Openstack Neutron ネットワーク仮想化

まず、ネットワーク仮想化はなぜ必要なのでしょうか?

1. データセンターの既存のネットワークはクラウドコンピューティングの物理的要件を満たすことができません。

インターネット業界のデータセンターの基本的な特徴は、サーバーの規模が比較的大きいことです。クラウドコンピューティングの時代に入ってからは、仮想化のサポート、複数の業務の遂行、柔軟なリソースのスケジュール設定など、そのビジネス特性はより複雑になっています（下図参照）。同時に、インターネット クラウド コンピューティングの規模は縮小するどころか、さらに拡大しています。これにより、クラウド コンピューティング ネットワークに大きな負担がかかります。

インターネットクラウドコンピューティングサービスの特徴

1. 大容量のMACおよびARPエントリ

仮想化により、MAC テーブル エントリが大きくなります。インターネット クラウド コンピューティング センターに 5,000 台のサーバーがあり、それらを 1:20 の比率で仮想化していると仮定すると、仮想マシンは 100,000 台になります。通常、各仮想マシンには 2 つのビジネス ネットワーク ポートが構成されているため、クラウド コンピューティング センターには 200,000 個の仮想ネットワーク ポートがあり、200,000 個の MAC アドレスと IP アドレスが必要になります。クラウド コンピューティングでは、柔軟なリソース スケジューリングとビジネス リソースの任意の移行が必要です。つまり、クラウド コンピューティング ネットワーク全体で任意の仮想マシンを任意に移行できます。これには、ネットワーク全体が統合されたレイヤー 2 ネットワークに含まれている必要があります。ネットワーク全体のどのスイッチも、ネットワーク全体のすべての MAC テーブル エントリを学習できます。それに応じて、業界で主流のアクセス スイッチの MAC テーブル エントリは 32​​K のみであり、基本的にインターネット クラウド コンピューティングのニーズを満たすことができません。さらに、ゲートウェイは、ネットワーク全体のすべてのホストとすべてのネットワーク ポートの ARP 情報を記録する必要があります。これには、ゲートウェイ デバイスに 200,000 を超える有効な ARP エントリが必要です。ほとんどのゲートウェイ デバイス チップにはこの機能がありません。

2. 4K VLAN トランクの問題

従来の大規模なレイヤー 2 ネットワークでは、任意の VLAN の仮想マシンをネットワーク内の任意の場所に移行できます。一般的には2つの方法があります。方法 1: 仮想マシンが移行された後、自動化されたネットワーク管理プラットフォームを通じて、仮想マシンに対応するすべてのポートに VLAN 構成が動的に発行されます。同時に、移行前の仮想マシンに対応するすべてのポートの VLAN 構成も動的に削除する必要があります。この方法の欠点は、実装が非常に複雑であることです。同時に、自動管理プラットフォームは複数のメーカーのデバイスとの互換性の問題にも直面しており、実装が困難です。方法 2: クラウド コンピューティング ネットワーク上で VLAN を静的に構成し、すべてのポートで VLAN トランクをすべて構成します。この方法の利点は非常にシンプルで、現在主流の適用方法となっていることです。しかし、これによって大きな問題も発生します。いずれかの VLAN でブロードキャスト ストームが発生すると、ネットワーク全体のすべての VLAN 内の仮想マシンがストームの影響を受け、業務が中断されることになります。

3. 4K VLAN上限問題

クラウド コンピューティング ネットワークでは、マルチテナント要件が発生する可能性があります。テナント数やサービス数がVLANの上限（4K）を超えると、お客様のニーズに対応できなくなります。

4. 仮想マシン移行のネットワーク依存性の問題

VM の移行は同じレイヤー 2 ドメイン内で行う必要があり、IP サブネット ベースの地域分割によりレイヤー 2 ネットワーク接続の規模が制限されます。

2. データセンターの既存のネットワークは、ソフトウェアベースのクラウドコンピューティングの要件、つまり SDN を満たすことができません。

データセンター内の物理ネットワークは固定されており、手動での構成が必要で、単一であり、マルチテナント分離がないため、既存のニーズを満たすことができません。

クラウド アーキテクチャは多くの場合マルチテナントであり、複数の顧客が単一の物理ネットワークを共有します。したがって、クラウドでは、基本的なネットワーク接続を提供することに加えて、テナント間のネットワーク分離も提供する必要があります。同時に、クラウドはセルフサービスであるため、テナントはクラウドが提供する API を使用して仮想化されたネットワーク コンポーネントを使用し、必要なさまざまなネットワークを設計、構築、展開できます。

概要: データセンターの既存の物理ネットワーク上に独自の仮想ネットワークを追加します

2番目: ネットワーク仮想化

1: Openstack関連ネットワーク

実際のデータセンターでは、OpenStack に関連する物理ネットワークは 3 つの層に分けられます。

1. OpenStack クラウド ネットワーク: OpenStack によって管理されるネットワーク。

2. コンピュータ室イントラネット（外部ネットワーク）：データセンターが管理する社内ネットワーク（イントラネット）。仮想マシンによって使用されるフローティング IP は、このネットワークのアドレスの一部です。

3. 実際の外部ネットワークはインターネットです。これは、パブリック IP を使用して大手通信事業者が管理するパブリック ネットワークです。

2. ネットワーク（Neutron L2 ネットワーク）

ネットワークは、物理ネットワークの世界における仮想 LAN (VLAN) に似た、分離されたレイヤー 2 ネットワーク セグメントです。具体的には、それを作成したテナント用に予約されている、または共有ネットワーク セグメントとして明示的に構成されているブロードキャスト ドメインです。ポートとサブネットは常に特定のネットワークに割り当てられます。ここでのいわゆる孤立とは、次のように理解できます。

1. ネットワーク上のサブネット間のトラフィックはL3仮想ルータを通過する必要がある

2. 各ネットワークは独自のDHCPエージェントを使用し、各DHCPエージェントはネットワーク名前空間内にあります。

3. 異なるネットワークのIPアドレスは重複する可能性がある

ネットワークを作成したユーザーの権限に基づいて、Neutron L2 ネットワークは次のように分割できます。

• プロバイダー ネットワーク: 管理者によって作成され、物理ネットワークと直接マッピング関係を持つ仮想ネットワーク。
• テナントネットワーク: 通常のテナントユーザーによって作成されたネットワーク。物理ネットワークは作成者に対して透過的であり、その構成はシステム内の管理者の構成に基づいて Neutron によって決定されます。

VM は、テナントがネットワークを所有しているか共有していると仮定すると、テナント ネットワークとプロバイダー ネットワークの両方に直接接続でき、また任意の provider:network_type 値を持つネットワークにも接続できます。

ネットワークの種類に応じて、Neutron L2 ネットワークは次のように分けられます。

• フラットネットワーク: VLAN を使用せずに物理ネットワークに基づいて実装された仮想ネットワーク。各物理ネットワークは最大 1 つの仮想ネットワークを実装できます。
• ローカル ネットワーク: このサーバー内の通信のみを許可し、サーバー間の通信を認識しない仮想ネットワーク。主に単一ノードでのテストに使用されます。
• VLAN ネットワーク: 物理 VLAN ネットワークに基づいて実装された仮想ネットワーク。同じ物理ネットワークを共有する複数の VLAN ネットワークは互いに分離されており、重複する IP アドレス空間を使用することもできます。 VLAN ネットワークをサポートする各物理ネットワークは、排他的な VLAN ID のセットを使用する個別の VLAN トランクとして表示できます。有効な VLAN ID の範囲は 1 ～ 4094 です。
• GRE ネットワーク (Generic Routing Encapsulation): GRE を使用してネットワーク パケットをカプセル化する仮想ネットワーク。 GRE カプセル化パケットは IP ルーティング テーブルに基づいてルーティングされるため、GRE ネットワークは特定の物理ネットワークにバインドされません。
• VXLAN ネットワーク (Virtual Extensible Network): VXLAN に基づく仮想ネットワーク。 GRE ネットワークと同様に、VXLAN ネットワーク内の IP パケットのルーティングも IP ルーティング テーブルに基づいており、特定の物理ネットワークにバインドされていません。

注: VLAN、GRE、および VXLAN ネットワーク モードは、通常、エンタープライズ環境で使用されます。以降のブログでは、これら 3 つのネットワーク モードについて詳しく紹介します。

3. Neutron L2ネットワークプロバイダーネットワークモード

プロバイダー ネットワークは OpenStack 管理者によって作成され、データセンター内の既存の物理ネットワークのネットワーク セグメントに直接対応します。このネットワークには、物理​​ネットワークに関連する 3 つのプロパティがあります。

• provider:network_type (ネットワーク タイプ、vxlan、gre、vlan、flat、local を含む)
• provider:segmentation_id (VLAN の 802.1q タグ、GRE ネットワークのトンネル ID、VXLAN ネットワークの VNI などのセグメント ID)
• provider:physical_network (物理ネットワークの論理名、例: physnet1、ph-eth1 など)

このネットワークは複数のテナント間で共有できます。このようなネットワークは、コンピューティング ノードとネットワーク ノード上の指定されたブリッジを介して物理ネットワークに直接接続されるため、デフォルトでルーティング可能であり、Neutron 仮想ルーターに接続したり、L3 エージェントを使用したりする必要はありません。このタイプのネットワークを使用するには、各コンピューティング ノードとネットワーク ノードで指定されたブリッジを事前に構成する必要があります。

GRE および VXLAN タイプのプロバイダー ネットワークを作成することもできますが、(個人的には) プロバイダー ネットワークはフラットおよび VLAN タイプのネットワークにのみ意味があります。これは、プロバイダー ネットワークの重要な属性が provider:physical_network であり、このパラメーターが他のネットワーク タイプでは意味をなさないためです。

プロバイダー ネットワークを作成します。

• ローカルタイプ: neutron net-create NAME --provider:network_type local
• フラットタイプ: neutron net-create NAME --provider:network_type flat --provider:physical_network PHYS_NET_NAME
• VLAN タイプ: neutron net-create NAME --provider:network_type vlan --provider:physical_network PHYS_NET_NAME --provider:segmentation_id VID
• gre タイプ: neutron net-create NAME --provider:network_type gre --provider:segmentation_id TUNNEL_ID
• vxlan タイプ: neutron net-create NAME --provider:network_type vxlan --provider:segmentation_id TUNNEL_ID

4.Neutron L2ネットワークのテナントネットワーク

テナントネットワークは、通常のテナントユーザーによって作成されるネットワークです。デフォルトでは、このようなユーザーは共有テナント ネットワークを作成できません (そのため、Nuetron Server ポリシー設定は「create_network:shared」:「rule:admin_only」です)。したがって、このようなネットワークは完全に分離されており、他のテナントと共有することはできません。

テナント ネットワークには、local、flat、vlan、gre、vxlan などのタイプもあります。ただし、通常のテナント ユーザーが作成する Flat および VLAN テナント ネットワークは実際にはプロバイダー ネットワークであるため、実際に意味のあるタイプは、物理ネットワークとのバインド関係を持たない GRE および VXLAN です。

テナント ネットワークを作成するプロセス:

(0) 管理者は、neutron 設定ファイルで tenant_network_types を設定します。その値は、「vlan、gre、vxlan」などのサポートされているネットワーク タイプのリストに設定できます。デフォルト値は「local」なので、変更する必要があります。この値は、この OpenStack クラウドで作成できるテナント ネットワークの種類を示します。

（1）neutron net-create <net_name>コマンドを実行する

（２）Neutronサーバーは設定項目に従ってネットワークセグメントを一つずつ作成し、成功するとすぐに戻ります。

各ネットワークを作成するときには、異なる構成項目が使用されます。

5. プロバイダーとテナントの違い

• プロバイダー ネットワークは管理者ユーザーによって作成され、テナント ネットワークはテナント ユーザーによって作成されます。
• プロバイダー ネットワークは、VLAN などの物理ネットワークの特定のセグメントに直接マッピングされるため、事前に物理ネットワークで対応する構成を行う必要があります。テナント ネットワークは仮想化されたネットワークであり、ルーティングなどのレイヤー 3 機能は Neutron が担当します。
• フラットおよび VLAN タイプのネットワークの場合、プロバイダー ネットワークのみが意味を持ちます。このタイプのテナント ネットワークも、基本的には実際の物理セグメントに対応します。
• GRE および VXLAN ネットワークの場合、特定の物理ネットワークに依存しないため、テナント ネットワークのみが意味を持ちます。 IP とマルチキャストを提供するために必要なのは物理ネットワークだけです。
• プロバイダー ネットワークは、管理ユーザーが入力した物理ネットワーク パラメータに基づいて作成されます。テナント作業はテナント ユーザーによって作成されます。 Neutron は、ネットワーク タイプ、物理ネットワーク、segmentation_id などのネットワーク構成に基づいて特定の構成を選択します。
• プロバイダー ネットワークを作成する場合、構成範囲外の segmentation_id を使用できます。

6. サブネット

サブネットは、IPv4 または IPv6 アドレスとそれに関連付けられた構成のグループです。これは、OpenStack が仮想マシン (VM) に IP アドレスを割り当てることができるアドレス プールです。各サブネットはクラスレス ドメイン間ルーティング スコープとして指定され、ネットワークに関連付ける必要があります。サブネットに加えて、テナントはゲートウェイ、ドメイン ネーム システム (DNS) ネーム サーバーのリスト、およびホスト ルートのセットも指定できます。このサブネット上の VM インスタンスは、この構成を自動的に継承します。

仮想ホストを作成すると、nova-network は指定されたサブネットからアイドル IP を取得し、それをこの仮想ホストの構成ファイルに書き込みます。サブネット内の仮想ホストは、Linux ブリッジを作成することで相互に通信できます。

7: ポート

ポートは、論理ネットワーク スイッチ上の仮想スイッチ ポートを表します。仮想マシンのネットワーク カード (VIF - 仮想インターフェイス) がポートに接続されます。仮想マシンの VIF がポートに接続されると、vNIC には MAC アドレスと IP アドレスが設定されます。ポートの IP アドレスはサブネットから割り当てられます。

8. 仮想スイッチ

デフォルトでは、Neutron はオープンソースの Open vSwitch を仮想マシン スイッチとして使用し、Linux ブリッジの使用もサポートします。

9. 仮想ルーター

仮想ルータは、異なるネットワーク セグメント間の IP パケット ルーティングを提供し、Nuetron L3 エージェントによって管理されます。

novaによって管理されるVMとneutronによって提供される仮想ネットワークの関係

3番目: レイヤー2ネットワーク仮想化の実装

標準的な OpenStack 環境の物理ネットワーク構成には通常、次のものが含まれます。

• インターネット (パブリック ネットワーク): 多くの場合、通信事業者によって提供されるパブリック IP を使用する従来のパブリック ネットワーク。
• 外部ネットワーク: フローティング IP アドレスが割り当てられるデータセンターのイントラネット。
• OpenStack 内部ネットワーク:

テナント ネットワーク: 仮想マシン間、およびコンピューティング ノードとネットワーク ノード間の通信を提供します。これもデータセンターの内部ネットワークです。

ストレージ アクセス ネットワーク: ストレージにアクセスするためのネットワーク。

ストレージ バックエンド ネットワーク: たとえば、バックエンド データ レプリケーションのために Ceph および Swift クラスターによって使用されるネットワーク。

管理ネットワーク: OpenStack コンポーネントと API アクセス エンドポイント間の内部通信を提供します。セキュリティ上の理由から、ネットワークはデータセンター内に限定する必要があります。

API ネットワーク: これは実際には別個のネットワークではなく、外部ネットワークと内部ネットワークに含まれます。 API エンドポイントには publicurl と internalurl が含まれます。publicurl には外部ネットワークの IP アドレスが含まれ、internal network には管理ネットワークの IP アドレスが含まれます。簡単にするために、内部ネットワークと外部ネットワークに提供される API の publicurl と internalurl は同じですが、内部ネットワークにのみアクセス可能な API は internalurl のみを使用します。

データ ネットワーク: 管理ネットワーク以外のネットワークは、多くの場合、次の種類に分類されます。これらは 1 つに結合することも、パフォーマンスを考慮して 1 つ以上のネットワークを個別のネットワークに分離することもできます。

• 上記のネットワークに加えて、IPMI ネットワーク、PXE ネットワーク、監視ネットワークなど、さまざまな機能ネットワークが存在することがよくあります。

1. 2階のコンセプト

レイヤー 2 はデータ リンク層を指します。コンピュータ間の通信は、イーサネット プロトコル ブロードキャストに基づいています。大規模なレイヤー 2 の概念は、OpenStack 内のすべての VM が大規模なレイヤー 2 ネットワーク内にあることを意味します。大きなレイヤー 2 は、直列に接続された多数のレイヤー 2 スイッチとして想像することもできます。これを行う目的は、VM をネットワーク全体の任意の場所に移行できるようにすることです。第 2 層ではゲートウェイやルーティングは必要ないため、リソース呼び出しはより柔軟になります。逆に、すべての VM が大きな第 2 層にない場合、VM は別の場所 (別のネットワーク) に移行し、ゲートウェイを手動で指定してルーティング ポリシーを追加する必要があります。ただし、これは 1 つの VM の移行のみを対象としています。すべての VM の動的な移行に対応するには、ゲートウェイやルートなどを指定するのは非現実的です。

2. 物理レイヤー2と仮想レイヤー2（VLANモード）

物理層2とは、物理ネットワークがイーサネットプロトコルのブロードキャスト方式に基づいて通信する層2ネットワークであることを意味します。

仮想レイヤ2とは、Neutronによって実装される仮想ネットワークもレイヤ2ネットワークであり（OpenStack VMが使用するネットワークは大規模なレイヤ2ネットワークである必要があります）、イーサネットプロトコルのブロードキャスト方式に基づいて通信しますが、仮想ネットワークが物理的なレイヤ2ネットワークに依存していることは間違いありません。

3. 物理レイヤー 3 と仮想レイヤー 2 (GRE モジュールと VXLAN モード)

物理的な3層とは、物理ネットワークがIPルーティングに基づいて通信する3層ネットワークであることを意味します。

仮想レイヤー 2 とは、Neutron によって実装される仮想ネットワークが依然としてレイヤー 2 ネットワーク (OpenStack VM が使用するネットワークは大規模なレイヤー 2 ネットワークである必要があります) であり、通信は依然として Ethernet プロトコルのブロードキャスト方式に基づいていますが、仮想ネットワークが物理的なレイヤー 3 ネットワークに依存していることは間違いありません。これは、VPN の概念に多少似ています。基本的な原則は、プライベート ネットワーク パケットをカプセル化し、最終的にトンネル IP アドレスを使用して送信することです。

4. 仮想ルーター

サブネット間の通信は仮想ルーターを経由する必要があります。物理ルータと同様に、仮想ルータはテナントによって作成され、テナントのサブネットと外部ネットワークを接続する複数の仮想インターフェイスを持ちます。以下の機能があります:

• VR はそれを作成したテナントにのみ属し、テナントのサブネット間およびサブネットと外部ネットワーク間のルーティングにのみ使用されます。
• 同じネットワーク内の複数のサブネットを1つのVRに接続できます
• 重複するIPアドレスを持たない同じテナントの異なるネットワークのサブネットを1つのVRにマウントできます。
• VRは異なるテナントのイントラネット間では使用できません
• 同じテナントの異なるネットワークで重複する IP アドレスを持つ 2 つのサブネットは、同じ VR を使用できません (サブネットを VR に追加するとエラーが報告されます)
• ネットワーク ノードでは、VR はネットワーク名前空間で実行され、その名前には VR の UUID が含まれます。

5. DHCPサービス

ネットワーク環境では DHCP サービスは必須です。 Neutron は、Dnamasq (軽量 DNS および DHCP サービス) に基づく仮想マシン DHCP サービスを提供して、テナント ネットワーク内の仮想マシンに固定 IP アドレスを動的に割り当てます。以下の機能があります:

• ネットワークでは、異なる物理ネットワーク ノード上で複数の DHCP エージェントを実行し、ネットワーク内の仮想マシンに同時にサービスを提供できます。
• DHCP エージェントは 1 つのネットワークにのみ属し、ネットワーク名前空間内のネットワーク ノード上で実行されます。
• ネットワーク内のサブネットはDHCPエージェントを共有する

4番目: Neutronテナントネットワークの分離

Neutron は、さまざまなレベルのテナント ネットワーク分離を実装します。

• テナント間のネットワークは3層で分離されています。 VR 経由のルーティングも不可能です。本当に接続したい場合は、物理ネットワークを使用する必要があります。
• テナント内の異なるネットワークはレイヤー 2 で分離されており、VR を介してレイヤー 3 で接続する必要があります。
• ネットワーク内の異なるサブネットもレイヤー 2 で分離されており、VR を介してレイヤー 3 で接続する必要があります。

Neutron は各テナント ネットワークに segmentation_id を割り当てます。この segmentation_id には次の特性があります。

• 各テナント ネットワークにはこのタイプの ID があります。
• 各テナント ネットワーク ID は、すべてのテナントにわたって一意です。
• 1つのIDは1つのブロードキャストドメインを表します
• ID により、同じネットワーク内の 2 つの仮想マシン間に仮想チャネル (トンネル) が確立されているかのように見えます。
• 異なるIDを持つネットワークトンネルは互いに分離されています
• 物理的な実装に応じて、この ID はいくつかの異なる形式で実装されます。

VLANID

GRE トンネル ID

VxLAN VNI

元の画像リンク: https://pinrojas.com/2014/07/29/theres-real-magic-behind-openstack-neutron/

• （1）コンピューティングノードのbr-int上で、neutronは各VMをOVSに接続するアクセスポートに内部VLANタグを割り当てます。このタグは、ネットワーク トラフィックをテナント ネットワーク内のみに制限します。
• （2）コンピューティングノードのbr-tunでは、Neutronが内部VLANタグをGREトンネルIDに変換し、異なるネットワークからのトラフィックがトンネルを通過するのを防ぎます。
• （３）ネットワークノードのbr-tunでは、neutronはGREトンネルIDを対応する内部VLANタグに転送し、ネットワークフローが異なるサービスによって処理されるようにする。
• （4）ネットワークノードのbr-intに接続されたDHCPエージェントとL3エージェントは、Linuxネットワーク名前空間を使用して分離されます。

5番目、Neutronテナントネットワークセキュリティ

入居者の孤立に加えて、

• Neutron は、データ ネットワークと外部ネットワーク間の分離も提供します。デフォルトでは、仮想マシンから外部ネットワークへのすべてのトラフィックは、ネットワーク ノード上の L3 エージェントを通過します。ここで、内部固定 IP は外部フローティング IP アドレスに変換されます。このアプローチにより、内部 IP アドレスを隠しながら、ネットワーク パケットを返すことができるようになります。
• Neutron は引き続き Linux iptables 機能を使用してセキュリティ グループ機能を実装し、仮想マシンへのアクセスのセキュリティを確保します。
• Neutron は、ネットワーク制御ノードのネットワーク名前空間で iptables を使用して、テナント ネットワークの内外のネットワーク パケット ファイアウォールを実装し、テナント ネットワークの内外のセキュリティを確保します。