用户网络设置

用户网络设置概览

当涉及到云计算所提供的网络服务, 使用云基础设施的人都有各自不同的需求和喜好. 作为CloudStack管理员, 你可以为你的用户做下面的事情来设置网络:

  • 在资源域里设置物理网络

  • 在单个物理网卡上为同一服务设置不同的服务提供者(例如, 同时设置Cisco和Juniper的防火墙)

  • 绑定不同类型的网络服务到网络方案中, 这样用户可以在给定的虚机中使用期望的网络服务.

  • 随着时间的推移, 添加新的网络方案以便是最终用户升级他们的网络服务.

  • 提供更多的途径让一个用户访问一个网络, 比如通过用户所在的一个项目

关于虚拟网络

虚拟网络是使多租户在一个物理网络中的逻辑结构。在CloudStack中,虚拟网络可以被共享或隔离。

隔离的网络

一个隔离的网络可以访问虚拟机的单一账户。隔离的网络具有下列性质。

  • 如VLAN等资源被动态分配和垃圾收集

  • 有一个用于整个网络的网络方案

  • 网络提供可升级或降级,但它是用于整个网络的

更多信息,参考`“在高级区域中配置来宾流量” <networking2.html#configure-guest-traffic-in-an-advanced-zone>`_.

共享网络

共享网络可以被属于不同客户的虚拟机访问。共享网络中的网络隔离通过安全组实现(仅在CloudStack 3.0.3及以后的基本区域中支持)

  • 管理员创建的共享网络

  • 在一个确定的哉中设计共享网络

  • 共享网络资源如VLAN和物理网络,它映射到指定的管理员

  • 共享网络通过安全组实现隔离

  • 公网网络作为一个共享网络不会展示给终端用户

  • 当共享网络是由虚拟路由提供的服务,则每个区域是不支持Source NAT功能的。然而,每个帐户是支持Source NAT功能的。更多信息,参考`“配置共享来宾网络” <networking2.html#configuring-a-shared-guest-network>`_.

虚拟网络资源的运行时分配

当你定义一个新的虚拟网络,该网络的所有的设置都存储在CloudStack中。只有当第一台虚拟机在该网络中启动时,实际的网络资源才会被激活。当所有的虚拟机都离开了虚拟网络,系统进行网络资源垃圾收集,使它们能够重新分配。这有助于节约网络资源。

网络服务提供者

注解

查看最新的网络服务提供者支持列表请见CloudStack用户界面或者调用listNetworkServiceProviders`.。

服务提供者(也称为网络元件)是指通过硬件或虚拟应用来实现网络应用。比如,防火墙应用可以安装在云端来提供防火墙服务。在独立网络中多个提供者能提供相同的网络服务。比如,可以通过思科或者Juniper的设备在同一个物理网络中提供防火墙服务。

在一个网络中你可以多个实例使用相同的服务提供者(也可以使用多个Juniper SRX设备)

如果不同提供者被设置在网络中提供相同服务,管理员可以通过创建网络提供方案,因此用户能够自己制定使用哪个物理网络提供者(要遵从网络提供方案中的其他选项)。否则CloudStack会在服务被需求的时候选择使用哪个提供者。

支持的网络服务提供者

CloudStack已经预置了一些内置的服务提供者支持列表。你能在创建网络提供方案的时候你能从这列表中选择。

 

虚拟路由

Citrix NetScaler Juniper SRX F5 BigIP Host based (KVM/Xen)

远程访问VPN

支持

不支持

不支持

不支持

不支持

DNS/DHCP/User Data

支持

不支持

不支持

不支持

不支持

防火墙

支持

不支持

支持

不支持

不支持

负载均衡

支持

支持

不支持

支持

不支持

弹性IP

不支持

支持

不支持

不支持

不支持

弹性负载均衡

不支持

支持

不支持

不支持

不支持

Source NAT

支持

不支持

支持

不支持

不支持

静态 NAT

支持

支持

支持

不支持

不支持

端口转发

支持

不支持

支持

不支持

不支持

网络方案

注解

要查看最新的网络服务支持列表,请参见 CloudStack用户界面或者调用API listNetworkServices。

网络方案是带名称的一套网络服务,例如:

  • DHCP
  • DNS
  • Source NAT
  • 静态 NAT

  • 端口转发

  • 负载均衡

  • 防火墙

  • VPN
  • (可选)在服务的多个可选提供者中指定其一,例如Juniper作为防火墙服务

  • (可选)用于指定使用哪个物理网络的网络标签

用户创建虚机时,需要选择一种可用的网络方案。该网络方案确定了虚机可使用的网络服务。

CloudStack ;提供了默认的网络方案,在此之外,系统管理员可以添加任意数量的自定义网络方案。通过创建多种自定义网络方案,您可以在一个多租户的物理网络基础上提供不同级别的网络服务。例如,尽管两个租户的底层物理网络是一个,租户A可能仅需要用防火墙保护他们的网站,而租户B可能运行一个Web服务器集群,要求一个可扩展的防火墙方案、负载均衡方案、和用于访问后台数据库的可替代的网络。

注解

如果你创建了一个负载均衡规则且使用包括外部负载均衡设备的网络服务方案,如包括NetScaler,但随后将网络方案改成使用CloudStack的虚拟路由器,则你必须在虚拟路由器上创建一个防火墙规则,这些防火墙规则与已经设置的负载均衡规则一一对应,只有这样,才能使那些负载均衡规则继续起作用。

创建新虚拟网络时,CloudStack 管理服务器可选择该网络使用的网络方案。每个虚拟网络都关联一个网络方案。虚拟网络可以通过改变关联的网络方案来升级或降级。如果您要这样做,请确保调整物理网络以匹配网络方案。

CloudStack 中有给系统虚机使用的内部网络方案。内部网络方案对最终用户是不可见的,但系统管理员可以对其修改。

创建一个新的网络方案

创建一个新的网络方案

  1. 以管理员权限登录CloudStack用户界面。

  2. 在左侧导航栏中,点击 服务方案。

  3. 在选择方案中,选择网络方案。

  4. 点击添加网络方案。

  5. 在对话框中,选择如下操作:

    • 名称: 任何网络方案的名称。

    • 描述: 提供一个简短的方案描述。

    • 网络速度: 允许的数据传输速度(MB/秒)。

    • 来宾类型: 选择来宾网络为隔离或共享网络。

      关于此组的描述,参考 see “关于虚拟网络”.

    • 持续性: 表明来宾网络是否支持持续性。无需提供任何VM部署的网络,称之为持续性网络。更多信息,参考 “持久性网络”.

    • 指定VLAN.(只针对隔离来宾网络)这表明无论使用这个方案时是否指定了VLAN,如果你选中了这个选项,并且当你创建VPC层或隔离网络时使用了这个网络方案,那么,你都可以为你创建的网络拽定一个VLAN ID。

    • VPC: 此选项表明是否在来宾网络中启用VPC。 CloudStack中的虚拟专用云(VPC)是专用、隔离的。 一个VPC可以有一个类似于传统物理网络的虚拟网络拓扑结构。有关的VPC的详细信息,请参考 see “关于VPC”.

    • 支持的服务.选择一个或多个可能的网络服务。对于有一个服务,你还必须同时选择服务的提供者。比如,如果你选择了负载均衡服务,那你可以CLOUDSTACK虚拟路由或是云环境中其它配置了此功能的服务者。取决于你选择服务的不同,额外的选项或是对话框的填写项也会相应不同。

      基于你选择的来宾网络类型,可以看到如何支持的服务。

      支持的服务

      描述

      隔离

      共享

      DHCP

      更多信息,请参考 “DNS and DHCP”.

      支持

      支持

      DNS

      更多信息,请参考 “DNS and DHCP”.

      支持

      支持

      负载均衡

      如果选择了负载均衡功能,你就可以选择CLOUDSTACK虚拟路由或是云环境中其它配置了此服务的提供者。

      支持

      支持

      防火墙

      更多信息,请参考管理指南

      支持

      支持

      Source NAT

      如果选择了 Source NAT功能,你就可以选择CLOUDSTACK虚拟路由或是云环境中其它配置了此服务的提供者。

      支持

      支持

      静态 NAT

      如果选择了Static NAT功能,你就可以选择CLOUDSTACK虚拟路由或是云环境中其它配置了此服务的提供者。

      支持

      支持

      端口转发

      如果选择了端口转发功能,你就可以选择CLOUDSTACK虚拟路由或是云环境中其它配置了此服务的提供者。

      支持

      不支持

      VPN

      更多信息,请参考`“Remote Access VPN” <networking2.html#remote-access-vpn>`_.

      支持

      不支持

      用户数据

      更多信息,请参考 “用户数据和元数据”.

      不支持

      支持

      网络 ACL

      更多信息,参考 “配置网络ACL”.

      支持

      不支持

      安全组

      更多信息,请参考 “添加一个安全组”.

      不支持

      支持

    • 系统方案.如果你在任务服务提供者中选择了虚拟路由,那就会出现系统方案的填写项。选择你希望虚拟路由在此网络中提供的服务。比如,如果你选择了虚拟路由提供负载均衡服务,系统方案填写项就会出现,你可以选择CLOUDSTACK管理员定义的所有系统服务及默认服务。

      更多信息,参考 “系统服务方案”.

    • 负载均衡隔离:指定一种你希望的网络里的负载均衡隔离类型:共享的或单独的。

      单独的:如果你选择了单独的负载均衡隔离类型,这个区域内的单独负载均衡设备资源池里就会分出一个设备来供使用。如果没有足够的设备,网络创建就会失败。如果要在高流量环境充分利用设备,单独的负载均衡设备是一个很好的选择。

      共享的:如果你选择了共享的负载均衡设备, 这个区域内的共享负载均衡设备资源池里就会分出一个设备来供使用。CloudStack会将共享设备分配给不少于一定量的帐号共用,如果共享设备到达了最大数量,则这个设备不会再分配给新的帐号使用。

    • 模式: 你可以选择 Inline mode 或 Side by Side 模式:

      Inline mode: 这种模式只被Juniper SRX 和BigF5负载均衡设备支持。在Inline mode模式下,防火墙设备放在负载均衡设置的前端,这个防火墙作为进入流量的网关,所有的流量会被转发到后端的负载均衡设备上。在这种情况下,负载均衡不是直接连接到公网网络的。

      Side by Side*:在Side by Side模式下,防火墙设备和负载均衡设备是并列的。所以所有的流量都是直接到负载均衡设备而不经过防火墙。因此,负载均衡设备是直接暴露在公网中的。

    • 关联的公网IP:如果你想给来宾网络中的虚拟机直接分配公网IP,选择这个选项。这个选择只有在以下情况都满足时才有效:

      • 来宾网络被共享

      • 启用StaticNAT

      • 启用弹性IP

      更多信息,参考`“关于弹性IP” <networking2.html#about-elastic-ip>`_.

    • 冗余路由性能:这个选项只有在虚拟路由作为Source NAT提供者时才是可选的。如果你希望提供不间断的网络连接,选中这个选项,则系统会提供两个虚拟路由:一个主的,一个辅的。主虚拟路由负载收发用户虚拟机器的相关请深圳市。如主的路由DOWN掉时,由辅助路由升级为主路由接替工作。CloudStack 会将两个邪气路由分别部署在不同的主机上,以保证可用性。

    • Conserve mode: 这个选项表明是滞要使用Conserve模式。在这种模式下,网络资源只会分配给网络里第一个启动的虚拟机。当Conserve模式被关闭时,公网IP只能用于一个设备。比如,一个用于端口转发规则的公网IP不会被用于其它StaticNAT或是负载均衡服务。当Conserve模式启用时,你可以在同一个公网IP上定义多个服务。

      注解

      如果StaticNAT启用后,不考虑conseve模式的状态,则此IP不会创建端口转发或是负载均衡规则。然而,你可以通过 createFirewallRule命令添加防火墙规则。

    • 标签:网络标签用于指定所要使用的物理网络。

    • 默认外出策略: 为防火墙配置默认的外出流量规则。选项有阻止和允许。如果没有特别制定策略的话,所有外出流量都是允许的。这表明,从这个方案创建的客户网络是允许所有外出流量的。

      为了阻止客户网络的外出流量,选择阻止选项。在这种情况下,当你从一个隔离的客户网络配置一个外出规则时,添加一些特殊的规则以允许外出流量。

  6. 点击 添加