Red Hat Training

A Red Hat training course is available for Red Hat OpenStack Platform

2.3. 网络要求

Undercloud 主机最少需要两个网络:
  • Provisioning 网络 - director 用来部署和管理 Overcloud 节点的私人网络。Provisioning 网络提供了 DHCP 和 PXE 引导功能来帮助发现在 Overcloud 中使用的主机。这个网络最好使用一个主干(trunk)接口中的原生 VLAN,这样 director 服务器就可以处理 PXE 引导和 DHCP 请求。另外,这个网络还被用来通过 IPMI 对所有 Overcloud 节点进行电源管理。
  • External 网络 - 用来远程连接到所有节点的一个独立网络。连接到这个网络的接口需要一个可路由的 IP 地址(静态定义或通过一个外部 DHCP 服务动态分配)。
这代表了所需网络的最少数量。但是,director 可以把其它 Red Hat OpenStack Platform 的网络流量分离到其它网络中。Red Hat OpenStack Platform 支持使用物理的网络接口或 tagged VLAN 进行网络分离。如需了解更多相关信息,请参阅 第 3.2 节 “规划网络”
请注意:
  • 所有机器都需要最少两个网卡(NIC)。在一个典型的最小配置中,使用:
    • 一个 NIC 用于 Provisioning 网络,另外一个 NIC 作为 External 网络。或
    • 一个 NIC 在原生 VLAN 中用于 Provisioning 网络,另外一个 NIC 用于 tagged VLAN(使用子网处理不同的 Overcloud 网络类型)。
  • 额外的物理 NIC 可以用来分离不同的网络、创建绑定的接口或协调 tagged VLAN 的网络数据。
  • 如果使用 VLAN 分离网络流量类型,使用支持 802.1Q 标准的交换机来提供 tagged VLAN。
  • 在 Overcloud 创建节点时,在所有 Overcloud 机器间使用一个名称指代 NIC。理想情况下,您应该在每个系统上对每个相关的网络都使用相同的 NIC 来避免混淆。例如,Provisioning 网络使用主(primary)NIC, OpenStack 服务使用从(secondary) NIC。
  • 确保 Provisioning 网络的 NIC 和在 director 机器上用来进行远程连接的 NIC 不同。director 会使用 Provisioning NIC 创建一个网桥,它会忽略所有远程连接。在 director 系统上需要使用 External NIC 进行远程连接。
  • Provisioning 网络需要一个与您的环境大小相匹配的 IP 范围。使用以下原则来决定包括在这个范围内的 IP 地址数量:
    • 最少为每个连接到 Provisioning 网络的节点包括一个 IP。
    • 如果有高可用性配置,则需要包括一个额外的 IP 地址来作为集群的虚拟 IP。
    • 为扩展环境准备额外的 IP 地址。

    注意

    在 Provisioning 网络中需要避免重复的 IP 地址。相关信息,请参阅 第 11.5 节 “排除 Provisioning Network 中出现的 IP 地址冲突的问题”

    注意

    如需了解更多与配置您的 IP 地址使用的信息(如用于 storage、provider 和 tenant 网络),请参阅 the Networking Guide
  • 把所有 Overcloud 系统设置为使用 Provisioning NIC 进行 PXE 引导,并在 External NIC 以及系统的所有其它 NIC 上禁用 PXE 引导。另外,还需要确保 Provisioning NIC 的 PXE boot 设置位于引导顺序的最上面(在硬盘和 CD/DVD 驱动之前引导)。
  • 所有 Overcloud 裸机系统都需要一个 IPMI 连接到 Provisioning 网络。director 需要使用它来控制每个节点的电源管理。
  • 请记录下每个 Overcloud 系统的以下信息:Provisioning NIC 的 MAC 地址、IPMI NIC 的 IP 地址、IPMI 用户名和 IPMI 密码。在设置 Overcloud 节点时需要使用这些信息。

重要

OpenStack Platform 环境的安全性在一定程度上取决于网络的安全性。在您的网络环境中使用适当的安全性措施来确保可以正确地控制网络访问。例如:
  • 使用网络分段(network segmentation)技术来控制网络数据并隔离敏感数据。扁平化网络(flat network)通常不是非常安全。
  • 限制对服务和端口的访问。
  • 使用适当的防火墙设置以及密码。
  • 启用 SELinux。
如需了解更多与系统安全相关的信息,请参阅: