참고/이미지 출처
OpenStack Nova-Networking
- Flat Network Manager
In this mode, a network administrator specifies a subnet. IP addresses for VM instances are assigned from the subnet, and then injected into the image on launch. Each instance receives a fixed IP address from the pool of available addresses. A system administrator must create the Linux networking bridge (typically named br100, although this is configurable) on the systems running the nova-network service. All instances of the system are attached to the same bridge, which is configured manually by the network administrator.
Note
Configuration injection currently only works on Linux-style systems that keep networking configuration in /etc/network/interfaces.
1) Network 관라자에 의해 명시된 서브넷이 있으며 VM에 할당된 IP는 서브넷에 속해야 한다.
2) 할당된 IP는 config 파일 형태로 직접 VM 이미지에 삽입된다.
3) Network 노드들은 default gateway로 작동하지 않고 VM들은 Public IP를 바로 할당받거나 외부에 DHCP서버를 통해 아이피를 할당받는다.
4) 모든 VM은 가용주소 범위내에서 고정된 IP를 사용한다.
5) nova-network 노드와 nova-compute 노드간에 br100이라는 브리지 네트워킹이 설정되어야 한다.
6) 시스템상의 모든 VM은 동일 브리지(br100)에 붙고 관리자에 의해 관리/생성된다.
7) OpenStack Compute는 iptables/ebtables 엔트리가 프로젝트별로 생성된다.
- Flat DCHP Network Manger
In this mode, OpenStack starts a DHCP server (dnsmasq) to allocate IP addresses to VM instances from the specified subnet, in addition to manually configuring the networking bridge. IP addresses for VM instances are assigned from a subnet specified by the network administrator.
Like flat mode, all instances are attached to a single bridge on the compute node. Additionally, a DHCP server configures instances depending on single-/multi-host mode, alongside each nova-network. In this mode, Compute does a bit more configuration. It attempts to bridge into an Ethernet device (flat_interface, eth0 by default). For every instance, Compute allocates a fixed IP address and configures dnsmasq with the MAC ID and IP address for the VM. dnsmasq does not take part in the IP address allocation process, it only hands out IPs according to the mapping done by Compute. Instances receive their fixed IPs with the dhcpdiscover command. These IPs are not assigned to any of the host's network interfaces, only to the guest-side interface for the VM.
In any setup with flat networking, the hosts providing the nova-network service are responsible for forwarding traffic from the private network. They also run and configure dnsmasq as a DHCP server listening on this bridge, usually on IP address 10.0.0.1 (see DHCP server: dnsmasq ). Compute can determine the NAT entries for each network, although sometimes NAT is not used, such as when the network has been configured with all public IPs, or if a hardware router is used (which is a high availability option). In this case, hosts need to have br100 configured and physically connected to any other nodes that are hosting VMs. You must set the flat_network_bridge option or create networks with the bridge parameter in order to avoid raising an error. Compute nodes have iptables or ebtables entries created for each project and instance to protect against MAC ID or IP address spoofing and ARP poisoning.
Note
In single-host Flat DHCP mode you will be able to ping VMs through their fixed IP from the nova-network node, but you cannot ping them from the compute nodes. This is expected behavior.
1) Compute 노드내에 DHCP(dnsmasq) 서버가 운영된다는 것을 제외하고 기본적으로 Flat Network Manager 방식과 동일하다.
2) IP를 VM에 할당하기 위해, Compute 노드내에 DHCP(dnsmasq)서버가 사용된다.
3) 사용되고 있는 서브넷에서 특정범위(별도 정의)를 DHCP 설정값으로 잡는다.
4) IP 정보파일을 이미지에 넣는대신 DHCP로부터 IP를 할당 받게 된다.
- VLAN Network Manger
This is the default mode for OpenStack Compute. In this mode, Compute creates a VLAN and bridge for each tenant. For multiple-machine installations, the VLAN Network Mode requires a switch that supports VLAN tagging (IEEE 802.1Q). The tenant gets a range of private IPs that are only accessible from inside the VLAN. In order for a user to access the instances in their tenant, a special VPN instance (code named cloudpipe) needs to be created. Compute generates a certificate and key for the user to access the VPN and starts the VPN automatically. It provides a private network segment for each tenant's instances that can be accessed through a dedicated VPN connection from the internet. In this mode, each tenant gets its own VLAN, Linux networking bridge, and subnet.
The subnets are specified by the network administrator, and are assigned dynamically to a tenant when required. A DHCP server is started for each VLAN to pass out IP addresses to VM instances from the subnet assigned to the tenant. All instances belonging to one tenant are bridged into the same VLAN for that tenant. OpenStack Compute creates the Linux networking bridges and VLANs when required.
1) OpenStack Compute의 기본모드 이다.
2) 각각의 프로젝트별로 VLAN과 Bridge를 생성한다.
3) Multi Compute 노드운영을 위해 이들을 연결하고 있는 Switch 장비는 VLAN tagging (IEEE 802.1Q)를 지원해야 한다.
4) 프로젝트 단위들은 오직 VLAN 내부에서만 접근 가능한 Private IP 범위를 가진다.
5) 프로젝트에 속한 VM에 접근하기 위해서는 프로젝트 단위로 별개의 Cloudpip라는 VM이 생성된다.
6) OpenStack Compute 사용자가 VPN에 접근 가능하게 하기 위해 인증키를 만들고 VPN 서비스를 시작한다.
7) VPN 시스템은 프로젝트별로 그에 속한 VM들을 망 외부의 End-User가 동일 Network 처럼 보이도록 하는 Private Network를 제공한다.
8) 각각의 프로젝트는 개별 VLAN, LInux Networking Bridge, Subnet을 가진다.
9) 이 3가지중 Subnet은 Network 관리자에 의해 정의되고, 프로젝트가 필요로 할때 동적으로 할당된다.
10) DHCP 서버는 각각의 VLAN, 프로젝트별로 할당된 Subnet 정보를 기반으로 시작되며 프로젝트에 속한 VM들에 IP를 할당한다.
11) 하나의 프로젝트에 속한 모든 VM들은 같은 VLAN에 속한다.
12) 기능에 필요한 Linux Networking Bridge 및 VLAN 들은 OpenStack Compute가 생성한다.
※ Cloudpipe
a. Cloudpipe는 VlanManager 모드에서, End-User가 그들 소유의 Project(with VLAN)에 속한 VM에 접속하기 위한 방법(Method)이다.
b. Cloudpipe수행 코드는 End-User가 Project에 할당된 Private Network에 VPN접속이 가능하게끔 해주는 VPN Gateway형태의 VM을 nova-manage라는 관리자 Command를 사용해 자동으로 생성한다.
c. 이 VPN으로의 접근은 Project를 위해 사용되고 있는 Network Host의 Public Port를 통해 제공된다.
d. 이 VPN방식은, Public Internet에 노출없이(보안), End-User가 Project에 있는 VM들로의 접근을 용이하게 함.
e. VPN을 담당하는 전용 VM은, Linux이며, 사전에 OpenVPN이 설치되어 있어야 한다.
f. Nova와 연동되기 위해서, autorun.sh이라는 OpenVPN을 설정하고 시작시키는 script가 존재한다.
g. autorun.sh는 Nova로부터 환경정보를 읽어 담당하는 Project의 VLAN에 맞는 VPN서비스가 구동되게끔 한다.
h 또한, 이 autorun.sh는 Cron에 등록되어, 주기적으로 Metadata를 재다운로드 하도록 하고, 새로운 crl를 복사한다.
i cron을 통한 주기적인 Update 작업을 통해, 증명서를 재발급 받게 될때, 기존 증명서를 통해 연결된 세션은 제거된다.
