今天继续为您梳理奥斯汀OpenStack Summit有关SDN网络主题的重要技术讲座。这是UnitedStack有云SDN网络部PTL王为在奥斯汀峰会期间对36个Session进行介绍和评论的第二部分,主要涉及OpenStack网络的功能与工具主题。
说明:这些网络技术讲座的观影指南涉及架构、功能与工具、开发与其他四大领域。我们将分主题系列发布,希望帮助国内的开发者、架构师和用户更好地了解OpenStack在SDN网络领域的最新发展。本文所介绍的相关讲座在 YouTube 均有完整视频(详见:https://www.youtube.com/user/OpenStackFoundation/videos,在 Youtube 上搜索对应名称即可)。
评分:★★★☆
简介:Tap-As-A-Service 目前的主要用途在监控上,这个 Presentation 介绍了 Tap-As-A-Service 的架构、作用、使用方法,做了一个 Demo 演示。
评论: TAAS 目前已经有了 OVS 的实现和 CLI,基本设计是两个概念,Tap Service、Tap Flow,前者代表要监控的 Port,后者代表具体的 Flow。Overlay 网络的监控确实是刚需,但是目前基于 OVS Port Mirror 的设计是否可靠,是否能适应大规模的 Scale,还没有相关测试,猜测还有一段路要走。监控虚拟机流量对系统管理员还是太过简单,毕竟自己用命令也可以做,关键是将来能否能在其上实现一套流量监控、分析之类的系统,这样才能比较完整的满足系统管理员、运维的需求。
评分:★★★★
简介:如上所述,我们缺乏一个好用的开源 Overlay 网络监控、运维工具,于是 RedHat 的开发者开发了 Skydive 这个工具,功能简洁、WebUI酷炫,做了一个 Demo,大概就是这样。
评论:如果能真的解决 Overlay 网络的监控运维那真是所有 OpenStack Overlay 网络使用者的大福音,目前 OVS 组网运维基本靠手,很麻烦,传统的监控工具如 Zabbix 完全不适用,靠谱的只有额外购买工具(例如 BigSwitch 的解决方案、Gigamon 的解决方案),Skydive 就是来填补这一空白的,自动扫描 Linux 网络和 OVS,自动展现拓扑还可以抓包,通过整合 ElasticSearch,你还可以比较清楚的看到报文在哪里丢掉了:
这个项目笔者很久以前就关注过,最重要的的问题是,目前没有做过 Performance 和 Scale 的测试,要知道大型的 OpenStack 云目前已经有成百上千个 Namespace 和 Port,包量可能有上兆的 PPS,节点数量可能也是成百上千,如果性能和 Scale 达不到的话,那就成为小实验室的玩具了。
评分:★★★★
简介:Neutron QoS 的最新进展、实现、和实现上遇到的挑战与解决方案。
评论: Neutron QoS 进展不快是事实,但是令人欣慰的是毕竟一直还有进展。这场 Session 介绍了一些人比较关心的 QoS 中 DSCP 的功能。先介绍了 DSCP 是什么,然后介绍了在 OpenStack 中如何使用,如何在 OVS 中被实现。遇到的挑战主要有几个,一个是下面介绍的为了解决 L2 Agent 重启的问题,每个 Flow 增加了 cookie,QoS 需要保证其规则在重启时不被刷掉,解决方案时 Agent Extension 获得自己的 cookie 值,自己维护。另一个是 Feature 的隔离。目前我们在 L2 Agent 上可能实现了很多功能,例如安全组、Vlan、QoS,都通过 OVS Flow 实现,那么如何保障这些 Flow 可以正常同时工作,或者其中一些功能关闭时保证开启的功能正常工作?解决方案是 table 0 会给 packet 的 metadata field 打 0,然后送到 feature table 上,feature table 处理完把相关的 metadata field 打非 0,然后送回,有点像一个小 SFC 似的。
最后一个问题是 Server、Agent 的 RPC 版本不同步的问题,解决方案是后面会提到的 OVO。
下一步的 Roadmap 是实现 ECN、最小带宽保障、进流量限制等等。
评分:★★★☆
简介:几个印度哥们讲的如何给 OpenStack 网络做 Troubleshoot。
评论: 关键词是 ip, brctl, ovs-*, netstat, iptables, arping, ping, tcpdump,然后掌握好架构图和 IO 路径。如果你确实需要的话,可以参考他们写的PDF:http://www.slideshare.net/SohailArham/troubleshoot-cloud-networking-like-a-pro
文末提到了一个 check.sh 的神秘脚本,遗憾的是笔者并没有找到这个脚本,当然其实你也可以自己参考其输出写一个,然后贡献到 OpenStack/Steth 项目里。
评分:★★★☆
简介:介绍 LBaaS 项目的进展和未来。
评论: 前面先花了很长时间介绍 Dashboard 的改进,然后 LBaaS 的改进总结起来就是支持了 7 层!然后 Octiva 支持了 A/S HA,支持了一些安全的改进、镜像更新更加容易、证书自动获取等等。
Octiva 的路线图:
整个介绍中规中矩,算是一个例行对外发布会吧。
评分:★★★★
简介:介绍了新的 OVS 实现的安全组。
评论: 安全组其实是个比较简单的基本功能,之前基于 iptables 实现,问题是虚拟网络拓扑比较复杂,性能一般。另外就是功能也有限,这个演讲提出 Firewall 发展的三级,第一级是实现基本的 ACL、第二级是实现状态防火墙、第三级是实现完整的 OSI 防火墙,可以做 DPI。那么防火墙能否用 OVS 实现呢?第一级很好做,第二级的关键问题是实现状态。如何实现状态?一种思路是用 openflow 中的 learn 动作,记录送出去的流量,效果不错,但流表不好看:
另一个思路是通过 conntrack 记录状态,在 OVS 流表中增加 cs_state 字段,性能有提升,但远不如 learn 的实现:
大家都比较郁闷 conntrack 实现的性能提升有限,所以下一步会将 conntrack 移到用户态提升性能,以及提升测试和易用性等等工作。
评分:★★★☆
简介:如何使用 Nova、Neutron、Designate 来完成虚拟机的 DNS name 的自动设置、DNS 记录自动添加以及集成外部 DNS(Designate)。
评论:上手实践的大课堂,基本内容和 http://docs.openstack.org/mitaka/networking-guide/adv-config-dns.html 一致。根据 User Survey 的资料,DNS 是很多用户关心的一个问题,根据我们的客户经验也确实如此,简单的来说,内部 DNS 使用网络(net)资源里的 dns_domain 属性设置 domain name,然后根据 nova 里虚拟机的名字(host name)来设置 dns name,这个 DNS 由 Neutron 里子网的 DHCP 服务器,dnsmasq 实现,所以要确保 Neutron 子网的 dns_nameservers
属性正确,使虚拟机能用正确的 DNS nameserver。
另一件事情就是与外部系统集成,这个就需要 Designate 项目的支持,目前 Designate 支持 Bind、Power DNS 这些开源 DNS 软件,也支持 Akamai、DynECT、Infoblox 这些外部 DNS 系统,也是蛮强大的,当然对于国内用户来说,可能 DNSPod 来的更实在一些。目前外部 DNS 有几种 Use case,包括创建 Port 时把 Port 的 DNS 信息推送到外部 DNS 系统、创建 Flaoting IP 时把 Port 的 DNS 信息推送出去、创建 Floating IP 时把 Floating IP 的 DNS 信息推送出去。详细过程看文档或者视频吧。
评分:★★★
简介:介绍了 DVR 场景下 SNAT Router 的高可用功能。
评论: 简单的说就是把过去 L3 HA 的功能移到 DVR SNAT Router 上了,过去 DVR 与 L3 HA 不能共存的问题终于得到了解决。
未来有一些计划,例如更高效的控制平面、支持 BGP 等等。
评分:★★★
简介:介绍了 TWC 公司在没有 DVR 时是怎么设计 OpenStack 架构的。
评论:简单的说就是把 L3 Agent 混布在所有计算节点上,他们管这个架构叫 VR-D,醉了……
评分:★★★★
简介:很短的赞助演讲,但是内容不少,包括 F5 与 OpenStack 的 Roadmap、目前的实现、Demo 等。
评论:最有价值的可能是这个 Roadmap 吧,但愿 F5 能按时完成:
编者注:本文作者为UnitedStack有云SDN网络部PTL王为。有关此次奥斯汀OpenStack Summit各个技术主题的演讲视频,可以在YouTube上完整观看。