03-Neutron的资源模型-Part1

一、千七百怪的问题

问题:network、subnet、port的对应关系是什么?

image.png

network:表示一个虚拟的二层网络
subnet:表示一个子网,同时包含dhcp、dns、路由等信息
port:对应虚拟机的vNIC,配置mac地址和ip地址。

问题:network是什么?有什么作用?

Network是Neutron的一个二层网络的资源模型,它支持的网络类型有:Local、Flat、VLAN、VXLAN、GRE、Geneve等

  • Local仅仅是主机内的网络类型,普遍用于测试环境。
  • VXLAN、GRE、Geneve属于隧道类型网络
  • Flat喝VLAN属于非隧道类型网络。
    从某种意义来说,Network是Neutron的根,subnet、port都绑定在network上。Neutron对外提供二层网络服务接口,租户可以通过这个服务创建并管理自己的网络,这种网络也称为租户网络。

在Host/主机内部配置的vlan时,Neutron的network的物理承载实体为OVS上配置的VLAN,例如交换机设备上配置VXLAN时,物理网络和Neutron的网络映射模型如下:

问题:Subnt是什么?发挥了什么作用?

Subnet(子网)在一般的概念中,有两个基本含义:

  • 这个子网的网段(CIDR)和ip版本
  • 这个子网的路由信息(含默认路由、DNS、DHCP、IPAM等)

事实上Subnet模型确实有两个字段CIDR和IP_version,分别表示一个子网网段和ip版本,另外subnet模型还有两个字段gateway_ip和host_routes表示一个子网的路由信息。

  • gateway_ip表示这个子网的默认网关ip地址。
  • host_routes存储这个subnet的路由信息,destionation表示目的地址的CIDR,nexthop表示下一跳(网关)的ip地址。

问题:Port是什么?有什么作用

在Neutron中,对于三层转发首先要配置就是IP地址,而承载IP地址的就是Port。Neutron中并没有VM的概念,而是以Port指代,所以对于Port的理解可以理解为Port是VM的虚拟口(vNIC),对应Linux虚拟化网络的中,tap就对应vNIC,真实层层嵌套。

在Neutron中,虚拟机需要绑定Port,路由器也需要绑定Port,既然是虚拟网口,与物理网口类比,肯定具有ip地址和mac地址。在Port的配置的ip地址中,ip地址不能孤立存在,他必须属于一个subnet,同时也意味着ip地址必须在subnet范围内,同时Port也需要属于一个Network,靠port模型中的network_id来表达。

Port是如此重要,但是也不能凭空存在,它必须得绑定到一个实化本上才有意义。Port有两个字段与实体绑定相关。其中一个是device id,标识谁使用了这个Port,比如一个Router(路由器)。另一个字段是device_owner,它标识使用这个Port的实体的类型。比如一个虚拟机绑定了这个端口,那么这个实体类型就
是compute:nova。

问题:network、port、subnet的对应关系是什么?

image.png

Port与Subnet之间的关系是m:n,但是为了表达清楚特意画了两根线。这个图表明,一个Network可以有多个Subnet,一个Subnet只能归属一个Network。同时一个Network可以有多个Port,而一个Port可以与其所在的Network中的所有Subnet相关联。当然一个个Subnet也可以有多个Port。

二、Neutron资源的租户隔离

Neutron是支持多租户的系统,租户隔离是Neutron必须要支持的特性。在Neutron的资源模型中,有一个字段:tenant_id,字段的目的就是为了实现租户隔离,在后续的发展过程中更改为Project_id,除了字段名改了外,其他都是为了实现:租户隔离。

租户隔离,本质上不可能两个不同的硬件,硬件不行逻辑来实现,那么在底层肯定是在共享的设备上实现隔离的效果咯。租户隔离在Neutron语境下,从租户视角,或者从需求的视角来讲,租户隔离有三种含义:管理面隔离、数据面的隔离、故障面的隔离。


image.png

管理面隔离:一个tenant只知道自己的网络,对其他网络毫无感知。
数据面的隔离:数据转发的隔离,不同租户之间不能互相通信。
故障隔离:租户故障不会影响另一个租户的业务(往往有对应的限制要求)。
PS:管理面故障、数据面的故障必须要做到租户隔离,而物理层面做不到故障隔离。

2.1 数据面的租户隔离方案

2.1.1 计算节点

Neutron在计算节点和网络节点都涉及数据转发,那此时也都涉及租户隔离。


image.png

计算节点通过上图发现,br-eth/tun、br-int只有一个实例,此时通过“多租户共享”方案来实现多租户隔离。

  • br-int、br-ethx通过vlan来隔离各租户网络数据流量。
  • br-tun通过相应的tunnel_id来隔离各自租户网络流量。

qbr与VM一一对应,属于“单用户独占”的方案来实现“多租户隔离“

  • qbr由于绑定了安全组,在原生的数据面租户隔离的基础上又叠加了一层“安全层”来保证租户隔离。

原生的数据面转发( br-ethx/tun 、br-int)负责“正常行为”的租户隔离,而安全技术( qbr)负责“异常行为”(非法访问)的租户隔离 。

2.1.2 网络节点

image.png

网络节点中的br-eth/tun、br-int、br-ex分别只有一个实例,这是属于"多租户共享”的方案,实现了多租户隔离的目的。

Router/DVR跟租户相对应,而且每个Router/DVR运行在一个namespace中,这个属于“单租户占”(用namespace隔离)的方案,来实现多租户隔离的目的。Router/DVR除了可以保证租户间网络不会互相访问外,还解决了逻辑资源(ip地址)冲突的问题。

2.2 管理面的租户隔离方案

管理面对于Neutron而言,指的是控制节点。openstack(neutron)控制节点的实现模型如下图:


image.png

对于管理面,租户隔离一般涉及几个层面:硬件/操作系统层面、应用程序层面、数据库层面。Neutron在这几个层面隔离方案:


image.png

对于多租户隔离方案,Neutron仅仅在数据库层面做了一些租户隔离。数据层面租户隔离方案相对较弱,普遍采取第三种:
  • 独立数据库
  • 共享数据库,独立表:不同租户,不同表,而且不同租户之间的表也没有关联性(类比设备中的VRF)
  • 共享数据库,共享表:通过表中字段,如tenant_id来区分不同的租户。

2.3 故障面的租户隔离方案

Neutron在数据面、管理面的租户隔离方案可以分为两类:

  • 资源但租户独占(如router):具有一定的故障层面租户隔离能力,如一个租户的Router发生故障,不会影响到其他租户。
  • 资源多租户共享(br-int):没有任何故障层面的隔离能力,一旦一个部件发生故障,所有与其关联的租户都将要收到影响。


    image.png

资源独占是相对的,而不是绝对的。一个租户可以独占一个Router,但是可能与其他租户共享主机,更有可能共享Rack(机架),更不用说共享更大颗粒度的资源数据中心了,这不是技术问题,而是云服务器的商业本质。

只要存在资源共享,就不可能做到真正的故障租户隔离,所以Neutron在故障面的目标就不是租户隔离,而是容错。尽量保证不受故障影响,不仅Neutron如此,openstack也是如此。




本文参考:《深入理解Openstack Neutron》——李宗标

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 214,588评论 6 496
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,456评论 3 389
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 160,146评论 0 350
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,387评论 1 288
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,481评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,510评论 1 293
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,522评论 3 414
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,296评论 0 270
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,745评论 1 307
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,039评论 2 330
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,202评论 1 343
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,901评论 5 338
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,538评论 3 322
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,165评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,415评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,081评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,085评论 2 352

推荐阅读更多精彩内容