第1章 OpenStack ネットワークの概要

プロジェクト内の VM インスタンスへの接続を提供する。

プロジェクトネットワークは、主に一般的な (非特権) プロジェクトが、管理者を介さずにネットワークを管理できるようにするものです。これらのネットワークは完全に仮想化されており、他のプロジェクトネットワークやインターネットなどの外部ネットワークとやり取りするために仮想ルーターが必要です。また、プロジェクトネットワークは通常、インスタンスに対して DHCP やメタデータサービスを提供します。RHOSP は、フラット、VLAN、VXLAN、GRE、および GENEVE のプロジェクトネットワークタイプをサポートします。

詳しくは、Managing project networks を参照してください。

VM インスタンスをプロジェクト外のネットワークに接続する。

プロバイダーネットワークは、プロジェクトネットワークのような接続性を提供します。ただし、これらのネットワークは物理ネットワークインフラストラクチャーとインターフェイスするため、管理 (特権付き) ユーザーのみがこれらのネットワークを管理できます。RHOSP は、フラットと VLAN というプロバイダーネットワークのタイプをサポートします。

プロジェクトネットワークの内部では、Floating IP アドレスのプールまたは単一の Floating IP アドレスを使用して、受信トラフィックを VM インスタンスに転送できます。ブリッジマッピングを使用すると、OVS または OVN で作成したブリッジに物理ネットワーク名 (インターフェイスラベル) を関連付け、プロバイダーネットワークトラフィックが物理ネットワークに到達できるようにすることができます。

詳細については、Connecting VM instances to physical networks を参照してください。

エッジに最適化されたネットワークを構築する。

オペレーターは、エッジデプロイメントで通常使用されるルーティング対応プロバイダーネットワークを作成し、セグメントが 1 つしかない従来のネットワークではなく、複数のレイヤー 2 ネットワークセグメントに依存できます。

エンドユーザー向けには 1 つのネットワークしか表示されないので、ルーティング対応プロバイダーネットワークによりクラウドが単純化されます。クラウドオペレーター向けには、ルーティング対応プロバイダーネットワークによりスケーラビリティーおよび耐障害性が提供されます。たとえば、重大なエラーが発生した場合でも、1 つのセグメントしか影響を受けず、ネットワーク全体で障害が発生することはありません。

詳しくは、Deploying routed provider networks を参照してください。

ネットワークリソースを高可用性にする。

アベイラビリティーゾーン (AZ) や Virtual Router Redundancy Protocol (VRRP) を利用して、ネットワークリソースの可用性を高く保つことができます。オペレーターは、さまざまな AZ のさまざまな電源に接続されているネットワークノードをグループ化します。次に、オペレーターは、DHCP、L3、FW などの重要なサービスを別々の AZ で実行するようにスケジュールします。

RHOSP は VRRP を使用して、プロジェクトルーターと Floating IP アドレスの高可用性を実現します。集中型ルーティングの代わりに、分散仮想ルーティング (DVR) は、VRRP に基づく代替ルーティング設計を提供します。これは、L3 エージェントをデプロイし、すべての Compute ノードにルーターをスケジュールします。

詳細は、Using availability zones to make network resources highly available を参照してください。

ポートレベルでネットワークを保護する。

セキュリティーグループは、受信 (インスタンスへのインバウンド) と送信 (インスタンスからのアウトバウンド) のネットワークトラフィックをポートレベルで制御する仮想ファイアウォールルールのコンテナーを提供します。セキュリティーグループは、デフォルトの拒否ポリシーを使用し、特定のトラフィックを許可するルールのみを含んでいます。各ポートは、1 つ以上のセキュリティーグループを追加的に参照できます。ファイアウォールドライバーは、セキュリティーグループのルールを、iptables などの基礎となるパケットフィルタリングテクノロジーの設定に変換します。

詳しくは、Configuring shared security groups を参照してください。

ポートトラフィックを管理する。

許可するアドレスペアを使用して、特定の MAC アドレス、IP アドレス、またはその両方を識別し、サブネットに関係なくネットワークトラフィックがポートを通過できるようにします。許可するアドレスペアを定義すると、VRRP (仮想ルーター冗長プロトコル) 等のプロトコルを使用できます。このプロトコルでは、2 つの仮想マシンインスタンス間で IP アドレスを移動して、迅速なデータプレーンのフェイルオーバーが可能です。

詳しくは、Configuring allowed address pairs を参照してください。

大規模なオーバーレイネットワークを最適化する。

L2 Population ドライバーを使用すると、ブロードキャスト、マルチキャスト、およびユニキャストトラフィックを有効にして、大規模なオーバーレイネットワークでスケールアウトできます。

詳しくは、Configuring the L2 population driver を参照してください。

VM インスタンス上のトラフィックの受信および送信の制限を設定する。

Quality of Service (QoS) ポリシーを使用して送信および受信トラフィックにレート制限を適用することで、さまざまなインスタンスのサービスレベルを提供できます。個別のポートに QoS ポリシーを適用できます。QoS ポリシーをプロジェクトネットワークに適用することもできます。この場合、特定のポリシーが設定されていないポートは、ネットワークのポリシーを継承します。

詳しくは、Configuring Quality of Service (QoS) policies を参照してください。

RHOSP プロジェクトが作成できるネットワークリソースの量を管理する。

Networking サービスの quota オプションを使用すると、プロジェクトユーザーが作成できるネットワークリソースの量に制限を設けることができます。これには、ポート、サブネット、ネットワークなどのリソースが含まれます。

詳細は、Managing project quotas を参照してください。

ネットワーク機能仮想化 (NFV) 用に VM インスタンスを最適化する。

インスタンスは、単一の仮想 NIC を使用して、VLAN タグ付けされたトラフィックを送受信できます。このことは、特に VLAN タグ付けされたトラフィックを想定する NFV アプリケーション (VNF) に役立ちます。単一の仮想 NIC で複数の顧客/サービスに対応することができるためです。

VLAN 透過ネットワークでは、仮想マシンインスタンスで VLAN タグ付けを設定します。VLAN タグはネットワークを通じて転送され、同じ VLAN の仮想マシンインスタンスにより消費され、他のインスタンスやデバイスでは無視されます。VLAN トランクは、複数の VLAN を 1 つのトランクポートに結び付けて、VLAN 対応のインスタンスをサポートします。

詳しくは、VLAN-aware instances を参照してください。

共有ネットワークにインスタンスを接続できるプロジェクトを制御する。

RHOSP Networking サービスの role-based access control (RBAC) ポリシーを使用すると、クラウド管理者は、一部のプロジェクトがネットワークを作成する機能を削除し、代わりにプロジェクトに対応する既存のネットワークに接続することを許可することができます。

詳細は、Configuring RBAC policies を参照してください。