OpenStack Networking mengizinkan Anda untuk membuat dan mengelola objek jaringan, seperti jaringan, subnet, dan port, dimana layanan OpenStack lainnya dapat menggunakan. Plug-in dapat diimplementasikan untuk mengakomodasi peralatan jaringan dan perangkat lunak yang berbeda, yang memberikan fleksibilitas untuk arsitektur dan pengerahan OpenStack.
Layanan Networking, code-named neutron, menyediakan API yang memungkinkan Anda menentukan konektivitas jaringan dan menangani di cloud. Layanan Networking mengaktifkan para operator untuk memanfaatkan teknologi jaringan yang berbeda untuk memperdayakan jaringan cloud mereka. Layanan Networking juga menyediakan API untuk mengkonfigurasi dan mengelola berbagai layanan jaringan mulai dari L3 forwarding dan NAT sampai load balancing, perimeter firewall, dan jaringan private virtual.
Ini mencakup komponen-komponen berikut:
Untuk mengkonfigurasi topologi jaringan yang beragam, Anda dapat membuat dan mengkonfigurasi jaringan dan subnet dan menginstruksikan layanan OpenStack lain seperti Compute untuk menghubungkan perangkat virtual ke port pada jaringan ini. OpenStack Compute adalah konsumen yang menonjol dari OpenStack Networking untuk menyediakan konektivitas untuk instances nya. Secara khusus, OpenStack Networking mendukung setiap proyek yang memiliki beberapa jaringan private dan mengaktifkan proyek untuk memilih skema pengalamatan IP mereka sendiri, bahkan jika alamat IP proyek mereka terjadi tumpang tindih dengan proyek lain menggunakan. Ada dua jenis jaringan, jaringan proyek dan jaringan provider. Hal ini dimungkinkan untuk berbagi salah satu jenis jaringan antara proyek-proyek sebagai bagian dari proses pembuatan jaringan.
Jaringan provider menawarkan layer-2 connectivity untuk instance dengan dukungan opsional untuk DHCP dan layanan metadata. Jaringan ini menghubungkan, atau memetakan, untuk layer-2 network yang ada di pusat data, biasanya menggunakan VLAN (802.1q) tagging untuk mengidentifikasi dan memisahkan mereka.
Jaringan provider umumnya menawarkan kesederhanaan, kinerja, dan kehandalan pada biaya fleksibilitas. Secara default hanya administrator dapat membuat atau memperbarui jaringan provider karena mereka memerlukan konfigurasi infrastruktur jaringan fisik. Hal ini dimungkinkan untuk mengubah pengguna yang diizinkan untuk membuat atau memperbarui jaringan provider dengan parameter berikut `` policy.json``:
create_network:provider:physical_network
update_network:provider:physical_network
Peringatan
Penciptaan dan modifikasi jaringan provider mengaktifkan penggunaan sumber daya jaringan fisik, seperti VLAN-s. Aktifkan perubahan ini hanya untuk penyewa (tenant) dipercaya.
Juga, jaringan provider hanya menangani layer-2 connectivity untik instance, sehingga kurang dukungan untuk fitur seperti router dan alamat IP mengambang.
Dalam banyak kasus, operator yang sudah akrab dengan arsitektur jaringan virtual yang mengandalkan infrastruktur jaringan fisik untuk lapisan-2, lapisan-3, atau layanan lainnya dapat secara mulus mnegerahkan layanan OpenStack Networking. Secara khusus, jaringan provider menarik bagi operator yang ingin bermigrasi dari layanan jaringan Compute (nova-network) ke layanan OpenStack Networking. Seiring waktu, operator dapat membangun arsitektur minimal ini untuk mengaktifkan fitur jaringan cloud.
Secara umum, komponen software OpenStack Networking yang menangani operasi lapisan-3 berdampak secara nysta pada kinerja dan kehandalan. Untuk meningkatkan kinerja dan kehandalan, jaringan provider memindahkan operasi lapisan-3 untuk infrastruktur jaringan fisik.
Dalam satu kasus penggunaan tertentu, pengerahan OpenStack berada di lingkungan campuran conventional virtualization dengan bare-metal host yang menggunakan infrastruktur jaringan fisik yang cukup besar. Aplikasi yang berjalan di dalam penyebaran OpenStack mungkin memerlukan lapisan-2 akses langsung, biasanya menggunakan VLAN, untuk aplikasi di luar pengerahan.
Jaringan provider yang di-rute menawarkan lapisan-3 konektivitas untuk instance. Jaringan ini memetakan jaringan lapisan-3 yang ada di pusat data. Lebih khusus, jaringan memetakan ke beberapa segmen lapisan-2, masing-masing yang pada dasarnya adalah jaringan provider. Masing-masing jaringan memiliki router gateway yang terhubung ke yang me-rute lalu lintas antara jaringan mereka dan secara eksternal. Layanan Networking tidak menyediakan routing.
Jaringan provider yang di-rute menawarkan kinerja di skala yang sulit dicapai dengan jaringan provider polos (plain) pada tingkat ongkos konektivitas lapisan-2 yang terjamin.
Lihat jaringan penyedia (provider) yang diarahkan untuk informasi lebih lanjut.
Jaringan self-service terutama mengaktifkan secara umum proyek (non-privileged) untuk mengelola jaringan tanpa melibatkan administrator. Jaringan ini sepenuhnya virtual dan membutuhkan router virtual untuk berinteraksi dengan provider dan jaringan eksternal seperti Internet. Jaringan self-service juga biasanya menyediakan DHCP dan layanan metadata untuk instance.
Dalam kebanyakan kasus, jaringan self-service menggunakan protokol overlay seperti VXLAN atau GRE karena mereka dapat mendukung lebih banyak jaringan dari segmentasi lapisan-2 menggunakan VLAN tagging (802.1q). Selanjutnya, VLAN biasanya membutuhkan konfigurasi infrastruktur jaringan fisik tambahan.
Jaringan self-service IPv4 biasanya menggunakan rentang alamat IP private (RFC1918) dan berinteraksi dengan jaringan provider melalui sumber NAT pada router virtual. Alamat IP mengambang mengaktifkan akses ke instance dari jaringan provider via NAT tujuan pada router virtual. IPv6 jaringan self-service selalu menggunakan rentang alamat IP publik dan berinteraksi dengan jaringan provider melalui router virtual dengan rute statis.
Layanan Networking menerapkan router yang menggunakan agen lapisan-3 yang biasanya berada pada setidaknya satu node jaringan. Bertentangan dengan jaringan provider yang menghubungkan instance untuk infrastruktur jaringan fisik pada lapisan-2, jaringan self-service harus melintasi agen lapisan-3. Dengan demikian, kelebihan permintaan atau kegagalan dari agen lapisan-3 atau node jaringan dapat berdampak pada jumlah yang signifikan dari jaringan self-service dan instance yang menggunakan mereka. Mempertimbangkan untuk menerapkan satu atau lebih fitur ketersediaan tinggi untuk meningkatkan redundansi dan kinerja jaringan swalayan.
Pengguna membuat jaringan proyek untuk konektivitas dalam proyek. Secara default, jeringan proyek sepenuhnya terisolasi dan tidak dibagi dengan proyek-proyek lainnya. OpenStack Networking mendukung jenis jaringan isolasi dan overlay teknologi.
Sebuah blok alamat IP dan terkait keadaan konfigurasi. Hal ini juga dikenal sebagai native IPAM (IP Address Management) yang disediakan oleh layanan jaringan untuk proyek dan jaringan provider. Subnet digunakan untuk mengalokasikan alamat IP ketika port baru diciptakan pada jaringan.
End user biasanya dapat membuat subnet dengan alamat IP yang valid tanpa pembatasan lainnya. Namun, dalam beberapa kasus, itu bagus untuk admin atau proyek untuk pre-define kolam alamat yang membuat subnet dengan alokasi otomatis.
Penggunaan kolam subnet membatasi alamat dimana dapat digunakan dengan mewajibkan bahwa setiap subnet berada dalam kolam yang ditetapkan. Hal ini juga mencegah penggunaan ulang alamat atau tumpang tindih dengan dua subnet dari kolam yang sama.
Lihat Subnet pools (kolam subnet) untuk informasi lebih lanjut.
Sebuah port adalah titik koneksi untuk menghubungkan satu perangkat, seperti NIC dari server virtual, untuk jaringan virtual. Port juga menjelaskan konfigurasi jaringan yang terkait, seperti MAC dan alamat IP yang akan digunakan pada port tersebut.
Router menyediakan layanan lapisan-3 virtual seperti routing dan NAT antara self-service dan jaringan provider atau antar jaringan self-service milik proyek. Layanan Networking menggunakan agen lapisan-3 untuk mengelola router melalui namespace.
Kelompok keamanan menyediakan kontainer untuk aturan virtual firewall yang mengontrol ingress (inbound ke instance) dan egress (outbound dari instance) lalu lintas jaringan di tingkat port. Kelompok keamanan menggunakan default menyangkal kebijakan dan hanya berisi aturan yang mengizinkan lalu lintas tertentu. Setiap port dapat referensi satu atau lebih kelompok keamanan dalam mode aditif. Driver firewall menerjemahkan aturan kelompok keamanan untuk konfigurasi teknologi penyaringan paket yang mendasarinya seperti iptables
.
Setiap proyek berisi grup keamanan default
yang mengizinkan semua lalu lintas egress dan menyangkal semua lalu lintas ingress. Anda dapat mengubah aturan dalam grup keamanan default
. Jika Anda memulai sebuah instance tanpa menentukan kelompok keamanan, grup keamanan default
otomatis berlaku untuk itu. Demikian pula, jika Anda membuat sebuah port tanpa menentukan kelompok keamanan, grup keamanan default
otomatis berlaku untuk itu.
Catatan
Jika Anda menggunakan layanan metadata, penghapusan aturan default egress menolak akses ke TCP port 80 pada 169.254.169.254, sehingga hal itu dapat mencegah pengambilan metadata.
Aturan kelompok keamanan menjadi stateful (tegas). Dengan demikian, mengizinkan ingress TCP port 22 untuk secure shell secara otomatis membuat aturan yang mengizinkan lalu lintas egress kembali dan pesan kesalahan ICMP yang melibatkan koneksi TCP.
Secara default, semua kelompok keamanan berisi serangkaian aturan dasar (sanity) dan anti-spoofing yang melakukan tindakan berikut:
allowed-address-pairs
, atau alamat MAC valid (port or allowed-address-pairs
) dan alamat IPv6 llink-local EUI64 terkait.allowed-address-pairs
pada port instance.Meskipun lalu lintas non-IP, kelompok keamanan tidak secara implisit mengizinkan semua lalu lintas ARP. Pisahkan aturan penyaringan ARP untuk mencegah instance menggunakan ARP untuk menghadang lalu lintas instance lain. Anda tidak dapat menonaktifkan atau menghapus aturan ini.
Anda dapat menonaktifkan kelompok keamanan termasuk aturan dasar dan anti-spoofing dengan menetapkan atribut port port_security_enabled
ke False
.
Layanan OpenStack Networking adalah extensible. Ekstensi melayani dua tujuan: mereka mengizinkan pengenalan fitur baru di API tanpa memerlukan perubahan versi dan mereka mengizinkan pengenalan niche spesifik vendor secara fungsional. Aplikasi secara pemrograman bisa mendaftar ekstensi yang tersedia dengan melakukan GET pada /extensions
URI. Catatan bahwa ini adalah permintaan berversi; yaitu, extension tersedia dalam suatu versi API mungkin tidak tersedia di versi lain.
Layanan DHCP opsional mengelola alamat IP untuk instance pada jaringan provider dan self-service. Layanan Networking mengimplementasikan layanan DHCP dengan menggunakan agen yang mengelola namespaces qdhcp
dan layanan dnsmasq
.
Layanan metadata opsional menyediakan API instance untuk mendapatkan metadata seperti kunci SSH.
Virtual Private Network-as-a-Service (VPNaaS) adalah ekstensi neutron yang memperkenalkan set fitur VPN.
Load-Balancer-as-a-Service (LBaaS) API menyediakan dan mengkonfigurasi penyeimbang beban. Implementasi referensi didasarkan pada penyeimbang beban perangkat lunak HAProxy.
Firewall-as-a-Service (FWaaS) API adalah API eksperimental yang mengaktifkan pengadopsi awal dan vendor untuk menguji implementasi jaringan mereka.
Except where otherwise noted, this document is licensed under Creative Commons Attribution 3.0 License. See all OpenStack Legal Documents.