《企业私有云建设指南》一2.5　网络资源管理

       2.5　网络资源管理

       下面我们通过VMware和OpenStack这两个比较常用的IaaS管理平台来看看它们在网络资源管理方面的具体技术和实现。

       2.5.1　VMwar

       在企业级数据中心内，VMware由于管理和应用的不同要求，需要划分多个不同的网络区域，并需要考虑物理区域和逻辑区域的隔离。依据应用系统的要求，数据中心网络逻辑区域划分需要考虑如下原则：
       1）根据安全架构，不同安全等级的网络区域归属不同的逻辑区域。
       2）不同功能的网络区域归属不同的逻辑区域。
       3）承载不同应用架构的网络区域归属不同的逻辑区域。
       4）区域总量不宜过多，各区域之间保持松耦合。
       根据以上原则，网络的逻辑区域可划分为外网区和内网区。
       ◆    外网区：外网区根据功能的不同可划分为互联网和外联网两个区域。这两个区域部署对外服务的应用系统，互联网提供互联网客户的访问，部署Web网站、电子商务、学习环境等互联网业务；外联网提供第三方机构及大客户的访问，部署外联或托管等业务。
       ◆    内网区：内网区根据功能的不同又可划分为网络功能区、服务器接入区和带外管理区。
           ●     网络功能区：无服务器部署，根据功能不同划分为核心区和广域网区两个子区域。核心区提供各个模块间的高速转发功能，广域网区负责数据中                     心与集团各网络的互联互通。
           ●     服务器接入区：负责各类应用服务器的部署，根据功能的不同可分为主机接入区和开放服务区两个子区域。主机接入区提供x86或其他小型机的接                   入环境。开放服务区提供开放服务器的接入环境。在开放服务区，可根据不同的应用架构进行区域细分，即普通开放服务区、网络管理安全区、                     存储区和语音区。
           ●    带外管理区：这是一个特殊功能区域，负责服务器和网络设备的带外组网，也方便对服务器和网络设备进行带外管理和维护。

       2.5.2　OpenStack

       除了计算和存储资源，OpenStack还能管理数据中心内的网络资源。如今的数据中心存在大量设备，如服务器、网络设备、存储设备、安全设备等，而它们还将被划分成更多的虚拟设备或虚拟网络；这会导致IP地址的数量、路由配置、安全规则呈爆炸式增长；传统的网络管理技术无法真正地高扩展、高自动化地管理下一代网络；因而OpenStack提供了插件式、可扩展、API驱动型的网络及IP管理。
       如图2-21所示，一个标准的OpenStack网络环境至少需要4个不同的数据中心网络：
       ◆管理网络（management network）：用于OpenStack各组件之间的内部通信。该网络内的IP地址必须只能在数据中心内可访问。
       ◆数据网络（data network）：用于OpenStack云内虚拟机之间的数据通信。
       ◆外部网络（external network）：用于向虚拟机提供因特网访问。该网络内的IP地址必须在因特网上可访问。
       ◆API网络（API network）：提供OpenStack API访问的网络。该网络内的IP地址必须在因特网上可访问。
       对于内部网络，OpenStack Networking项目Neutron提供了丰富的API来定义云中的网络连接。它的主要概念包括：
       ◆Network：一段隔离的二层（L2）网段，类似于物理网络中的VLAN。
       ◆Port：将一个设备比如虚拟机的一个网卡连接到一个虚拟网络的连接点。
       ◆Subnet：一段IPv4或者IPv6地址段，以及它们的配置状态。
       通过创建和配置网络、端口和子网，开发者、管理员和租户可以创建出丰富的OpenStack云中网络。

       除此以外，OpenStack Neutron还提供了基于VR（Virtual Router，虚拟路由器）的VPN as a Service（VPN即服务），可以将两个物理上分离但是由互联网连接起来的两个OpenStack子网通过VPN连接起来，并使得各自子网内的虚拟机可以互连互通。