雲計算網路虛擬化學習筆記私有網路

注：

如上，host-1 的所有虛擬機器都屬於a租戶，host-2的所有虛擬機器都屬於租戶b，實現方案如下：

1，所有虛擬機器的tap裝置全部裸露到宿主機中，互相的2層直接就能互相感知。

2，不同使用者的虛擬機器在不同的宿主機中，互相不互相感知。

3，由於2條件，使用者的位址空間可以重複。

4，宿主機開乙個vpn_service服務，為使用者提供接入通道。

5，虛擬機器的ip通過宿主機的iptables的snat服務連通外面。

6，虛擬內部提供乙個輕量級的dhcp服務來提供ip分配服務。

相比大家對這個方案比較熟悉，如果把大學的宿舍比作乙個宿主機，每個宿舍入住乙個使用者，宿舍中的所有虛擬機器為使用者的資源，相必每個使用者都是用的192.168.***.***的網段，上網使用的一台小型路由器提供，大家網費平分。非常符合我們現在的雲計算環境的乙個特殊例子。

接下來我們將，對雲計算中與這兒特殊環境進行逐項對比，並一步一步解決這些問題。

這個場景就像別的宿舍想連到你們宿舍的區域網一塊玩遊戲一樣，這時候我們就要為該同學拉一根「網線」

此時對於host-2中，所有的虛擬機器的tap裝置就不應該裸露了，否則租戶a在host-2上面的虛擬機器將能監聽租戶b的網路通訊內容，造成網路的不安全。

解決方案：

1，首先在宿主物理機上建乙個虛擬bridge，

2，使用不同的tag把不同的租戶的虛擬2層網路進行隔離。

3，使用gre通道把host-1上的和host-2上的bridge進行連通。

請參考blog

《1》虛擬機器與宿主機包連通，

《2》openvswitch中bridge的tag使用

《3》跨物理節點的2層隔離網路–gre通道

《4》生產環境中跨節點隔離網路構架解析

這個場景就像每個宿舍都使用的192.168.***.***的網路位址空間，我們需要為每個使用者提供私有的dhcp伺服器，由於每個使用者所使用的網路位址都是重複的，故需要在namespace裡面為提供該服務。

解決方案：

1，在bridge中新增type為internal的port，然後新增namespace，把這不同使用者的port匯入到不同的namespace中。

2，為每個namespace新增dhcp伺服器。

請參考blog

《5》為每個網路新增dhcp服務。

這個場景是這樣的，我們可以在雲環境中為不同的使用者單獨建立私有網路，在此我們需要為使用者提供乙個方法讓使用者可以接入該虛擬網路，由於需要將不同使用者的vpn進行隔離，故我們也需要將vpn放入namespace中。

解決方案：

1，使用成熟的vpn技術。

請參考blog

《6》用vpn打通虛擬私有網路。

我們應該為每個使用者的每台虛擬機器都預設提供外網服務，讓其可以訪問外部網路，由於每個使用者所使用網路位址空間可能重複的問題，故我們需要使用snat把其源位址進行反射，這部分邏輯看起來也只能放到namespace中，在每個namespace中為使用者做snat，這樣就產生乙個問題，每個使用者都需要乙個namespace，每個namespace的snat都需要乙個外網位址，如果使用者量比較大，這個將是一筆很大的成本開支，為了節約成本，我們對每個使用者namespace中的snat後的網路包進行二次snat，這次我們就可以使用乙個外部網路位址為使用者提供服務（當然如果有必要，你也可以進行第多次的snat）。

解決方案：

1，在namespace中使用iptables的snat對映。 2，在宿主機中對所有的使用者的網路包進行二次snat。請參考blog 虛擬隔離網路外網訪問（snat）

到這，我們基本把雲計算中虛擬化網路的各種元件說完了，接下來我們來對這些元件的部署進行規劃。

部署圖樣如下：

注：在此我們沒有進行網路隔離，真實環境中的比較複雜，後面我們會對真實環境進行分析。

在這個圖中，我們把計算節點和網路節點進行了單獨部署，其中host-1和host-2屬於計算節點，host-3屬於網路節點。

在下乙個階段將講述跨接點網路隔離與l3節點的高可用問題。敬請期待。

雲計算網路虛擬化學習筆記私有網路

計算化學學習筆記（一）

系統虛擬化學習筆記 PCI裝置

雲計算7 9網路原理

雲計算網路虛擬化學習筆記 私有網路

計算化學學習筆記（一）

系統虛擬化學習筆記 PCI裝置

雲計算7 9網路原理

相關推薦

雲計算網路虛擬化學習筆記私有網路