Embed Size (px)
Citation preview
ZStack 企业版快速体验云路由
版本 1.10
日期 2017-03-09
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 2 / 35
版权所有©上海云轴信息科技有限公司 2017。保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不
得以任何形式传播。
商标说明
和为上海云轴信息科技有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意
您购买的产品、服务或特性等应受上海云轴公司商业合同和条款的约束,本文档中描述的全
部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定,上海云
轴公司对本文档内容不做任何明示或暗示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作
为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
上海云轴信息科技有限公司
地址: 上海市闵行区紫竹科学园东川路 555 号 6 号楼 邮编:200241
网址: http://www.zstack.io
客户服务邮箱: [email protected]
客户服务电话: 400-962-2212
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 3 / 35
概述
本文档对 ZStack 快速体验云路由进行说明。
读者对象
本文档适合以下工程师阅读:
l 运维工程师
l 测试工程师
l 存储工程师
l 预研工程师
术语定义
术语 概念
管理节点 安装ZStack系统的物理主机,提供UI管理、云系统部署功能
计算节点 也称之为物理主机,为云主机实例提供计算、内存、网络、存储的物
理主机。运行KVM虚拟化的物理主机,简称“KVM主机”
云主机 ZStack 特制虚拟机,即运行在物理机上的虚拟机实例,具有独立的
IP地址,可以安装部署应用服务
镜像 云主机所使用的镜像模板文件,包含了云主机的操作系统,也可以定
制安装相应的软件
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 4 / 35
镜像服务器
也称之为备份存储服务器,存储云主机镜像文件的物理主机。虽然可
以和管理节点或其他计算节点共享同一台物理服务器,但不建议在生
产环境中这么部署
云盘 云主机的数据盘,给云主机提供额外的存储空间,一块云盘在同一时
刻只能挂载到一个云主机。一个云主机最多可以挂载24块云盘
计算规格 启动云主机涉及到的CPU数量、内存大小、网络设置等规格定义
云盘规格 创建云盘容量大小的规格定义
安全组 针对云主机进行第三层网络的防火墙控制,对IP地址、网络包类型或
网络包流向等可以设置不同的安全规则
L2NoVlanNetwork 物理主机的网络连接不采用Vlan设置
L2VlanNetwork 物理主机节点的网络连接采用Vlan设置,Vlan需要在交换机端提前进
行设置
二层网络 计算节点的物理网卡设备名称,例如eth0
三层网络 云主机需要使用的网络配置,包括IP地址范围,网关,DNS等
管理网络 ZStack管理物理机和其他云资源的网络
公有网络 云主机连接和使用的网络
中英文术语对照
管理节点 Management Node
物理机 Host
云主机 VM Instance
镜像服务器(备份服务器) Backup Storage
主存储 Primary Storage
镜像 Image
云盘 Volume
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 5 / 35
集群 Cluster
区域 Zone
二层网络 L2 Network
三层网络 L3 Network
安全组 Security Group
计算规格 Instance Offering
云盘规格 Disk Offering
扁平网络模式 Flat Network Mode
云路由模式 Virtual Router Mode
本地存储 Local Storage
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 6 / 35
修改记录
修改记录积累了每次文档更新的说明。最新版本的文档包含以前所有文档版本的更新内容。
文档版本 1.8(2016-11-03)
第一次正式发布。
文档版本 1.10(2017-03-09)
1.10 版修订。
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 7 / 35
目录
第一章 云路由介绍 ............................................................................................................................ 8
1.1 基础环境准备 ........................................................................................................................... 9
1.2 云路由网络 ............................................................................................................................ 10
第二章 云路由配置 .......................................................................................................................... 11
2.1 基础环境配置 ......................................................................................................................... 11
2.2 创建云路由网络 ..................................................................................................................... 15
2.3 云路由-弹性网络 .................................................................................................................... 22
2.4 云路由-端口转发 .................................................................................................................... 25
2.5 云路由-负载均衡 .................................................................................................................... 29
2.6 云路由-IPsec隧道 ................................................................................................................. 31
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 8 / 35
第一章 云路由介绍
ZStack 企业版是世界上首款针对“虚拟化+”场景的产品级云平台。通过对自主研发的下一
代云引擎 ZStack开源版深度定制,打造了这款全新的轻量级云管理平台,具备优秀的架构和
方便运维管理的特性。
从 ZStack 企业版 1.0起,默认支持分布式扁平网络。ZStack 企业版 1.8 开始,通过云
路由网络功能。管理员在 ZStack 企业版中配置云路由后,可以支持弹性网络、端口转发和
IPsec隧道等网络功能。
本文档接下来描述 ZStack 企业版快速体验云路由操作过程。
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 9 / 35
1.1 基础环境准备
在部署测试环境前,管理员需清点所需要的硬件和软件。测试环境硬件如下:
服务器 参数
ZStack 企业版
测试服务器
CPU 支持 64 位,不低于 4核心,支持 CPU 硬件虚拟化技术;内
存不低于 16GB;至少 1 个块硬盘,容量不低于 500GB;至少配
备 1块千兆网卡;
网络 网卡配置可用的地址,配置私网地址或公网地址(可选访问互联
网);
所需软件如下:
功能 名称
系统镜像 ZStack-Enterprise-x86_64-DVD-1.10.1.iso
其中,系统镜像 ISO中已包含云路由镜像 zstack-vyos-virtualrouter-20161031.qcow2(基
于 VyOS http://vyos.io/)。管理员在开始测试前,请填写以下网络环境信息,以便与本文网络
描述对应。管理员也可参考本文网络设定,以便理解和操作方便:
网络类型 本文网络 测试环境网络
公共网络
地址:172.20.14.77/16
网关:172.20.0.1
保留可用范围:
172.20.54.120至 172.20.54.140
地址:
网关:
保留可用范围:
接入网络 网络 CIDR:10.0.0.1/24 网络 CIDR:
DNS 服务商 223.5.5.5 和 223.6.6.6
其中,【公共网络】的【地址】是物理服务器配置的 IP地址,【公共网络】的【网关】是
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 10 / 35
环境网络设备;【公共网络】的【保留可用范围】是云路由使用的范围,用于云主机出口地址;
【内部接入网络】是虚拟地址,属于 ZStack 企业版管控的网络。
接下来,本文将会描述云路由工作模式。
1.2 云路由网络
ZStack 企业版云路由环境下,云路由可提供DHCP、DNS、端口转发、弹性网络和 IPsec
隧道服务,云主机通过云路由与外部通信。在本测试环境,ZStack 企业版云路由-转发网络
工作原理如下:
图⼀ ZStack 企业版云路由⽹络-流量模型
如上图所示,eth0.10(eth0 的 VLAN 10接口)承载云主机私有网络流量,其网络地址
信息由云路由分配;eth0承载公共网络流量,在云路由模式下,云路由将数据包从云主机私
有网络转发到公共网络。
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 11 / 35
第二章 云路由配置
2.1 基础环境配置
管理员先配置物理服务器网络,其设定过程如下:
# 查看当前网络配置状态 [root@172-20-14-77 ~]# zs-show-network
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever inet6 ::1/128 scope host
valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen
1000
link/ether fa:f3:c9:a5:2a:00 brd ff:ff:ff:ff:ff:ff inet 172.20.14.77/16 brd 172.20.255.255 scope global eth0
valid_lft forever preferred_lft forever inet6 fe80::f8f3:c9ff:fea5:2a00/64 scope link
valid_lft forever preferred_lft forever
-------------------------------------------------------------------------
| Bond Name | SLAVE(s) | BONDING_OPTS | -------------------------------------------------------------------------
[root@172-20-14-77 ~]# route -n
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 172.20.0.1 0.0.0.0 UG 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 1002 0 0 eth0 172.20.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 12 / 35
配置网桥后,则可安装 ZStack 企业版云管理软件:
# 查看当前网络状态 [root@172-20-14-77 ~]# zs-show-network
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever inet6 ::1/128 scope host
valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master br_eth0
state UP qlen 1000
link/ether fa:9e:15:cc:e8:00 brd ff:ff:ff:ff:ff:ff inet6 fe80::f89e:15ff:fecc:e800/64 scope link
valid_lft forever preferred_lft forever 4: br_eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP
link/ether fa:9e:15:cc:e8:00 brd ff:ff:ff:ff:ff:ff inet 172.20.14.77/16 brd 172.20.255.255 scope global br_eth0
valid_lft forever preferred_lft forever
inet6 fe80::f89e:15ff:fecc:e800/64 scope link valid_lft forever preferred_lft forever
---------------------------------------------------------------------------------
[root@172-20-14-77 ~]# bash /opt/zstack-enterprise-installer.bin -I br_eth0
# 其中【-I】为 i 的大写字母
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 13 / 35
管 理 员 通 过 Chrome 或 FireFox 浏 览 器 打 开 管 理 界 面 。 访 问 地 址
http://172.20.14.77:5000/,默认用户名为 adm in,密码为 password
图⼆ ZStack 企业版管理界面
接下来需要做初始化创建过程,具体步骤可以参看《PD1002-ZStack 企业版快速安装》。
其中,物理主机和镜像仓库的配置 IP地址,填写 172.20.14.77;在配置【二层网络】时,
请选择跳过配置,直接进入云路由配置过程。
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 14 / 35
图三 ZStack 企业版管理界面-跳过配置⼆层⽹络
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 15 / 35
2.2 创建云路由网络
接下来,介绍云路由网络的配置。配置模型如下:
图四 ZStack 企业版云路由⽹络-流量模型
配置以上网络,需要创建以下网络:
网络名称 网络类型 接口类型 网络信息
公共网络 无服务网络 eth0, NoVlan 172.20.54.120至 172.20.54.140
接入网络 云路由网络 eth0, Vlan 10 10.0.0.0/24
接下来开始配置云路由网络。
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 16 / 35
A. 添加云路由镜像:
图五 添加云路由镜像
云路由镜像添加路径为:
file:///opt/zstack-dvd/zstack-vrouter-20161126.qcow2
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 17 / 35
B. 加公共网络:
图六 添加公共⽹络
添加【公共网络】,选取【L2NoVlanNetwork】、网卡填写【eth0】,选择【无服务网络】,
填写公共网络地址信息,以及 DNS 服务【8.8.8.8】。
新建完毕后,将【公共网络】加载到默认的集群。
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 18 / 35
C. 创建云路由规格:
图七 添加云路由规格
添加云路由规格时,填写名字【云路由规格-2核-1G内存】,设置CPU 1 个和内存 1GB。
选取默认镜像【云路由镜像】,管理 L3 网络和公共 L3 网络皆选取【公共网络】。
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 19 / 35
D. 创建云主机接入网络:
图⼋ 创建云主机接⼊⽹络
添加云主机接入网络,填写名字【接入网络】,选择类型【L2VlanNetwork】,设置VLAN
【10】和网卡【eth0】,选取网络服务【云路由】,选取云路由规格【云路由规格-2核-1G内
存】。填写 CIDR【10.0.0.1/24】,以及 DNS 服务【8.8.8.8】。
新建完毕后,将【接入网络】加载到默认的集群。
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 20 / 35
E. 创建云主机:
图九 创建云主机
创建云主机时,选取网络【接入网络】。创建过程中,将会先创建云路由;云路由创建成
功后,云主机则可创建。
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 21 / 35
图⼗ 云路由已运⾏
如上图所示,云路由已经创建,并按照指定的计算规格运行。
图⼗⼀ 云主机正常运⾏
云路由正常运行后,云主机也正常创建并运行正常:
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 22 / 35
图⼗⼆ 云主机正常运⾏-获取正确⽹络并通信
2.3 云路由-弹性网络
弹性网络(EIP),是专为动态云计算网络设计的技术。弹性 IP地址能够与云主机的私有
网络地址关联,可以将弹性 IP地址映射到云主机的私网 IP地址。ZStack 企业版支持云路由
的弹性网络服务。
管理员可通过云路由,给云主机增加弹性 IP:
图⼗三 云路由-创建 EIP
在弹性 IP面板,创建弹性 IP,填写【名字】,选取外部网络【公共网络】。
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 23 / 35
图⼗四 云路由-弹性 IP 与云主机虚拟⽹卡绑定
上图所示,将新创建的弹性 IP与云主机的虚拟网卡绑定。
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 24 / 35
图⼗五 云路由-弹性 IP 绑定⽣效
上图所示,弹性 IP【172.20.54.138】与云主机【vm-1】的【10.0.0.120】绑定。此时访
问【172.20.54.138】的流量将全部转发到【10.0.0.120】。
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 25 / 35
2.4 云路由-端口转发
ZStack 企业版在云路由模式下,支持端口转发功能。
端口转发,即将既定 IP的 UDP或 TCP的端口接受流量,转发到目标 IP指定对应 UDP
或 TCP类型的端口。在 ZStack 企业版云路由上,其逻辑模型如下:
图⼗六 云路由-端⼝转发逻辑模型
其工作网络模型如下:
图⼗七 云路由-端⼝转发⽹络模型
如上图所示,云路由提供端口转发功能。云路由【VR】监听 TCP 80端口,并将该端口
的访问流量转发到云主机【VM1】的 TCP 8080端口。云路由具备公共网络和私有网络,而
私有网络与云主机二层相通。
管理员在 ZStack 企业版的端口转发页面,增加转发规则:
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 26 / 35
图⼗⼋ 创建端⼝转发规则-TCP80 转 TCP8080
图⼗九 转发规则绑定云主机⽹卡
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 27 / 35
图⼆⼗ 设定端⼝转发规则
图⼆⼗⼀ 端⼝转发规则测试成功
如上述操作,设定了 172.20.54.137 的 TCP 80端口的流量转发到 10.0.0.252 TCP 8080
服务端口,该服务端口运行 Tomcat 服务。能访问到 Tomcat默认的帮助文档页面,端口转
发服务生效。
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 28 / 35
本例子演示 TCP类型的端口转发,UDP类型的端口转发也类似。
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 29 / 35
2.5 云路由-负载均衡
ZStack 企业版在云路由模式下,支持负载均衡功能。
负载均衡,即将负载(工作任务,访问请求)进行平衡、分摊到多个操作单元(服务器,
组件)上进行执行。在 ZStack 企业版云路由上,其逻辑模型如下:
图⼆⼗⼆ 云路由-负载均衡⽹络模型
其工作网络模型如下:
图⼆⼗三 云路由-负载均衡⽹络模型-后端分发两路
如上图所示,云路由【VR】监听 TCP 80端口,并将该端口的访问流量按照一定的均衡
算法(默认为基于源地址哈希)转发到后端云主机【VM1】和【VM2】的 HTTP 8080端口,
以达到让前端的业务压力相对均衡分发到不同的应用服务器。
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 30 / 35
ZStack 企业版界面上,在【网络】->【云路由】->【负载均衡】页面,添加负载均衡服
务:
图⼆⼗四 添加新的负载均衡服务
创建负载均衡服务时,管理员选择【外部网络】和【协议】,填写【负载均衡端口】和【云
主机端口】,并在【云主机】栏目添加后端的云主机。如上图所示,所添加到云主机分别是
VM1 和 VM2。
图⼆⼗五 查看负载均衡服务信息
至此,负载均衡服务已建立。
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 31 / 35
2.6 云路由- IPsec 隧道
IPsec,全称为“Internet Protocol Security”,中文译为“互联网安全协议”,透过对 IP协议
的分组进行加密和认证来保护 IP协议的网络传输数据。IPsec是一个开放技术的标准协议,
目前国内外主流网络设备厂商(包括软件路由方案)均支持 IPsec 技术。ZStack 企业版支持
与具备 IPsec隧道技术的网络设备协商对接。
ZStack 企业版支持采用 IPsec隧道技术实现站点到站点(site-to-site)的虚拟私有网络
(VPN)连接。当前 ZStack 企业版云路由是基于 VyOS软路由方案,提供 IPsec 特性如下:
l IPsec 连接模式,基于安全考虑,只支持主动模式(Main Mode),不支持积极模式
(Aggressive Mode);仅支持 ESP 封装协议;
l IPsec 传输模式,只支持站点到站点的隧道模式,不支持 PC 点对点模式(基于云端
⽹络模型考虑),不支持两端存在 NAT ⽹络;
l IPsec 路由模型,只支持基于对端⽹段配对模型,只支持路由配对模式,不支持路由
转发模式(不支持 OSPF 或 BGP 等动态路由协议);
受限于网络环境,管理员可以在不依赖物理网络设备条件下,测试 ZStack 企业版的 IPsec
隧道服务。以下介绍,两个 ZStack 企业版云环境通过云路由 IPsec隧道建立内部 VPN网络:
图⼆⼗六 通过云路由连接两个 ZStack 企业版站点
如上图所示,左右两边各有 ZStack 企业版云环境,分别命名 Site A和 Site B,两者都
建立云路由网络,并各自拥有不相同的私网地址和内部云主机。通过云路由的 IPsec 服务,
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 32 / 35
基于 Site A的 VR-1 和 Site B的 VR-2 的互联网链路构建私有隧道网络。IPsec隧道建立后,
Site A的私有网络与 Site B的私有网络可互相访问。
在构建上图场景前,默认 Site A 和 Site B 已经配置好基本的路由网络。Site A和
Site B的网络规划如下:
站点 IPsec 服务地址 私有网络 云路由私有网关 云主机地址
Site A 172.20.54.112 10.1.0.0/24 10.1.0.1/24 10.1.0.10/24
Site B 172.20.54.121 10.2.0.0/24 10.2.0.1/24 10.2.0.10/24
在 Site A,创建 IPsec隧道设定:
图⼆⼗七 ZStack 企业版 Site A 配置 IPsec 隧道
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 33 / 35
图⼆⼗⼋ ZStack 企业版 Site B 配置 IPsec 隧道
如上图所示,Site A和 Site B分别填写本端和对端的公网 IP和子网信息。两侧的 IPsec
隧道建立后,可在两侧的云主机互相Ping,测试隧道连接是否成功。
从 Site A的云主机VM-1(10.1.0.10)Ping 到 Site B的云主机VM-2(10.2.0.10):
图⼆⼗九 从 Site A VM-1 Ping Site B VM-2
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 34 / 35
从 Site B的云主机VM-2(10.2.0.10)Ping 到 Site A的云主机VM-1(10.1.0.10):
图三⼗ 从 Site B VM-2 Ping 测试到 Site A VM-1
如上图所示,IPsec隧道建立成功,两个站点的私有网络可以互访。
在以上的测试中,创建 IPsec隧道时提供默认的 IKE和 ESP配置信息,该配置信息隐藏
在【高级设置】。如果管理员计划部署 ZStack 企业版云路由与支持 IPsec隧道的第三方设备
对接,则需要两端协商具体的配置信息:
ZStack 企业版
版本 1.10 上海云轴 版权所有©2017 35 / 35
图三⼗⼀ 创建 IPsec 隧道的 IKE 和 ESP 配置
关于更多的 ZStack 企业版使用与配置说明,请查看官方网站 http://www.zstack.io/
