CloudStack 网络架构深入浅出


网络架构的深入浅出 天云趋势工程师 刘宇超 天云趋势工程师,精通linux和数据库,对服务器、存储、交换机有深入了解。 参与多个Cloudstack项目,对CloudStack 2.2至3.0版本拥有丰富的规划、实 施、运维经验。 yuchao_liu@tcloudcomputing.com @Tanthalas 个人介绍 大纲 •  CloudStack 网络的基本概念 •  CloudStack 网络架构 & 配置 –  基本网络 –  高级网络 •  案例分享 CloudStack 网络的基本概念 Ø  基本资源域网络 •  类似AWS的扁平网络模式,适合大 规模扩展,所有VM部署于同一子 网中 •  通过安全组进行帐户间的隔离(不 支持VMware) •  Virtual Router提供DHCP与DNS服务 Ø  高级资源域网络 •  支持Isolated与Shared两种虚拟来宾网 络模式,虚拟机可接入多个网络 •  通过VLAN进行账户间的隔离 , 但VLAN数量受到限制(4096) •  Virtual Router提供更多的网络服务: DHCP, DNS, NAT, Firewall, VPN, LoadBalancing, PortForwarding 1. 网络部署模式 CloudStack 网络的基本概念 2. 逻辑架构图 CloudStack 网络的基本概念 3. 物理网络架构图 Secondary Storage MAX 15.4W/PORT STATUS WS-X4548-GB-RJ45V 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 MULTI-SPEED GIGABIT ETHERNET SWITCHING MODULE 48-PORT 10/100/1000 BASE T IN-LINE POWER 32 31 30 29 28 27 26 25 24 23 22 21 20 19 18 17 48 47 46 45 44 43 42 41 40 39 38 37 36 35 34 33 16 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 32313029282726252423222120191817 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 POD Advanced Zone Advanced Zone Management Hypervisor Cluster Primary Storage Ø  基本资源域网络 Ø  高级资源域网络 MAX 15.4W/PORT STATUS WS-X4548-GB-RJ45V 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 MULTI-SPEED GIGABIT ETHERNET SWITCHING MODULE 48-PORT 10/100/1000 BASE T IN-LINE POWER 32 31 30 29 28 27 26 25 24 23 22 21 20 19 18 17 48 47 46 45 44 43 42 41 40 39 38 37 36 35 34 33 16 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 32313029282726252423222120191817 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 Hypervisor Cluster POD Secondary Storage Basic Zone Basic Zone Primary Storage Management CloudStack 网络的基本概念 4. 网络的流量类型: •  公用网络 –  置于VR外侧,可供多个或某个指定帐户使用的 共享网络,一般用于接入Internet公网使用。 •  来宾网络 –  分配给虚拟机使用的虚拟网络,分为隔离和共 享两种。 •  管理网络 –  管理服务器与物理主机、系统虚拟机管理地址 之间的通讯网络。 •  存储网络 –  Hypervisor主机访问主存储,SSVM访问二级 存储的通讯网络 Ø  共享网络 •  支持 基本资源域 和 高级资源域 •  不同帐户的VM都可使用同一个共 享网络 •  使用安全组方式进行网络隔离 Ø  隔离网络 •  仅支持 高级资源域 •  属于某个特定帐户,帐户可拥有一 个或多个隔离网络 •  使用VLAN方式进行网络隔离 CloudStack 网络的基本概念 5. 来宾网络的类型 CloudStack 网络的基本概念 6. 来宾网络架构图 来宾网络 192.168.1.0/24 192.168.1.102 192.168.1.103 192.168.1.104 Virtual Router Guest VM 1 Guest VM 2 Guest VM 3 Ø  基本资源域网络 192.168.1.100 传统网 络 192.168.1.0/24 192.168.1.1 Guest VM 1 Guest VM 2 Guest VM 3 物理机 Switch Ø  传统网络 DHCP & DNS Switch DHCP Server DNS Server 192.168.1.5 192.168.1.33 192.168.1.157 来宾网络 10.10.1.0/24 10.10.1.2 10.10.1.3 Virtual Router 公共网 络 172.10.1.0/24 Ø  高级资源域网络 Virtual Router 172.10.1.5 172.10.1.6 10.10.1.1 10.10.1.2 10.10.1.3 10.10.1.1 Account 1 Account 2 公共网络/Internet 来宾网 络10.1.1.0/24 VLAN 100 Private IP 10.1.1.252 DHCP DNS 65.37.141.112 NetScaler Load Blancer Private IP 10.1.1.251 65.37.141.111 Juniper SRX Firewall •  Gateway •  DHCP, DNS •  Source NAT •  Static NAT •  Firewall •  Port Forward •  Load Balancing •  VPN 10.1.1.1 Guest VM 1 10.1.1.3 Guest VM 2 10.1.1.20 Guest VM 3 10.1.1.150 Guest VM 4 Virtual Router Ø  配合外部设备的网络 CloudStack 网络的基本概念 6. 来宾网络架构图 Guest VM 1 Guest VM 2 Guest VM 1 Guest VM 2 功能 Virtual Router Citrix NetScaler Juniper SRX F5 BigIP Remote Access VPN YES N/A N/A N/A Firewall YES N/A YES N/A Source NAT YES N/A YES N/A Static NAT YES YES YES N/A Load Balancing YES YES N/A YES Port Forwarding YES N/A YES N/A DHCP/DNS/User Data YES N/A N/A N/A •  DHCP, DNS, Gateway,Firewall, Port Forwarding, Source NAT, Static NAT,VPN, Load Balancer, User Data, VM network monitor*, Security Groups*, CloudStack 网络的基本概念 7. 可提供的网络服务功能 CloudStack 网络的基本概念 8. Virtual Router 简介 ü  系统虚拟机的一种,当第一次创建VM的时候一起创建 ü  提供多种网络服务 ü  拥有3块网卡 •  eth0:用于高级网络中的的来宾网络(Guest CIDR) •  eth1:用于CloudStack配置V-Router的local-link网络(KVM和XenServer)或管 理网络(VMware) •  eth2:用于公共网络 ü  在默认的隔离模式下,默认打开全部出口,屏蔽所有入口 ü  Debian 6.0 (“Squeeze”)系统,没有配置额外账户,安装最新版本的patch,以保证 安全性 ü  只安装必备的程序,使用特别生成的key可以ssh登陆,安装支持各种hypervisor的 drivers和tools以提高性能 http://docs.cloud.com/Knowledge_Base/Domain_Router_Security CloudStack 网络的架构&配置 1.1 基本网络的物理架构 POD-1 Secondary Storage POD-2 Primary Storage Primary Storage Hypervisor Cluster Hypervisor Cluster Management Mysql DB MAX 15.4W/PORT STATUS WS-X4548-GB-RJ45V 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 MULTI-SPEED GIGABIT ETHERNET SWITCHING MODULE 48-PORT 10/100/1000 BASE T IN-LINE POWER 32 31 30 29 28 27 26 25 24 23 22 21 20 19 18 17 48 47 46 45 44 43 42 41 40 39 38 37 36 35 34 33 16 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 32313029282726252423222120191817 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 Management Mysql DB Primary & Secondary Storage Hypervisor Primary Storage MAX 15.4W/PORT STATUS WS-X4548-GB-RJ45V 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 MULTI-SPEED GIGABIT ETHERNET SWITCHING MODULE 48-PORT 10/100/1000 BASE T IN-LINE POWER 32 31 30 29 28 27 26 25 24 23 22 21 20 19 18 17 48 47 46 45 44 43 42 41 40 39 38 37 36 35 34 33 16 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 32313029282726252423222120191817 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 CloudStack 网络的架构&配置 1.2 基本网络的来宾网络流量架构 Network 192.168.1.0/24 192.168.1.102 192.168.1.103 192.168.1.104 Virtual Router Guest VM 1 Guest VM 2 Guest VM 3 192.168.1.101 Guest VM 1 Guest VM 2 Virtual Router Guest VM 3 Guest VM 4 Virtual Router 192.168.1.102 192.168.1.103 192.168.1.101 192.168.5.135 192.168.6.169 192.168.4.101 Pod-1 Network 192.168.1.0/24 Pod-2 Network 192.168.4.0/21 Pod CloudStack 网络的架构&配置 1.3 基本网络的配置 ü 选择网络类型 ü 配置网络流量 ü 添加硬件设备 CloudStack 网络的架构&配置 1.4 基本网络的安全组 Security Group •  每个账户默认拥有一个SG,并可以再创建新的SG •  通过策略规则限制一组VM的访问方式 •  安全策略包括入口规则和出口规则,默认是限制所有入口请求,开放所 有出口请求 •  可基于IP CIDR,CS的账户进行限制,支持TCP、UDP、ICMP协议 •  基于iptables/ebtables实现安全策略,支持KVM和XenServer CloudStack 网络的架构&配置 1.4 配置安全组 … DB Security Group Web Security Group … … Web VM Web VM APP VM APP VM DB VM Web VM DB VM Web VM CloudStack 网络的架构&配置 1.4 基本网络的安全组 Security Group APP Security Group CloudStack 网络的架构&配置 2.1 高级网络的物理架构 Management Mysql DB Primary & Secondary Storage Hypervisor Primary Storage MAX 15.4W/PORT STATUS WS-X4548-GB-RJ45V 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 MULTI-SPEED GIGABIT ETHERNET SWITCHING MODULE 48-PORT 10/100/1000 BASE T IN-LINE POWER 32 31 30 29 28 27 26 25 24 23 22 21 20 19 18 17 48 47 46 45 44 43 42 41 40 39 38 37 36 35 34 33 16 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 32313029282726252423222120191817 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 Public & Guest & Manage & Storage Network Management Mysql DB Hypervisor Cluster Primary & Secondary Storage MAX 15.4W/PORT STATUS WS-X4548-GB-RJ45V 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 MULTI-SPEED GIGABIT ETHERNET SWITCHING MODULE 48-PORT 10/100/1000 BASE T IN-LINE POWER 32 31 30 29 28 27 26 25 24 23 22 21 20 19 18 17 48 47 46 45 44 43 42 41 40 39 38 37 36 35 34 33 16 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 32313029282726252423222120191817 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 Public & Guest Network Manage & Storage Network CloudStack 网络的架构&配置 2.2 高级网络的物理架构 Management Hypervisor Cluster Secondary Storage Public & Guest Network Manage & Storage Network Mysql DB POD-1 Hypervisor Cluster Primary Storage POD-2 Public & Guest Network MAX 15.4W/PORT STATUS WS-X4548-GB-RJ45V 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 MULTI-SPEED GIGABIT ETHERNET SWITCHING MODULE 48-PORT 10/100/1000 BASE T IN-LINE POWER 32 31 30 29 28 27 26 25 24 23 22 21 20 19 18 17 48 47 46 45 44 43 42 41 40 39 38 37 36 35 34 33 16 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 32313029282726252423222120191817 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 CloudStack 网络的架构&配置 Management Nodes Hypervisor Secondary Storage Public Network Manage Network Mysql DB Cluster POD-1 Hypervisor Primary Storage POD-2 Guest Network Primary Storage MAX 15.4W/PORT STATUS WS-X4548-GB-RJ45V 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 MULTI-SPEED GIGABIT ETHERNET SWITCHING MODULE 48-PORT 10/100/1000 BASE T IN-LINE POWER 32 31 30 29 28 27 26 25 24 23 22 21 20 19 18 17 48 47 46 45 44 43 42 41 40 39 38 37 36 35 34 33 16 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 32313029282726252423222120191817 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 Storage Network Hypervisor Primary Storage Cluster-3 Cluster-2 MAX 15.4W/PORT STATUS WS-X4548-GB-RJ45V 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 MULTI-SPEED GIGABIT ETHERNET SWITCHING MODULE 48-PORT 10/100/1000 BASE T IN-LINE POWER 32 31 30 29 28 27 26 25 24 23 22 21 20 19 18 17 48 47 46 45 44 43 42 41 40 39 38 37 36 35 34 33 16 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 32313029282726252423222120191817 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 Cluster-1 Zone-1 Zone-2 CloudStack 网络的架构&配置 2.3 高级网络来宾流量架构 Guest Isolated Network 10.10.1.2 10.10.1.3 Guest VM 1 Guest VM 2 Virtual Router Public Network 172.10.1.0/24 Guest VM 1 Guest VM 2 Virtual Router 172.10.1.5 172.10.1.6 10.10.1.1 10.10.1.2 10.10.1.3 10.10.1.1 Account 1 Account 2 Guest Vlan 100 Guest Vlan 101 CloudStack 网络的架构&配置 2.3 高级网络来宾流量架构 Guest Isolated Network 10.10.1.2 10.10.1.3 Guest VM 1 Guest VM 2 Virtual Router Public Network 172.10.1.0/24 Vlan 30 Guest VM 1 Guest VM 2 Virtual Router 172.10.1.5 172.10.1.6 10.10.1.1 10.10.1.2 10.10.1.3 10.10.1.1 Account 1 Account 2 Guest Vlan 100 Guest Vlan 101 Virtual Router Guest Shared Network Virtual Router Shared Vlan 300 Shared Vlan 301 192.10.1.2 192.10.1.3 192.10.1.1 100.10.1.2 100.10.1.3 100.10.1.1 Public Network /Internet 10.1.1.1 Web VM 1 10.1.1.3 Web VM 2 10.1.1.4 Web VM 3 10.1.1.1 Public IP 65.37.141.111 Virtual Router Virtual Router Guest Network 10.1.1.0/24 VLAN 101 Guest Network 10.1.2.0/24 VLAN 102 10.1.2.11 10.1.2.18 10.1.2.38 10.1.2.31 App VM 1 10.1.3.21 Guest Network 10.1.3.0/24 VLAN 103 10.1.2.24 App VM 2 10.1.3.45 10.1.3.2 DB VM 1 Virtual Router DHC PDNS DHC PDNS Gateway DHCP, DNS Firewall Source NAT Stac NAT Port Forward Load Balancing VPN CloudStack 网络的架构&配置 2.3 高级网络来宾流量架构 10.1.2.1 10.1.3.1 2.4 高级网络的配置 CloudStack 网络的架构&配置 ü  选择网络类型 ü  配置网络流量 •  注意Vlan的配置 •  注意指定网卡标签 •  需要在交换机进行配置 ü 添加硬件设备 2.4 高级网络的配置 CloudStack 网络的架构&配置 XenCenter 2.5 添加附加网络 CloudStack 网络的架构&配置 2.6 对来宾网络的操作 CloudStack 网络的架构&配置 •  重启来宾网络 −  可选择自定义的网 络服务方案 •  重启来宾网络 –  重新将所有定制的安全策略发给网络设备 –  如果使用V-Router,会重启或重建 –  应用新的网络服务 •  删除来宾网络 –  不再有VM使用此网络(VM必须是完全删除) –  删除对应的V-Router并释放IP 2.6 对来宾网络操作 CloudStack 网络的架构&配置 2.8 自定义网络服务 CloudStack 网络的架构&配置 2.8 自定义网络服务 CloudStack 网络的架构&配置 Ø  防火墙 * ICMP 类型3代码1: 目标主机不可达 http://zh.wikipedia.org/wiki/互联网控制消息协议 2.8 自定义网络服务 CloudStack 网络的架构&配置 Ø  负载平衡 2.8 自定义网络服务 CloudStack 网络的架构&配置 Ø  端口转发 行业集团公司网络 行业业务应用的类型 •  数据库,业务数据采集,实时/历史数据分析、报警服务、Web服务等 集团门户业务应用的类型 •  门户网站、LDAP、数据上报,报表发布、备份、数据库等 特别需求 •  分析业务的计算量较大,已存在分布式计算架构的集群 •  大部分门户应用的数据库都在一起,对数据库的要求较高,已经存在一个 Oracle RAC 案例分享 两个业务系统要相互隔离 •  在CS中建立两个Zone,使用各自的IP和Vlan,并进行隔离 •  使用单独的CS管理网络和存储网络 •  分别使用XenServer和KVM 保留物理设备 •  生产业务Zone:分布式计算的集群 •  集团门户Zone:Oracle数据库集群 存储 •  使用商业存储设备提供NFS和ISCSI两种协议 •  除为CS提供存储,也为分布式计算业务和数据库集群直接提供存储 案例分享 192.168.9.0/24: 管理外⽹ Vlan:9 192.168.10.0/24: 管理内⽹和存 ⽹ Vlan:10 192.168.11.0/24: ⽣ zone的内⽹ Vlan:11 192.168.31.0/24: ⽣ zone的外⽹ Vlan:31 192.168.12.0/24: 集 Zone的内⽹ Vlan:12 192.168.32.0/24: 集 Zone的外⽹ Vlan:32 ⽣ zone Guest VLAN:101-200 集 zone Guest VLAN:201-300
还剩37页未读

继续阅读

下载pdf到电脑,查找使用更方便

pdf的实际排版效果,会与网站的显示效果略有不同!!

需要 5 金币 [ 分享pdf获得金币 ] 2 人已下载

下载pdf

pdf贡献者

20400992

贡献于2013-11-28

下载需要 5 金币 [金币充值 ]
亲,您也可以通过 分享原创pdf 来获得金币奖励!
下载pdf