1장. OpenStack 네트워킹 소개
네트워킹 서비스(neutron)는 RHOSP(Red Hat OpenStack Platform)의 소프트웨어 정의 네트워킹(SDN) 구성 요소입니다. RHOSP 네트워킹 서비스는 가상 머신 인스턴스의 내부 및 외부 트래픽을 관리하고 라우팅, 세그먼트, DHCP 및 메타데이터와 같은 핵심 서비스를 제공합니다. 가상 네트워킹 기능 및 스위치, 라우터, 포트 및 방화벽을 관리하기 위한 API를 제공합니다.
1.1. RHOSP 네트워크 관리
RHOSP(Red Hat OpenStack Platform) 네트워킹 서비스(neutron)를 사용하면 사이트의 네트워킹 목표를 효과적으로 충족할 수 있습니다. 다음을 수행할 수 있습니다.
프로젝트 내에서 VM 인스턴스에 대한 연결을 제공합니다.
프로젝트 네트워크는 주로 일반(권한이 없는) 프로젝트를 통해 관리자의 개입 없이 네트워크를 관리할 수 있습니다. 이러한 네트워크는 완전히 가상이며 가상 라우터가 다른 프로젝트 네트워크 및 인터넷과 같은 외부 네트워크와 상호 작용해야 합니다. 프로젝트 네트워크는 일반적으로 인스턴스에 DHCP 및 메타데이터 서비스를 제공합니다. RHOSP에서는 flat, VLAN, VXLAN, GRE, GENECDHEE의 다음 프로젝트 네트워크 유형을 지원합니다.
자세한 내용은 프로젝트 네트워크 관리를 참조하십시오.
VM 인스턴스를 프로젝트 외부의 네트워크에 연결합니다.
공급자 네트워크는 프로젝트 네트워크와 같은 연결을 제공합니다. 그러나 관리(권한) 사용자만 물리적 네트워크 인프라와 상호 작용하기 때문에 해당 네트워크를 관리할 수 있습니다. RHOSP에서는 flat 및 VLAN의 다음 공급자 네트워크 유형을 지원합니다.
프로젝트 네트워크 내에서 유동 IP 주소 또는 단일 유동 IP 주소 풀을 사용하여 VM 인스턴스로 들어오는 트래픽을 전달할 수 있습니다. 브리지 매핑을 사용하면 물리적 네트워크 이름( 인터페이스 레이블)을 OVS 또는 OVN으로 생성한 브리지에 연결하여 공급자 네트워크 트래픽이 물리적 네트워크에 도달할 수 있도록 할 수 있습니다.
자세한 내용은 물리적 네트워크에 VM 인스턴스 연결을 참조하십시오.
에지에 최적화된 네트워크를 생성합니다.
Operator는 일반적으로 에지 배포에서 사용되는 라우팅된 공급자 네트워크를 생성하고, 하나의 세그먼트만 있는 기존 네트워크 대신 여러 계층 2 네트워크 세그먼트에 의존합니다.
라우팅된 공급자 네트워크는 하나의 네트워크만 보기 때문에 최종 사용자를 위한 클라우드를 단순화합니다. 클라우드 운영자의 경우 라우팅된 공급자 네트워크는 스칼라빌리티 및 내결함성을 제공합니다. 예를 들어 주요 오류가 발생하면 전체 네트워크가 실패하는 대신 하나의 세그먼트만 영향을 받습니다.
자세한 내용은 라우팅된 공급자 네트워크 배포를 참조하십시오.
네트워크 리소스를 고가용성으로 설정합니다.
가용성 영역(AZ) 및 VRRP(Virtual Router Redundancy Protocol)를 사용하여 네트워크 리소스를 고가용성으로 유지할 수 있습니다. Operator는 다른 AZ의 다른 전원에 연결된 네트워크 노드를 그룹화합니다. 다음으로 Operator는 DHCP, L3, FW 등의 중요한 서비스를 별도의 AZ에 예약합니다.
RHOSP는 VRRP를 사용하여 프로젝트 라우터 및 유동 IP 주소를 고가용성으로 설정합니다. 중앙 집중식 라우팅 대신 DVR(Distributed Virtual Routing)은 L3 에이전트를 배포하고 모든 컴퓨팅 노드에 라우터를 예약하는 VRRP 기반의 대체 라우팅 설계를 제공합니다.
자세한 내용은 가용성 영역을 사용하여 네트워크 리소스의 고가용성을 참조하십시오.
포트 수준에서 네트워크를 보호합니다.
보안 그룹은 포트 수준에서 Ingress(네바운드에서 인바운드) 네트워크 트래픽을 제어하는 가상 방화벽 규칙에 대한 컨테이너를 제공합니다. 보안 그룹은 기본 거부 정책을 사용하며 특정 트래픽을 허용하는 규칙만 포함합니다. 각 포트는 추가 방식으로 하나 이상의 보안 그룹을 참조할 수 있습니다. firewall 드라이버는 보안 그룹 규칙을 iptables와 같은 기본 패킷 필터링 기술의 구성으로 변환합니다.
자세한 내용은 공유 보안 그룹 구성을 참조하십시오.
포트 트래픽을 관리합니다.
허용된 주소 쌍을 사용하여 서브넷과 관계없이 네트워크 트래픽이 포트를 통과할 수 있도록 특정 MAC 주소, IP 주소 또는 둘 다 식별합니다. 허용되는 주소 쌍을 정의할 때 빠른 데이터 플레인 페일오버를 활성화하기 위해 두 VM 인스턴스 간 IP 주소를 사용하는 VRRP(Virtual Router Redundancy Protocol)와 같은 프로토콜을 사용할 수 있습니다.
자세한 내용은 허용되는 주소 쌍 구성을 참조하십시오.
대규모 오버레이 네트워크를 최적화합니다.
L2 채우기 드라이버를 사용하면 대규모 오버레이 네트워크에서 브로드캐스트, 멀티 캐스트 및 유니캐스트 트래픽을 활성화할 수 있습니다.
자세한 내용은 L2 채우기 드라이버 구성을 참조하십시오.
VM 인스턴스의 트래픽 수신 및 송신 제한을 설정합니다.
QoS(Quality of Service) 정책을 사용하여 송신 및 수신 트래픽에 속도 제한을 적용하여 인스턴스에 다양한 서비스 수준을 제공할 수 있습니다. 개별 포트에 QoS 정책을 적용할 수 있습니다. 특정 정책이 연결된 포트가 정책을 상속하지 않는 프로젝트 네트워크에 QoS 정책을 적용할 수도 있습니다.
자세한 내용은 QoS (Quality of Service) 정책 구성을 참조하십시오.
RHOSP 프로젝트에서 생성할 수 있는 네트워크 리소스의 양을 관리합니다.
Networking 서비스 할당량 옵션을 사용하면 프로젝트 사용자가 생성할 수 있는 네트워크 리소스의 양을 제한할 수 있습니다. 여기에는 포트, 서브넷, 네트워크 등과 같은 리소스가 포함됩니다.
자세한 내용은 프로젝트 할당량 관리를 참조하십시오.
NFV(Network Functions Virtualization)에 대한 VM 인스턴스를 최적화합니다.
인스턴스는 단일 가상 NIC를 통해 VLAN 태그된 트래픽을 전송하고 수신할 수 있습니다. 이는 VLAN 태그 지정된 트래픽을 예상하는 NFV 애플리케이션(VNF)에 특히 유용하므로 단일 가상 NIC가 여러 고객 또는 서비스를 제공할 수 있습니다.
VLAN 투명한 네트워크에서 VM 인스턴스에 VLAN 태그를 설정합니다. VLAN 태그는 네트워크를 통해 전송되고 동일한 VLAN의 VM 인스턴스에서 사용하며 다른 인스턴스 및 장치에서 무시됩니다. VLAN 트렁크는 VLAN을 단일 트렁크 포트에 결합하여 VLAN 인식 인스턴스를 지원합니다.
자세한 내용은 VLAN 인식 인스턴스를 참조하십시오.
공유 네트워크에 인스턴스를 연결할 수 있는 프로젝트를 제어합니다.
클라우드 관리자는 RHOSP Networking 서비스의 역할 기반 액세스 제어(RBAC) 정책을 사용하여 일부 프로젝트에서 네트워크를 생성하는 기능을 제거하고 대신 프로젝트에 해당하는 기존 네트워크에 연결할 수 있습니다.
자세한 내용은 RBAC 정책 구성을 참조하십시오.