OpenStack Networking (jaringan OpenStack)

updated: 2019-08-23 18:54
Contents

OpenStack Networking (jaringan OpenStack)

OpenStack Networking mengizinkan Anda untuk membuat dan mengelola objek jaringan, seperti jaringan, subnet, dan port, dimana layanan OpenStack lainnya dapat menggunakan. Plug-in dapat diimplementasikan untuk mengakomodasi peralatan jaringan dan perangkat lunak yang berbeda, yang memberikan fleksibilitas untuk arsitektur dan pengerahan OpenStack.

Layanan Networking, code-named neutron, menyediakan API yang memungkinkan Anda menentukan konektivitas jaringan dan menangani di cloud. Layanan Networking mengaktifkan para operator untuk memanfaatkan teknologi jaringan yang berbeda untuk memperdayakan jaringan cloud mereka. Layanan Networking juga menyediakan API untuk mengkonfigurasi dan mengelola berbagai layanan jaringan mulai dari L3 forwarding dan NAT sampai load balancing, perimeter firewall, dan jaringan private virtual.

Ini mencakup komponen-komponen berikut:

API server
OpenStack Networking API meliputi dukungan untuk Layer 2 networking dan IP address management (IPAM), serta ekstensi konstruksi untuk Layer 3 router yang mengaktifkan routing diantara Layer 2 networks dan gateway ke jaringan eksternal. OpenStack Networking meliputi daftar tumbuh plug-in yang mengaktifkan interoperabilitas dengan berbagai teknologi jaringan komersial dan open source, termasuk router, switch, switch virtual dan software-defined networking (SDN) controller.
Plug-in dan agen OpenStack Networking
Port plugs dan unplugs, menciptakan jaringan atau subnet, dan menyediakan alamat IP. Plug-in dan agen yang dipilih berbeda tergantung pada vendor dan teknologi yang digunakan di cloud tertentu. Hal ini penting untuk menyebutkan bahwa hanya satu plug-in dapat digunakan pada satu waktu.
Antrian pesan
Menerima dan me-rute RPC request antara agen agen untuk menyelesaikan operasi API. Antrian pesan digunakan dalam ML2 plug-in untuk RPC antara server neutron dan agen neutron yang berjalan di setiap hypervisor, di driver mekanisme ML2 untuk Open vSwitch and Linux bridge.

Konsep

Untuk mengkonfigurasi topologi jaringan yang beragam, Anda dapat membuat dan mengkonfigurasi jaringan dan subnet dan menginstruksikan layanan OpenStack lain seperti Compute untuk menghubungkan perangkat virtual ke port pada jaringan ini. OpenStack Compute adalah konsumen yang menonjol dari OpenStack Networking untuk menyediakan konektivitas untuk instances nya. Secara khusus, OpenStack Networking mendukung setiap proyek yang memiliki beberapa jaringan private dan mengaktifkan proyek untuk memilih skema pengalamatan IP mereka sendiri, bahkan jika alamat IP proyek mereka terjadi tumpang tindih dengan proyek lain menggunakan. Ada dua jenis jaringan, jaringan proyek dan jaringan provider. Hal ini dimungkinkan untuk berbagi salah satu jenis jaringan antara proyek-proyek sebagai bagian dari proses pembuatan jaringan.

Jaringan provider

Jaringan provider menawarkan layer-2 connectivity untuk instance dengan dukungan opsional untuk DHCP dan layanan metadata. Jaringan ini menghubungkan, atau memetakan, untuk layer-2 network yang ada di pusat data, biasanya menggunakan VLAN (802.1q) tagging untuk mengidentifikasi dan memisahkan mereka.

Jaringan provider umumnya menawarkan kesederhanaan, kinerja, dan kehandalan pada biaya fleksibilitas. Secara default hanya administrator dapat membuat atau memperbarui jaringan provider karena mereka memerlukan konfigurasi infrastruktur jaringan fisik. Hal ini dimungkinkan untuk mengubah pengguna yang diizinkan untuk membuat atau memperbarui jaringan provider dengan parameter berikut `` policy.json``:

  • create_network:provider:physical_network
  • update_network:provider:physical_network

Peringatan

Penciptaan dan modifikasi jaringan provider mengaktifkan penggunaan sumber daya jaringan fisik, seperti VLAN-s. Aktifkan perubahan ini hanya untuk penyewa (tenant) dipercaya.

Juga, jaringan provider hanya menangani layer-2 connectivity untik instance, sehingga kurang dukungan untuk fitur seperti router dan alamat IP mengambang.

Dalam banyak kasus, operator yang sudah akrab dengan arsitektur jaringan virtual yang mengandalkan infrastruktur jaringan fisik untuk lapisan-2, lapisan-3, atau layanan lainnya dapat secara mulus mnegerahkan layanan OpenStack Networking. Secara khusus, jaringan provider menarik bagi operator yang ingin bermigrasi dari layanan jaringan Compute (nova-network) ke layanan OpenStack Networking. Seiring waktu, operator dapat membangun arsitektur minimal ini untuk mengaktifkan fitur jaringan cloud.

Secara umum, komponen software OpenStack Networking yang menangani operasi lapisan-3 berdampak secara nysta pada kinerja dan kehandalan. Untuk meningkatkan kinerja dan kehandalan, jaringan provider memindahkan operasi lapisan-3 untuk infrastruktur jaringan fisik.

Dalam satu kasus penggunaan tertentu, pengerahan OpenStack berada di lingkungan campuran conventional virtualization dengan bare-metal host yang menggunakan infrastruktur jaringan fisik yang cukup besar. Aplikasi yang berjalan di dalam penyebaran OpenStack mungkin memerlukan lapisan-2 akses langsung, biasanya menggunakan VLAN, untuk aplikasi di luar pengerahan.

jaringan penyedia (provider) yang diarahkan

Jaringan provider yang di-rute menawarkan lapisan-3 konektivitas untuk instance. Jaringan ini memetakan jaringan lapisan-3 yang ada di pusat data. Lebih khusus, jaringan memetakan ke beberapa segmen lapisan-2, masing-masing yang pada dasarnya adalah jaringan provider. Masing-masing jaringan memiliki router gateway yang terhubung ke yang me-rute lalu lintas antara jaringan mereka dan secara eksternal. Layanan Networking tidak menyediakan routing.

Jaringan provider yang di-rute menawarkan kinerja di skala yang sulit dicapai dengan jaringan provider polos (plain) pada tingkat ongkos konektivitas lapisan-2 yang terjamin.

Lihat jaringan penyedia (provider) yang diarahkan untuk informasi lebih lanjut.

Jaringan self-service

Jaringan self-service terutama mengaktifkan secara umum proyek (non-privileged) untuk mengelola jaringan tanpa melibatkan administrator. Jaringan ini sepenuhnya virtual dan membutuhkan router virtual untuk berinteraksi dengan provider dan jaringan eksternal seperti Internet. Jaringan self-service juga biasanya menyediakan DHCP dan layanan metadata untuk instance.

Dalam kebanyakan kasus, jaringan self-service menggunakan protokol overlay seperti VXLAN atau GRE karena mereka dapat mendukung lebih banyak jaringan dari segmentasi lapisan-2 menggunakan VLAN tagging (802.1q). Selanjutnya, VLAN biasanya membutuhkan konfigurasi infrastruktur jaringan fisik tambahan.

Jaringan self-service IPv4 biasanya menggunakan rentang alamat IP private (RFC1918) dan berinteraksi dengan jaringan provider melalui sumber NAT pada router virtual. Alamat IP mengambang mengaktifkan akses ke instance dari jaringan provider via NAT tujuan pada router virtual. IPv6 jaringan self-service selalu menggunakan rentang alamat IP publik dan berinteraksi dengan jaringan provider melalui router virtual dengan rute statis.

Layanan Networking menerapkan router yang menggunakan agen lapisan-3 yang biasanya berada pada setidaknya satu node jaringan. Bertentangan dengan jaringan provider yang menghubungkan instance untuk infrastruktur jaringan fisik pada lapisan-2, jaringan self-service harus melintasi agen lapisan-3. Dengan demikian, kelebihan permintaan atau kegagalan dari agen lapisan-3 atau node jaringan dapat berdampak pada jumlah yang signifikan dari jaringan self-service dan instance yang menggunakan mereka. Mempertimbangkan untuk menerapkan satu atau lebih fitur ketersediaan tinggi untuk meningkatkan redundansi dan kinerja jaringan swalayan.

Pengguna membuat jaringan proyek untuk konektivitas dalam proyek. Secara default, jeringan proyek sepenuhnya terisolasi dan tidak dibagi dengan proyek-proyek lainnya. OpenStack Networking mendukung jenis jaringan isolasi dan overlay teknologi.

Flat
Semua instance berada pada jaringan yang sama, yang juga dapat dibagi dengan host. Tidak ada VLAN tagging atau pemisahan jaringan lainnya berlangsung.
VLAN
Jaringan mengizinkan pengguna untuk membuat beberapa provider atau proyek jaringan menggunakan ID VLAN (802.1Q tag) yang sesuai dengan VLAN yang ada dalam jaringan fisik. Hal ini mengizinkan instance untuk berkomunikasi satu sama lain di lingkungan. Mereka juga dapat berkomunikasi dengan dedicated server, firewall, load balancer, dan infrastruktur jaringan lain pada layer 2 VLAN yang sama.
GRE dan VXLAN
VXLAN dan GRE adalah protokol enkapsulasi yang membuat jaringan overlay untuk mengaktifkan dan mengendalikan komunikasi antara instance komputasi. Sebuah router jaringan diperlukan untuk mengizinkan lalu lintas mengalir di luar jaringan proyek GRE atau VXLAN. Sebuah router juga diperlukan untuk menghubungkan jaringan proyek langsung terhubung dengan jaringan eksternal, termasuk Internet. Router memberikan kemampuan untuk terhubung ke instance langsung dari jaringan eksternal menggunakan alamat IP mengambang.
Tenant and provider networks

Subnet-subnet

Sebuah blok alamat IP dan terkait keadaan konfigurasi. Hal ini juga dikenal sebagai native IPAM (IP Address Management) yang disediakan oleh layanan jaringan untuk proyek dan jaringan provider. Subnet digunakan untuk mengalokasikan alamat IP ketika port baru diciptakan pada jaringan.

Subnet pools (kolam subnet)

End user biasanya dapat membuat subnet dengan alamat IP yang valid tanpa pembatasan lainnya. Namun, dalam beberapa kasus, itu bagus untuk admin atau proyek untuk pre-define kolam alamat yang membuat subnet dengan alokasi otomatis.

Penggunaan kolam subnet membatasi alamat dimana dapat digunakan dengan mewajibkan bahwa setiap subnet berada dalam kolam yang ditetapkan. Hal ini juga mencegah penggunaan ulang alamat atau tumpang tindih dengan dua subnet dari kolam yang sama.

Lihat Subnet pools (kolam subnet) untuk informasi lebih lanjut.

Port-Port

Sebuah port adalah titik koneksi untuk menghubungkan satu perangkat, seperti NIC dari server virtual, untuk jaringan virtual. Port juga menjelaskan konfigurasi jaringan yang terkait, seperti MAC dan alamat IP yang akan digunakan pada port tersebut.

Routers

Router menyediakan layanan lapisan-3 virtual seperti routing dan NAT antara self-service dan jaringan provider atau antar jaringan self-service milik proyek. Layanan Networking menggunakan agen lapisan-3 untuk mengelola router melalui namespace.

Kelompok keamanan

Kelompok keamanan menyediakan kontainer untuk aturan virtual firewall yang mengontrol ingress (inbound ke instance) dan egress (outbound dari instance) lalu lintas jaringan di tingkat port. Kelompok keamanan menggunakan default menyangkal kebijakan dan hanya berisi aturan yang mengizinkan lalu lintas tertentu. Setiap port dapat referensi satu atau lebih kelompok keamanan dalam mode aditif. Driver firewall menerjemahkan aturan kelompok keamanan untuk konfigurasi teknologi penyaringan paket yang mendasarinya seperti iptables.

Setiap proyek berisi grup keamanan default yang mengizinkan semua lalu lintas egress dan menyangkal semua lalu lintas ingress. Anda dapat mengubah aturan dalam grup keamanan default. Jika Anda memulai sebuah instance tanpa menentukan kelompok keamanan, grup keamanan default otomatis berlaku untuk itu. Demikian pula, jika Anda membuat sebuah port tanpa menentukan kelompok keamanan, grup keamanan default otomatis berlaku untuk itu.

Catatan

Jika Anda menggunakan layanan metadata, penghapusan aturan default egress menolak akses ke TCP port 80 pada 169.254.169.254, sehingga hal itu dapat mencegah pengambilan metadata.

Aturan kelompok keamanan menjadi stateful (tegas). Dengan demikian, mengizinkan ingress TCP port 22 untuk secure shell secara otomatis membuat aturan yang mengizinkan lalu lintas egress kembali dan pesan kesalahan ICMP yang melibatkan koneksi TCP.

Secara default, semua kelompok keamanan berisi serangkaian aturan dasar (sanity) dan anti-spoofing yang melakukan tindakan berikut:

  • Izinkan lalu lintas egress hanya jika menggunakan sumber alamat MAC dan IP dari port untuk instance, sumber kombinasi MAC dan IP dalam allowed-address-pairs, atau alamat MAC valid (port or allowed-address-pairs) dan alamat IPv6 llink-local EUI64 terkait.
  • Izinkan egress DHCP discovery and request messages yang menggunakan sumber alamat MAC dari port untuk instance dan alamat IPv4 yang tidak ditentukan (0.0.0.0).
  • Izinkan ingress DHCP and DHCPv6 responses dari server DHCP di subnet sehingga kasus dapat memperoleh alamat IP.
  • Tolak egress DHCP dan DHCPv6 response untuk mencegah instance dari tindakan sebagai server DHCP (v6).
  • Izinkan ingress/egress ICMPv6 MLD, neighbor solicitation, dan pesan penemuan tetangga sehingga instance dapat menemukan neighbors dan bergabung dengan multicast groups.
  • Tolak egress ICMPv6 router advertisements untuk mencegah instance dari tindakan sebagai router IPv6 dan meneruskan lalu lintas IPv6 untuk instance lain.
  • Izinkan egress ICMPv6 MLD reports (v1 dan v2) dan neighbor solicitation messages yang menggunakan sumber alamat MAC dari instance khusus dan alamat IPv6 tidak ditentukan (: :). Duplicate address detection (DAD) tergantung pada pesan ini.
  • Izinkan egress non-IP traffic dari alamat MAC dari port instance dan setiap alamat MAC tambahan dalam allowed-address-pairs pada port instance.

Meskipun lalu lintas non-IP, kelompok keamanan tidak secara implisit mengizinkan semua lalu lintas ARP. Pisahkan aturan penyaringan ARP untuk mencegah instance menggunakan ARP untuk menghadang lalu lintas instance lain. Anda tidak dapat menonaktifkan atau menghapus aturan ini.

Anda dapat menonaktifkan kelompok keamanan termasuk aturan dasar dan anti-spoofing dengan menetapkan atribut port port_security_enabled ke False.

Extensions

Layanan OpenStack Networking adalah extensible. Ekstensi melayani dua tujuan: mereka mengizinkan pengenalan fitur baru di API tanpa memerlukan perubahan versi dan mereka mengizinkan pengenalan niche spesifik vendor secara fungsional. Aplikasi secara pemrograman bisa mendaftar ekstensi yang tersedia dengan melakukan GET pada /extensions URI. Catatan bahwa ini adalah permintaan berversi; yaitu, extension tersedia dalam suatu versi API mungkin tidak tersedia di versi lain.

DHCP

Layanan DHCP opsional mengelola alamat IP untuk instance pada jaringan provider dan self-service. Layanan Networking mengimplementasikan layanan DHCP dengan menggunakan agen yang mengelola namespaces qdhcp dan layanan dnsmasq.

Metadata

Layanan metadata opsional menyediakan API instance untuk mendapatkan metadata seperti kunci SSH.

Layanan dan hirarki komponen

Server

  • Sediakan API, kelola database, dll

Plug-ins

  • Kelola agen

Agents

  • Sediakan konektivitas lapisan 2/3 untuk instance
  • Tangani transisi jaringan physical-virtual
  • Tangani metadata, dll

Lapisan 2 (Ethernet dan Switching)

  • Linux Bridge (jembatan Linux)
  • OVS

Lapisan 3 (IP dan Routing)

  • L3
  • DHCP

Miscellaneous (lain-lain)

  • Metadata

Layanan-layanan

Layanan routing

VPNaaS

Virtual Private Network-as-a-Service (VPNaaS) adalah ekstensi neutron yang memperkenalkan set fitur VPN.

LBaaS

Load-Balancer-as-a-Service (LBaaS) API menyediakan dan mengkonfigurasi penyeimbang beban. Implementasi referensi didasarkan pada penyeimbang beban perangkat lunak HAProxy.

FWaaS

Firewall-as-a-Service (FWaaS) API adalah API eksperimental yang mengaktifkan pengadopsi awal dan vendor untuk menguji implementasi jaringan mereka.

updated: 2019-08-23 18:54
Creative Commons Attribution 3.0 License

Except where otherwise noted, this document is licensed under Creative Commons Attribution 3.0 License. See all OpenStack Legal Documents.

found an error? report a bug questions?