Networking (neutron) の概念

Networking (neutron) の概念

OpenStack Networking (neutron) は、 OpenStack 環境で、仮想ネットワークインフラストラクチャ (VNI) のすべての面と、物理ネットワークインフラストラクチャ (PNI) のアクセス層の側面を管理します。OpenStack Networking を使うと、プロジェクトが ファイアウォール負荷分散装置VPN などの高度な仮想ネットワークトポロジーを作成できるようになります。

Networking は、オブジェクトの抽象化としてネットワーク、サブネット、ルーターを提供します。それぞれの抽象化は、対応する物理的なものの機能と同じです。サブネットはネットワークに属し、ルーターはサブネットやネットワーク間の通信を転送します。

各ルーターは、ネットワークに接続する 1 つのゲートウェイ、サブネットに接続する複数のインターフェースを持ちます。サブネットは、同じルーターに接続された他のサブネットにあるマシンにアクセスできます。

すべての Networking 環境は少なくとも 1 つの外部ネットワークを持ちます。外部ネットワークは、他のネットワークと異なり、仮想的に定義されたネットワークではありません。これは、 OpenStack インストール環境の外部からアクセス可能な物理外部ネットワークの一部を表現したものだということです。外部ネットワークの IP アドレスは外部ネットワークにある物理的なホストからアクセスできます。外部ネットワークは単に外部ネットワークの一部を表すものであるため、DHCP はこのネットワークで無効化されます。

外部ネットワークに加えて、あらゆる Networking のセットアップ環境は 1 つ以上の内部ネットワークを持ちます。これらの SDN (Software-defined network) は仮想マシンに直接接続します。ある内部ネットワークに接続された仮想マシンに直接アクセスできるのは、同じネットワークにある仮想マシンか、ルーターのインターフェース経由で接続されたサブネットにある仮想マシンだけです。

外部ネットワークが仮想マシンにアクセスしたり、その逆を行うには、ネットワーク間のルーターが必要です。各ルーターは、ネットワークに接続された 1 つのゲートウェイと、サブネットに接続された多くのインターフェースを持ちます。物理ルーターのように、同じルーターに接続された他のサブネットにあるマシンにサブネットがアクセスできます。また、マシンはルーターに対するゲートウェイ経由で外部ネットワークにアクセスできます。

さらに、内部ネットワーク上のポートに、外部ネットワークの IP アドレスを割り当てることができます。何かがサブネットに接続されている場合、その接続はポートと呼ばれます。外部ネットワークの IP アドレスを仮想マシンのポートに関連付けられます。このように、外部ネットワークから仮想マシンにアクセスできます。

Networking は セキュリティーグループ もサポートします。セキュリティーグループにより、管理者がセキュリティーグループにファイアウォールルールを定義できます。仮想マシンは 1 つ以上のセキュリティーグループに属します。Networking は、これらのセキュリティーグループにあるルールを仮想マシンに対して適用し、その仮想マシンに対する指定されたポート、ポート範囲、トラフィック種別をブロックしたり許可したりします。

Networking が使用する各プラグインには、それぞれ独自の概念があります。VNI と OpenStack 環境を運用する上で必須ではありませんが、これらの概念を理解することにより、Networking を構築する役に立ちます。Networking はすべて、コアプラグインとセキュリティグループプラグイン (または単なる No-Op セキュリティグループプラグイン) を使用します。加えて、Firewall-as-a-Service (FWaaS) や Load-Balancer-as-a-Service (LBaaS) プラグインが利用可能です。

Creative Commons Attribution 3.0 License

Except where otherwise noted, this document is licensed under Creative Commons Attribution 3.0 License. See all OpenStack Legal Documents.