan VLAN ID terbatas atau akan memiliki sejumlah besar jaringan L2, ini adalah rekomendasi kami untuk memanfaatkan tunneling.
Layanan jaringan¶
Pilihan isolasi jaringan penyewa mempengaruhi bagaimana keamanan jaringan dan batas kontrol diterapkan untuk layanan penyewa. Layanan jaringan tambahan berikut tersedia atau sedang dalam pengembangan untuk meningkatkan postur keamanan dari arsitektur jaringan OpenStack.
Daftar kontrol akses (access control list)¶
OpenStack Compute mendukung kontrol akses lalu lintas jaringan tenant secara langsung saat digunakan dengan layanan nova-network legacy (lawas), atau dapat menunda kontrol akses ke layanan OpenStack Networking.
Perhatikan, grup keamanan nova-jaringan legacy diterapkan ke semua port antarmuka virtual pada sebuah instance menggunakan iptable.
Kelompok keamanan memungkinkan administrator dan penyewa kemampuan untuk menentukan jenis lalu lintas, dan arah (ingress/egress) yang diizinkan melewati port antarmuka virtual. Aturan kelompok keamanan adalah filter lalu lintas L2-L4 stateful.
Saat menggunakan layanan Networking, sebaiknya Anda mengaktifkan grup keamanan di layanan ini dan menonaktifkannya di layanan Compute.
L3 routing dan NAT¶
Router OpenStack Networking dapat menghubungkan beberapa jaringan L2, dan juga dapat menyediakan gateway yang menghubungkan satu atau beberapa jaringan L2 pribadi ke jaringan external bersama, seperti jaringan publik untuk akses ke Internet.
Router L3 menyediakan kemampuan Network Address Translation (NAT) dasar pada port *gateway * yang menghubungkan router ke jaringan eksternal. SNAT router ini (Static NAT) semua lalu lintas secara default, dan mendukung floating IP, yang menciptakan pemetaan one-to-one statis dari IP publik di jaringan eksternal ke IP private di salah satu subnet lainnya yang terhubung ke router.
Ini adalah rekomendasi kami untuk memanfaatkan per tenant L3 routing dan Floating IP untuk konektivitas granular tenant VM yang lebih terperinci.
Quality of Service (QoS)¶
Secara default, kebijakan dan aturan Quality of Service (QoS) dikelola oleh administrator awan, yang mengakibatkan penyewa tidak dapat membuat aturan QoS tertentu, atau untuk melampirkan port tertentu ke kebijakan. Dalam beberapa kasus penggunaan, seperti beberapa aplikasi telekomunikasi, administrator dapat mempercayai penyewa dan karena itu membiarkan mereka membuat dan melampirkan kebijakan mereka sendiri ke port. Hal ini dapat dicapai dengan memodifikasi file policy.json dan specific documentation. akan dirilis dengan ekstensi.
Layanan Networking (Netron) mendukung aturan QoS yang membatasi bandwidth di Liberty dan versi kemudian. Aturan QoS ini diberi nama `` QosBandwidthLimitRule`` dan menerima dua bilangan bulat non-negatif yang diukur dalam kilobit per detik:
max-kbps: bandwidthmax-burst-kbps: burst buffer
The `` QoSBandwidthLimitRule`` telah diimplementasikan di netron Open vSwitch, Linux bridge dan driver single root input/output virtualization (SR-IOV).
Di Newton, aturan QoS QosDscpMarkingRule ditambahkan. Aturan ini menandai nilai Differentialated Service Code Point (DSCP) pada tipe header layanan pada header IPv4 (RFC 2474) dan header kelas lalu lintas pada IPv6 pada semua lalu lintas yang meninggalkan mesin virtual, tempat aturan diterapkan. Ini adalah header 6-bit dengan 21 nilai valid yang menunjukkan prioritas drop dari sebuah paket saat ia melintasi jaringan jika memenuhi kemacetan. Ini juga dapat digunakan oleh firewall untuk mencocokkan lalu lintas yang valid atau tidak benar terhadap daftar kontrol aksesnya (access control list).
Layanan mirroring port melibatkan pengiriman salinan paket yang masuk atau meninggalkan satu port ke port lain, yang biasanya berbeda dari tujuan asli dari paket yang dicerminkan. Tap-as-a-Service (TaaS) merupakan perpanjangan layanan jaringan OpenStack (neutron). Ini menyediakan kemampuan mirroring port jarak jauh untuk jaringan virtual penyewa. Layanan ini dirancang terutama untuk membantu administrator jaringan penyewa (atau administrator awan) debug kompleks dan mendapatkan visibilitas ke VM mereka, dengan memantau lalu lintas jaringan yang terkait dengannya. TaaS menghormati batas penyewa dan sesi cerminnya mampu mencakup beberapa node komputasi dan jaringan. Ini berfungsi sebagai komponen infrastruktur penting yang dapat digunakan untuk memasok data ke berbagai analisis jaringan dan aplikasi keamanan.
Penyeimbang beban (load balancing)¶
Fitur lain di OpenStack Networking adalah Load-Balancer-as-a-service (LBaaS). Implementasi referensi LBaaS didasarkan pada HA-Proxy. Ada plug-in pihak ketiga dalam pengembangan untuk ekstensi di OpenStack Networking untuk menyediakan fungsionalitas L4-L7 yang luas untuk port antarmuka virtual.
Firewall¶
FW-as-a-Service (FWaaS) dianggap sebagai fitur eksperimental untuk rilis Kilo OpenStack Networking. FWaaS menangani kebutuhan untuk mengelola dan memanfaatkan sekumpulan fitur keamanan yang kaya yang disediakan oleh produk firewall biasa yang biasanya jauh lebih komprehensif daripada yang saat ini disediakan oleh kelompok keamanan. Baik Freescale dan Intel mengembangkan plug-in pihak ketiga sebagai ekstensi di OpenStack Networking untuk mendukung komponen ini dalam rilis Kilo. Untuk rincian lebih lanjut tentang administrasi FWaaS, lihat ikhtisar "Firewall-as-a-Service (FWaaS) <https://docs.openstack.org/admin-guide/networking-introduction.html#firewall-as-a-service -fwaas-overview> `__ di OpenStack Administrator Guide.
Selama perancangan infrastruktur OpenStack Networking, penting bagi Anda untuk memahami fitur dan keterbatasan layanan jaringan yang ada saat ini. Memahami batas jaringan virtual dan fisik Anda akan membantu menambahkan kontrol keamanan yang diperlukan di lingkungan Anda.
Ekstensi layanan jaringan¶
Daftar plug-in yang diketahui disediakan oleh komunitas open source atau oleh perusahaan SDN yang bekerja dengan OpenStack Networking tersedia di OpenStack neutron plug-ins and drivers wiki page.
Keterbatasan layanan jaringan¶
OpenStack Networking memiliki keterbatasan yang diketahui berikut ini:
- Alamat IP yang tumpang tindih
Jika node yang menjalankan agen neutron-l3-agent atau neutron-dhcp-agent menggunakan alamat IP yang tumpang tindih, node tersebut harus menggunakan namespace jaringan Linux. Secara default, agen DHCP dan L3 menggunakan namespace jaringan Linux dan berjalan di namespace masing-masing. Namun, jika host tidak mendukung beberapa namespace, agen DHCP dan L3 harus dijalankan di host yang terpisah. Hal ini disebabkan fakta bahwa tidak ada isolasi antara alamat IP yang dibuat oleh agen L3 dan agen DHCP.
Jika dukungan namespace jaringan tidak ada, batasan lebih lanjut dari agen L3 adalah bahwa hanya satu router logis yang didukung.
- Multi-host DHCP-agent
OpenStack Networking mendukung beberapa agen L3 dan DHCP dengan load balancing. Namun, coupling yang ketat dari lokasi mesin virtual tidak didukung. Dengan kata lain, penjadwal Virtual Machine default tidak akan mempertimbangkan lokasi agen saat membuat mesin virtual.
- Tidak ada dukungan IPv6 untuk agen L3
Agen neutron-l3-agent, yang digunakan oleh banyak plug-in untuk mengimplementasikan forwarding L3, hanya mendukung penerusan IPv4.
