Концепции сетевой подсистемы (neutron)¶

Сетевой сервис neutron управляет всеми сетевыми аспектами виртуальной сетевой инфраструктуры (VNI) и аспектами уровня доступа к физической сетевой инфраструктуре в вашем окружении OpenStack. Служба управления сетью OpenStack дает возможность проектам создавать продвинутые топологии виртуальных сетей которые могут включать в себя такие службы как firewall, load balancer, и virtual private network (VPN).

Сетевая подсистема предоставляет абстрактные сети, подсети и маршрутизаторы. Каждая из них по функциональности имитирует физические аналоги: сети содержат подсети, маршрутизаторы маршрутизируют траффик между разными подсетями и сетями.

В любой сетевой настройке присутствует хотя бы одна внешняя сеть. В отличии от остальных сетей, внешняя сеть не является полностью виртуальной сетью. Вместо этого, она представляет фрагмент физической внешней сети, доступной вне OpenStack. IP адреса во внешней сети физически доступны всем во внешней сети.

В дополнение ко внешним сетям, в любой сетевой настройке есть хотя бы одна внутренняя сеть. Эти программно-определяемые сети подключаются напрямую к виртуальным машинам. Только виртуальные машины в данной внутренней сети, либо в подсетях, подключенных через интерфейсы к тому же маршрутизатору, имеют прямой доступ к виртуальным машинам в этой сети.

For the outside network to access VMs, and vice versa, routers between the networks are needed. Each router has one gateway that is connected to an external network and one or more interfaces connected to internal networks. Like a physical router, subnets can access machines on other subnets that are connected to the same router, and machines can access the outside network through the gateway for the router.

Additionally, you can allocate IP addresses on external networks to ports on the internal network. Whenever something is connected to a subnet, that connection is called a port. You can associate external network IP addresses with ports to VMs. This way, entities on the outside network can access VMs.

Networking also supports security groups. Security groups enable administrators to define firewall rules in groups. A VM can belong to one or more security groups, and Networking applies the rules in those security groups to block or unblock ports, port ranges, or traffic types for that VM.

Each plug-in that Networking uses has its own concepts. While not vital to operating the VNI and OpenStack environment, understanding these concepts can help you set up Networking. All Networking installations use a core plug-in and a security group plug-in (or just the No-Op security group plug-in). Additionally, Firewall-as-a-Service (FWaaS) and Load-Balancer-as-a-Service (LBaaS) plug-ins are available.