摘要

今天我們要推薦給大家的是關(guān)于奧斯汀OpenStack Summit的OpenStack網(wǎng)絡方面功能與工具相關(guān)的技術(shù)演講。

希望可以幫助國內(nèi)的開發(fā)者、架構(gòu)師和用戶更好地了解OpenStack在SDN網(wǎng)絡領(lǐng)域的最新發(fā)展。

功能與工具篇的視頻目錄：

Tap-As-A-Service What You Need to Know Now

Skydive, Real-Time Network Topology and Protocol Analyzer

Neutron DSCP Policing your Network

Troubleshoot Cloud Networking Like a Pro

Load Balancing as a Service, Mitaka and Beyond

Tired of Iptables Based Security Groups? Here s How to Gain Trem

Integration of Neutron, Nova and Designate: How to Use It and How to Configure It

SNAT High Availability Service in Neutron for Distributed Virtual Routers

Virtual Routers on Compute Nodes: A (Not So) Irrational Decision?

F5 Networks - Technically Speaking..Are You in or Are You Out?

說明：

本文所介紹的相關(guān)講座在YouTube均有完整視頻，詳見：

https://www.youtube.com/user/OpenStackFoundation/videos

接下來，我們就一起來聊聊這些視頻：

1. Tap-As-A-Service What You Need to Know Now

評分：★★★☆

簡介： Tap-As-A-Service 目前的主要用途在監(jiān)控上，這個Presentation 介紹了 Tap-As-A-Service 的架構(gòu)、作用、使用方法，做了一個 Demo 演示。

評論： TAAS 目前已經(jīng)有了OVS的實現(xiàn)和CLI，基本設(shè)計是兩個概念，Tap Service、Tap Flow，前者代表要監(jiān)控的 Port，后者代表具體的 。

Overlay 網(wǎng)絡的監(jiān)控確實是剛需，但是目前基于OVSPortMirror的設(shè)計是否可靠，是否能適應大規(guī)模的Scale，還沒有相關(guān)測試，猜測還有一段路要走。

監(jiān)控虛擬機流量對系統(tǒng)管理員還是太過簡單，畢竟自己用命令也可以做，關(guān)鍵是將來能否能在其上實現(xiàn)一套流量監(jiān)控、分析之類的系統(tǒng)，這樣才能比較完整的滿足系統(tǒng)管理員、運維的需求。

2. Skydive, Real-Time Network Topology and Protocol Analyzer

評分：★★★★

簡介：如上所述，我們?nèi)狈σ粋€好用的開源Overlay網(wǎng)絡監(jiān)控、運維工具，于是 RedHat 的開發(fā)者開發(fā)了Skydive這個工具，功能簡潔、WebUI酷炫，做了一個 Demo，大概就是這樣。

評論：如果能真的解決 Overlay 網(wǎng)絡的監(jiān)控運維那真是所有 OpenStack Overlay 網(wǎng)絡使用者的大福音。

目前 OVS 組網(wǎng)運維基本靠手，很麻煩，傳統(tǒng)的監(jiān)控工具如 Zabbix 完全不適用，靠譜的只有額外購買工具（例如 BigSwitch 的解決方案、Gigamon 的解決方案）。

Skydive 就是來填補這一空白的，自動掃描 Linux 網(wǎng)絡和 OVS，自動展現(xiàn)拓撲還可以抓包，通過整合 ElasticSearch，你還可以比較清楚的看到報文在哪里丟掉了。

這個項目筆者很久以前就關(guān)注過，最重要的的問題是，目前沒有做過 Performance 和 Scale 的測試，要知道大型的 OpenStack 云目前已經(jīng)有成百上千個 Namespace 和 Port。

包量可能有上兆的 PPS，節(jié)點數(shù)量可能也是成百上千，如果性能和 Scale 達不到的話，那就成為小實驗室的玩具了。

3. Neutron DSCP Policing your Network

評分：★★★★

簡介： Neutron QoS的最新進展、實現(xiàn)、和實現(xiàn)上遇到的挑戰(zhàn)與解決方案。

評論： Neutron QoS進展不快是事實，但是令人欣慰的是畢竟一直還有進展。

這場 Session 介紹了一些人比較關(guān)心的 QoS 中 DSCP 的功能:

首先介紹了 DSCP 是什么？

然后介紹了在 OpenStack 中如何使用，如何在 OVS 中被實現(xiàn)。

遇到的挑戰(zhàn)主要有以下幾個：

• 一個是下面介紹的為了解決 L2 Agent 重啟的問題。

每個 Flow 增加了 cookie，QoS 需要保證其規(guī)則在重啟時不被刷掉，解決方案時 Agent Extension 獲得自己的 cookie 值，自己維護。

• 另一個是 Feature 的隔離。

目前我們在 L2 Agent 上可能實現(xiàn)了很多功能，例如安全組、Vlan、QoS，都通過 OVS Flow 實現(xiàn)，那么如何保障這些 Flow 可以正常同時工作，或者其中一些功能關(guān)閉時保證開啟的功能正常工作？

解決方案是 table 0 會給 packet 的 metadata field 打 0，然后送到 feature table 上，feature table 處理完把相關(guān)的 metadata field 打非 0，然后送回，有點像一個小 SFC 似的。

• 最后一個問題是 Server、Agent的RPC版本不同步的問題，解決方案是后面會提到的 OVO。 下一步的Roadmap是實現(xiàn)ECN、最小帶寬保障、進流量限制等等。

4. Troubles hoot Cloud Networking Like a Pro

評分：★★★☆

簡介：幾個印度哥們講的如何給 OpenStack 網(wǎng)絡做 Trouble shoot。

評論： 關(guān)鍵詞是 ip, brctl, ovs-*, netstat, iptables, arping, ping, tcpdump，然后掌握好架構(gòu)圖和 IO 路徑。

如果你確實需要的話，可以參考他們寫的PDF：

http://www.slideshare.net/SohailArham/troubleshoot-cloud-networking-like-a-pro

文末提到了一個 check.sh 的神秘腳本，遺憾的是筆者并沒有找到這個腳本，當然其實你也可以自己參考其輸出寫一個，然后貢獻到 ?OpenStack/Steth 項目里。

5. Load Balancing as a Service, Mitaka and Beyond

評分：★★★☆

簡介：介紹 LBaaS 項目的進展和未來。

評論： 前面先花了很長時間介紹 Dashboard 的改進，然后 LBaaS 的改進總結(jié)起來就是支持了 7 層！然后 Octiva 支持了 A/S HA，支持了一些安全的改進、鏡像更新更加容易、證書自動獲取等等。

Octiva 的路線圖：

整個介紹中規(guī)中矩，算是一個例行對外發(fā)布會吧。

6. Tired of Iptables Based Security Groups? Here s How to Gain Trem

評分：★★★★

簡介：介紹了新的 OVS 實現(xiàn)的安全組。

評論： 安全組其實是個比較簡單的基本功能，之前基于 iptables 實現(xiàn)，問題是虛擬網(wǎng)絡拓撲比較復雜，性能一般。

另外就是功能也有限，這個演講提出 Firewall 發(fā)展的三級:

第一級是實現(xiàn)基本的 ACL
第二級是實現(xiàn)狀態(tài)防火墻
第三級是實現(xiàn)完整的 OSI 防火墻，可以做 DPI。

那么防火墻能否用 OVS 實現(xiàn)呢？第一級很好做，第二級的關(guān)鍵問題是實現(xiàn)狀態(tài)。如何實現(xiàn)狀態(tài)？一種思路是用 openflow 中的 learn 動作，記錄送出去的流量，效果不錯，但流表不好看：

另一個思路是通過 conntrack 記錄狀態(tài)，在 OVS 流表中增加 cs_state 字段，性能有提升，但遠不如 learn 的實現(xiàn)：

大家都比較郁悶 conntrack 實現(xiàn)的性能提升有限，所以下一步會將 conntrack 移到用戶態(tài)提升性能，以及提升測試和易用性等等工作。

7. Integration of Neutron, Nova and Designate: How to Use It and How to Configure It

評分：★★★☆

簡介：如何使用 Nova、Neutron、Designate 來完成虛擬機的 DNS name 的自動設(shè)置、DNS 記錄自動添加以及集成外部 DNS（Designate）。

評論：上手實踐的大課堂，基本內(nèi)容和http://docs.openstack.org/mitaka/networking-guide/adv-config-dns.html 一致。

根據(jù) User Survey 的資料，DNS 是很多用戶關(guān)心的一個問題，根據(jù)我們的客戶經(jīng)驗也確實如此.

簡單的來說，內(nèi)部 DNS 使用網(wǎng)絡（net）資源里的 dns_domain 屬性設(shè)置 domain name，然后根據(jù) nova 里虛擬機的名字（host name）來設(shè)置 dns name，這個 DNS 由 Neutron 里子網(wǎng)的 DHCP 服務器，dnsmasq 實現(xiàn)，所以要確保 Neutron 子網(wǎng)的 dns_nameservers 屬性正確，使虛擬機能用正確的 DNS nameserver。

另一件事情就是與外部系統(tǒng)集成，這個就需要 Designate 項目的支持，目前 Designate 支持 Bind、Power DNS 這些開源 DNS 軟件，也支持 Akamai、DynECT、Infoblox 這些外部 DNS 系統(tǒng)，也是蠻強大的，當然對于國內(nèi)用戶來說，可能 DNSPod 來的更實在一些。

目前外部 DNS 有幾種 Use case，包括:

創(chuàng)建 Port 時把 Port 的 DNS 信息推送到外部 DNS 系統(tǒng)

創(chuàng)建 Flaoting IP 時把 Port 的 DNS 信息推送出去

創(chuàng)建 Floating IP時把Floating IP的DNS信息推送出去。

詳細過程看文檔或者視頻吧。

8. SNAT High Availability Service in Neutron for Distributed Virtual Routers

評分：★★★

簡介：介紹了 DVR 場景下 SNAT Router 的高可用功能。

評論： 簡單的說就是把過去 L3 HA 的功能移到 DVR SNAT Router 上了，過去 DVR 與 L3 HA 不能共存的問題終于得到了解決。

未來有一些計劃，例如更高效的控制平面、支持 BGP 等等。

9. Virtual Routers on Compute Nodes: A (Not So) Irrational Decision?

評分：★★★

簡介：介紹了 TWC 公司在沒有 DVR 時是怎么設(shè)計 OpenStack 架構(gòu)的。
評論：簡單的說就是把 L3 Agent 混布在所有計算節(jié)點上，他們管這個架構(gòu)叫 VR-D，醉了……

10. F5 Networks - Technically Speaking..Are You in or Are You Out?

評分：★★★★

簡介：很短的贊助演講，但是內(nèi)容不少，包括 F5 與 OpenStack 的 Roadmap、目前的實現(xiàn)、Demo 等。

評論：最有價值的可能是這個 Roadmap 吧，但愿 F5 能按時完成。

說明：

本文所介紹的相關(guān)講座在YouTube均有完整視頻，詳見：

https://www.youtube.com/user/OpenStackFoundation/videos

文章來源：

本文作者為UnitedStack有云SDN網(wǎng)絡部PTL 王為。

原文鏈接

總結(jié)

以上是生活随笔為你收集整理的绝不能错过的10款最新OpenStack网络运维 监控工具的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。