在FusionSphere Openstack规划设计的过程中,至少有8个平面。
1. Internal_base,内部平面。
①是FusionSphere Openstack中的组件之间进行通信的网络平面,如nova-api与cinder-api之间通信;
②为了网络安全性,是二层网络平面,是无网关的;
③默认网段是172.28.0.0/20;
④是服务器用FCD的时候通过PXE进行安装操作系统的网络平面;PXE可以批量对服务器进行安装操作系统,安装时配置是untag模式的。
⑤flat网络类型(无vlan)
2. External_API,与外部网络相连接(通信)的网络平面,用户通过这个网络平面下发指令。通过外部portal去管理内部组件的时候网络流量走的都是External_API这个网络平面,也就是说通过外部接入内部走的都是External_API(管理员的访问,API的调用) (在交换机上配置Trunk并且允许该VLAN通过,走三层)
是OpenStack的正向代理、反向代理。
3. External_base,(华为不推荐)为rabbitMQ而设计的网络平面,负责组件的内部通信的网络平面(子组件通信)(如Nova内部各组件之间通信),External_base可以被External_OM代替(在交换机上配置Trunk并且允许该VLAN通过,走三层)
glance、swift无MQ也就无这个平面,其它组件都有。
4. External_OM,是一种资源接入平面,主要负责对接底层差异化资源(KVM、VMware、FC、Hyper-V)。管理地址。
就是说FusionSphere Openstack与Fusion Compute对接,即Nova_Compute与VRM对接,流量走External_OM;还有对计算实例VNC登录的时候走的也是External_OM。
5. 管理平面,主要负责VRM与CNA通信,FSM和FSA通信。(VRM和FSM是控制、管理)
6. 存储平面,当你对接的资源为KVM的时候才会有存储网络平面。
Storage_data分为0 1 2 3 4…分别是对接的不同的后端存储,用多少取决于需求,对接IP SAN一般成对出现0或1,对接FS一般只用一个。
7. 业务平面,虚拟机与虚拟机之间的通信,租户使用虚拟机的时候这个业务数据都跑在这个业务平面 (配置成Trunk并且要配好VLAN池)
8. BMC平面(BMC_Base),是BMC模块存在的网络平面。
①BMC是负责对服务器(硬件)进行运维和管理的(上下电、对服务器VNC远程登录、对服务器进行硬件巡检等)。
②BMC是一个模块放在服务器的主板上,是主板上的一个操作系统(本质上是一个可以直接控制服务器硬件的软件),无论什么操作系统都不影响BMC的存在,可以通过Web界面去访问BMC,对它进行操作。
③BMC平面是主机BMC网口使用的平面,专门跑一个网络。(VRM节点的管理平面和BMC平面互通就可以了)
④使用的IPMI协议。
云服务网络平面:
1.DMZ_Service:用户访问私有云SC的时候走的网络平面,也就是对外提供服务的网络平面,用于云用户或 ManageOne 管理员访问云服务层,是进入 ManageOne OC/SC 做一些管理配置的平面。 lAAS/PAAS/SAAS 等服务的前端节点,以Console 等方式,对外提供服务。(lvs(负载均衡软件)\nginx\Console\ DNS\ ntp(时钟同步))
2.Public_Service:是云服务组件、公共服务所在的平面,内部公共服务组件或节点所在的平面。不与外网互通。(组合 API,Haproxy,GaussDB,Euler OS等,比如负责Gauss DB与Euler OS两个组件的通信)
3.DMZ_Tenant:租户网络,是租户与租户所购买的云主机之间通信的网络平面,也就是租户与虚拟机之间通信的网络平面。
一般是通过 EIP 管理或访问租户的业务平面通信的网络平面,租户的业务平面不是指租户所在的网络。与租户网络连通,为租户提供服务。例如:使用内部 NTP 服务,使用内网的软件仓库而不去外网上找。
4.OM_Service: 运维相关的网络,用于收集信息给 OC 的平面。私有云所有管理节点、网络设备、服务器所在的网络平面,要求该平面与全部网络平面互通。(除租户网络)
5.Heart_Beat:云服务心跳平面
*为什么external-base可以被external-om代替?
om这个平面可以被rabbitmq所监听,同时om与cna三层互通。
*External_Api平面需要管理平面通吗?走什么流量?
需要,VRM 如果部署在传统 FusionCompute 中,没有部署在 OpenStack 中,通过 no vnc 访问虚拟机走的流量就是通过 external_api 网络。
No VNC:VNC走的平面
*OpenStack 网络平面?为什么要有这些平面?(FusionCloud 的网络平面)
这里 VLAN 不需要记。此图为 type 1 需要做的管理节点网络规划。 如果是 type3 做网络规划。只需要做红色框部分。
*FusionSphereOpenstack的几个重要网络平面
<关键点:
internal_base、external_api、external_om、external_base都属于Openstack的管理平面。
Internal_base也是CPS节点PXE安装平面
storage_data属于存储平面。只有在KVM场景中才需要配置。主要用于cinder-volume与后端存储对接、kvm节点使用后端存储。默认情况下,存在 storage_data0、storage_data1,两者无任何区别,storage_data的配置仅仅是为了给cps节点配置存储平面ip 地址(除上述情况,假如在cps节点布署FusionStorage FSA节点,需要增加存储平面ip,此时就可以通过配置 storage_data完成),仅在需要对接位于两个存储网络的后端存储才有可能使用,相应的,当存储网络大于2个时,需增加storage_data的数量,即会存在 storage_data3 等
>
*internal_base 平面系统一般会默认创建一个 ip 地址段,我们可以人为去修改吗?
172.28.0.0 /20
可以改。在部署的时候可以修改(在LLD内),部署完就不能修改。
*虚拟机是如何通过 vnc 登录的?租户使用vnc登录的时候用到了什么网络平面?(考到)
用户发送请求到 API 网络里面的 noVNC 代理,VNC 代理通过 external_om 去找 FusionCompute 里面的对应 VRM,通知 FusionCompute 为虚拟机提供 VNC 资源,然后把这个资源提供到 controller 上的 consoleauth 组件鉴权,鉴权通过以后,VNC 代理会向用户返回一个页面,那么 VNC 就登录虚拟机成功了
External-api -> external_om -> VRM -> controller 上鉴权-> VNC 代理返回登录界面
*SC 中的虚拟机登录会走哪些网络平面?
DMZ-Service -> Public-Service -> External-Api -> Internal-Base -> External-om -> VRM
*用户通过了哪些网络平面访问到自己的虚拟机?
DMZ_Service -> Public_Service -> DMZ-Tenant -> External-Api -> Internal-Base -> External-om ->资源(FC KVM)
现在外面的用户要访问弹性云服务器,需要经过哪些网络平面?(考到)
如果用远程登录工具去根据公网ip登录弹性云服务器的话 不需要经过网络平面。
不然就是
DMZ_Service -> Public_Service -> DMZ-Tenant -> External-Api -> Internal-Base -> External-om ->资源(FC KVM)
*反向代理有什么作用?不要反向代理可不可以?
正向代理是流量由内到外;
反向代理是流量由外到内;
两者都是为了隐藏内部网络细节,提高安全性
两者都是实现网络互通。
不可以不要反向代理。
*在 OpenStack 网络平面中,哪个是 untag 的?
internal_base。PXE安装时需要用到internal_base,不能识别带tag的帧。
*在 OpenStack 网络平面中,storage_data 是什么平面?
FusionSphere Openstack 内部存储平面,KVM 场景才会使用到。使用 KVM 资源时的内部存储平面,可用于接入 FusionStorage 及其他存储设备网络。
*FusionSphere Openstack 的网络平面可不可合一部署?
物理平面上可以合一部署,但必须都配置独立vlan。
*社区版有没有这些网络平面?
没有。社区版并没有明确要求怎样的网络平面规划,只是提供建议。我们完全可以根据自己的需求设计出不同的网络平面规划或相同的规划。
*存储平面你是怎么理解的(storage-data)
在 OpenStack 对接 FS 或 IPSAN 存储的时候使用的平面,
*为什么需要 Storage_data 平面?
因为需要物理隔离或逻辑隔离,Cinder-volume 所在的 CPS 节点原有的 IP 接口无法与存储设备的业务接口通讯,需增加一个 IP 接口。
*storage-data 可不可以不用?
我直接把存储拉到 internal-base 平面和 external-om 平面
可以,我只需要考虑两个问题
1. ip 通不通,通的话就可以
2. 防火墙的 iptable 有没有拦截,被拦截了我们让他放行就ok
*FusionCompute 的 vims 存储的心跳平面一般是建在哪个网络平面的?为什么这么设计?
FC的管理平面,为了检测 CNA 是否故障
*external-om与om-service区别:
一个是FSO内部管理平面,一个是多region间的运维管理网络平面。
*external-api与external-om区别:
external-api是外部租户、管理员提供业务访问的,external-om是接入资源的。
安全性external-api差,external-om高一点。
external-api以反向代理形式对外提供访问入口,external-om一般不配置反向代理。
哪些平面需要与管理平面三层互通?
External_api,external_om,external_base
这些平面为什么不用一个平面?
安全,不同平面相互隔离。
external_om 和 external_api 平面需要互通吗?
可以互通,可以不互通,都和管理平面三层互通
external_om和 external_api 怎么跟 internal_base 平面互通?
配置正反向代理
裸金属服务器需要接入 BMC_Base 吗?
不需要接入 BMC_Base 平面,BMC_Base 主要用于 Ironic 的组件使用,其利用该平面与裸金属服务器建立 ipmi 通讯即可,故裸金属服务器的 BMC 接口只需与 BMC_Base 三层互通即可(通过IP访问即可,IP可达)。
管理平面能和 external_om 平面合并吗?为什么?
不能,管理平面是 VRM 和 CNA 通信的
业务规划的时候不会让 CNA 节点接入 external-om 平面,因为这个业务节点上面会运行大量虚拟机,如果 CNA 被黑之后,就能和CPS节点上的运维主机进行通信
对external_base平面的理解
针对场景:虚拟化层为 FusionCompute或VMware
使用对象:RabbitMQ、FNM(FuisonNetwork Manager)
出现原因:因CNA或ESXi运行Neutron-Agent,其需要接入 RabbitMQ。而 RabbitMQ在没有配置external_base前只监听internal_base 平面,internal_base又因安全考虑无法和其它网段通讯,造成运行在CNA或ESXi上的 Neutron-Agent无法和RabbitMQMQ,最终Agent 工作异常。引入external_base平面目的就是让RabbitMQ能够同时监听该平面,让Agent可以与之通讯。
考试追问:
如何为console和api提供服务?
连上DMZ_Service
什么是后端什么是前端?
前端是用户去使用比如说SC,做了一个网页用户来访问。
后端是对用户不可见的,底层的东西。
**给你4张网卡你要怎么规划网络平面?
两两绑定 两张网卡绑定做管理+业务 两张网卡绑定起来做存储
你自己规划出来的网卡,都需要放行那些网络平面?
八个网络都随便说几个
业务流可不可和管理流部署在一起?
可以。物理部署的时候一般都是业务和管理合一部署
管理流和控制流指的是什么?
差不多 一个意思 FSM与FSA VRM与CNA
*计算节点4网口规划?绑定模式?放通那些vlan?
两两绑定 两张网卡绑定做管理+业务 两张网卡绑定起来做存储
绑定模式:主备
看用户需求放通相应vlan
对IP地址的规划?
通过VLAN进行隔离配置
关于dmz-tenant都有哪些公共的服务
NTP 安全服务 CIDR、APIGW、安全区漏扫、网页防篡改,补丁服务
storage data 0 1是什么,干什么的,对接什么?
0 1没有区别 只是个数字
storage data 是用来对接ip san 或 fs时,使用 cinder volume需要使用kvm节点上的存储资源时,需要这个网络平面,因为kvm自身无法管理存储。
干什么的?业务存储或者管理存储
storage_data对接san跟fs有什么区别?
san要两个网络平面 fs只要一个
对接FS的时候,只需要一个storage_data网络平面,0或者1。
对接IP SAN的时候,一般成对出现,用到两个storage_data网络平面,0和1。因为要接存储两个控制器做冗余。
internal base 做PXE时,怎么做到untag的?
vlan id=pvid
type3类型时,管理节点只有两个网口,怎么规划网络平面?
管理业务存储平面合一
用户创建ECS会经过哪些openstack网络平面,哪些私有云平面?
DMZ-Service、Public-Service、DMZ-Tenant、Internal-Base、External-Api、External-Base、External-om、管理平面
使用Fusionstorage具体需要经过哪些平面?
存储平面 管理平面 业务平面(VBS里面)
组件交互可以三层互通吗?
不行,为了保证安全性
Ops内部组件都是二层的
external-api组网的时候需要在三层交换机上部署哪些东西,如何部署?
配置trunk 放通相应vlan
ip 开启路由 配置路由
为什么要用主备,不用负载分担,什么情况用主备,什么情况用负载分担,主备和负载分担需要在TOR交换机上做什么操作?
业务可靠性 没必要用负载分担,某个组件足以应付请求的话 主备足够了
平面内有那些组件,如lvs,nginx,console,它们的部署情况是主备还是群集。经过的网络平面。
问的是云服务层中有哪些组件?
都是主备
如果现在有2张万兆网卡,并且管理存储用的是fusionstorage,那么控制节点服务器的网卡该怎么规划?
主备或负载分担 管理业务存储合一
一个完整的FCD安装流程需要经过哪些平面?
登录FCD需要external-api,之后PXE安装经过internal-base平面,安装南向om、fs、vrm需要external-om,如果有裸金属节点还需要BMC-base