Openstack Kilo, dem 11. Release des Open-Source-Projekt, war im April, und jetzt ist eine gute Zeit, einige der Änderungen zu überprüfen wir in der Openstack Networking (Neutron) Gemeinschaft während dieses Zyklus sah, sowie einige der wichtigsten neuen Vernetzung im Projekt eingeführt Funktionen.

Skalierung der Neutron-Entwickler-Community

Der Kilo-Zyklus bringt zwei große Anstrengungen, die besser gemeint sind zu erweitern und die Neutron-Entwickler-Community skalieren: Kern-Plugin Zersetzung und erweiterte Dienste Split. Diese Änderungen sollten nicht direkt Openstack Benutzer auswirken, sind aber zu erwarten Code-Fußabdruck zu reduzieren, die Verbesserung der Funktion der Geschwindigkeit und letztlich schneller Innovationsgeschwindigkeit bringen. Lassen Sie uns an jedem einzeln einen Blick:

Neutron Kern-Plugin Zersetzung

Neutron, durch Design, verfügt über eine steckbare Architektur, die eine eigene Backend-Implementierung der Angebote. Das Plugin ist ein Kernstück des Einsatzes und fungiert als "Klebstoff" zwischen der logischen API und der tatsächlichen Umsetzung. Da sich das Projekt entwickelt sich mehr und mehr Plugins eingeführt wurden, die aus Open-Source-Projekten und die Gemeinden (wie und), sowie von verschiedenen Anbietern in der Netzwerkbranche (wie Cisco, Nuage, Midokura und andere). Zu Beginn des Kilo-Zyklus hatte Neutron Dutzende von Plugins und Treiber von Kern-Plugins umspannen, ML2 Mechanismus Treiber, L3 Service-Plugins und L4-L7-Service-Plugins für FWaaS, LBaaS und VPNaaS - die Mehrheit derjenigen, die direkt im Neutron Projekt-Repository. Die Menge an Code erforderlich über diesen Treiber und Plug-ins zu überprüfen, um den Punkt wurde wächst, wo es nicht mehr Skalierung. Die Erwartung, dass Kritik Code Neutron Rezensenten Kern denen sie keine Kenntnis hatte oder konnte wegen Mangel an geeigneten Hardware testenoder Software-Setup war nicht realistisch. Dies führte auch einige Frustration unter den Herstellern selbst, die fusionierte auf Zeit manchmal versäumt, ihre Plugin-Code zu bekommen.

Der erste Versuch, die Situation zu verbessern, war die Kern Neutron Plugins und ML2 Treiber aus dem Neutron-Repository zu zersetzen. Die Idee ist, dass Plugins und Treiber lassen nur einen kleinen "Scheibe" (oder Proxy) im Neutron Baum und ihre Backend alle Logik bewegen sich zu einem anderen Repository, mit einem natürlichen Ort dafür zu sein. Der Vorteil ist klar: Neutron Rezensenten nun auf die Überprüfung Kern Neutron Code konzentrieren können, während die Anbieter und Plugin-Maintainer jetzt in ihrem eigenen Tempo durchlaufen kann. Während die ermutigt Anbieter sofort, um die Zersetzung ihrer Plugins starten, ist es nicht verlangen, dass alle Plugins vollständige Zersetzung in Kilo Zeitraum, vor allem genügend Zeit für die Anbieter zu ermöglichen, um den Vorgang abzuschließen.

Weitere Informationen über den Prozess wird dokumentiert, mit gewidmet, um den Fortschritt der verschiedenen Plugins zu verfolgen.

Erweiterte Dienste Split

Während die erste Anstrengung allein auf Kern Neutron Plugins und ML2 Fahrer fokussiert ist, wurde ein parallel in Kraft gesetzt ähnliche Bedenken mit den L4-L7 erweiterte Dienste (FWaaS, LBaaS und VPNaaS) zu adressieren. Ähnlich wie bei den Core-Plugins, erweiterte Dienstleistungen, die zuvor ihren Code in der Haupt Neutron-Repository gespeichert, was zu einem Mangel an Konzentration und Bewertungen von Neutron Kern Rezensenten. Beginnend mit Kilo werden diese Dienste nun aufgeteilt in ihre eigenen Repositorys; Neutron enthält nun vier verschiedene Repositories: eine für Grund L2 / L3 Vernetzung und jeweils eine für FWaaS, LBaaS und VPNaaS. Da die Anzahl der Service-Plugins noch relativ gering ist, Lieferanten und Plugin-Code wird an dieser Stelle in jeder der Service-Repositorys bleiben.

Es ist wichtig zu beachten, dass diese Änderung nicht Openstack Benutzer auswirken sollte. Auch bei den Dienstleistungen nun aufgeteilt, gibt es keine Änderung der API oder CLI-Schnittstellen, und sie sind alle nach wie vor die gleiche Neutron-Client. Das heißt, sehen wir diese Spaltung auch in Zukunft die Grundlage für einige weitere tiefere Veränderungen Verlegung, die mit jedem der Dienste das Potential von Neutron, unabhängig zu werden und ihre eigenen REST-Endpunkte, Konfigurationsdatei zur Verfügung stellen, und CLI / API-Client. Dies Teams ausschließlich auf eine oder mehrere erweiterte Dienste konzentriert ermöglichen, eine größere Wirkung zu erzielen.

ML2 / Open vSwitch-Port-Sicherheit

Sicherheits-Gruppen sind eine der beliebtesten Neutron Merkmale, so dass die Mieter die Art des Verkehrs zu spezifizieren und Richtung (Eingang / Ausgang), die erlaubt ist, durch einen Neutronen Port passieren, effektiv eine Firewall Nähe der virtuellen Maschinen (VMs) zu schaffen.

Als Sicherheitsmaßnahme, Sicherheitsgruppe Umsetzung des Neutron gilt immer "Bonus" Standardregeln automatisch Angriffe zu blockieren, eine VM zu verhindern, dass das Senden oder Datenverkehr mit einem MAC oder IP-Adresse erhalten, die zu seiner Neutron Port nicht. Während die meisten Benutzer Sicherheitsgruppen finden und die Standard-Anti-Spoofing-Regeln hilfreich und notwendig, ihre VMs zu schützen, einige für die Option gebeten, es für bestimmte Ports auszuschalten. Dies ist vor allem dann erforderlich, wenn die Netzwerkfunktionen innerhalb der VMs laufen, ein typischer Anwendungsfall für.

Denken Sie zum Beispiel einen Router Anwendung innerhalb einer Openstack VM eingesetzt; er empfängt Pakete, die zu ihm und überträgt (Routen) Pakete nicht notwendigerweise adressiert werden, die von einem seiner Ports nicht notwendigerweise erzeugt werden. Mit Sicherheitsgruppen angewendet, wird es nicht in der Lage sein, diese Aufgaben zu erfüllen.

Lassen Sie uns die folgende Topologie als Beispiel untersuchen:

1 Host, mit der IPv4-Adresse 192.168.0.1 will Host 2 zu erreichen, die mit 172.16.0.1 konfiguriert ist. Die beiden Gastgeber sind über zwei VMs verbunden, um einen Router-Anwendung ausgeführt wird, und sind auf Strecke zwischen den Netzen und als Standard-Gateways für die Hosts konfiguriert. Die MAC-Adressen der entsprechenden Ports sind als well.Now gezeigt, lassen Sie uns den Verkehrsfluss zu untersuchen, wenn Host 1 versucht, Datenverkehr zu senden 2 auf Host:

1 Host erzeugt ein IPv4-Paket mit einer Quelle von 192.168.0.1 und einem Ziel von 172.16.0.1. Da die beiden Hosts in verschiedenen Subnetzen platziert, wird R1 reagieren 1 ARP-Request mit seiner lokalen MAC-Adresse zu Host und 3B-2D-B9-9B-34-40 wird als MAC-Ziel auf der L2-Rahmen verwendet werden.

R1 empfängt das Paket. Beachten Sie, dass die Ziel-IP des Pakets 172.16.0.1, die R1 nicht zugeordnet ist. Mit Sicherheit-Gruppen aktiviert auf R1 Hafen und den Standard-Anti-Spoofing-Regeln angewendet, wird das Paket an dieser Stelle gestrichen werden, und R1 wäre nicht der Verkehr weiter zu leiten können.

Vor Kilo, können Sie entweder deaktivieren oder Sicherheitsgruppen für die gesamte Cloud ermöglichen. Beginnend mit der Kilo-Release ist es nun möglich, die Sicherheitsgruppe Funktion pro Port zu aktivieren oder zu deaktivieren mit einer neuen Port-security-enabled-Attribut, so dass der Mieter Admin entscheiden können, ob und wo eine Firewall genau in der Topologie benötigt wird. Dieses neue Attribut wird mit dem Open vSwitch Mittel (OVS-agent) in Verbindung mit dem IptablesFirewallDriver unterstützt.

zurück zur vorherigen Topologie gehen, ist es nun möglich, Sicherheitsgruppen auf den VMs auszuschalten als Router verwendet wird, während sie aktiv an den VM Host-Ports zu halten, so dass Routing-Platz richtig erfolgen kann:

Einige zusätzliche Informationen zu dieser Funktion zusammen mit einem Konfigurationsbeispiel kann auf das von Red Hat Terry Wilson gefunden werden.

IPv6-Erweiterungen

IPv6 hat in letzter Zeit ein wichtiger Schwerpunkt in Neutron gewesen, mit wichtigen Funktionen während der Juno-Release eingeführt Adresszuweisung für Mieter Netzwerke zu ermöglichen, verwenden und, sowie Unterstützung für Provider-Netzwerke mit Router-Anzeigen (RAs) Meldungen von einem externen Router erzeugt. Während die IPv6-Code-Basis weiter zu reifen, bringt das Kilo Release einige weitere Verbesserungen, darunter:

• Die Fähigkeit, mehrere IPv6-Präfixe für ein Netzwerk mit IPv6 zuweisen, ist es möglich, mehrere IP-Präfixe zu einer einzigen Schnittstelle zu vergeben. Dies ist in der Tat eine gemeinsame Konfiguration, mit allen Schnittstellen eine Link-Local-Adresse (LLA) vorbelegt Verkehr in der lokalen Verbindung zu handhaben, und eine oder mehrere globale Unicast-Adressen (GUA) für die End-to-End-Konnektivität. Beginnend mit der Kilo-Version können Benutzer anhängen nun mehrere IPv6-Subnetzen zu einem Netzwerk. Wenn das Subnetz des Typs entweder SLAAC oder DHCPv6 staatenlos ist, eine IPv6-Adresse von jedem Subnetz wird dem Neutron-Port zugeordnet werden.
• Bessere IPv6-Router unterstützen Ab Kilo gibt es keine Network Address Translation (NAT) oder Floating-IP-Modell für IPv6 in Openstack. Die Annahme ist, dass VMs global geroutet Adressen zugeordnet sind und kommunizieren können reine L3-Routing direkt verwenden. Das Neutron-l3-Agent ist die Komponente, die für das Routing innerhalb von Neutron, durch die Erstellung und Pflege von virtuellen Routern. Wenn es in den virtuellen Router IPv6-Unterstützung kommt, zwei Hauptfunktionen erforderlich sind: Inter-Subnetz-Routing: diese zwischen verschiedenen IPv6-Präfixe aus dem gleichen Mieter um Pakete auf die Fähigkeit bezieht. Da der Verkehr innerhalb der Wolke geleitet und verlässt nicht für jedes externe System dies in der Regel als "Ost-West" Routing bezeichnet wird. Dies wird seit Juno ohne größere Verbesserungen in Kilo eingeführt unterstützt. Externe Routing: Dies bezieht sich auf die Fähigkeit, um Pakete zwischen einem IPv6-Tenant-Subnetz und einem IPv6 externen Subnetz. Da der Verkehr die Wolke verlassen muss das externe Netzwerk zu erreichendies ist in der Regel als "Nord-Süd" Verkehr bezeichnet. Da es keine IPv6 NAT-Unterstützung ist, muss der virtuelle Router einfach den Datenverkehr zwischen dem internen und dem externen Subnetz eine zu routen. Während diese Fähigkeit seit der Juno-Release unterstützt wurde, stellt Kilo erhebliche Verbesserungen an der Art und Weise der Betreiber für die Bereitstellung benötigt und erstellen, um diese externen Netzwerk zu beginnen. Es ist nun nicht erforderlich, jede Neutron Subnetz für das externe Netzwerk zu erstellen. Der virtuelle Router kann nur automatisch die Standard-Gateway-Informationen über SLAAC lernen (wenn RAs auf dem Upstream-Router aktiviert sind) oder die Standardroute in der l3-Agent-Konfigurationsdatei eingeführt durch den Bediener mit einer neuen Option kann manuell eingestellt werden ( "ipv6 -Tor').
• Zusätzliche DHCP-Optionen Mit Neutron können Benutzer zusätzliche DHCP-Optionen angeben, für ein Subnetz. Dies ist vor allem zuzuweisen zusätzliche Informationen wie Domain Name System (DNS) oder die maximale Übertragungseinheit (MTU) Größe an einen bestimmten Port verwendet. Ursprünglich arbeitete diese Konfiguration nur für DHCPv4 oder DHCPv6-Adressen auf einem Port. Diese Konfiguration verursacht Probleme bei der Dual-Stack-Designs einrichten, in dem eine VM mit sowohl einer IPv4-und IPv6-Adresse auf dem gleichen Port zugeordnet ist. Beginnend mit Kilo, ist es nun möglich, für beide DHCPv4 und DHCPv6 zusätzliche DHCP-Optionen angeben. Ein neues Attribut ( 'ip_version') in Neutron Port erstellen / aktualisieren API geben Sie die IP-Version (4 oder 6) einer bestimmten DHCP-Option verwendet.

LBaaS v2 API

Lastenausgleich-as-a-Service (LBaaS) ist einer der erweiterte Dienste von Neutron. Es ermöglicht die Mieter Lastausgleich auf Anfrage von Open-Source oder proprietäre Service-Plugins unterstützt zu erstellen, die unterschiedliche Load-Balancing-Technologien bieten. Die Open-Source-Lösung mit Red Hat Enterprise Linux Openstack-Plattform verfügbar ist auf dem HAProxy Service-Plugin basiert.

der LBaaS API enthalten grundlegende Funktionen Load Balancing und etablierte eine Load-Balancer Services eine einfache, geradlinige Strömung für die Einrichtung.

Erstellen Sie einen Pool erstellen ein oder mehrere Mitglieder im Pool erstellen Gesundheit Monitore Erstellen Sie ein virtuelles IP (VIP), die mit dem Pool verbunden ist

Dies war nützlich, um ersten Implementierungen und Installationen von LBaaS, aber es war nicht beabsichtigt, eine Enterprise-Klasse Alternative zu einer ausgewachsenen Lastenausgleich zu sein. fügt Funktionen für eine robustere Load-Balancing-Lösung, einschließlich der Unterstützung zu bieten. Dies auszuführen, eine Neugestaltung der LBaaS Architektur erforderlich, zusammen mit den.

Verteilten virtuellen Routing (DVR) VLAN-Unterstützung

DVR, zuerst in Juno Release eingeführt, ermöglicht den Einsatz von Neutron-Router über die Nova Compute-Knoten, so dass jeder Rechenknoten das Routing für seine lokal gehosteten VMs behandelt. Dies wird voraussichtlich zu einer besseren Leistung und Skalierbarkeit der virtuellen Router zu führen, und wird als ein wichtiger Meilenstein in Richtung einer effizienteren L3 Verkehrsfluss in Openstack gesehen.

Zur Erinnerung beinhaltet die Standard-Openstack-Architektur mit Neutron einen dedizierten Cluster von Netzknoten, die die meisten der Netzwerk-Dienste in der Cloud behandelt, einschließlich DHCP, L3-Routing und NAT. Das bedeutet, dass der Verkehr aus dem Rechenknoten müssen die Netzknoten erreichen richtig verlegt zu werden. Mit DVR kann der Rechenknoten behandeln sich zwischen den Subnetzen (Ost-West) Routing sowie NAT für Floating-IPs. DVR setzt weiterhin auf dedizierten Netzwerkknoten für den Standard-SNAT-Service, der für VMs Grund abgehenden Konnektivität ermöglicht.

Vor Kilo, verteilte Router unterstützt nur Overlay-Tunnel-Netzwerke (das heißt GRE, VXLAN) für Mieter Trennung. Dies behindert die Annahme des Merkmals so viele Wolken entschieden 802.1Q VLAN Mieter Netzwerke zu nutzen. Mit Kilo ist diese Konfiguration nun möglich, und verteilte Router können Tunnelnetze sowie VLAN-Netzwerke.

Um mehr Informationen über DVR, ich dringend empfohlen, diesen großen dreiteiligen Beitrag Lesen von Red Hat Assaf Muller, Abdeckung:, und.

Zeigt den aktuellen Zustand von hochverfügbaren Router

Eine der wichtigsten Funktionen in der Juno-Release eingeführt war der L3-High Availability (L3 HA) -Lösung, die eine aktive / aktive Einrichtung des neutronen l3-Agenten über verschiedene Netzknoten erlaubt. Die Lösung, basierend auf, nutzt das Protokoll intern für Gruppen von hoch verfügbaren virtuellen Router bilden. Durch Design, für jede Gruppe gibt es eine aktive Router (der Verkehr weiterleitet), und eine oder mehrere Standby-Router (die Steuerung im Falle eines Ausfalls des aktiven nehmen warten). Die Terminierung von Master / Backup-Router wird zufällig über die verschiedenen Netzwerkknoten durchgeführt, so dass die Last (d.h. Weiterleitung Router-Instanzen) zwischen allen Knoten verteilt ist.

Eine der Beschränkungen der Juno-basierte Lösung war, dass Neutron keine Möglichkeit hatte den HA Router Zustand zu melden, die härter Fehlersuche und Wartung aus. Mit Kilo, laufen können die Betreiber jetzt die Neutronen l3-Agent-list-Hosting-Router <ROUTER_ID> Befehl und sehen, wo die aktive Instanz derzeit gehostet.

Die Fähigkeit, einen bestimmten Floating-IP zu wählen

sind öffentliche IPv4-Adressen, die dynamisch zu einer VM-Instanz auf der fly werden kann, so dass die VM von externen Systemen erreichbar sein können, in der Regel im Internet. Ursprünglich, als eine Floating-IP für eine bestimmte VM zuweisen, die IP zufällig aus einem Pool abgeholt werden würde, und es gab keine Garantie, dass eine VM konsequent die gleiche IP-Adresse erhalten würde. Beginnend mit Kilo kann der Benutzer nun eine spezifische floating IP-Adresse wählen, durch die Verwendung einer neuen "floating_ip_address 'API Attribut einem bestimmten VM zugewiesen werden.

MTU Anzeige Funktionalität

Diese ermöglichen die Angabe der gewünschten MTU für ein Netzwerk und Werbung der MTU-Gastbetriebssystemen, wenn es eingestellt ist. Diese neue Funktion wird die MTU Mismatches in Netzen zu vermeiden, die zu unerwünschten Ergebnissen wie Verbindungsprobleme, Pakettropfen und degradiert die Netzwerkleistung führen.

Verbesserte Leistung und Stabilität

Die Openstack-Networking-Community arbeitet aktiv ein stabiler und reifer Code-Basis zu machen Neutron. Unter den verschiedenen Leistungs- und Stabilitätsverbesserungen in Kilo eingeführt, wollte ich zwei hervorheben: die Umstellung auf die Verwendung mit dem ML2 / Open vSwitch-Plugin, statt mit Open vSwitch CLI-Befehle und umfassende Codebasis.

Während diese beiden Änderungen keine neue Funktion Funktionalität Benutzer per se Einführung sind, haben sie die kontinuierliche Fahrt stellen Neutron der Codebasis zu verbessern, insbesondere den Kern L2 und L3 Komponenten, die für alle Arbeitsbelastung kritisch sind.

Mit Blick auf Freiheit

, Die nächste Version von Openstack ist. Wir sind bereits damit beschäftigt Planung und die Sitzungen für die in Vancouver Finalisierung, wo neue Funktion und Verbesserungsvorschläge geplant werden diskutiert werden. Sie können die zugelassenen Neutron sehen zu verfolgen, welche Vorschläge für das Projekt akzeptiert und in Freiheit zu landen erwartet.

Erste Schritte mit Openstack Neutron

Wenn Sie ausprobieren möchten Openstack, oder für sich selbst einige der oben genannten Verbesserungen zu überprüfen, können Sie unsere Website besuchen. Wir haben, wo Sie mit anderen Benutzern herstellen können, und der am meisten up-to-date Openstack Versionen zum Download zur Verfügung.

Wenn Sie für Enterprise-Level-Support und unserem Partner-Zertifizierungsprogramm suchen, Red Hat bietet auch.

Das Kilo Logo ist eine Marke / Dienstleistungsmarke der Openstack Foundation.

Endpoint-Security 2013     Endpoint-Security-10 mcafee