网络和流量管理¶

先决条件¶

确保虚拟机上安装了vm-tools以便通过VMware hypervisor添加或移除网络。

添加网络¶

1. 使用管理员或者终端用户账号登录CloudStack UI。

2. 在左侧的导航菜单中，点击实例。

3. 选择你要处理的VM。

4. 点击网络适配器标签。

5. 将网络添加到 VM

   显示添加网络对话框。

6. 在下拉列表里选择你要添加给VM的网络。

   这样就为这个网络添加了一个新网卡。你可以在网卡页面查看下列信息：

   • ID
   • 网络名称
   • 类型
   • IP地址
   • 网关
   • 子网掩码
   • 默认的
   • CIDR（IPv6）

移除网络¶

1. 使用管理员或者终端用户账号登录CloudStack UI。
2. 在左侧的导航菜单中，点击实例。
3. 选择你要处理的VM。
4. 点击网络适配器标签。
5. 找到你要移除的网卡上。
6. 点击移除网卡按钮。
7. 点击Yes确认。

选择默认网络¶

1. 使用管理员或者终端用户账号登录CloudStack UI。
2. 在左侧的导航菜单中，点击实例。
3. 选择你要处理的VM。
4. 点击网络适配器标签。
5. 找到你想要的网卡。
6. 点击设置为默认网卡按钮。 .
7. 点击Yes确认。

指南¶

在转发至另一网络前，确保没有网络规则（如防火墙，静态NAT，端口转发等等）不存在于端口IP。

Setting for CentOS¶

To use security groups on CentOS/RHEL/Fedora please enable bridge based filtering, ensure that default sysctl configuration file usually at /usr/lib/sysctl.d/00-system.conf set to following and run ‘sysctl -p’:

局限性¶

下列不支持此功能：

• 在开启了安全组的共享网络内，同一VLAN内具有不同网关或掩码的二个IP范围，
• 在共享网络的特殊帐户内，同一VLAN内具有不同网关或掩码的二个IP范围
• 在开启了安全组共享网络的多VLAN范围
• 在共享网络的特殊帐户内，多个VLAN范围

为使用此特性，在区域内必须开启安全组

增加一条负载均衡规则¶

1. 使用管理员或者终端用户账号登录CloudStack UI。

2. 在左侧的导航栏，选择网络。

3. 点击拟进行负载均衡的网络名称

4. 点击查看IP地址。

5. 点击你希望创建规则的IP地址，然后点击配置

6. 在图的负载均衡节点点上，点击 查看全部。

   在基础区域中，在不需要或不选择IP的条件下，你可以创建一条负载均衡规则。当你创建负载均衡规则时，CloudStack会内部指定一个IP地址。当规则创建完成时，IP地址会在IP地址页列出来。

   为此，选择网络名称，点击 增加负载均衡。按#7继续进行配置。

7. 填写以下内容：

   • 名称: 负载均衡规则的名称。
   • 公共端口: 这个端口接受到负载均衡的进入流量。
   • 私有端口: 虚拟机会使用此端口接收流量。
   • 算法: 选择让CloudStack使用的负载均衡算法。CloudStack各类已知的算法，如果不熟悉那些选项，通过goole搜索会发现大量信息。
   • 粘性: (可选) 点击配置，为粘性策略选择一个算法。可参见为负载均衡规则制定的粘性会话策略。
   • 自动缩放：点击配置完成自动缩放配置，在 :ref:`conf-autoscale`中有介绍。
   • 健康检查：(可选，只针对NetScaler的负载均衡设备)点击配置并填写健康检查特性，参见15.16.5.3 负载均衡规则的健康检查。参见 负载均衡规则的健康检查。.
     • ping 路径(可选): 需要发送健康检查的目的地顺序。默认：/ (all)。
     • 响应时间(可选): 从健康检查返回的响应时间(2-60秒)，默认为5秒。
     • 间隔时间(可选): 健康检查的间隔时间(1秒-5分)）。默认值在全局参数 lbrule_health check_time_interval
     • 健康阀值(可选): 在声明一个实例健康之前，连续健康检查成功的次数。默认为2.
     • 不健康阀值(可选): 在声音一个实例不健康之前连续健康检查失败的次数。默认为10。

8. 点击添加虚拟机，选择拟分散进入流量的二个或多个虚拟机，点击应用。

   在列表中会出现新加的负载均衡规则。可以重复以上步骤以对此IP增加更多的负载均衡规则。

为负载均衡规则制定的粘性会话策略。¶

粘性会话应用于基于网页的应用中，以确保在用户的会话中，对用户的多种请求持续提供信息。例如，购物者正在向购物车中增加东西，则需要记住到目前为止已买的东西。粘性的概念也指持久发现或维护状态。

在CloudStack中定义的任何负载均衡规则，都可以具有粘性策略。策略有名字，粘性方法以及参数组成。参数是成对的值-名或标志，这些由负载均衡提供商进行定义。粘发现方法可以加载负载均衡设备产生的cookie，应用生产的cookie，或基于源产生的cookie。在基于源的方法中，源IP地址被用来区分用户和定位用户存储的数据。在其他方法中，则使用cookie。由负载均衡或应用产生的cookie，包含在请求或响应的url中，以产生持久性。cookie的名称可以有管理员指定或自动产生。提供了多种选择来准确控制cookie行为。诸如如何产生的以及是否进行缓存。

对于多数粘性方法变量列表，可以参看CloudStack UI或者调用网络列表，并检查粘性方法支持能力。

负载均衡规则的健康检查。¶

（仅对NetScaler负载均衡设备，需要NetScaler版本10.0以上。）

负载均衡应用中的健康检查，能够确保转发需求运行，服务可用。当创建一个负载均衡规则里，你可以指定一个健康检查策略。这是对粘性策略，算法，其他负载均衡设备规则的附加说明。可以为每一条负载均衡设备进行配置。

在CloudStackk中的NetScaler负载均衡设备定义的任一负载均衡规则都可以有一条健康检查策略。该策略有ping路径，定义健康或非健康状态的阀值，健康检查频率以及等待超时间隔。

当健康检查策略生效时，负载均衡被发现处于非健康状态时，会停止转发到源的任何请求。如果随后资源变为可用，周期性进行的健康检查就会发现，此资源就会再一次被添加至从负载均衡器收到的请求资源池里。任一时刻，最近的健康检查结果会显示在UI中。对绑定了负载均衡规则的虚拟机，且此规则配置了健康检查，依据最近的检查，状态会显示为正常或失败。

可以删除或修改存在的健康检查策略。

为配置默认的健康检查执行频率，通过全局配置参数 healthcheck.update.interval进行设备，默认值是600秒。可以根据需要进行设置此值。

如何通过UI进行健康检查策略的设置，可参看 增加一条负载均衡规则。

先决条件¶

在配置自缩放前，需要考虑以下几点：

• 确保在配置自缩放时有必需的模板。当使用模板部署虚拟机并使虚拟机启动时，应用能够起动并运行。

  注解

  如果应用没有运行，NetScaler设备会认为虚拟机无效并持续无条件的创建虚拟机，直到资源耗尽。

• 部署准备好的模板。确保应用在第一次启动时能够开启并准备好接管流量。观察部署模板需要的时间。在配置自缩放时，要考虑这段时间。

• The AutoScale feature supports the SNMP counters that can be used to define conditions for taking scale up or scale down actions. To monitor the SNMP-based counter, ensure that the SNMP agent is installed in the template used for creating the AutoScale VMs, and the SNMP operations work with the configured SNMP community and port by using standard SNMP managers. For example, see “Configuring SNMP Community String on a RHELServer” to configure SNMP on a RHEL machine.

• 确保在全局配置中的结束点地址参数已设置为管理服务器的API地址。例如：http://10.102.102.22:8080/client/api。 在多管理节点的部署中，使用配置在负载均衡器上的虚拟IP地址作为管理服务器集群的IP地址。此外，确保NetScaler设备有读取为提供自缩放而配置的IP地址的权限。

  如果更新了endpointe.url，在系统自动负载均衡器规则里，先关闭自缩放功能随后再开启，以应用此更新。。更多信息，参见 更新自动扩展配置。

• 如果为自缩放用户生成了API值和秘钥，确保用户参与的负载均衡器的自缩放功能先关闭，再开启，以应用NetScaler配置的变化。

• 在高级区域中，在配置带自缩放的负载均衡规则时，确保至少要有一个虚拟机。在网络中存在一个虚拟机，可保证在配置自缩放时，网络处于使用状态。

配置¶

指定以下信息：

• 模板: 模板由基本的操作系统镜像和应用组成。在自缩放动作中，模板用来提供一个应用的新的实例。当从模板部署虚拟机时，虚拟机在管理员不干预的情形下开始从负载均衡器那里接管流量。例如，如果虚拟机部署为WEB服务应用，则虚拟机上的WEB服务器应该在运行，并且连接了数据库，等等。

• 计算方案: 一个预定义的虚拟硬件资源集，包括CPU速度，CPU数量，RAM，用户在创建虚拟时可以选择这些。选择一个计算方案作为提供虚拟机实例中自缩放行为的一部分。

• 最小实例: 指定给负载均衡规则活动的虚拟机实例的最小数量，活动的虚拟机实例是开启的应用实例，并服务于流量和负载均衡。这个参数确保负载均衡规则拥有至少一个配置的活动虚拟机实例，并且能够服务于流量。

  注解

  如果一个应用程序，比如SAP，它运行在一个VM实例上，但是VM因为某些原因宕机了，那么这个VM没有被算成是Min实例的一部分，并且如果这些活动的VM实例是下面配置的数值，那么自动扩展功能启动一个扩展的动作。同样的，当应用程序实例从宕机的状态恢复了以后，这个应用程序实例会被算为活动实例计数的一部分，并且当活动实例计数超出Max实例数值的时候，自动扩展启动一个缩减动作。

• 最大实例数：最大数量的**应该被指派到**一条负载均衡策略的活动VM实例。这个参数定义了能被指派到一条负载均衡策略的活动VM实例的上限。

  给最大量实例参数指定一个大的值可能引发大量VM实例的分发，这个过程会导致一个负载均衡策略耗尽账户或者域级别下VM实例指定的限制。

  注解

  如果一个应用程序，比如SAP，它运行在一个VM实例上，但是VM因为某些原因宕机了，那么这个VM没有被算成是Max实例的一部分。所以这个情况中为扩展动作分发的VMs数量可能会超过配置的MAX实例数值。一旦这个VMs中的应用程序实例从先前的宕机中恢复的时候，自动扩展功能就会校正Max实例的数值。

指定下列扩展和缩减的策略：

• 持续：持续，以秒为单位，你必须指定条件为true以触发一个扩展动作。这个条件定义的是为了触发一个自动扩展动作，你指定的全部持续值应保持为true。
• 计数器：性能计数器直接体现了被监视实例的状态。默认情况下，CloudStack提供了4个性能计数器：3个SNMP计数器和1个NetScaler计数器。SNMP计数器是Linux User CPU、Linux System CPU和Linux CPU Idle。NetScaler计数器是ResponseTime。root管理员能够使用CloudStack API给CloudStack添加额外的计数器。
• 运算符：自动扩展功能支持下列5种关系型运算符：大于、小于、小于或等于、大于或等于和等于。
• 阈值：阈值用于计数器。一旦上面计数器中定义的值超出阈值，自动扩展功能会启动扩展或者缩减动作。
• 添加:：点击添加来添加条件。

另外，如果你想配置高级设置，点击显示高级设置，接着指定下列参数：

• 轮询间隔：组合计数器，运算和阈值这几个条件的频率在触发扩展和缩减动作之前都要被评估。默认的轮询间隔是30秒。
• 平静期：这是自动扩展动作被触发之后的冷静期。这个时间包括完成从模板分发一个VM实例的时间和一个应用程序准备好提供服务的时间。平静期允许机群在发生任何动作之前进入稳定状态。默认值是300秒。
• VM销毁宽限期：此宽限期以秒计算，在一个缩减动作运行之后，在VMs被视为缩减动作的一部分从而销毁之前的等待时间。它保证了能够彻底关闭任何服务于被标记为销毁的VM的挂起中的进程或者事务。默认值是120秒。
• 安全组：安全组提供一种方法来隔离VMs流量。一个安全组是一组依照设置名为入口规则和出口规则来过滤他们进出流量的VMs，这些规则依靠与VM通讯的IP地址来过滤网络流量。
• 磁盘方案：一组预定义的主数据存储磁盘大小。
• SNMP 联系：SNMP 联系字符串被用于NetScaler设备从分发的VM实例中查询已配置的计数器的值。默认是public。
• SNMP端口：运行在已分发的VMs上的SNMP代理端口号。默认的端口是161.
• 用户：在云中NetScaler设备中用于发起扩展和缩减API调用的用户。如果没有指定选项，那么该用户被配置为自动扩展。指定其他用户名可以覆盖此配置。
• 应用：点击应用创建自动扩展配置。

禁止和启用自动扩展配置¶

如果你想对一个自动扩展VM实例执行任何维护操作，请禁用自动扩展配置。当自动扩展配置被禁用，扩展和缩减动作不会执行。你可以利用停机时间进行维护活动。要禁用自动扩展配置，点击禁用自动扩展按钮 。

这个按钮是启用和禁止的切换开关，取决于当前是否启用了自动扩展。在执行完维护操作以后，你可以启用回自动扩展配置。要启用，请再次打开自动扩展配置页面，然后点击启用自动扩展按钮|EnableDisable.png|。

更新自动扩展配置¶

你可以更新各种参数和添加或者删除扩展或缩减策略中的条件。在你更新自动扩展配置之前，请确保你已经通过点击禁止自动扩展按钮禁止了自动扩展负载均衡策略。

在你修改了所需的自动扩展参数之后，点击应用。要应新的自动扩展策略，再次打开自动扩展配置页面，然后点击启用自动扩展按钮。

运行时注意事项¶

• 管理员不应该分配VM到配置为AutoScale的负载均衡规则中。
• 在分配虚拟机到一个负载均衡的规则配置完成前如果NetScaler被关闭或重启，则配置的虚拟机不能成为负载均衡规则的一部分。要解决此问题，重命名基于AutoScale配置的虚拟机名称或ID，以便在任何时间点负载平衡规则可以调节该虚拟机。
• 在自动扩展上下文之外使用API调用，如destroyVM，那么自动扩展下的VM会处于负载均衡配置冲突状态中。虽然VM被负载均衡策略所销毁，但NetScaler仍然会把VM作为一个设备分配一条策略。

GSLB服务组件¶

一个典型的GSLB环境由以下服务组件组成：

• GSLB站点：在CloudStack专业术语中，GSLB站点表现为映射至数据中心的zones，每个GSLB有多个网络设备。每个GSLB站点由一个位于站点中的NetScaler设备管理。每个NetScaler设备将他管理的站点视为本地站点，并且由其他NetScaler设备管理的站点视为远程站点。在GSLB部署中它是一个中央实体，具体表现为一个名称和一个IP地址。
• GSLB服务：GSLB服务表现为典型的负载均衡或者内容交换虚拟服务器。在一个GSLB环境中，你可以有本地及远程GSLB服务。本地GSLB服务表现为一个本地负载均衡或者内容交换虚拟服务器。远程GSLB服务是配置在GSLB设置中的其他站点。在每个站点中的GSLB设置里，你可以创建一个本地GSLB服务和任意数量的远程GSLB服务。
• GSLB虚拟服务器：GSLB虚拟服务器指的是一个或多个GSLB服务和平衡跨越多个使用CloudStack功能的zones之间VMs的流量。它通过评估配置的GSLB方法或者算法来选择一个GSLB服务发送客户端请求。来自不同zone的一个或多个虚拟服务器被绑定到GSLB虚拟服务器上。GSLB虚拟服务器没有对应的公共IP，只有一个FQDN DNS名称。
• 负载均衡或内容交换虚拟服务器：依照Citrix NetScaler的专业术语，一个负载均衡或者内容交换虚拟服务器表现为本地网络上的一个或多个服务器。客户端发送他们的请求至负载均衡或内容交换虚拟服务器IP(VIP)地址，并且由虚拟服务器平衡本地服务器之间的负载。在GSLB虚拟服务器选择了一个基于本地或者远程负载均衡或者内容交换虚拟服务器的GSLB服务之后，客户端发送请求至虚拟服务器的VIP地址。
• DNS VIPs：DNS虚拟IP是一个在GSLB服务供应者上的DNS负载均衡虚拟服务器。在有GSLB服务提供者的域中的DNS请求会被发送至一个DNS VIP。
• 权威DNS：ADNS(权威域名称服务器)是一个为DNS请求提供真实响应的服务，比如web站点IP地址。在GSLB环境中，一个ADNS服务只响应权威的GSLB服务提供者所在域的DNS请求。当配置了一个ADNS服务，该服务的提供者即拥有该服务IP并且广播它。当你创建一个ADNS服务的时候，NetScaler通过配置的ADNS服务IP和端口响应DNS请求。

在CloudStack中，GSLB的工作原理是什么？¶

全局服务器负载均衡-GSLB-用于在不同地域的不同独立区域之间管理WEB服务器的访问流量。以下是CLOUDSTACK中提供的GSLB功能图示：EXZTELCO这个组织用CLOUDSTACK在不同的数据中心部署一个公有云，此云环境包括两个区域，Zone-1 和Zone-2。XYZTELCO里有租户A需要部署一个高可用方案。为了达到此目标，他们分别在两个区域里部署了两个虚拟机实例：Zone-1中有VM1和VM2，Zone-2中有VM5和VM6。租户A在Zone-1中得到一个公网IP-IP-1，并且在VM1和VM2之间配置了负载均衡规则。CLOUDSTACK 编排系统在 Zone-1中LB服务上设置了一个虚拟服务器-Virtual server 1 。客户端对-IP-1的访问会到达Virtual server 1，此虚拟服务器再将流量转发到VM1和VM2上进行流量负载均衡。

租户A在Zone-2中得到一个公网IP-IP-2，并且在VM5和VM6之间配置了负载均衡规则。CLOUDSTACK 编排系统在 Zone-2中LB服务上设置了一个虚拟服务器-Virtual server 2 。客户端对-IP-2的访问会到达Virtual server 2，此虚拟服务器再将流量转发到VM5和VM6上进行流量负载均衡。此时，租户A在两个区域里都启用了服务，但是，无法在这种环境下部署灾难恢复计划，也无法更智能在区域内使用负载均衡。要解决这些问题，XYZTELCO云管理员可以在两个区域内启用GSLB服务，一个GSLB服务通常是一个具有ADNS(认证域名服务器)能力的ADC，并且具有监测本地和远程站点健康状况的手段。云管理员可以在ZONE 1和2中为租户启用GSLB服务。

租户- A希望利用由xyztelco cloud提供的GSLB服务。租户-A配置了一个GSLB规则对Zone-1中的虚拟服务器1和Zone-2中的虚拟服务器2提供流量负载均衡。假设域名是A.xyztelco.com 。CloudStack中协调设置GSLB服务提供者Zone-1中的GSLB虚拟服务器1。 CloudStack绑定Zone-1中的虚拟服务器1和Zone-2中的虚拟服务器2到GSLB虚拟服务器1。CloudStack也将协调设置GSLB服务提供者Zone-2中的GSLB虚拟服务器2.CloudStack绑定Zone-1中的虚拟服务器1和Zone-2中的虚拟服务器2到GSLB虚拟服务器2.GSLB虚拟服务器2配置为开始监视虚拟服务器1和2的健康。CloudStack中会绑定域名A.xyztelco.com到GSLB虚拟服务器1和2。在这一点上，租户-A的服务将在全球范围内可达于A.xyztelco.com。域名xyztelcom.com的专用DNS服务器，被管理员配置为外带管理，由两个区域的GSLB提供者对域名A.xyztelco.com提供解析。它将被配置为域名A.xyztelco.com的ADNS。当客户端请求解析A.xyztelcom.com域名时，将最终由DNS指派到GSLB提供者Zone 1 和Zone2。客户DNS请求将被GSLB提供者接获。GSLB提供者，根据需要解析的域名，将获得与域名关联的GSLB虚拟服务器。根据用于负载均衡的虚拟服务器的运行健康状况，域名DNS请求将被解析到所选择关联的虚拟服务器中。

先决条件和指南¶

• GSLB功能支持基本和高级区域。

• GSLB是新添加的网络服务。

• GSLB服务提供者可以被添加至区域中的物理网络。

• 管理员允许开启或禁用地域级别的GSLB功能。

• 管理员具有启用或配置区域为GSLB的能力

  只有在GSLB服务提供者提供的区域中，该区域才被视为有GSLB能力。

• 当用户的VMs部署在启用GSLB功能的多个可用区域中时，他们可以使用GSLB功能在多个区域中将VM的流量进行负载均衡。

• 如果管理员在地域中启用了GSLB，用户可以使用GSLB对地狱中的所有区域的VMs进行负载均衡。

• 用户可以为同一个区域或不同地域间可用的区域流量进行负载均衡。

• 管理员可以为整个云配置DNS名称。

• 用户可以为云中的全局负载均衡服务指定一个唯一的名称。所提供名称的域名相当于云的DNS名称。

  用户提供的名称与管理员提供的DNS名称一起为用户的全局负载均衡服务产生一个全局解析的FQDN。例如，如果管理员已经配置xyztelco.com为云中的DNS名称，以及用户为GSLB虚拟服务器指定的名称为’foo’，那么GSLB虚拟服务器的FQDN名称是foo.xyztelco.com。

• 设置GSLB时，用户可以为GSLB跨区域的一部分选择负载均衡方式，例如 round robin。

• 用户应能设置区域级虚拟服务器的权重。负载均衡在分配流量时会考虑该权重。

• 该GSLB功能必须支持会话持久性，特定域名的一系列客户端请求被发送到同一个区域中的虚拟服务器上。

  从每个GSLB虚拟服务器中收集统计数据。

开启NetScaler的GSLB¶

在每个区域中，添加启用GSLB的NetScaler设备提供负载均衡。

1. 使用管理员登录到CloudStack管理界面。

2. 在左侧导航栏中，点击基础架构

3. 点击区域中的查看更多。

4. 选择你要设置的区域。

5. 点击物理网络选项卡，然后点击物理网络的名称。

6. 点击示意图’网络服务提供程序’中的配置

   你可能需要向下滚动才能看到。

7. 点击NetScaler.

8. 点击添加NetScaler设备并提供如下信息：

   对于NetScaler:

   • IP地址: SDX的IP地址。
   • 用户名/密码. 访问此设备的认证许可。CloudStack使用这些认证信息访问此设备。
   • 类型：添加设备的类型。可以是F5 BigIP负载均衡器、NetScaler VPX、NetScaler MPX或 NetScaler SDX等设备。关于NetScaler的类型比较，请参阅CloudStack管理指南。
   • 公共接口: 配置为公共网络部分的设备接口。
   • 专用接口: 配置为专用网络部分的设备接口。
   • GSLB 服务:选择该选项。
   • GSLB 服务公共IP:在专用网络中，为GSLB服务提供NAT转换的公共IP地址。
   • GSLB 服务专用IP: GSLB服务的专用IP地址。
   • 重试次数 尝试控制设备失败时重试的次数，默认为2次。
   • 容量：该设备能处理的网络数量。
   • 专用: 当标记为专用后，这个设备只对单个帐号专用。该选项被勾选后，容量选项就没有了实际意义且值会被置为1。

9. 点击确定。

添加 GSLB规则¶

1. 使用管理员或者用户账号登录CloudStack UI。

2. 在左边的导航栏里，点击区域（为文档翻译中地域的概念，英文为region，下同）

3. 选择你想创建GSLB规则的地域。

4. 在详细选项卡中，点击查看GSLB。

5. 点击添加GSLB。

   添加GSLB页面显示如下：

   

6. 指定以下信息：

   • 名称: GSLB规则的名称。
   • 描述: (可选)为用户提供一个简短的GSLB规则描述。
   • GSLB 域名: 首选的域名服务。
   • 算法: (可选) 用于跨区域流量负载均衡的算法。可选项为 Round Robin, Least Connection, 和Proximity.
   • 服务类型: GSLB使用的传输协议。可选项为TCP和UDP。
   • 域: (可选) 你想要创建GSLB规则的域。
   • 账户: (可选) 应用GSLB规则的账户。

7. 点击确定。

为GSLB分配负载均衡规则¶

1. 使用管理员或者用户账号登录CloudStack UI。
2. 在左边的导航栏里，点击区域（为文档翻译中地域的概念，英文为region，下同）
3. 选择你想创建GSLB规则的地域。
4. 在详细选项卡中，点击查看GSLB。
5. 选择所需的GSLB。
6. 点击已分配的负载均衡视图。
7. 点击分配更多负载平衡
8. 选择你将为区域创建的负载均衡规则。
9. 点击确定。

先决条件和指南¶

应用出口防火墙规则时请思考如下方案：

• 出口防火墙规则在Jniper SRX和虚拟路由器中均支持。
• 共享网络中不支持出口防火墙规则。
• 允许特定源CIDR的出口流量。源CIDR是来宾网络CIDR的一部分。
• 允许出口流量的协议为TCP，UDP,ICMP或ALL。
• 允许出口流量协议和目标端口范围。端口范围需要指定TCP，UDP或ICMP类型和代码。
• 新网络方案的默认策略是允许的，然而升级现有的网络方案后，防火墙服务提供商的出口策略默认将是拒绝。

配置出口防火墙规则¶

1. 使用管理员或者终端用户账号登录CloudStack UI。

2. 在左侧的导航栏，选择网络。

3. 在选择视图中，选择来宾网络，然后点击需要的来宾网络。

4. 要添加出口策略，点击出口策略选项卡并填写以下字段指定哪种类型的流量在来宾网络中是被允许从VM中实例发送出的。

   

   • CIDR:(仅通过CIDR添加)为接受来来自特殊地址块的流量，输入一个CIDR，多个时用逗号隔开。CIDR是进入流量的基础IP地址。例如：192.168.0.0/22，为允许所有CIDR，请设为0.0.0.0/0
   • 协议: 虚拟机发送流量所使用的网络协议。TCP和UDP通常用于数据交换和用户通讯。ICMP通常用于发送出错信息和网络监控数据。
   • 开始端口，结束端口: (仅对TCP，UDP)。目的地为进入流量而设的监听端口范围。如果仅开放了单个端口，则在两者的区域中用同一端口。
   • ICMP类型, ICMP代码 (ICMP only): 信息类型及发送错误的代码。

5. 点击 添加

配置默认出口策略¶

通过网络方案配置隔离来宾网络的默认出口策略。通过创建网络方案选项决定来宾网络到公共网络的所有流量在默认策略中是允许或者拒绝。使用该网络方案创建网络。如果没有指定策略，你创建的来宾网络中的所有流量将被允许。

你有两个选择：允许和拒绝。

创建和更新一个VPN客户网关.¶

添加 VPN 客户网关

1. 使用管理员或者终端用户账号登录CloudStack UI。

2. 在左侧的导航栏，选择网络。

3. 在选择视图里，选择VPN客户网关。

4. 点击添加 VPN 客户网关。

   

   填写以下内容：

   • 名称: 你添加的VPN客户网关的一个唯一的名称。

   • IP地址: 远端网关的IP地址。

   • CIDR列表: 远端客户子网的CIDR。输入一个CIDR或是以逗号分隔的多个CIDR。在确认客户的CIDR和VPC的CIDR或是另一个客户的CIDR不重叠冲突。CIDR的格式必须符合 RFC1918标准。

   • IPsec Preshared Key: Preshared keying is a method where the endpoints of the VPN share a secret key. This key value is used to authenticate the customer gateway and the VPC VPN gateway to each other. The sequence cannot contain a newline or double-quote.

     注解

     Internet密钥交换协议（IKE）匹配点 ( VPN 端点 ) 通过计算并发送包含预共享密钥的哈希键值来进行相互验证。如果收接点通过自己的预共享密钥算出同一个键值的话，这就说明两个点是用的同一个密钥，相互之间认证通过，形成匹配。

   • IKE 加密: Internet密钥交换协议(IKE)第一阶段（phase-1）策略。支持的加密算法包括 AES128, AES192, AES256和3DES.。认证通过预共享密钥完成。

     注解

     phase-1是IKE过程的第一阶段。在这个开始的协商阶段，两个VPN端点在将底层IP流量加密安全的方法上取得一致。第一阶段认证通过的条件是：两个VPN网关之间使用的是同一个预定义密钥。

   • IKE 哈希: IKE第一阶段（ phase-1）哈希散列使用的算法。支持SHA1 和 MD5.

   • IKE DH（Diffie-Hellman组）: IKE的DH加密协议，可以在不安全的连接上确保共享KEY的安全。1536位的DH组用在IKE中用来建立会话KEYS。在这里，支持的选项是 None, Group-5 (1536-bit) 和 Group-2 (1024-bit).

   • ESP 加密: 封装安全有效负荷（Encapsulating Security Payload,ESP）算法是发生在第二阶段(phase-2)。其支持的加密算法包括 AES128, AES192, AES256, 和 3DES。

     注解

     phase-2是IKE过程的第二阶段，其目标是协助IPSec安全关联 (SA) 以建立IPSec通道。在 phase-2阶段，会利用 phase-1阶段建立好的DH安全协议方法来交换新的密钥。

   • ESP哈希散列:phase-2支持的封装安全有效负荷(Encapsulating Security Payload,ESP)哈希算法包括：SHA1 和MD5.

   • **Perfect forward secrecy(完全正向保密,PFS) **: PFS的性质是确保来自一组的长期的公共密钥和私人密钥之间的会话密钥不会妥协失效。PFS会促使一组新的DH KEY发生交换。这组新KEY具有更长的生命周期因此可以抵制更强大的功击。DH的可用选项是 None, Group-5 (1536-bit)和 Group-2 (1024-bit). 当新KEY交换之后，DH组会变得更大。

     注解

     当PFS打开后，两个网关之间的新的phase-2 SA协商都会产生新的phase-1的一组KEY，这就会导致增加一个额外的层。这个层的作用是保证即使phase-2 SA失效过期，其KEY也不会由phase-1生成。

   • IKE 存活期(秒): SA的phase-1的存活期。默认是86400 秒 (1 天).当这个时间过了之后，会发生一次新的 phase-1 KEY交换。

   • ESP存活期 (秒):SA的 phase-2存活期。默认为 3600 秒(1 小时). 当过了这个时间之后，会有一个新的KEY初始化，用来加密和认证 IPsec的会话KEY。

   • 死亡匹配点检测:这是一种检测不可用IKE节点的方法。如果你希望虚拟路由器随时测试IKE节点的存活情况，选择了这个选项。 一般来说，最好在VPN连接的两端都同时配置DPD(Dead Peer Detectio).

5. 点击确定。

为VPC创建一个VPN网关¶

1. 使用管理员或者终端用户账号登录CloudStack UI。

2. 在左侧的导航栏，选择网络。

3. 在选择视图中，选择VPC。

   此帐号创建的所有VPC将显示在页面中。

4. 点击要部署虚机的VPC的配置按钮。

   系统会显示VPC页面，您创建的所有层都列在图中。

   对于每一个层，会显示以下选项。

   • 内部LB
   • 公共LB IP
   • 静态 NAT
   • 虚拟机
   • CIDR

   显示以下路由器信息：

   • 专用网关
   • 公共IP地址
   • 站点到站点 VPN
   • 网络 ACL列表

5. 选择点对点VPN

   如果您是第一次创建VPN网关，选择点对点VPN会提示您创建一个VPN网关。

6. 在信息确认对话框，点击“是”。

   过一会儿，VPN网关就创建出来了。系统会提示您查看VPN网关的详细信息，请点击“是”。

   VPN网关页面会显示以下详细信息：

   • IP地址
   • 帐号
   • 域名

新建vpn连接¶

1. 使用管理员或者终端用户账号登录CloudStack UI。

2. 在左侧的导航栏，选择网络。

3. 在选择视图中，选择VPC。

   页面上列出了该账号下所有的VPC。

4. 点击要部署虚机的VPC的配置按钮。

   系统会显示VPC页面，您创建的所有层都列在图中。

5. 点击设置图标。

   对于每一个层，会显示以下选项。

   • 内部LB
   • 公共LB IP
   • 静态 NAT
   • 虚拟机
   • CIDR

   显示以下路由器信息：

   • 专用网关
   • 公共IP地址
   • 站点到站点 VPN
   • 网络 ACL列表

6. 选择点对点VPN

   系统会显示点对点VPN页面。

7. 在选择视图下拉框，请确保选择VPN连接。

8. 选择创建vpn连接按钮

   系统会显示创建VPN连接对话框：

   

9. 选择想要的用户网关。

10. 如果你希望在两个VPC虚拟路由器之间建立连接，选择被动模式。

    如果你希望在两个VPC虚拟路由器之间建立连接，需要等待另一个虚拟路由器来初始化连接，则只有其中一个虚拟器上选择被动模式。在这种情况下，不要在初始化连接的虚拟路由器上选择被动模式。

11. 点击确定。

    过一会儿，系统会显示该VPN连接。

    VPN连接信息

    • IP地址
    • 网关
    • 状态
    • IPSec 预共享密钥
    • IKE策略
    • ESP策略

在VPC网络之间的站点的VPN连接¶

CloudStack可以在虚拟路由器之间部署站点到站点的VPN连接，这需要添加一个被动模式的站点到站点VPN。有了这个功能之后，用户就可以在多个区域或VPC之间通过安全的VPN通道互联。

这个特性支持所有类型的HYPERVISOR.

1. 创建两个VPC。比如，VPC A和VPC B。

   更多信息，参考”配置一个虚拟私有云（VPC）”.

2. 在创建的VPC两边都添加VPN网关。

   更多信息，参考 “为VPC创建VPN网关”.

3. 在VPC两边都创建VPN客户网关。

   更多信息，参考`”创建和更新VPN客户网关” <#creating-and-updating-a-vpn-customer-gateway>`_.

4. 在VPC A这边启用VPN的被动连接模式。

   更多信息，请参阅 “创建VPN连接”。

   确保客户网关指向VPC B。这个VPN当前显示的是未连接状态。

5. 在VPC B上启用VPN连接。

   确保客户网关指向VPC A。在这个示例里，因为VPC A的虚拟路由器是处于被动模式且等待着VPC B进行初始化连接，所以VPC B的虚拟路由器不要设置为被动模式。

   VPN连接当前显示为未连接状态。

   VPC两边的VPN会进行初始化连接。默认为30秒之后，两边VPN都会显示为已连接状态。

VPN连接的重启和删除¶

1. 使用管理员或者终端用户账号登录CloudStack UI。

2. 在左侧的导航栏，选择网络。

3. 在选择视图中，选择VPC。

   此帐号创建的所有VPC将显示在页面中。

4. 点击要部署虚机的VPC的配置按钮。

   系统会显示VPC页面，您创建的所有层都列在图中。

5. 点击设置图标。

   对于每一个层，会显示以下选项。

   • 内部LB
   • 公共LB IP
   • 静态 NAT
   • 虚拟机
   • CIDR

   显示以下路由器信息：

   • 专用网关
   • 公共IP地址
   • 站点到站点 VPN
   • 网络 ACL列表

6. 选择点对点VPN

   系统会显示点对点VPN页面。

7. 在选择视图下拉框，请确保选择VPN连接。

   系统会显示创建VPN连接对话框：

8. 选择您要操作的VPN连接。

   系统显示详细信息页。

9. 删除一个VPN连接，点击删除VPN连接按钮。

   要重启VPN连接，请点击详细信息页的重置VPN连接按钮。

Major Components of a VPC¶

VPC主要由以下网络组件构成：

• VPC：一个VPC是多个隔离网络的容器，隔离网络间可以通过VPC的虚拟路由器互通。
• 网络层：每个层是一个拥有各自VLAN和CIDR的隔离网络。您可以在层内放置VM等各种资源组。层与层之间通过VLAN方式隔离。VPC虚拟路由器在每个层中的网卡是该层的网关。
• 虚拟路由器：创建VPC时会自动创建并启动一个虚拟路由器。该虚拟路由器连接了各层，并负责各层与公网网关、VPN网关和NAT实例间的网络流量。对于每个层，该虚拟路由器都会有对应的网卡和IP，并通过该IP提供DNS和DHCP服务。
• 公网网关：VPC进出互联网的流量会走公网网关。VPC中的公网网关不暴露给最终用户，因此公网网关上不支持静态路由。
• 私有网关：VPC进出某个私有网络的流量通过私有网关。更多信息，请查阅 “在一个VPC里加入私有网关。”.
• VPN 网关：VPN连接的VPC端。
• 点对点VPN连接：您的VPC和您的数据中心、家庭网络、主机托管设施之间基于硬件的VPN连接。更多信息，请参考”配置站点到站点的VPN连接”.
• 客户网关:客户这边的VPN连接。更多信息，请参考 “创建和更新VPN客户网关”.
• NAT实例:在用户虚机通过公网网关访问公网时，提供端口地址转换的实例。关于更多信息，请参考 “VPC中启用或禁用静态NAT”.
• 网络ACL: 网络ACL是一组网络访问控制列表。这些列表就是一个按顺序编号的规则，执行的时候，从最小的编号开始。这些规则决定了与此ACL关联的各个层的进出流量会被允许或阻止。更多信息，请参考 “配置网络访问控制列表”.

VPC的网络架构¶

VPC有以下四个基本的网络架构：

• 只有一个公网网关的VPC
• VPC的公有和私有网关
• VPC的公有和私有网关以及site-to-site VPN访问
• 只有私有网关的VPC以及site-to-site VPN访问

VPC的连接选择¶

你可以连接你的VPC：

• 通过公有网关连接到Internet.
• 通过site-to-siteVPN网关连接到相邻数据中心。
• 通过公有和私有VPN网关同时连接到Internet和相邻数据中心。

VPC网络的考虑事项¶

在创建VPC之前，确认以下事项：

• 在创建好VPC之后，其默认处于启用状态。
• 只能在高级区域中创建VPC，并且VPC只能属于一个区域。
• 默认VPC的数量是20个。如果你需要更多的VPC的话，可以通过修改max.account.vpcs这个全局参数。这个参数是控制创建VPC的最大数量的。
• 默认一个用户能创建VPC的层数是三层。也可以通过vpc.max.networks这个参数修改。
• VPC中每一层都需要是唯一的CIDR，并且这个CIDR是在VPC的CIDR的范围之内。
• 每一层只能属于一个VPC。
• VPC中所有网络层都应属于同一个帐号。
• 当VPC创建好之后，默认会分配好SourceNAT IP。当此VPC删除之后，SourceNAT IP也会被释放。
• 一个公网IP只能用一个用途。如果此IP用于SourceNAT作用的话，就不能同时再用作StaticNAT 或端口转发。
• 一个实例只能有一个私有IP地址，为了访问Internet,你可以为VPC里的此实例启用NAT功能。
• 只有新的网络才能加入VPC。每一个VPC的最大网络数量由参数vpc.max.networks指定。其默认值为3.
• VPC中只有一层支持负载均衡服务。
• 如果一个IP地址被赋予一个网络层：
  • 那么这个IP就不能在VPC里被另外的层所使用。比如：如果你有A层和B层以及一个公网IP地址，则你可以为A或B创建一个端口转发规则，但不能同时在A和B上创建。
  • 那个IP也不能在VPC的其它的客户网络里用作StaticNAT,负载均衡，端口转发规则。
• VPC网络不支持Remote access VPN。

关于ACL列表¶

在CloudStack术语中，ACL指的是一组针对网络条目。其按条目规则顺序执行，从最小值开始。这些规则决定了与此ACL关联的层的进出流量是被允许还是阻止。操作的方法是添加一个ACL，然后将这个ACL与层关联。ACL在整个VPC中使用，它可以被关系到一个VPC当中多个层中。一个层能及只能关联到一个ACL中。

当没有ACL明确关联时，会有一个默认的ACL起作用。默认规则是层中所有进入流量被阻止，所有外出流量被允许默认的ACL不能被删除或修改。默认ACL的内容如下：

创建ACL列表¶

1. 使用管理员或者终端用户账号登录CloudStack UI。

2. 在左侧的导航栏，选择网络。

3. 在选择视图中，选择VPC。

   此帐号创建的所有VPC将显示在页面中。

4. 点击VPC的配置按钮。

   对于每一个层，会显示以下选项。

   • 内部LB
   • 公共LB IP
   • 静态 NAT
   • 虚拟机
   • CIDR

   显示以下路由器信息：

   • 专用网关
   • 公共IP地址
   • 站点到站点 VPN
   • 网络 ACL列表

5. 选择网络ACL列表。

   在ACL页面，下面默认规则将会显示出来：default_allow, default_deny.

6. 点击添加ACL列表，指定以下配置：

   • ACL列表名称: 为ACL列表命名。
   • 描述: ACL列表的简短描述。

创建一个ACL规则¶

1. 使用管理员或者终端用户账号登录CloudStack UI。

2. 在左侧的导航栏，选择网络。

3. 在选择视图中，选择VPC。

   此帐号创建的所有VPC将显示在页面中。

4. 点击VPC的配置按钮。

5. 选择网络ACL列表。

   除了创建的你自定义的ACL列表之后，以下默认ACL规则也会显示在页面中：default_allow, default_deny.

6. 选择需要的ACL列表。

7. 选择ACL规则栏

   为了创建ACL规则，需要在VPC中定义下面哪些网络流量是允许的。

   • 规则序号: 规则被执行的顺序。
   • CIDR: 对于进入的规则，CIDR对源地址起作用，对于外出的规则，CIDR对目标地址起作用。如果要定义多个可接受进出流量的特定地址段，需要以逗号分隔各个CIDR。CIDR是进入流量的基IP地址。比如， 192.168.0.0/22. 如要对所有CIDR允许流量, 设置为 0.0.0.0/0.
   • 操作: 定义要进行的操作，允许或阻止。
   • 协议: 发送到层的源地址的网络协议。最终用户的访问和数据交换通常是用TCP和UDP协议。ICMP协议通常用来发送错误信息或网络监控。ALL表示支持所有协议流量，其它选项是协议编号。
   • 起始端口, 结束端口 (TCP, UDP only):对进入流量，这些端口是指需要监听的目标地址的端口范围。如果你只开放一个端口，则在起始和结束端口里填写同一个端口。
   • 协议编号: 协议编号是与IPV4或IPV6相关联的。更多信息，请参考 协议号.
   • ICMP类型, ICMP代码 (ICMP only): 信息类型及发送错误的代码。
   • 流量类型: 进出流量的类型。

8. 点击添加。这个ACL规则就添加好了。

   你可以重新编辑ACL标签，或是删除ACL。点击详细信息里的appropriate按钮。

创建一个具有自定义ACL列表的层。¶

1. 创建一个VPC。

2. 创建一个自定义ACL列表。

3. 将ACL规则加入ACL列表。

4. 在VPC里创建一个层。

   在创建层的过程中选择需要的ACL列表。

5. 点击确定。

将一个自定义的ACL关联到一个层。¶

1. 创建一个VPC。

2. 在VPC里创建一个层。

3. 将默认的ACL规则关联到层。

4. 创建一个自定义ACL列表。

5. 将ACL规则加入ACL列表。

6. 选中你希望赋予自定义ACL的层。

7. 点击替换ACL图标。

   替换ACL的对话界面将会弹出来。

8. 选择需要的ACL列表。

9. 点击确定。

GUEST TRAFFIC for Private Gateway¶

When you provision Private Gateway with i.e. vlan id 1500, CloudStack will try to provision vlan interface with that vlan id on top of the physical interface which is defined for the selected physical network - i.e. if you defined “bond0” as the “traffic label” for the selected Physical Network, this means CloudStack will try to create “bond0.1500” vlan interface, and this will work just fine.

But in some cases, you might not be able to use current Guest Physical Network - i.e. if you are already running VXLAN as isolation method with i.e. bond0.150 being used as Traffic Label (vlan 150 caries all VXLAN tunnels) then CloudStack would try to provision “bond0.150.1500” interface, which will not work. In similar fashion, if you are using cloudbrX as Traffic Label for your Guest network (VLAN used as isolation method), this means CloudStack will try to provision “cloudbrX.1500” interface, which will also not work.

In cases described above, you would perhaps want to create additional Guest Physical Network, and specify bond0 as the Traffic Label (to comply with example values given above) - and here CloudStack will provision “bond0.1500” interface, which will work as expected.

In cases where you have 2 (or more) Guest Physical Networks, and you want one of them to be used for regular Guest Traffic (vlans, or vxlan tunnels), but you want another Guest Physical Network to be used for Private Gateway functionality (solution to the problem described above), then we need to make sure that we properly TAG both Guest Physical Networks and the needed Network Offerings - both the regular Network Offerings and also the hidden network offering that is used for Private Gateways (visible only inside DB), named “System-Private-Gateway-Network-Offering”.

For instruction on how to use tags with Physical networks and Network Offerings, please see “Tagging Guest Physical Network and Network Offerings”.

私有网关的Source NAT¶

你可能希望在同一个超级CIDR和客户层CIDR中部署多个VPC。因此，在一个数据中心，不同VPC中的虚拟机通过私有网络可以拥有相同的IP地址。在这种情况下，就需要在私有网关里配置Source NAT服务以避免IP冲突。如果Source NAT服务启用，VPC中的客户虚拟机使用私有网关IP地址与数据中心其它机器交流。

Source NAT服务是添加私有网关时启用。如果删除了私有网关，关联到此私有网关的Source NAT规则也会被删除。

如要有已有私有网关中启用Source NAT，需要先删除（私有网关），然后再建一个启用Source NAT的私有网关。

私有网关的ACL¶

VPC私有网关的进出流量是被ACL规则控制的。ACL均包含允许和阻止的规则。在每一条规则中，所有进出私有网关接口的流量是被阻止的。

你可以在创建私有网关时，改变这个默认的行为。或者，你也可以按如下方式操作：

1. 在VPC中，验证你想操作的私有网关。

2. 在私有网关页面，按如下步骤操作：

   • 使用快速查看视图，参考3.
   • 使用详细查看栏。参考4。

3. 在所选择的私有网关的快速查看视图里，点击替换ACL，选中ACL规则，然后点击OK按钮。

4. 点击你需要操作的私有网关的IP地址。

5. 在详细查看栏。点击替换ACL按钮。

   替换ACL的对话框就会出现。

6. 选择ACL规则，然后点击OK按钮。

   稍等片刻。你就会看到新的ACL规则出现在详细页面里了。

创建一个静态静由。¶

CloudStack可以让你指定你创建的VPN链接的路由。你可以输入一个或CIDR地址来指定路由返回到网关的具体流量。

1. 在VPC中，验证你想操作的私有网关。

2. 在私有网关页面，点击你需要的私有网关的IP地址。

3. 选择静态路由栏。

4. 指定目标网络的CIDR。

5. 点击 添加

   稍等片刻，新的路由就创建好了。

路由黑名单¶

CloudStack允许你定义一个路由黑名单，这样它们就不能关联到任何VPC私有网关。你需要在全局参数blacklisted.routes里定义。要注意，此参数只在新路由创建时才会生效。如果你在黑名单里加入了已存在的静态路由，则此静态路由还是会继续起作用。你不能把在路由黑名单里的路由加入到静态路由当中去。

在层内进行负载均衡(外部负载均衡)¶

A CloudStack user or administrator may create load balancing rules that balance traffic received at a public IP to one or more VMs that belong to a network tier that provides load balancing service in a VPC. A user creates a rule, specifies an algorithm, and assigns the rule to a set of VMs within a tier.

跨越层的负载均衡¶

CloudStack支持在VPC内不同层之间共享工作负载。这需要先在你的环境里设置好多个层，比如WEB层，应用层。每一个层的流量通过VPC虚拟路由机进行负载均衡。关于这方面的内容， “在VPC里添加负载均衡规则”. 如果你想将WEB层发向应用层的流量进行负载均衡，需要使用Cloudstack的内部负载均衡功能。

Tagging Guest Physical Network and Network Offerings¶

In cases you have more than one Guest Physical Network, you might choose to use them for different purposes - i.e. to carry all “regular” VPC Guest Traffic (vlans/vxlans) on one Guest Physical Network, but use another Guest Physical Network for VPC Private Gateway (networks which are created as part of Private Gateway).

Example above would be accomplished by assigning different tags on these two Guest Physical Networks, and then tag proper Guest Network offerings in certain way, as explained later.

To edit tags in existing zone, for Guest Physical Networks, please do the following:

1. 用系统管理员登陆到CloudStack UI界面。
2. Click on Infrastructure, then Zones, then particular Zone, then click on Physical Network tab, and from there select the correct Guest Network by clicking it, and again by clicking on “Guest / Configure” button.

1. In the presented screen, click on Edit button, and then you will be able to define tag for this particular Physical Network - set it to i.e. “guestvxlan”.

1. Repeat this step for second (and any additional) Guest Physical Networks, and make sure to use different tag for each of networks (as needed). Here we set it to “guestprivgtw”.

1. In this example above, we are setting tag “guestvxlan” for Guest Physical Network (bond0.150) that continues to carry VXLAN tunnels for VPCs, and we set tag “guestprivgtw” for Guest Physical Network (bond0) that will carry Private Gateway guest networks.

Next, we need to edit tags on existing Guest Network Offerings. Depending on CloudStack versions, you will need to edit database records directly.

General SQL query would look like following, but please use your own judgement to reflect your environment.

mysql> update network_offerings set tags="guestvxlan" where traffic_type="Guest";

This would set tag for all existing Guest Network Offers.

Now we want to put different tag on the hidden Network Offering that is used to provision Guest networks for Private Gateways.

mysql> update network_offerings set tags="guestprivgtw" where name="System-Private-Gateway-Network-Offering";

From now one, whenever you provision regular Guest Network (private tiers, part of VPC), these networks will be created on Guest Physical Network with tag “guestvxlan”, while Private Gateway Guest networks will be created on Guest Physical Network with tag “guestprivgtw”.

Anatomy of the Palo Alto Networks Firewall¶

• In ‘Network > Interfaces’ there is a list of physical interfaces as well as aggregated physical interfaces which are used for managing traffic in and out of the Palo Alto Networks Firewall device.
• In ‘Network > Zones’ there is a list of the different configuration zones. This implementation will use two zones; a public (defaults to ‘untrust’) and private (defaults to ‘trust’) zone.
• In ‘Network > Virtual Routers’ there is a list of VRs which handle traffic routing for the Palo Alto Firewall. We only use a single Virtual Router on the firewall and it is used to handle all the routing to the next network hop.
• In ‘Objects > Security Profile Groups’ there is a list of profiles which can be applied to firewall rules. These profiles are used to better understand the types of traffic that is flowing through your network. Configured when you add the firewall provider to CloudStack.
• In ‘Objects > Log Forwarding’ there is a list of profiles which can be applied to firewall rules. These profiles are used to better track the logs generated by the firewall. Configured when you add the firewall provider to CloudStack.
• In ‘Policies > Security’ there is a list of firewall rules that are currently configured. You will not need to modify this section because it will be completely automated by CloudStack, but you can review the firewall rules which have been created here.
• In ‘Policies > NAT’ there is a list of the different NAT rules. You will not need to modify this section because it will be completely automated by CloudStack, but you can review the different NAT rules that have been created here. Source NAT, Static NAT and Destination NAT (Port Forwarding) rules will show up in this list.

Configure the Public / Private Zones on the firewall¶

No manual configuration is required to setup these zones because CloudStack will configure them automatically when you add the Palo Alto Networks firewall device to CloudStack as a service provider. This implementation depends on two zones, one for the public side and one for the private side of the firewall.

• The public zone (defaults to ‘untrust’) will contain all of the public interfaces and public IPs.
• The private zone (defaults to ‘trust’) will contain all of the private interfaces and guest network gateways.

The NAT and firewall rules will be configured between these zones.

Configure the Public / Private Interfaces on the firewall¶

This implementation supports standard physical interfaces as well as grouped physical interfaces called aggregated interfaces. Both standard interfaces and aggregated interfaces are treated the same, so they can be used interchangeably. For this document, we will assume that we are using ‘ethernet1/1’ as the public interface and ‘ethernet1/2’ as the private interface. If aggregated interfaces where used, you would use something like ‘ae1’ and ‘ae2’ as the interfaces.

This implementation requires that the ‘Interface Type’ be set to ‘Layer3’ for both the public and private interfaces. If you want to be able to use the ‘Untagged’ VLAN tag for public traffic in CloudStack, you will need to enable support for it in the public ‘ethernet1/1’ interface (details below).

Steps to configure the Public Interface:

1. Log into Palo Alto Networks Firewall
2. Navigate to ‘Network > Interfaces’
3. Click on ‘ethernet1/1’ (for aggregated ethernet, it will probably be called ‘ae1’)
4. Select ‘Layer3’ from the ‘Interface Type’ list
5. Click ‘Advanced’
6. Check the ‘Untagged Subinterface’ check-box
7. Click ‘OK’

Steps to configure the Private Interface:

1. Click on ‘ethernet1/2’ (for aggregated ethernet, it will probably be called ‘ae2’)
2. Select ‘Layer3’ from the ‘Interface Type’ list
3. Click ‘OK’

Configure a Virtual Router on the firewall¶

The Virtual Router on the Palo Alto Networks Firewall is not to be confused with the Virtual Routers that CloudStack provisions. For this implementation, the Virtual Router on the Palo Alto Networks Firewall will ONLY handle the upstream routing from the Firewall to the next hop.

Steps to configure the Virtual Router:

1. Log into Palo Alto Networks Firewall
2. Navigate to ‘Network > Virtual Routers’
3. Select the ‘default’ Virtual Router or Add a new Virtual Router if there are none in the list
   • If you added a new Virtual Router, you will need to give it a ‘Name’
4. Navigate to ‘Static Routes > IPv4’
5. ‘Add’ a new static route
   • Name: next_hop (you can name it anything you want)
   • Destination: 0.0.0.0/0 (send all traffic to this route)
   • Interface: ethernet1/1 (or whatever you set your public interface as)
   • Next Hop: (specify the gateway IP for the next hop in your network)
   • Click ‘OK’
6. Click ‘OK’

Configure the default Public Subinterface¶

The current implementation of the Palo Alto Networks firewall integration uses CIDRs in the form of ‘w.x.y.z/32’ for the public IP addresses that CloudStack provisions. Because no broadcast or gateway IPs are in this single IP range, there is no way for the firewall to route the traffic for these IPs. To route the traffic for these IPs, we create a single subinterface on the public interface with an IP and a CIDR which encapsulates the CloudStack public IP range. This IP will need to be inside the subnet defined by the CloudStack public range netmask, but outside the CloudStack public IP range. The CIDR should reflect the same subnet defined by the CloudStack public range netmask. The name of the subinterface is determined by the VLAN configured for the public range in CloudStack.

To clarify this concept, we will use the following example.

Example CloudStack Public Range Configuration:

• Gateway: 172.30.0.1
• Netmask: 255.255.255.0
• IP Range: 172.30.0.100 - 172.30.0.199
• VLAN: Untagged

Configure the Public Subinterface:

1. Log into Palo Alto Networks Firewall
2. Navigate to ‘Network > Interfaces’
3. Select the ‘ethernet1/1’ line (not clicking on the name)
4. Click ‘Add Subinterface’ at the bottom of the window
5. Enter ‘Interface Name’: ‘ethernet1/1’ . ‘9999’
   • 9999 is used if the CloudStack public range VLAN is ‘Untagged’
   • If the CloudStack public range VLAN is tagged (eg: 333), then the name will reflect that tag
6. The ‘Tag’ is the VLAN tag that the traffic is sent to the next hop with, so set it accordingly. If you are passing ‘Untagged’ traffic from CloudStack to your next hop, leave it blank. If you want to pass tagged traffic from CloudStack, specify the tag.
7. Select ‘default’ from the ‘Config > Virtual Router’ drop-down (assuming that is what your virtual router is called)
8. Click the ‘IPv4’ tab
9. Select ‘Static’ from the ‘Type’ radio options
10. Click ‘Add’ in the ‘IP’ section
11. Enter ‘172.30.0.254/24’ in the new line
    • The IP can be any IP outside the CloudStack public IP range, but inside the CloudStack public range netmask (it can NOT be the gateway IP)
    • The subnet defined by the CIDR should match the CloudStack public range netmask
12. Click ‘OK’

Commit configuration on the Palo Alto Networks Firewall¶

In order for all the changes we just made to take effect, we need to commit the changes.

1. Click the ‘Commit’ link in the top right corner of the window
2. Click ‘OK’ in the commit window overlay
3. Click ‘Close’ to the resulting commit status window after the commit finishes

Add the Palo Alto Networks Firewall as a Service Provider¶

1. Navigate to ‘Infrastructure > Zones > ZONE_NAME > Physical Network > NETWORK_NAME (guest) > Configure; Network Service Providers’
2. Click on ‘Palo Alto’ in the list
3. Click ‘View Devices’
4. Click ‘Add Palo Alto Device’
5. Enter your configuration in the overlay. This example will reflect the details previously used in this guide.
   • IP Address: (the IP of the Palo Alto Networks Firewall)
   • Username: (the admin username for the firewall)
   • Password: (the admin password for the firewall)
   • Type: Palo Alto Firewall
   • Public Interface: ethernet1/1 (use what you setup earlier as the public interface if it is different from my examples)
   • Private Interface: ethernet1/2 (use what you setup earlier as the private interface if it is different from my examples)
   • Number of Retries: 2 (the default is fine)
   • Timeout: 300 (the default is fine)
   • Public Network: untrust (this is the public zone on the firewall and did not need to be configured)
   • Private Network: trust (this is the private zone on the firewall and did not need to be configured)
   • Virtual Router: default (this is the name of the Virtual Router we setup on the firewall)
   • Palo Alto Threat Profile: (not required. name of the ‘Security Profile Groups’ to apply. more details in the ‘Additional Features’ section)
   • Palo Alto Log Profile: (not required. name of the ‘Log Forwarding’ profile to apply. more details in the ‘Additional Features’ section)
   • Capacity: (not required)
   • Dedicated: (not required)
6. Click ‘OK’
7. Click on ‘Palo Alto’ in the breadcrumbs to go back one screen.
8. Click on ‘Enable Provider’

Add a Network Service Offering to use the new Provider¶

There are 6 ‘Supported Services’ that need to be configured in the network service offering for this functionality. They are DHCP, DNS, Firewall, Source NAT, Static NAT and Port Forwarding. For the other settings, there are probably additional configurations which will work, but I will just document a common case.

1. Navigate to ‘Service Offerings’
2. In the drop-down at the top, select ‘Network Offerings’
3. Click ‘Add Network Offering’
   • Name: (name it whatever you want)
   • Description: (again, can be whatever you want)
   • Guest Type: Isolated
   • Supported Services:
     • DHCP: Provided by ‘VirtualRouter’
     • DNS: Provided by ‘VirtualRouter’
     • Firewall: Provided by ‘PaloAlto’
     • Source NAT: Provided by ‘PaloAlto’
     • Static NAT: Provided by ‘PaloAlto’
     • Port Forwarding: Provided by ‘PaloAlto’
   • System Offering for Router: System Offering For Software Router
   • Supported Source NAT Type: Per account (this is the only supported option)
   • Default egress policy: (both ‘Allow’ and ‘Deny’ are supported)
4. Click ‘OK’
5. Click on the newly created service offering
6. Click ‘Enable network offering’

When adding networks in CloudStack, select this network offering to use the Palo Alto Networks firewall.

Palo Alto Networks Threat Profile¶

This feature allows you to specify a ‘Security Profile Group’ to be applied to all of the firewall rules which are created on the Palo Alto Networks firewall device.

To create a ‘Security Profile Group’ on the Palo Alto Networks firewall, do the following:

1. Log into the Palo Alto Networks firewall
2. Navigate to ‘Objects > Security Profile Groups’
3. Click ‘Add’ at the bottom of the page to add a new group
4. Give the group a Name and specify the profiles you would like to include in the group
5. Click ‘OK’
6. Click the ‘Commit’ link in the top right of the screen and follow the on screen instructions

Once you have created a profile, you can reference it by Name in the ‘Palo Alto Threat Profile’ field in the ‘Add the Palo Alto Networks Firewall as a Service Provider’ step.

Palo Alto Networks Log Forwarding Profile¶

This feature allows you to specify a ‘Log Forwarding’ profile to better manage where the firewall logs are sent to. This is helpful for keeping track of issues that can arise on the firewall.

To create a ‘Log Forwarding’ profile on the Palo Alto Networks Firewall, do the following:

1. Log into the Palo Alto Networks firewall
2. Navigate to ‘Objects > Log Forwarding’
3. Click ‘Add’ at the bottom of the page to add a new profile
4. Give the profile a Name and specify the details you want for the traffic and threat settings
5. Click ‘OK’
6. Click the ‘Commit’ link in the top right of the screen and follow the on screen instructions

Once you have created a profile, you can reference it by Name in the ‘Palo Alto Log Profile’ field in the ‘Add the Palo Alto Networks Firewall as a Service Provider’ step.