Cloudstack网络应用实践
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
– – – – – 支持Advance Zone 属于某个特定帐户,采用VLAN方式进行网络隔离 帐户可拥有一个或多个Isolated Network 系统自动管理VLAN资源的分配与回收 可通过VR实现StaticNAT、SourceNAT、LoadBalancing、PortForwarding、Firewall、 VPN、DHCP、DNS等网络服务
Web2
App1
10.166.3.5
DB1
10.166.1.3
App2 Web3
10.166.2.3 10.166.1.4
VR2 VR1 VR3
DHCP DHCP
DHCP
Cloudstack 4.0 VPC
VPC的主要特性
• • 每个VPC拥有统一的VR VPC内部可配置多个私有网络层 (Tiers) VR作为私有网络层的GW,并可配置 各个Tier之间的ACL策略 VR可从Public Network获取公共IP地 址,并可为其中一个Tier提供LB/PF 服务 VPC可通过私有网关访问内网 VPC可通过Site-to-site VPN访问其 他数据中心
VM 3
Guest IP :10.1.1.4
Static NAT
Public IP 65.37.141.11 VR VM 1 Guest IP 10.1.1.2
Load Balancing
Load Balancing
Public IP 65.37.141.11 Port: 80 VR VM 1 Guest IP :10.1.1.2 Port: 80
Cloudstack网络服务的特点
租户视角的虚拟网络
抽象化
管理员视角的物理网络
Cloudstack的网络流量类型
Cloudstack存在4种类型的网络流量:
Public Network(公用网络)
置于VR外侧,可供多个或某个指定帐户使用的共享网络,一般用于接入Internet公网使用
Guest Network (来宾网络)
Firewall
• 限制通过Public IP进入Guest Network的网络请求 • 默认Deny所有的进入请求 • 设置源地址,协议类型,端口范围
NAT
Source NAT
Public IP 65.37.141.11 VR VM 2 Guest IP :10.1.1.3 VM 1 Guest IP :10.1.1.2
10.1.1.3
Internet
NAT DHCP Load Balancing Port Forwarding Firewall VPN
Guest 1 VM 3
10.1.1.4
Guest 1 VM 4
10.1.1.5
Public IP address 65.37.141.24 65.37.141.80
Basic Network
•
• •
不同帐户的虚拟机部署于同一子网中
帐户间通过安全组进行隔离 VR提供DHCP与DNS服务
Security Group安全组隔离
• • • • 网络请求受到策略限制的一组虚拟机 包括Ingress/egress规则 默认屏蔽所有Ingress请求,开放所有egress请求 可限制源地址、源账户、端口范围以及协议类型
直接分配给虚拟机使用的虚拟网络,分为Isolated和Shared两种
Management Network(管理网络)
管理服务器与物理主机、系统虚拟机管理地址之间通讯的网络
Storage Network(存储网络)
二级存储虚拟机SSVM与二级存储之间通讯的网络
网络流量示意
Internet
Mgmt Server
DHCP
多层网络场景3
Physical L3 Switch
Load Balancer
Guest Network1 (Shared ) VLAN 102
Web1
Guest Network2 (Shared ) VLAN 103
Guest Network3 (Shared ) VLAN 104
10.166.1.2 10.166.2.2
•
• •
所有账户拥有自己的默认SG
用户可以根据需求创建新的SG 基于iptables/ebtables实现
Security Group安全组隔离
Pod1
Pod2
Pod3
VM1
User1 Security Group
VM4
User2 Security Group
VM7
VM2
VM5
VM8
…
VM3
…
VM6
10.1.1.4
Web3
10.1.2.38
10.1.3.24
DB1
10.1.1.5
Web4
10.1.2.39
VR2
VR3
DHCP
DHCP
多层网络场景2
Public Network VLAN 10 Public IP 65.37.141.111
VR1
Physical L3 Switch
Router ACLs
Core(L3) Switch
Access Switch
Access Switch
Hypervisor
Hypervisor
SSVM
VR
Trunk
VM
Secondary Storage
Trunk
VM
Primary Storage
Hypervisor
Mgmt Traffic Guest Traffic
Trunk
Advanced Network
通过VLAN进行账户间的隔离 VLAN数量受到限制(最大4096) VR可提供更多的网络服务(NAT、 Firewall、PF、LB、VPN)
同一虚拟机可支持接入多个网络, 可更加灵活的进行部署 支持Isolated与Shared两种虚拟来宾 网络模式
Cloudstack的虚拟来宾网络类型 Isolated Network
VM 2
Guest IP :10.1.1.3 Port: 23
VM 3
Guest IP :10.1.1.4 Port: 80
多层网络场景1
Public Network VLAN 10 Guest Network1(Isolated ) VLAN 100 Guest Network2(Isolated ) VLAN 101 Guest Network3(Isolated ) VLAN 141
Guest Network 1 (VLAN 100)
Guest Network 2 (VLAN 101)
Guest Network 3 (VLAN 105)
Guest Network 4 (VLAN 106)
Guest Network 5 (VLAN 110)
…
Advanced Network的网络服务 • • • • • • Firewall Source NAT Static NAT Load Balancing Port Forwarding VPN
VM
Public Traffic Storage Traffic
Cloudstack的网络部署模式
• • • • • 类似AWS的扁平网络模式,适合大规模扩展 Basic Network 不同帐户的虚拟机部署于同一子网中 帐户间通过安全组进行隔离(不支持VMware) VR提供DHCP与DNS服务 • 同一虚拟机只能接入一个网络 • • • •
VM 2
Guest IP :10.1.1.3 Port: 80
VM 3
Guest IP :10.1.1.4 Port: 80
Port Forwarding
Port Forwarding
Public IP 65.37.141.11 Port: 22\23\80 VR VM 1
Guest IP :10.1.1.2 Port: 22
Cloudstack网络应用实践
Cloudstack简介
• 前身公司产品, 创始人美籍华人梁胜(Sheng Liang) • Java语言编写的基础设施即服务(IaaS)解决方案
• 2011年被Citrix公司收购
• 2012年4月贡献给Apache软件基金会(ASF) • 基于Apache License v2协议100%开源
NAT LB PF Firewall DHCP VPN
Private IP 10.1.1.1 10.1.1.2
Web1
Guest Network1 (Shared ) VLAN 102
Guest Network2 (Shared ) VLAN 103
Guest Network3 (Shared ) VLAN 104
Gateway address 10.1.1.1
Guest 2 VR
Guest 2 VM 1
10.1.1.2
Guest 2 VM 2
10.1.1.3
Public Network VLAN 10
NAT DHCP Load Balancing Port Forwarding Firewall VPN
Guest 2 VM 3
•
•
• •
Q&A
10.166.1.2 10.1.1.3
Web2
App1
10.166.2.2 10.166.1.3
App2
10.166.3.10.166.2.3 10.166.1.4
VR3 VR4
Guest Network1 (Isolated ) VLAN 101
VR2
DHCP DHCP
10.1.2.31 Public IP 65.37.141.111
VR1
App1
Private IP 10.1.1.1
10.1.1.2
Web1
10.1.3.21
10.1.2.21
App2
10.1.1.3
Web2
10.1.2.24 10.1.2.18
10.1.3.45
NAT LB PF Firewall DHCP VPN
10.1.1.4 Guest Network 2 VLAN 101
VLAN隔离
Internet
Public Network
Tenant 1
Virtual Router Virtual Router Virtual Router
Tenant 2
Virtual Router
Tenant 3
Virtual Router
Shared Network
– – – – – – 支持Basic Zone与Advanced Zone 多个帐户的虚拟机可部署于同一个VLAN中 采用安全组Security Group方式进行网络隔离(安全组仅支持Basic Zone) 可在Domain、Account、Project层面设置可见性 在创建时需指定VLAN ID、IP Range、Gateway等所属物理网络的信息 Public Network实质上是一个仅属于系统不对用户可见的Shared Network
…
Advanced Network
Public IP address 65.37.141.11 65.37.141.36 Guest Network 1 VLAN 100 Gateway address 10.1.1.1
Guest 1 VR
Guest 1 VM 1
10.1.1.2
Guest 1 VM 2
Web2
App1
10.166.3.5
DB1
10.166.1.3
App2 Web3
10.166.2.3 10.166.1.4
VR2 VR1 VR3
DHCP DHCP
DHCP
Cloudstack 4.0 VPC
VPC的主要特性
• • 每个VPC拥有统一的VR VPC内部可配置多个私有网络层 (Tiers) VR作为私有网络层的GW,并可配置 各个Tier之间的ACL策略 VR可从Public Network获取公共IP地 址,并可为其中一个Tier提供LB/PF 服务 VPC可通过私有网关访问内网 VPC可通过Site-to-site VPN访问其 他数据中心
VM 3
Guest IP :10.1.1.4
Static NAT
Public IP 65.37.141.11 VR VM 1 Guest IP 10.1.1.2
Load Balancing
Load Balancing
Public IP 65.37.141.11 Port: 80 VR VM 1 Guest IP :10.1.1.2 Port: 80
Cloudstack网络服务的特点
租户视角的虚拟网络
抽象化
管理员视角的物理网络
Cloudstack的网络流量类型
Cloudstack存在4种类型的网络流量:
Public Network(公用网络)
置于VR外侧,可供多个或某个指定帐户使用的共享网络,一般用于接入Internet公网使用
Guest Network (来宾网络)
Firewall
• 限制通过Public IP进入Guest Network的网络请求 • 默认Deny所有的进入请求 • 设置源地址,协议类型,端口范围
NAT
Source NAT
Public IP 65.37.141.11 VR VM 2 Guest IP :10.1.1.3 VM 1 Guest IP :10.1.1.2
10.1.1.3
Internet
NAT DHCP Load Balancing Port Forwarding Firewall VPN
Guest 1 VM 3
10.1.1.4
Guest 1 VM 4
10.1.1.5
Public IP address 65.37.141.24 65.37.141.80
Basic Network
•
• •
不同帐户的虚拟机部署于同一子网中
帐户间通过安全组进行隔离 VR提供DHCP与DNS服务
Security Group安全组隔离
• • • • 网络请求受到策略限制的一组虚拟机 包括Ingress/egress规则 默认屏蔽所有Ingress请求,开放所有egress请求 可限制源地址、源账户、端口范围以及协议类型
直接分配给虚拟机使用的虚拟网络,分为Isolated和Shared两种
Management Network(管理网络)
管理服务器与物理主机、系统虚拟机管理地址之间通讯的网络
Storage Network(存储网络)
二级存储虚拟机SSVM与二级存储之间通讯的网络
网络流量示意
Internet
Mgmt Server
DHCP
多层网络场景3
Physical L3 Switch
Load Balancer
Guest Network1 (Shared ) VLAN 102
Web1
Guest Network2 (Shared ) VLAN 103
Guest Network3 (Shared ) VLAN 104
10.166.1.2 10.166.2.2
•
• •
所有账户拥有自己的默认SG
用户可以根据需求创建新的SG 基于iptables/ebtables实现
Security Group安全组隔离
Pod1
Pod2
Pod3
VM1
User1 Security Group
VM4
User2 Security Group
VM7
VM2
VM5
VM8
…
VM3
…
VM6
10.1.1.4
Web3
10.1.2.38
10.1.3.24
DB1
10.1.1.5
Web4
10.1.2.39
VR2
VR3
DHCP
DHCP
多层网络场景2
Public Network VLAN 10 Public IP 65.37.141.111
VR1
Physical L3 Switch
Router ACLs
Core(L3) Switch
Access Switch
Access Switch
Hypervisor
Hypervisor
SSVM
VR
Trunk
VM
Secondary Storage
Trunk
VM
Primary Storage
Hypervisor
Mgmt Traffic Guest Traffic
Trunk
Advanced Network
通过VLAN进行账户间的隔离 VLAN数量受到限制(最大4096) VR可提供更多的网络服务(NAT、 Firewall、PF、LB、VPN)
同一虚拟机可支持接入多个网络, 可更加灵活的进行部署 支持Isolated与Shared两种虚拟来宾 网络模式
Cloudstack的虚拟来宾网络类型 Isolated Network
VM 2
Guest IP :10.1.1.3 Port: 23
VM 3
Guest IP :10.1.1.4 Port: 80
多层网络场景1
Public Network VLAN 10 Guest Network1(Isolated ) VLAN 100 Guest Network2(Isolated ) VLAN 101 Guest Network3(Isolated ) VLAN 141
Guest Network 1 (VLAN 100)
Guest Network 2 (VLAN 101)
Guest Network 3 (VLAN 105)
Guest Network 4 (VLAN 106)
Guest Network 5 (VLAN 110)
…
Advanced Network的网络服务 • • • • • • Firewall Source NAT Static NAT Load Balancing Port Forwarding VPN
VM
Public Traffic Storage Traffic
Cloudstack的网络部署模式
• • • • • 类似AWS的扁平网络模式,适合大规模扩展 Basic Network 不同帐户的虚拟机部署于同一子网中 帐户间通过安全组进行隔离(不支持VMware) VR提供DHCP与DNS服务 • 同一虚拟机只能接入一个网络 • • • •
VM 2
Guest IP :10.1.1.3 Port: 80
VM 3
Guest IP :10.1.1.4 Port: 80
Port Forwarding
Port Forwarding
Public IP 65.37.141.11 Port: 22\23\80 VR VM 1
Guest IP :10.1.1.2 Port: 22
Cloudstack网络应用实践
Cloudstack简介
• 前身公司产品, 创始人美籍华人梁胜(Sheng Liang) • Java语言编写的基础设施即服务(IaaS)解决方案
• 2011年被Citrix公司收购
• 2012年4月贡献给Apache软件基金会(ASF) • 基于Apache License v2协议100%开源
NAT LB PF Firewall DHCP VPN
Private IP 10.1.1.1 10.1.1.2
Web1
Guest Network1 (Shared ) VLAN 102
Guest Network2 (Shared ) VLAN 103
Guest Network3 (Shared ) VLAN 104
Gateway address 10.1.1.1
Guest 2 VR
Guest 2 VM 1
10.1.1.2
Guest 2 VM 2
10.1.1.3
Public Network VLAN 10
NAT DHCP Load Balancing Port Forwarding Firewall VPN
Guest 2 VM 3
•
•
• •
Q&A
10.166.1.2 10.1.1.3
Web2
App1
10.166.2.2 10.166.1.3
App2
10.166.3.10.166.2.3 10.166.1.4
VR3 VR4
Guest Network1 (Isolated ) VLAN 101
VR2
DHCP DHCP
10.1.2.31 Public IP 65.37.141.111
VR1
App1
Private IP 10.1.1.1
10.1.1.2
Web1
10.1.3.21
10.1.2.21
App2
10.1.1.3
Web2
10.1.2.24 10.1.2.18
10.1.3.45
NAT LB PF Firewall DHCP VPN
10.1.1.4 Guest Network 2 VLAN 101
VLAN隔离
Internet
Public Network
Tenant 1
Virtual Router Virtual Router Virtual Router
Tenant 2
Virtual Router
Tenant 3
Virtual Router
Shared Network
– – – – – – 支持Basic Zone与Advanced Zone 多个帐户的虚拟机可部署于同一个VLAN中 采用安全组Security Group方式进行网络隔离(安全组仅支持Basic Zone) 可在Domain、Account、Project层面设置可见性 在创建时需指定VLAN ID、IP Range、Gateway等所属物理网络的信息 Public Network实质上是一个仅属于系统不对用户可见的Shared Network
…
Advanced Network
Public IP address 65.37.141.11 65.37.141.36 Guest Network 1 VLAN 100 Gateway address 10.1.1.1
Guest 1 VR
Guest 1 VM 1
10.1.1.2
Guest 1 VM 2