转载自恒天云官网:http://www.hengtianyun.com/download-show-id-15.html
Vlan网络模式优点
- 增加网络可扩展性
- 网络隔离,每个租户拥有独立的网络及vlan
网络架构图
说明:
每个租户有独立的一个vlan网络
每个vlan会独立创建一个桥
每个桥充当网关角色,桥内的所有虚拟机网关指向桥IP
dns监听在每个桥上,所以会有多个dns进程
Vlan网络模式配置
- 思科千兆交换机设置
设置15 16 17 18四个以太网接口为 trunk 模式,并创建两个 vlan。
sina>enable
sina#configure terminal
sina(config-if)#interface GigabitEthernet0/15
sina(config-if)#switchport mode trunk
sina(config-if)#interface GigabitEthernet0/16
sina(config-if)#switchport mode trunk
sina(config-if)#interface GigabitEthernet0/17
sina(config-if)#switchport mode trunk
sina(config-if)#interface GigabitEthernet0/18
sina(config-if)#switchport mode trunk
sina(config-if)#exit
sina(config)#vlan 100
sina(config-vlan)#exit
sina(config)#vlan 101
sina(config-vlan)#exit
sina(config)#exit
sina#write
- Nova配置/etc/nova/nova.conf
# Network settings
network_manager=nova.network.manager.VlanManager
force_dhcp_release=True
dhcpbridge_flagfile=/etc/nova/nova.conf
dhcpbridge=/usr/bin/nova-dhcpbridge
firewall_driver=nova.virt.libvirt.firewall.IptablesFirewallDriver
multi_host=true
public_interface=eth0
- 添加vlan网络命令
nova-manage network create public --bridge_interface=eth0 --vlan=101
--fixed_range_v4="10.10.3.0/25" --network_size=128 --multi_host=T --bridge=br101
数据流分析
场景1:从10.0.2.2 ping 10.0.2.5
场景2:VM_1 to VM_3.
前提是tenant1与tenant2安全规则互信
tenant1: nova secgroup-add-rule default tcp 1 65535 10.1.0.0/24
tenant2: nova secgroup-add-rule default tcp 1 65535 10.0.0.0/24
从10.0.0.1ping10.1.0.1
场景3:VM_1 to VM_6
场景4:VM_1 to VM_6
结论:通过内网互信vlan之间不能保证能够通信,最好使用外网通讯
vlan不足之处
- 数量限制 4096
- 需要硬件(交换机)支持
- 需提前创建好,无法实现SDN
实际环境分享数据流
Iptables 流程图: