Netzwerkkonzepte (Neutron)¶

OpenStack Netzwerk (neutron) verwaltet alle Netzwerkfacetten der virtuellen Netzwerkinfrastruktur (VNI) und die die Zugriffsebenen betreffenden Aspekte der physikalischen Netzwerkinfrastruktur (PNI) in Ihrer OpenStack Umgebung. OpenStack Netzwerke ermöglicht es Mandanten fortgeschrittene virtuelle Netzwerktopologien zu erzeugen, die Dienste wie Firewall, Load Balancer und virtuelle private Netzwerke (VPN) beinhalten können.

Das Netzwerk bietet Netze, Subnetze und Router als abstrahierte Objekte. Jede Abstraktion hat Funktionen, die ihre physikalischen Gegenstücken entsprechen: Netzwerke enthalten Subnetze, Router routen Datenverkehr zwischen Subnetzen und Netzwerken.

Jede Netzwerkeinrichtung hat zumindest ein externes Netzwerk. Anders als andere Netzwerke ist das externe Netzwerk nicht nur durch Software definiert. Vielmehr erlaubt es einen Blick in einen Teil des physikalischen externen Netzwerkes außerhalb der OpenStack Installation. IP-Adressen im externen Netzwerk sind von jedem erreichbar, der sich physisch im äußeren Netzwerk befindet.

Jedes Netzwerk hat zusätzlich zum externen Netzwerk ein oder mehrere interne Netzwerke. Diese durch Software definierten Netzwerke verbinden direkt zu VMs. Nur VMs in den angegebenen internen Netzwerken, oder durch Subnetze mit einem ähnlichen Router verbundene Interfaces, können auf mit dem Netzwerk verbundene VMs direkt zugreifen.

Damit man vom fremden Netzwerk auf die VMs zugreifen kann, und umgekehrt, werden Router zwischen den Netzwerken benötigt. Jeder Router hat ein Gateway, das mit einem Netzwerk verbunden ist und ein oder mehrere Interfaces, die mit den internen Netzwerken verbunden sind. Wie bei einem physikalischen Router, können Subnetze Maschinen in anderen Subnetzen erreichen, die mit demselben Router verbunden sind und Maschinen können das äußere Netzwerk durch das Gateway des Routers erreichen.

Außerdem können Sie IP-Adresses von externen Netzwerkports zu Ports im internen Netzwerk zuweisen. Immer wenn etwas mit einem Subnetz verbunden ist, wird es als Port bezeichnet. Sie können externe Netzwerk-IP-Adressen mit Ports zu VMs zuweisen. Auf diesem Weg können Einheiten im äußeren Netzwerk auf VMs zugreifen.

Das Netzwerk unterstützt Sicherheitsgruppen. Sicherheitsgruppen erlauben Administratoren Firewall-Regeln in Gruppen zu definieren. Eine VM kann zu einer oder mehreren Sicherheitsgruppen gehören und das Netzwerk wendet die Regeln dieser Sicherheitsgruppen zum blockieren oder erlauben von einzelnen Ports, Portbereichen sowie Verkehrstypen für die VM an.

Jedes vom Netzwerk verwendete Plug-in hat sein eigenes Konzept. Auch wenn es nicht lebensnotwendig zum Betrieb von VNI und der OpenStack Umgebung ist, so hilft das Verstehen der Konzepte beim Einrichten des Netzwerkes. Alle Netzwerkinstallationen verwenden ein Kern-Plug-in und ein Sicherheitsgruppen-Plug-in (oder einfach das No-Op Sicherheitsgruppen-Plug-in). Zusätzlich sind Firewall-as-a-Service (FWaaS) und Load-Balancer-as-a-Service (LBaaS) Plug-ins verfübar.