OpenStack提供了豐富的網(wǎng)絡(luò)配置環(huán)境，本文介紹設(shè)計云系統(tǒng)是對于網(wǎng)絡(luò)部分需求的考慮和設(shè)計。

如果這次是首次在你的組織中部署云系統(tǒng)，在閱讀完本章節(jié)后請和你的網(wǎng)絡(luò)運維團隊進行溝通，以便了解現(xiàn)有網(wǎng)絡(luò)狀況。云系統(tǒng)使用的網(wǎng)絡(luò)同普通系統(tǒng)所使用的網(wǎng)絡(luò)部署方式不同，且有可能在部署時對于網(wǎng)絡(luò)的連接性和網(wǎng)絡(luò)策略造成影響。

比如：組成云系統(tǒng)的服務(wù)器和云上運行的虛擬機實例所需要用的IP地址資源就需要事先進行妥善規(guī)劃和準備；云系統(tǒng)網(wǎng)絡(luò)中所涉及到的代理，防火墻也需要進行相應(yīng)的研究。

網(wǎng)絡(luò)管理

網(wǎng)絡(luò)有效管理通常是一個重要的考慮項目(常見的如：分散的交換機和網(wǎng)絡(luò)接口)。通過將系統(tǒng)管理和監(jiān)控產(chǎn)生流量和實際云系統(tǒng)用戶流量進行分流的網(wǎng)絡(luò)管理方式可以減少對于用戶使用的影響。

對于OpenStack內(nèi)部組件則建議使用私有網(wǎng)絡(luò)進行通訊，如：消息隊列，OpenStack計算節(jié)點。VLAN非常適合于這種私有網(wǎng)絡(luò)的場景。

公共訪問選項

對于云系統(tǒng)中虛擬機實例有兩種的IP地址分配策略：固定IP和動態(tài)IP。固定IP策略是在虛擬機實例啟動時分配并綁定一個固定IP地址，而動態(tài)IP策略則可能在用戶的不同操作時IP地址發(fā)生變更。這兩種IP策略按照需求同時可用于共有和私有網(wǎng)絡(luò)。

OpenStack必須使用固定IP地址，而動態(tài)IP地址則不是必須的。常見的2種動態(tài)IP的應(yīng)用場景是：對于公網(wǎng)IP地址有限的私有云環(huán)境，可提供外網(wǎng)對于私有云的訪問；或?qū)τ诠性朴脩艨梢杂幸粋€靜態(tài)IP來訪問云資源，而在云系統(tǒng)中實際對應(yīng)的實例已遷移或升級。

固定IP地址可以是私有云中的內(nèi)網(wǎng)IP，也可以是公有云中的公網(wǎng)IP。當(dāng)虛擬機實例終止后，對應(yīng)的固定IP地址就被系統(tǒng)回收。需要注意的是剛開始使用云系統(tǒng)的用戶可能會對固定IP地址的消失產(chǎn)生困惑。

IP地址規(guī)劃

OpenStack環(huán)境可能會需要很多子網(wǎng)，且每個子網(wǎng)間運行不同的服務(wù)。IP地址規(guī)劃可以對于網(wǎng)絡(luò)分隔和擴展提供更好的幫助。控制類服務(wù)同時需要公網(wǎng)和私網(wǎng)IP地址，可參見之前提到的虛擬機公網(wǎng)配置的選項。

IP地址規(guī)劃可以分解成以下部分：

1. 子網(wǎng)路由：子網(wǎng)數(shù)據(jù)包通過專用路由或nova-network服務(wù)進行通訊
2. 控制服務(wù)的公開接口：swift-proxy, nova-api, glance-api和horizon的公用訪問，可以指向單臺服務(wù)器也可在負載均衡之后。
3. 對象存儲集群內(nèi)部通訊：在對象/賬號/容器的服務(wù)之間的通訊和代理服務(wù)的內(nèi)部接口使用的私有網(wǎng)絡(luò)上的通訊。
4. 計算和存儲通訊：臨時存儲和對象存儲對于計算節(jié)點來說是外部服務(wù)，需要網(wǎng)絡(luò)進行連接通訊。
5. 外部遠程管理：如果專用的外部遠程控制器用于管理服務(wù)器，通常采用分隔的網(wǎng)絡(luò)。
6. 內(nèi)部遠程管理：通常計算或存儲節(jié)點需要額外的網(wǎng)絡(luò)接口（如 1G接口）用于系統(tǒng)管理或監(jiān)控工具訪問服務(wù)器。
7. 未來擴展的預(yù)留空間：添加新的面向公開的控制服務(wù)，或是更多的虛擬機實例的IP需要在你的計劃中。

比如：在私有IP段172.22.42.0/24 and 172.22.87.0/26上部署了OpenStack的計算和對象存儲服務(wù)，可按照如下方式進行配置：

也可以使用公網(wǎng)IP地址實現(xiàn)類似方式，建議使用較大范圍段的IP地址。需要注意的是有些Openstack網(wǎng)絡(luò)配置下，虛擬機實例的公網(wǎng)IP地址是分配給了nova-compute主機。

網(wǎng)絡(luò)拓撲

OpenStack提供了幾種網(wǎng)絡(luò)管理方式，每種各自有自己的優(yōu)缺點。選擇不同的網(wǎng)絡(luò)管理管理方式會影響到你網(wǎng)絡(luò)拓撲，所以需要謹慎選擇合適方式。 方式 Flat 優(yōu)點：及其簡單，不需要DHCP廣播 缺點：需要在虛擬機實例中進行文件注入，僅限于有限的Linux發(fā)行版，配置困難，不推薦 FlatDHCP 優(yōu)點：配置相對簡單，標準網(wǎng)絡(luò)協(xié)議，可用于任意操作系統(tǒng) 缺點：需要有自己的DHCP廣播域 VlanManager 優(yōu)點：每個租戶可以隔離在自己的VLAn中 缺點：配置較復(fù)雜，需要有自己的DHCP廣播域，需要需要許多VLAN配置傳輸端口，有VLAN數(shù)量限制，交換機需要支持802.1q VLAN tagging FlatDHCP Multi-host 優(yōu)點：網(wǎng)絡(luò)故障可按照虛擬機進行隔離 缺點：配置復(fù)雜 HA 優(yōu)點：running on the hypervisor affected.（不知道什么意思？主機上運行，可遷移？），DHCP通訊可以隔離在單個主機，網(wǎng)絡(luò)流量可以分布到不同的計算節(jié)點上 缺點：默認計算節(jié)點需要分配公網(wǎng)IP地址，在線擴展時在網(wǎng)絡(luò)部分需要特別小心的修改配置

VLANs

VLAN的配置可以從簡單到復(fù)雜。使用VLAN可以使每個項目有有自己的子網(wǎng)且網(wǎng)絡(luò)廣播可以同其他的項目分隔開。為了讓OpenStack更好的使用VLAN，需要將VLAN進行劃分（每個項目一個VLAN）且每個計算節(jié)點連接的交換機端口都需要綁定到VLAN的傳輸端口(trunck port)。

比如：你的云預(yù)計需要支持最多100個項目，選擇一個當(dāng)前網(wǎng)絡(luò)架構(gòu)中沒有使用的VLAN范圍（如：VLAN 200 - 299），然后配置OpenStack使用該VLAN范圍且交換機端口允許該范圍的VLAN進行通訊。

多個網(wǎng)絡(luò)接口

OpenStack可以支持將多個網(wǎng)絡(luò)接口分配給一個虛擬機實例。雖然這是一個不常用的高級特性，但通過簡單配置就可支持。需要注意的是第二個網(wǎng)絡(luò)接口使用整個子網(wǎng)或VLAN，對于可支持的項目數(shù)會減少。

多主機和單主機網(wǎng)絡(luò)

nova-network服務(wù)可以運行在多主機或單主機模式下。多主機網(wǎng)絡(luò)模式就是每個計算節(jié)點上都運行一份nova-network服務(wù)，該服務(wù)就作為相同節(jié)點上虛擬機實例連接Internet的網(wǎng)關(guān)。同時，計算節(jié)點也為本機的虛擬機實例提供了動態(tài)IP和安全組(Security Groups)。單主機網(wǎng)絡(luò)模式是使用集中的服務(wù)器，如：云控制器，獨立運行nova-network服務(wù)。所有計算節(jié)點都將虛擬機實例的網(wǎng)絡(luò)通訊轉(zhuǎn)發(fā)到云控制器，云控制器負責(zé)連接到Internet。云中的所有計算節(jié)點上所有的虛擬機實例使用的動態(tài)IP和安全組(Security Groups)都是由云控制器支持。

這兩種模式各有優(yōu)缺點。單主機網(wǎng)絡(luò)模式有單點故障的缺點，當(dāng)云控制器發(fā)生故障，所有虛擬機實例都無法進行網(wǎng)絡(luò)通訊。而多主機網(wǎng)絡(luò)模式則沒有這個問題，但多主機模式下需要每個計算節(jié)點都有一個公網(wǎng)IP用于連接Internet。當(dāng)沒有足夠的公網(wǎng)IP地址時，則無法使用多主機網(wǎng)絡(luò)模式。

網(wǎng)絡(luò)服務(wù)

OpenStack和其他網(wǎng)絡(luò)應(yīng)用一樣會應(yīng)用很多標準服務(wù)，比如：DNS和NTP

NTP

時間同步是確保OpenStack各個組件能正常工作的一個關(guān)鍵因素。虛擬機實例中的調(diào)度，對象存儲中的對象復(fù)制和日志中的時間戳匹配都必須要有正確的時間。

所有運行OpenStack組件的服務(wù)器都需要能訪問適合的NTP服務(wù)。你可以通過在本地搭建一個NTP服務(wù)或者是使用公用的NTP服務(wù)。通過訪問http://www.pool.ntp.org/可以獲得可用的公用NTP服務(wù)。

DNS

除了在安裝nova-network服務(wù)器上有運行dnsmasq之外，OpenStack目前并不提供DNS服務(wù)。你可以考慮提供一個動態(tài)DNS服務(wù)用于虛擬機實例更新DNS記錄指向新的IP地址，也可以提供正向或逆向的DNS同虛擬機實例IP地址的映射，如：vm-203-0-113-123.example.com。