Openstackのスケーラブルなネットワーク。 パート2：VlanManager

投稿者：Piotr Siwczak

記事の前半では 、OpenStackのメインネットワーク操作モード、特にFlatManagerネットワークマネージャーとその追加機能であるFlatDHCPManagerについて説明しました。 この記事では、VlanManagerについて説明します。 フラットベッドマネージャーはシンプルで小規模な展開向けに設計されていますが、VlanManagerは大規模な内部クラウドとパブリッククラウドに適しています。 名前が示すように、VlanManagerは仮想ローカルエリアネットワーク（「仮想LAN」）の使用に依存しています。 仮想ローカルエリアネットワークの目的は、物理ネットワークを個別のブロードキャストドメインに分割することです（異なる仮想ネットワークのノードのグループが互いに見えないようにするため）。 VlanManagerは、ネットワークマネージャーの2つの主な欠点を修正しようとします。

スケーラビリティの欠如（フラットモードで動作するマネージャーは、すべてのOpenStackインストールで単一のブロードキャストL2ドメインに依存しています）
-ユーザーの分離の欠如（すべてのユーザーが使用するIPアドレスの単一プール）

この記事では、OpenStackでマルチノードネットワークモードを使用するVlanManagerに焦点を当てます。 サンドボックスの外部では、これはシングルノードモードよりも安全です。マルチノードモードでは、OpenStackクラスター全体でnova-networkサービスの個別のインスタンスの動作に起因する単一の障害が発生しないためです。 ただし、VlanManagerをシングルノードモードで使用することは可能です。 （「マルチノード」モードと「シングルノード」モードの比率の詳細については、 こちらをご覧ください ）。

「フラット」モードで動作するマネージャーとVlanManagerの違い

ネットワークセットアッププロセス中にフラットモードでマネージャを操作する場合、管理者は通常次のアクションを実行します。
-すべてのユーザーが共有する固定IPアドレス（通常は16ビット以下のネットワークマスク）で1つの大規模なネットワークを作成します。
nova-manage network create --fixed_range_v4=10.0.0.0/16 --label=public

-ユーザーを作成します
-ユーザーがインスタンスを作成した後、それぞれに共通のIPアドレスプールから無料のIPアドレスを割り当てます。

通常、このモードでは、IPアドレスには次のようにインスタンスが割り当てられます。

tenant_1：

tenant_2：


tenant_1とtenant_2のインスタンスが同じIPネットワーク10.0.0.0上にあることがわかります。

VlanManagerを使用する場合、管理者は次のように行動します。
-新しいユーザーを作成し、tenantIDを書き込みます
-新規ユーザー専用の固定IPネットワークを作成します。
nova-manage network create --fixed_range_v4=10.0.1.0/24 --vlan=102 \
--project_id="tenantID"
-ユーザーインスタンスを作成した後、IPアドレスのプライベートプールからIPアドレスが自動的に割り当てられます。

したがって、FlatDHCPManagerと比較して、ネットワークに対して2つのことをさらに定義します。
-特定のユーザーとのネットワーク接続（--project_id =）。 したがって、ネットワークからのIPアドレスは、ユーザー以外は取得できません。
-このネットワーク用の個別の仮想ネットワークの割り当て（--vlan = 102）。

この時点から、ユーザーが新しい仮想マシンを作成するとすぐに、割り当てられたプールからIPアドレスを自動的に受け取ります。 また、専用のvlan仮想ネットワーク上に配置され、OpenStackプラットフォームによって自動的に作成およびサポートされます。 したがって、2人のユーザー用に2つの異なるネットワークを作成した場合、状況は次のとおりです。

tenant_1：

tenant2：


ユーザーインスタンスがIPアドレスの異なるプールにあることが明確にわかります。 しかし、仮想ネットワークはどのようにサポートされていますか？

VlanManagerがネットワーク設定を構成する方法

VlanManagerはここで3つのことを行います。
-コンピューティングノードでユーザーネットワーク用の専用ブリッジを作成します。
-計算ノードの物理ネットワークインターフェイスeth0の上にVLANインターフェイスを作成します。
-ブリッジに対応するdnsmasqプロセスを開始および構成して、ユーザーインスタンスをブリッジからロードできるようにします。
「t1」というユーザーがt1_vm_1のインスタンスを作成するとします 。 コンピューティングノードの1つにヒットします。 ネットワークダイアグラムは次のようになります。

「vlan102」というvlanインターフェイスを持つ専用の「br102」ブリッジが作成されたことがわかります。 さらに、アドレス10.0.2.1でリッスンするdnsmasqプロセスが作成されました。 インスタンスt1_vm_1のインスタンスがロードされると、静的リースに基づいてdnsmasqプロセスからアドレスを受け取ります（OpenStackプラットフォームによるdnsmasqの管理方法の詳細については、 前の記事を参照してください ）。

ここで、ユーザー "t1" がt1_vm_2という別のインスタンスを作成し、前に作成したインスタンスと同じコンピューティングノードで誤って終了したと仮定します。

両方のインスタンスは同じブリッジに接続されています。これらは同じユーザーに属しているため、同じ専用ネットワークユーザーに属しているためです。 さらに、単一のdnsmasqサーバーからDHCP構成を受け取ります。

ここで、ユーザー「t2」が最初のインスタンスを作成するとします 。 また、ユーザー「t1」と同じコンピューティングノードで終了します。 さらに、専用のブリッジ、vlanインターフェイス、およびdnsmasqプロセスがネットワーク用に構成されています。

したがって、ユーザーの数によっては、十分な数のネットワークブリッジとdnsmasqプロセスがあり、すべてが同じコンピューティングノードで動作する場合、状況は非常に正常であることがわかります。

この状況で奇妙なことは何もありません-OpenStackはそれらすべてを自動的に管理します。 フラットモードでのマネージャーの使用とは対照的に、ここではユーザーの両方のインスタンスは、互いに接続されていない異なるブリッジに配置されています。 これにより、L2レベルでトラフィックが分離されます。 「t1」ユーザーの場合、br102で送信され、次にvlan102で送信されたARPブロードキャストは、br103およびvlan103では表示されません。

複数の計算ノードにわたるユーザーネットワークのサポート

上記で、これが単一のコンピューティングノードでどのように機能するかについて説明しました。 ほとんどの場合、複数のコンピューティングノードを使用します。 通常、最大数のコンピューティングノードを目指して努力しています。 次に、ほとんどの場合、ユーザー「t1」は複数のコンピューティングノードに分散されます。 つまり、専用ネットワークも複数のコンピューティングノード間で分散する必要があります。 ただし、次の2つの要件を満たす必要があります。
-さまざまな物理コンピューターノードにあるt1インスタンスの通信を確保する必要があります
-複数のコンピューティングノードに分散されたネットワークt1は、他のユーザーネットワークから分離する必要があります。

通常、計算ノードは1本のケーブルでネットワークに接続されます。 お互いのトラフィックを見ることなく、複数のユーザーにこのチャンネルを共有してほしい。

この要件を満たす技術があります-VLANタグ （802.1q）。 技術的には、各イーサネットフレームは、vlan番号を持つVID（Vlan ID）と呼ばれる12ビットフィールドによって補完されます。 同じVlanタグを持つフレームは、同じL2変換ドメインに属します。 したがって、同じVLAN IDでタグ付けされたトラフィックを持つデバイスは通信できます。

したがって、異なるVlan IDでタグ付けすることにより、ユーザーネットワークを分離できることは明らかです。
実際にはどのように機能しますか？ 上記の図をご覧ください。

ユーザー「t1」のトラフィックは、インターフェース「vlan102」を介して計算ノードを出ます。 Vlan102は、eth0に接続された仮想インターフェイスです。 その唯一の目的は、802.1qプロトコルを使用してフレームに番号「102」をタグ付けすることです。

ユーザー「t2」のトラフィックは、103のタグが付けられた「vlan103」インターフェースを介して計算ノードを出ます。ストリームには異なるvlanタグがあるため、トラフィック「t1's」はトラフィック「t2」と交差しません。

両者は同じ物理インターフェースeth0を使用し、その後スイッチのポートとトランクを使用しますが、互いについてはわかりません。

次に、タグ付きトラフィックをそのポートで送信する必要があることをスイッチに伝える必要があります。 これは、このスイッチポートを（デフォルトの「アクセス」モードではなく）トランクモードにすることで実現されます。 つまり、トランクにより、スイッチはVLANでタグ付けされたフレームを送信できます。 VLANトランクの詳細については、 この記事 （802.1q）を参照してください。 この時点で、スイッチはシステム管理者によって設定されます 。 Openstackは、この構成を単独で実行しません。 すべてのスイッチがVLANトランキングをサポートしているわけではありません。 これは、スイッチを購入する前に確認する必要があります。

さらに、 devstack + virtualboxを使用して仮想環境でVlanManagerを試す場合は、VLANに接続するためのアダプターとして「PCNET-Fast III」を選択してください。

これを行った後、次の通信モデルに到達します。


計算ノードからスイッチまでの太い黒い線は、物理チャネル（ケーブル）です。 タグ102および103（赤と緑の破線）を持つVLANトラフィックは、同じケーブルを介して転送されます。 トラフィックは混ざりません（2本の線は交差しません）。

ユーザー「t1」が10.0.2.2から10.0.2.5にパケットを送信したい場合、トラフィックはどのように見えますか？
-パッケージは、10.0.2.2からbr102ブリッジに到達し、vlan102に到達します。ここで、タグ102が割り当てられます。
-トラフィックは、vlanタグを処理するスイッチの後ろを通過します。 2番目の計算ノードに到達すると、そのvlanタグが調べられます。
-スタディの結果に基づいて、コンピューティングノードはそれをvlan102インターフェイスに送信することを決定します。
-Vlan102は、パケットがインスタンスに到達できるように、パケットからVlan IDフィールドを削除します（インスタンスにはタグ付きインターフェイスがありません）。
-br102を通過し、アドレス10.0.2.5に到達します。

VlanManagerを構成する

OpenStackでVlanManagerネットワーク設定を構成するには、nova.confファイルに次の行を追加します。
#OpenStackでVlanManagerを使用するように指示します：
network_manager = nova.network.manager.VlanManager

＃仮想VLANインターフェイスが作成されるインターフェイス：
vlan_interface = eth0

＃プライベートVLANの最初のタグ番号
＃（この場合、100より小さいVLAN番号は、
＃内部目的であり、テナントによって消費されることはありません）：
vlan_start = 100

おわりに

いずれにせよ、VlanManagerはOpenStackが現在提供している最も洗練されたネットワーキングモデルです。 さまざまなユーザーのL2スケーラビリティとトラフィック分離が提供されます。
ただし、このマネージャーには制限があります。 たとえば、各ユーザーネットワークについて、IPプール（L3レベル）をvlanネットワーク（L2レベル）に割り当てます（各ユーザーのネットワークは、ip + vlanプールのペアで定義されます）。 したがって、2人の異なるユーザーが異なるL2ドメインで同じIPアドレス指定スキームを個別に使用することはできません。
さらに、vlanタグフィールドの長さは12ビットのみであり、最大4096個のvlanを作成できます。 これは、クラウド内の潜在ユーザーが4096人を超えないことを意味します。
これらの制限は、OpenStackプラットフォームおよびソフトウェア定義ネットワークの新しいネットワークマネージャーであるQuantumなどの新しいソリューションによって回避されます。

このシリーズの次の記事では、フローティングIPアドレスの仕組みについて説明します。

英語のオリジナル記事