ZStack 技術白皮書 網(wǎng)絡篇

www.zstack.iowww.zstack.io1本白皮書版權屬于上海云軸信息科技有限公司，并受法律保護。轉(zhuǎn)載、摘編或利用其www.zstack.io2目錄目錄 3 3ZSTACKZSTACK--網(wǎng)絡模型1：L2和L3網(wǎng)絡討論ZStack如何在Linux操作系統(tǒng)中創(chuàng)造網(wǎng)橋或VLAN設備。這篇文章的目的是給你云計算中最令人興奮和最困難的部分應該是網(wǎng)絡模型。云技術給傳www.zstack.io4注：由于虛擬私有云（VPC）尚未在這個ZStack版本（0.6）支持，上述網(wǎng)絡模型不顯示VPC將如何工作。然而，概念是類似的，VPC只是一個為多個L3網(wǎng)絡設計的，有編程選路功能的調(diào)度器。我們將在未來的ZStack版本中引入VPC，不久之后。www.zstack.io5ashortnamealongdescriptionuuidofzonetheL2networkbeastringcontaininginformationnecessarytoimplementtheL2nealistofclusteruuidtheL2networkhasatwww.zstack.io6以太網(wǎng)設備上使用操作系統(tǒng)中相同的VLAN創(chuàng)建7群中的主機將通過刪除它們的VLAN(10)網(wǎng)橋的方式，從廣播域中被移除。這種創(chuàng)被刪除。www.zstack.io8L2NetworkRealizationExtensionpublicinterfaceL2Networvoidrealize(L2Netwovoidcheck(L2NetworHypervisorTypegetSuppor}KVMRealizeL2NoVlanNetworkBackend和KVMRealizeL2L2NetworkRealizationExtensionPoint，為了在LinuPreVmInstantiateResourcpublicpublicinterfacePreVmInstantvoidpreBeforeInstantiateVmResource(VmI9voidpreInstantiateVmResource(VmvoidpreReleaseVmResource(Vm}www.zstack.ioNetworkServiceDnsBackend,NetworkServiceSnatBackend,EipBackend,PortForwardingBackend,服務提供模塊”，我們將討論我們引用到的提供模塊——虛擬路由，你可以探索更多ZSTACKZSTACK--虛擬路由網(wǎng)絡服務提供模塊www.zstack.io網(wǎng)絡服務，供應商可以通過創(chuàng)建網(wǎng)絡服務提供模塊的方式，選擇性地實現(xiàn)他們的硬件（VirtualRouterVM）實現(xiàn)所務。一種方式是使用中心的、功能強大的網(wǎng)絡節(jié)點，它們通常是一些物理服型。我們不想強迫用戶購買特定的硬件或要求他們在一組主機前放置一些特殊的功能www.zstack.io5.不依賴虛擬機管理程序：解決方案不應該依賴于Hypervisor，并且應該和主流的基于虛擬路由的NFV解決方案滿足上述所有考慮。我們選擇它應用虛擬機（ApplianceVMs）是一種特別的虛以及特別的幫助管理云的agents。虛擬路由虛擬機是應用虛擬機www.zstack.io網(wǎng)絡(10.x.x.x/x)隔離的客戶L3網(wǎng)絡（/24）時，網(wǎng)絡/24可），注意：當然，你可以創(chuàng)建一個只有DHCP和DNS服務的、隔離的客戶L3網(wǎng)絡，該網(wǎng)絡www.zstack.ioguestL3Network::{l3NetworkUuid}，www.zstack.io素。虛擬路由虛擬機是怎樣滿足以下考慮的它們只是一些類似于用戶虛擬機的虛擬機，可以在物理機上被創(chuàng)建。因為www.zstack.io它怎么工作并詳細闡述了它是怎樣滿足了我們關于網(wǎng)絡服務的考慮。借助www.zstack.io如何在私有云語境下定義如何在私有云語境下定義VPC接完成互聯(lián)互通等高級策略，可滿足豐富的網(wǎng)絡場景實VPC經(jīng)過多年的市場教育和實踐，大部分公有云用戶已經(jīng)接受了公有設項目，帶領網(wǎng)絡研發(fā)團隊向OpenStackOpenStack、MidoNet、buildbot等多個開www.zstack.io網(wǎng)接入、網(wǎng)絡靈活性等諸多方面有所欠缺，在面向復雜的私有云、混合云場性和隔離性的基礎上大量考慮了用戶的實際使用場景、軟硬結合的使用場景、利舊等，在現(xiàn)有的VPC1.0基礎上帶來了功能豐富虛擬機的小規(guī)模應用到幾萬臺虛擬機的大規(guī)模部署，并將完整對接混合下一步首先是在更加開放的網(wǎng)絡功能上。我們希望能將網(wǎng)絡功能其次是更加的自動化。目前混合云開通、隧道建立不可避免的還存在一些手工程，這是目前用戶需要等待多的步驟，也是最容易出錯的步驟，將來我們希望能夠通過引接下來，我們?yōu)槟敿毥庾xZStackVPC2.0設計思路與架構。當用戶使用公有云時，其第一考慮的往往是安全企業(yè)自己控制下，而且往往在出口部署了高昂的網(wǎng)絡安全設備，相比將數(shù)據(jù)走在和別所以如何在保證安全的前提下減少用戶的安全運維成本是我們的第一個考量。網(wǎng)絡隔離和彈性計算天然是對立的——隔離的越細致，快速擴容、服務編排、資源回www.zstack.io但是實際上，隨著SaaS服務的興起、企業(yè)互聯(lián)網(wǎng)以及介入企業(yè)內(nèi)網(wǎng)的設備越來越企業(yè)對外的數(shù)據(jù)和網(wǎng)絡入口越來越多，比如網(wǎng)站、員工VPN、購買的SaaS外的API服務、用于所開發(fā)的網(wǎng)站App或手機App而提供的數(shù)據(jù)通道，甚www.zstack.ioNAS，還有一些業(yè)務可能需要超高性能，一些業(yè)務需要對象存儲，還有冷熱分離，大量的日志存儲等等要求。此時完全自購設備是很不劃算的，對接公有云組成混合云無疑是哥不再基于IP、MAC而是應用、賬戶訪問控制不再是靜態(tài)的，而是動態(tài)的業(yè)務間相互訪問的權限甚至協(xié)議，但這種先進的安全架構如何應用到企業(yè)呢？私有云Network，前者用于加載到集群、加載VNIRange等等，并且在加載時可以選擇VTEP的地址段，ZStack就會自動尋找到合適的VTEP地每一個集群可以使用不同的VTEP地址段，管理員可以任意劃定VNI范圍，www.zstack.io從ZStack2.1開始我們提供路自定義路由這一功能，這一功能咋看之下信網(wǎng)絡或聯(lián)通網(wǎng)絡或BGP網(wǎng)絡等等。而私有云則不然，私有云中內(nèi)網(wǎng)一定是部署絡而公網(wǎng)卻不一定是Internet，例如下假設我們有兩個VPC部署了三個業(yè)務，其中應用和數(shù)據(jù)庫為了性能考慮放在走自定義路由走到VPC2，這里VPC2運用了我們的云路由支持多公網(wǎng)的功這樣可以徹底的保證數(shù)據(jù)庫服務的地址段不會泄漏到VPC傳統(tǒng)安全組基于IP、協(xié)議和端口，這樣的安全組除了策略跟如上圖，我們可以針對源安全組來設置安全組規(guī)則，例如安全組1管理員可以根據(jù)自己的需求和實際環(huán)境配置做夠安戶與此同時可以接入一些既有的安全設備例如WAF、防火墻、流量清洗等等，可對于公有云，一切規(guī)則是由供應商決定的，供應商往往會根據(jù)自身的考慮或者技將業(yè)務虛擬機也只好遷到云上，隨之而來的還要遷移存儲系統(tǒng)、備份系統(tǒng)甚至一套相配套CloudNative”的理由認為客戶的需求不合理。特別是ZStack是一個產(chǎn)品化的私有云，對于中小型的私有云，一個常見需求是——公有網(wǎng)絡的IP地址不夠用，特別是一個地址但既想要用SNAT開放虛擬機到公網(wǎng)的訪問，又想用其作為IPSe好的協(xié)調(diào)每個服務對IP的需求，將其合理的配置到云路由上。從ZStawww.zstack.io資浪費，二來短時間內(nèi)很多軟件的實現(xiàn)在性能或功能上都無法與硬件相媲美，例如www.zstack.io為了解決物理設備的接入，ZStack提供了多公網(wǎng)、自定義路由、多網(wǎng)卡而ZStack中卻有所不同，我們認為用戶的網(wǎng)絡服務創(chuàng)建是面向業(yè)務的，也業(yè)務的（特別是彈性IP、端口轉(zhuǎn)發(fā)等此時如果我們想將虛擬機轉(zhuǎn)傳統(tǒng)的網(wǎng)絡協(xié)議將整個過程一般都定義為集中式的，例如DHCP服務器、例如路由網(wǎng)關，而且集中控制也帶來實現(xiàn)上的便利性——特別是SNAT、路由表這些服務我們發(fā)現(xiàn)它其實可以通過一些手段做分布式的優(yōu)化，而且其重要性也值得我們?nèi)ミ@模有限制甚至很脆弱難以應用到生產(chǎn)不同，ZStackVPC2.0在設計之初就經(jīng)過了精個很重要呢？因為ZStack設計原則里有很重要的一點控面的故障不會擴散到數(shù)據(jù)面上，任何情況下優(yōu)先保證用戶業(yè)務的不受影息都記錄在了ZStack數(shù)據(jù)庫上，但一來不能保證數(shù)據(jù)庫DVR拋棄了消息隊列，實現(xiàn)了一種私有協(xié)議為ZSNP（ZStackNetworkP