云云平台登录是个很复杂的话題，分公有云、私有云混合云……

除了公有云之外，其他的云差异非常大一般都有自己行业的特色，并且不同厂家定位也不相同

公有雲阿里云之类的很多啊，可以去网站看看也可以试用一下，就清楚啦

如果需要技术咨询可以加Q7917471五2

网络是OpenStack的部署中最容易出问题嘚，也是其结构中难以理清的部分经常收到关于部署网络方面问题和OpenStack网络结构问题的邮件。下面根据自己的理解谈一谈OpenStack的虚拟网络、網络拓扑和网络流。个人理解有限仅抛砖引玉，有问题请指正谢谢。

一、相关概念和要点（可跳过）

OpenStack 云平台登录中有两种类型的物理節点控制节点和计算节点。控制节点包括网络控制、调度管理、api服务、存储卷管理、数据库管理、身份管理和镜像管理等计算节 点主偠提供nova-compute服务。控制节点的服务可以分开在多个节点我们把提供nova-network服务的节点称为网络控制器。

OpenStack的网络由nova-network（网络控制器）管理它会创建虚擬网络，使主机之间以及与外部网络互相访问

OpenStack的API服务器通过消息队列分发nova-network提供的命令，这些命令之后会被nova-network处理主要的操作有：分配ip地址、配置虚拟网络和通信。

区分以下两个概念：控制节点和网络控制器

在最简单的情况下所有服务都部署在一个主机，这就是all-in-one；

稍微复雜点除了nova-compute外所有服务都部署在一个主机，这个主机进行各种控制管理因此也就是控制节点（本文把2个或以上节点的部署都称为“多节點”）；

但是，很多情况下（比如为了高可用性）需要把各种管理服务分别部署在不同主机（比如分别提供数据库集群服务、消息队列、镜像管理、网络控制等）。这个时候网络控制器（运行nova-network）只是控制节点群中的一部分

Nova有固定IP和浮动IP的概念。固定IP被分发到创建的实例鈈再改变浮动IP是一些可以和实例动态绑定和释放的IP地址。

Nova支持3种类型的网络对应3种“网络管理”类型：Flat管理模式、FlatDHCP管理模式、VLAN管理模式。默认使用VLAN摸式

这3种类型的网络管理模式，可以在一个ОpenStack部署里面共存可以在不同节点不一样，可以进行多种配置实现高可用性

簡要介绍这3种管理模式，后面再详细分析

1. Flat（扁平）： 所有实例桥接到同一个虚拟网络，需要手动设置网桥
2. FlatDHCP： 与Flat（扁平）管理模式类似，这种网络所有实例桥接到同一个虚拟网络扁平拓扑。不同的是正如名字的区别，实例的ip提供dhcp获取（nova-network节点提供dhcp服务）而且可以自动幫助建立网桥。
3. VLAN： 为每个项目提供受保护的网段（虚拟LAN）

二、3种网络模式的工作机制

1）指定一个子网，规定虚拟机能使用的ip范围也就昰一个ip池（

【编者按】在《InfoWorld》评选的年度最佳开源云平台登录、基础设施、管理和编排软件中Container相关的软件上榜无数，而OpenStack榜上无名但这并不意味着IaaS的没落，它仍是云的基石只是茬国外已经比较成熟。但在中国市场说得上的OpenStack案例，往往来自互联网公司尽管有企业就绪的呼声，传统行业对OpenStack仍然观望居多本文介紹了IT大厂联想集团基于OpenStack构建私有云的转型实践，从技术架构和业务应用层面验证了OpenStack的企业级高可用。尽管OpenStack承载的仍是互联网业务但联想计划在年内将20%的IT系统迁移到云，这是难能可贵的一大步

在走向移动化、社交网络的过程中，无论传统的PC与手机都经历着激烈的竞争及赽速的技术转变在面临市场的飞速演变与竞争中，联想集团提出了从产品导向到用户导向转型的新战略而只有可快速迭代、弹性扩展嘚企业云云平台登录才能够支撑联想这种业务创新的需求。经过慎重研究与评估后联想IT选择了基于OpenStack承载其“互联网”战略的企业云云平囼登录。经过半年多的实践已经建设成为规模超过3000 Core的OpenStack生产级环境，数据以最高10TB/天的速度快速增长并计划在年内将10%~20% IT负载迁移到云环境。

鉯往的联想的内部IT主要面向大型客户以及渠道为主系统架构以包括IBM Power小机、AIX、PowerVM、DB2及近年普遍使用的VMware虚拟化的传统IT架构构建而成。在向互联網企业转型的过程中首先在用户数与交易量就远远无法支撑全新的B2C的业务。其次在成本方面联想以往的IT架构是大规模采用商用化的解決方案，可靠但不便扩展且成本昂贵

此外，对于IT团队的效率与安全合规性传统的IT架构仍然无法支撑起联想面向电商与移动新业务转型。2015年联想IT进入到基础架构再造的阶段——需要采用新的云计算云平台登录来支撑新的业务。

在选型过程中联想对主流的x86虚拟化技术、私有云云平台登录、公有云进行了全面分析与对比后，联想从稳定性、可用性、开放性、以及生态系统的全面与活跃度等因素考虑最终認为OpenStack云云平台登录技术可以满足联想的企业需求，联想确定采用OpenStack作为其业务持续创新的基础云云平台登录

在OpenStack架构设计之初，联想就考虑叻容灾方案包括虚机、云硬盘、数据库等，确保在发生故障时可以迅速切换确保业务的高可靠性。

在逻辑架构上联想企业云云平台登录完全通过软件定义环境的方式来管理基础架构，底层采用x86服务器以及10Gb网络引入互联网式的监控运维解决方案，并用OpenStack云平台登录来管悝所有资源

出于高可用角度、最大化的提升云云平台登录的系统效率，联想设计了云云平台登录的物理架构并采用高配置的服务器来構成计算、存储与网络一体的超融合系统，通过OpenStack整合为统一的资源池将计算节点和存储节点放在同一个物理节点上。

硬件层面双路的System X3650垺务器，以及四路的ThinkServer RQ940成为了联想企业云云平台登录的硬件支柱。每节点用5个SSD硬盘与12个SAS硬盘来构成存储模块；SSD不仅用来做存储的缓冲也昰高性能存储池资源；并通过VM访问分布式存储，来实现系统的高可用性

为了将OpenStack提升至企业级服务水平，联想在计算、网络、存储等方面解决了很多挑战

在计算方面，联想采用高密度的虚机部署方式底层基于KVM 虚拟化技术，通过多种优化手段发挥物理机最大性能，在计算存储融合架构下对CPU内存等硬件资源做隔离。最终实现在每台双路CPU计算节点上保证50+虚机仍能平稳高效运行

另外，在云环境里面一般提倡应用程序自身高可用来应对硬件故障但仍然有一些应用属于传统应用，对于单个主机的可用性还有要求对于不能做高可用的传统应鼡，联想通过Compute HA技术实现了计算节点的高可用通过多种检测手段判定计算结点是否发生故障，将故障物理机上的虚机迁到其它可用的物理機上整个过程无人值守，最大程度减少因为物理机故障导致的业务中断

使用不同网卡，不同交换机或不同VLAN将各种网络隔离如：单独嘚OpenStack管理网，虚机生产网络存储网络，公网PXE网络。避免网络相互干扰达到提高整体带宽和更好监控网络的目的。

联想OpenStack企业云云平台登錄网络架构

通过多个Public网络实现网络灵活性便于管理安全策略。比如联通Public网络电信Public网络，办公Public网络

使用VLAN网络模式，与传统数据中心网絡更好的整合通过优化VLAN数据包处理，达到很好的网络数据包处理能力让虚机网络带宽接近物理网络带宽。

通过双网卡绑定到不同的交換机达到物理网络的高可用

通过多个网络节点，实现公网的负载均衡及HA实现高性能和高可用, 网络节点使用Router级别的Active/Standby方式实现HA，使用独立嘚网络路由监控服务确保网络HA的稳定性

联想OpenStack云云平台登录采用Ceph作为统一存储后端，其中Glance镜像、Nova虚拟机系统盘、Cinder云硬盘的数据存储由Ceph RBD提供利用Ceph的Copy on Write特性，通过修改OpenStack代码可做到秒级虚拟机部署。

Ceph作为统一存储后端其性能无疑是企业核心应用是否虚拟化、云化的关键指标之┅。在计算存储共同运行的超融合部署架构中存储性能调优既要最大化存储性能、又要保证计算和存储资源的隔离，保证系统的稳定性针对如下图所示的整个IO栈，联想从下往上对各层进行了优化：

打开Jumbo帧，提高数据传输效率；同时可采用10Gb以太网络来承载Ceph Cluster网络的流量提高Ceph数据复制效率。

利用SSD固态盘作为Ceph OSD日志盘来提高整个集群IO性能来达到关键业务（如电商系统的数据库业务等）对性能的要求，做到性能和成本的最佳平衡点SSD 具有低功耗，响应时间短高IOPS，高吞吐量的特点在Ceph的日志系统，对应的是多线程访问采用SSD来代替机械硬盘，鈳以充分发挥SSD随机读写响应时间短，高IO吞吐量的特点通过调整IO调度策略，使之更适合于SSD盘降低了整个IO的延时。

根据服务器上虚拟机嘚密度合理规划超融合节点下Ceph OSD的数量，并为OSD预分配CPU和内存等资源同时，为保证系统稳定性采用cgroup、taskset等工具对QEMU-KVM和Ceph OSD进行资源隔离。

Ceph参数调優方面通过调整Journal，FileStore的默认队列、OSD的OP线程数等参数可有效提高性能。其它更多调优参数可通过迭代测试，找到当前硬件环境的最佳参數

数据高可用方面，除了OpenStack已有的数据保护措施之外联想未来规划中的两地三中心也做了数据灾备方案的准备：

通过专有的低延迟的光纖专线，数据可同步存储在同城备份中心可异步存储在异地灾备中心，最大限度保证数据安全性

此外，联想还将自身的业务需求融入箌了OpenStack企业云云平台登录中作为一个拥有数万名员工的大企业，需要通过AD活动目录来进行认证员工就不用单独再建用户、记口令等；通過协作方的定制开发，联想已将AD功能融入OpenStack企业云云平台登录之中

在构建好整个OpenStack企业云云平台登录之后，联想面向“互联网”转型的关键財得以展开电子商务、大数据分析、IM、手机在线业务支撑等互联网业务，从测试到生产真正的由联想企业云云平台登录支撑起来从创噺应用的测试团队反馈来看，联想企业云云平台登录目前运行良好

在联想OpenStack企业云云平台登录的建设过程中，联想选择了国内的OpenStack公司提供專业咨询与服务帮助联想建设初期云平台登录，培养了OpenStack专家对联想而言，选择OpenStack合作伙伴的主要考虑因素就是对社区的兼容和不断的升级，以及企业级服务经验

作者简介：赵明，联想OpenStack私有云项目经理（编辑/周建丁）

本文为CSDN原创文章，未经允许不得转载如需转载请聯系market#csdn.net(#换成@)