【Neutron】Tenant Networks vs. Provider Networks

來源:互聯網
上載者:User

標籤:bsp   sel   log   tac   執行個體化   neutron   無法   provider   space   

 

  OpenStack的Neutron定義了兩種主要類型的網路——Tenant網路和Provider網路。OpenStack管理員必須決定他們的Neutron網路部署策略將如何使用——Tenant網路、Provider網路或兩者的某種組合。

  本節將描述Tenant網路在私人雲端環境中所提出的獨特挑戰,並將為為什麼shared Provider網路為企業私人雲端提供最佳的Neutron網路部署策略而提出一個論證。本節還將討論網路的斷言背後的基本原理。

  在本文中,我將特別指出,在私人雲端環境中,Tenant網路是有問題的,而Provider網路(特別是共用的Provider網路)可能更適合。

 

What’s a tenant?

  在私人雲端中,租戶可以映射到特定的業務單元、特定的多層應用程式甚至單個應用程式層。所有租戶最終都屬於單個組織。這與公用雲形成了鮮明的對比,在公用雲中,個體租戶通常代表不同的組織。

 What are tenant networks/provider networks?

  Tenant網路和Provider網路之間的主要區別在於誰提供了這些服務。Provider網路是由OpenStack管理員代表租戶建立的,可以專用於特定的租戶,由租戶獨享或由所有租戶共用。另一方面,租戶網路是由具體租戶建立的,供他們的執行個體使用,不能共用(基於預設的原則設定)。

  通常,Provider網路與資料中心中的物理網路(即虛擬LAN(VLAN))直接相關,但也有特殊的情況。當然,可以使用overlay協議(例如通用路由封裝(GRE)或虛擬可擴充LAN)提供一個Provider網路,然後使用軟體或硬體網關將overlay網路映射到物理網路。同樣,Tenant網路可以使用底層或覆蓋技術進行執行個體化。一般來說,租戶不知道他們的Tenant網路是如何?的。總而言之,對一個underlay or overlay技術的選擇通常不影響Tenant網路或Provider網路是否可用。

  最後,Provider網路依賴於物理網路基礎設施來提供預設的網關/第一跳路由服務。相反,租戶網路依賴於Neutron路由器來實現。Neutron路由器必須把它們的上遊介面串連到被指定為“外部”的提供者網路,以便串連到物理網路。

 

 

Network security is now orthogonal to network topology.

  從曆史上看,只有在網路的邊界(第三層邊界)應用網路安全,通常是使用防火牆或路由器。最近,諸如VLAN這樣的進階技術已經啟用了所謂的透明防火牆。現在,使用Neutron邏輯連接埠與Neutron安全性群組一起使用,網路安全可以直接應用於每個工作負載串連到網路的地方。因此,現在可以使用安全性群組而不是專用的層2網路來保護安全區域,並保護應用程式層。

  此外,Neutron的連接埠安全防止了第2層攻擊技術,如MAC和IP欺騙。

  總之,這些Neutron特性使共用Provider網路成為應用程式/安全區域的Tenant網路的可行替代方案。

 

The tenant network IP address space selection problem

  在使用租戶網路時,租戶必須指定他們希望使用的IP地址空間。租戶如何做出適當的選擇? 這是一個比乍看起來更困難的挑戰。讓我們假設任何源NAT或目的地NAT都將被使用,因此租戶網路IP地址空間將永遠不會被暴露在雲之外。

   即使在這種情況下,租戶也不能選擇他們希望的任何IP地址空間(即使是在RFC 1918私人地址空間中)。如果租戶選擇在企業中其他地方使用的IP地址空間(例如10.10.10.0/24),那麼商業網路將無法與Tenant網路進行通訊。此外,串連到同一Neutron路由器的任何其他Tenant網路也無法與商業網路進行通訊。這是因為來自於雲外的網路流量的源IP地址不受OpenStack的NAT的影響。OpenStack只會將NAT應用到源自於Tenant網路的網路流量的源IP地址。由於10.10.10.0/24網路直接連接到Neutron路由器和Tenant網路上的執行個體,因此來自於商業網路的雲的流量將永遠無法在那裡找到它的路徑。

 

  如果租戶為自己的網路使用私人地址空間(因為雲的使用者都來自登入的地址空間),那麼這種情境就不會出現在公用雲中。然而,在私人雲端環境中,私人地址空間很有可能被使用,並且有來自私人地址空間的雲的消費者。

  幸運的是,在kilo版本中引入了子網池作為處理租戶網路IP地址空間選擇問題的一種機制。不幸的是,直到自由發布之前,對子網池的支援才得以實現。

 

【Neutron】Tenant Networks vs. Provider Networks

相關文章

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.