《SDN与NFV技术介绍》应知应会手册

('《SDN与NFV技术介绍》知识点摘录导读5G时代，核心网云化可以最大化发挥5G的优势中国移动的目标：建设架构可灵活调整、资源可弹性伸缩、流量可全局调度、能力可全面开放的网络。一、SDN介绍(一)SDN控制器与SDN相关技术1.NFV和SDN的关系NFV：网元，软硬件分离，电信网元以软硬件形式部署在云上SDN：网络，可以控制物理网元和NFV网元，网络集中控制，把策略下发到网元。2.数据中心分层架构转发层：租户业务流量转发控制层：租户网络打通云操作系统层：虚拟机创建删除应用层：租户逻辑网络管理3.SDN数据中心Overlay网络：重叠网络，底层网络通过VXLAN技术为用户创建的虚拟网络Underlay网络：底层网络4.VXLAN：隧道封装，24位ID解决了VLAN4096个的限制，增加了UDP、IP等封装头。VTEP：在VXLAN网络中，用于建立VXLAN隧道的断电设备5.openFlow是SDN南向接口之一，用于转发面和控制面之间，对转发设备编程。SDN控制器把openFlow流表下发到转发设备，报文匹配到流表就相应转发，否则丢弃。6.EVPN实现VXLAN隧道的自动建立BGPEVPN扩展5种类型路由type1-5，实现数据中心内部和之间的互访。7.SDN数据中心控制方式分两种强控方式：openFlow流表+NETCONF协议配置弱控方式：EVPN学习用户间MAC和ARP+NETCONF8.Aero自研的SDN控制器，可与多厂家转发设备对接，实现SDN南向北向解耦。9.控制器解耦方案(二)IP相关基础知识1.IP路由基础路由：把一个数据包从一个设备发送到不同网络中的另一设备上去，查路由表匹配，否则丢弃。路由表通过OSPF、BGP、ISIS、RIP等方式学习得到格式：学来的协议，目的网段、cost值、出接口、下一跳等分类：静态路由和动态路由静态路由：手工配置，用于小规模网络动态路由：设备间协议交互得到，用于大规模网络自治域内动态路由协议：OSPF、ISIS、RIP自治域AS间动态路由协议：BGP链路状态动态路由协议：OSPF、ISIS距离矢量动态路由协议：RAP、BGP2.OSPF生成发现路由自治域AS内划分多个Area，核心叫做Area0，其他的不直连，而是通过Area0连接。避免了环路，Area内震荡不影响其他Area。链路状态动态路由协议：所有设备都保存一个链路状态数据库，所有设备都一致。以自己为根，根据cost值计算最短路径。3.BGPAS间传递路由，不发现和生成路由，适用于大规模组网。BGP属性：Origin：路由怎么进入BGP路由表Next-top：下一跳IP地址AS-path：学到路由所经过的AS顺序汇总Local-pref：传递范围是本AS，报文出AS的出口优先级MEP：把路由发给eBGP时使用，传递MED，报文进入AS的入口优先级Community：一组4-8位数值，抓取BGP路由，从而执行路由策略，路由分组，灵活控制大量路由。4.VLAN防止广播耗费大量网络资源，划分广播域，二层技术。把物理网络分成逻辑网络。格式：IP头与以太网头之间加入VLAN头，12bit，4096个5.防火墙为了安全，过滤流量，控制流量出入为穿越防火墙，流量实施过滤内部与外部隔离攻击，用访问控制列表ACL实现。6.NAT节约IPV4分配不均和不足的问题。主要是私有地址转共有地址。3种手段：静态NAT：一个私网IP对一个公网IP动态NAT：一段私网IP对一段公网IP，一个IP最多65536人使用，受限于端口数。端口复用：一个TCP/UDP端口给多个用户使用7.DNS网络通过IP地址通信，难易记忆，一般使用域名，DNS提供IP和域名的转换。工作流程：查询服务器缓存，查询根服务器，查询顶级域名服务器，查询二级根服务器，查询权威服务器二、NFV介绍(一)NFV架构介绍1.NFV定义NetworkFunctionsVirtualization网络功能虚拟化，把网络设备、服务器虚拟化，组成虚拟机，把电信业务放到虚拟机上。电信设备软硬件强耦合，以后将实现软硬件解耦。层次：硬件资源、虚拟资源、VNF、管理MANO特征：虚拟化、云化管理、通用基础设施、网络自动化技术分三部分：NFVI基础设施、MANO管理与编排、VNF虚拟化网元NFVI基础设施：硬件（服务器、交换机、存储）+虚拟化层（Hypervisr和上面的vSwitch），支持跨物理站点连接MANO管理与编排：北向接入OSS/BSS，组成分为VNFM+VIM+NFVOVNFM：VNF生命周期管理，上下线，扩缩容VIM：虚拟资源分配NFVO：更高层，网络服务管理，更高层生命周期和虚拟化资源管理，需要VIM和VNFM配合。2.NFV架构硬件层（架构层）+虚拟化层+功能层（应用层）。3.NFV演进1)ATCA型：封闭性强2)软硬件解耦型：软件化+云化3)三层解耦云化：虚拟层与硬件层解耦。之前属于IaaS微服务云化：容器技术实现轻量级虚拟层和原生云。属于PaaS(二)MANO与网管系统概述1.逻辑架构MANO：VNFM+VIM+NFVOVNFM：VNF管理执行者VIM：局部虚拟资源及硬件资源管理的执行者NFVO：实现网络服务、云管理的决策者2.MANO与网管NFVO+的功能：目录和策略管理，网络服务的生命周期管理，全局资源视图和管理，面向运维的硬件和虚拟资源CAPS管理，虚拟化网元FCAPS管理，向现网OSS传递VNF、虚拟资源、硬件资源的告警数据、配置数据、性能数据。3.部署流程在BOSS侧规划VNF的网络也业务，生成网络业务部署模板向NFVO传递相应部署指令NFVO接受指令后，指示VNFM创建相应的网络存储、VNF实例直接模式下，VNFM向VIM做资源预留，发起创建网络存储及创建VNF实例的请求VIM收到请求后，分配资源，根据算法选择一批合适的Hypervisr，创建VNF，反馈结果给VNFMVNFM完成业务加载和配置后，指示EMS进行相应后续配置。(三)Hypervisr及KVM概述1.Hypervisr物理层和操作系统间的中间层软件，允许多个操作系统共用同一套硬件。可看做是虚拟化环境中的元操作系统，可以协调访问服务器上所有物理机、虚拟机，是虚拟化的核心给每一个虚拟机分配CPU、内存、网络资源4个优点：提高主机资源的使用效率，虚拟机移动性强，虚拟机彼此独立，虚拟机容易保护和恢复2.种类Baremetal：直接部署在硬件上，以管理硬件和虚拟机，如KVMHosted：部署在操作系统上，如VMWare、VirtualBox容器型：运行在操作系统上，创建独立的虚拟化实例，指向底层托管操作系统，称作操作系统虚拟化3.KVM硬件之上是KVM和Linux，再之上是linux或windows操作系统Linux原生的全虚拟化解决方案KVM中，虚拟机常被认为是一个linux进程，每个CPU被实现为一个linux进程KVM有Linux所有功能广泛应用于openstack的云环境中、大规模数据中心4.KCM组成KVMQ：内核，管理虚拟机CPU和RAM，将操作系统发给QEMU处理QEMU：模拟IO设备的一个模块，一个vCPU是一个QEMU进程(四)计算虚拟化介绍1.虚拟化定义通过虚拟化技术，将一台计算机虚拟为多个逻辑计算机，不通操作系统，互相隔离，提高利用率和效率2.分类分为三类：全虚拟化：虚拟操作系统和硬件资源完全隔离，由Hypervisr层转化GusetOS，对底层资源的调用代码，无需GuestOS做适配，兼容性好半虚拟化：客户讲GuestOS中加入特定虚拟化指令，通过Hypervisr调用硬件资源，免除Hypervisr参与，提高性能。如微软hypervi，VMWare的Vsphere硬件辅助虚拟化：CPU中加入新的指令集，如英特尔的VT技术3.CPU为什么要虚拟化操作系统全占硬件资源，要运行在Ring0上，hostOS与GuestOS都在Ring0上，冲突产生，需要VMM虚拟机监控系统4.内存虚拟化5.IO虚拟化设备发现、访问截获方式：VMMIO软件、硬件辅助VT-D技术(五)网络虚拟化介绍1.OVS软件定义交换机，在虚拟层上，便于使用VLAN划分技术，又叫openSwitch，基于软件的开源的虚拟以太网交换机，Apache2.0许可，分用户态（外部命令配置维护）和内核态（数据包接收），影响性能2.SRIOV基于硬件的虚拟化解决方案虚拟机直接连接到物理机网卡上，多虚拟机高效共享，性能高OVS虚拟机与SRIOV虚拟机通信要使用外部交换机。(六)存储虚拟化介绍1.定义对存储硬件做抽相化表现，用户看不到具备的磁盘2.存储的三种形态块存储：服务器上看到的硬盘，DAS（存储用SCSI线或FC连接到服务器上）、SAN（存储区域网络通过网络连接服务器与存储），速度快文件存储NAS：局域网中共享的文件系统，文件共享服务器，分布式存储对象存储：互联网web存储，文件名以web域名方式呈现，数据通路与控制通路分离，兼具高速度和分布式的优点三、数据中心核心技术之网络技术(一)IP路由技术描述1.基本概念IP路由：基于目的地址查找IP路由表，找到报文转发的出口及下一跳路由，然后将报文转发给下一跳路由器，直到到达最终目的地。重要概念：route：目的地址，所有经过的路由上都要保存这个routeRouting：算法或函数，怎么转发到下一跳，最短路径的决策Router：路由器路由过程：建路由表、转发2.选路原则基于开销cost，如路径跳数、带宽、延迟、选择开销最小的路由，不同协议关注不同的开销原则：优先：最长匹配，掩码最长的优先转发其次：路由协议优先级最后：路由开销3.路由协议静态路由：手工配置，用于小规模网络动态路由：由路由器经过路由协议交换并维护路由表，安全性上比静态路由差，适用于经常变化的网络中。(二)VLAN技术描述1.定义VLAN（VirtualLocalAreaNetwork）即虚拟局域网，是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。VLAN内的主机间可以直接通信，而VLAN间不能直接通信，从而将广播报文限制在一个VLAN内。示意图虚拟局域网，通过将局域网内的设备逻辑地而不是物理地划分成一个个网段，从而实现虚拟工作组的技术。IEEE在1999年IEEE802.1Q确定。2.作用逻辑上区分网络，便于管理通信；隔离广播域；提高安全性。3.划分4种方式：端口：一个或多个交换机的多个端口划分成一个VLANMAC地址：设备可搬动，每个终端都要配置，工作量大网络层划分：网络层协议和地址，物理地址改变时不需改VLAN，不需要附加VLAN标识字段，减少网络通信量，但是效率低IP组播地址：特别用途，组播组是一个VLAN，在局域网效率不高4.工作规则VLAN间通过路由器通讯，一个端口可以属于多个VLAN(三)NAT技术描述1.NAT概念网络地址转换，使局域网中使用少量外网地址。隐藏内网IP地址，起安全保护作用。地址池：外部地址的组合，提高内部访问外部地址利用效率。访问控制列表ACL：用ACCESS_LIST生成，允许禁止哪些地址被转换2.原理工作在IP层，方式有3种一对一NAT：速度快，但是利用率低多对一PAT：地址+端口，多主机共享一个地址，用端口区分多对多NPAT：端口区分，一个主机可以使用多个外部地址基础知识两个网络间执行NAT技术，网络地址转换，就是替换IP报文头部的地址信息。NAT通常部署在一个组织的网络出口位置，通过将内部网络IP地址替换为出口的IP地址提供公网可达性和上层协议的连接能力。NAT的转换示意图如下所示NAT技术的优缺点优点节省合法的公有ip地址地址重叠时，提供解决办法网络发生变化时，避免重新编址（这个问题具有亲身体会，原本所在的实习单位搬迁，我们搬到了新的住处，网络环境发生了一些变化，但是由于nat技术的特点，我们局域网的地址并没有发生改变，我们依然使用着最初的编址方案）NAT对我们来说最大的贡献就是帮助我们节省了大量的ip资源缺点无法进行端到端的ip跟踪（破坏了端对端通信的平等性）很多应用层协议无法识别（比如ftp协议）NAT穿越技术前面解释了NAT的弊端，为了解决IP端到端应用在NAT环境下遇到的问题网络协议的设计者们创造了各种武器来进行应对。但遗憾的是，这里每一种方法都不完美，还需要在内部主机、应用程序或者NAT网关上增加额外的处理。(四)防火墙技术描述防火墙是一种位于内部网络与外部网络之间的网络安全系统。是一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。在网络的世界里，要由防火墙过滤的就是承载通信数据的通信包。在网络中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。1.基础知识两个网络间执行控制策略的一组硬件或软件系统，目的是保护本地网络安全。其实是双向保护。作用：强迫网络实现安全控制策略；通过安全控制策略禁止不安全的协议和端口；跟踪审计非法的访问；防止一个网络问题传播到别的网络2.技术分类分为3类包过滤防火墙：允许、阻塞数据包应用代理型防火墙：应用层无需直接访问不明外部网站，由代理服务器访问状态监测型防护墙：具备更高智能和安全性，会话状态和数据实时匹配状态表。现在一般都是综合型防火墙。3.技术汇总安全区域：防火墙最基本功能，按照规则将网络划分成不同区域，作为基本管理单位，如可信区、不可信区、DMZ缓冲区攻击防范：对攻击进行识别阻断，保护内部用户不受冲击，如畸形报文、泛洪、应用层、侦测技术、欺骗技术、DOS和DDOS、蠕虫、木马VPN：与防火墙组合使用，在不可信的公网建立专线，通过数据封装加密，实现远程通讯NAT：隐藏IP地址，保护内网架构，合法IP有限，解决地址不足状态检测：保证链接由内网发起；保证发起按照标准状态进行；不响应任何其他异常访问状态热备：主备：一个工作一个不工作负荷分担：都在工作，用心跳连接概念主机名的全局唯一性命名机制(五)DNS基础1.概念域名系统DNS(DomainNameSystem)是因特网使用的命名系统，用来把便于人们使用的机器名字转换成为IP地址。域名系统其实就是名字系统。为什么不叫“名字”而叫“域名”呢？这是因为在这种因特网的命名系统中使用了许多的“域(domain)”，因此就出现了“域名”这个名词。“域名系统”明确地指明这种系统是应用在因特网中。域名结构2.主机名的全局唯一性命名机制：无层次命名机制缺点：hosts.txt；通信量和负载；名字冲突；一致性层次命名机制优势：根是唯一的，不需要标号；唯一性；管理方面；映射方面；因特网采用DNS：为解决名字和IP映射，建立互联网名称服务系统，1984年取代hosts3.系统结构3个方面：域名空间和资源记录：DNS分布式数据库中每个数据单元都是按名字进行索引的，这些名字形成了一种分享生成树状结构，称为域名空间，兄弟节点命名有唯一性名字服务器域名解析器域名标签命名规则：兄弟节点具有唯一性；与因特网连接前，需将其域名与IP地址在NIC中注册；ISO3164为每个国家建立了2个字母的缩写4.DNS分级域名结构：分量和分量用点隔开域名分级信息顶级域（一级域）：3类，国家如cn，国际如int，通用如com,edu,gov,net,org次级域（二级域）：5.分类按信息获取方式，分为：主名字服务器，拥有区域文件原始版本的服务器，可变更次名字服务器，复制区域文件惟高速缓存名字服务器：无区域文件，帮助解析以提高速速按照服务区域划分：本地域名服务器；根域名服务器；授权域名服务器；中国移动两类：local（上网第一跳，默认DNS，递归和缓存）权威服务器：向全世界缓存服务器，返回CMCC自身解析结果或反向解析全球13台根域名服务器A-M，中国有5台镜像6.资源记录DNS报文：请求报文（首部+问题）；响应报文（首部+问题+回答）DNS报文格式资源记录格式：如A记录（域名对应IPV4地址）；NS记录（指明哪个DNS服务器对于域是授权服务器）；CNAME记录（为主机创建别名）7.查询方式递归：耗资源，较少使用，一般用于本地迭代：互联网使用，一般也和递归混合使用反向解析：缓存机制：减轻负荷，加快速速，TTL缓存时间转发：不迭代，而是直接转发。全区转发（全转发）；分区转发（查特定域名时转发）正反向解析：正向：域名对应IP8.排障工具DIGLinux自带，windows下载安装。四、虚拟化基础(一)服务器虚拟化介绍1.技术架构服务器虚拟化可以：整合服务器资源；提高资源利用率；简化信息系统管理；更适应企业变化技术架构：虚拟机：光纤通道存储FC-SAN以太网通道存储：iSCSI存储SAN；NFS存储；网络存储2.优点物理机缺点：难迁移；难管理；硬件有局限性虚拟机优点：容易迁移；容易管理；支持旧版应用；可以实现与服务器整合3.结构硬件层，虚拟化层，应用层4.虚拟化CPU虚拟化借助硬件辅助的CPU虚拟化技术4路8核=32个逻辑CPU，虚拟机至少一个vCPU虚拟机比例越大，vCPU计算资源越小，计算性能越低内存虚拟化IO虚拟化：网卡和磁盘虚拟化(二)VMware组件介绍1.VMwarevSphere组件构成3层：虚拟化层：ESXi，创建运行虚拟化平台，运行虚拟机，安装操作系统，配置虚拟机，运行应用程序管理层：vcenterserver，一种windows服务，充当ESXi的管理员，资源管理接口层：扩展vSphere功能2.VMware数据中心组成X86服务器；存储网络或阵列；IP网络；管理服务器Vcenter；桌面客户端(三)ESXi介绍1.功能是一个平台，可以：运行虚拟机；配置并识别资源；提供引导与管理服务；安装操作系统；运行应用程序；配置虚拟机优点：简化部署配置，比其他Hypervisr软件配置项少；减少管理开销；简化程序补丁和修补2.体系架构虚拟机+虚拟化层虚拟化层：VMkernel+VMMVMkernel：核心和推动力；控制管理服务器资源；支持运行多个虚拟机VMM：在VMkernel中运行；使虚拟机像物理机一样运行；保持隔离3.管理最初DCUI：设置root密码；启用或禁用锁定模式；修改网络设置；其他配置可通过vSphereclient（一次只能管理一个ESXi主机）、webclient连接ESXi主机管理Vcenterserver可以同时管理多个ESXi服务器(四)vCenterServer介绍1.介绍连接ESXi主机及虚拟机的管理服务，每个服务可管理1000台主机，可以管理10000台开启的虚拟机2.体系架构核心功能区：vSphereclient，其他模块数据库服务器活动目录服务ESXi主机3.和ESXi通信ESXi可以通过VMwarevSphereclient访问hostd服务；通过vcenterserver管理访问vpxa服务；webclient4.管理视图摘要、监控、虚拟机、网络、存储等选项卡(五)VMware虚拟机及虚拟机管理介绍1.虚拟机介绍虚拟机有统一硬件，可以跨vSphere主机迁移2.虚拟机的CPU和内存虚拟机最大支持64个vCPU，取决于：单物理CPU核数；宿主主机允许的最大vCPU数；客户操作系统最大支持的vCPU数最大支持1TB内存，取决于宿主机最大内存3.虚拟机磁盘虚拟机可使用一个或多个物理磁盘设备VMFS运行在块存储上，vSphere如果用块存储，移动用VMFSVMFS：集群文件系统，简化存储环境，共享资源池，采用分布式锁机制，简单高效4.虚拟机精简磁盘3个特点：仅使用保留当前文件所需容量；始终能看到分配的磁盘全盘大小；可以混合使用厚格式和精简格式5.虚拟机网卡E1000型：千兆网卡增强型：VMXnet：是虚拟机发挥更大性能VMXnet2：提供高性能功能，适用于ESXi3.5版本VMXnet3：下一代准虚拟网卡，基于VMXnet2，功能更丰富6.虚拟机交换机在虚拟机之间收发数据建立的网络两种类型的链接：虚拟机端口组（业务流量转发）；VMkernel端口组（用于IP存储，vSphereVMotion迁移，ESXi管理）运行方式和物理机类似功能：多个网络可以在同一虚拟交换机中共存，同一网络可以存在于多个虚拟交换机中端口组：便于虚拟机配置在主机之间移植VLANID：设置为4095时，才能跨端口组(六)VMwarevMotion及StragevMotion1.VMwarevMotion及StragevMotion概念和虚拟机迁移有关的功能，将虚拟机从一台主机迁移到另一台主机，分冷迁移和热迁移用VMwarevMotion及StragevMotion完成热迁移，也可把虚拟机文件从一个数据存储迁移至另一数据存储2.vMotion功能可迁移处于开机状态的虚拟；提高硬件整理利用率；停服期间，虚拟机运行不间断；保证业务连续性3.vMotion迁移步骤3步：Vcenterserver验证现有虚拟机和当前主机是否稳定状态虚拟机状况信息复制到目标主机在新的目标主机上恢复活动4.StragevMotion可以把在运行状态的虚拟机及磁盘文件从一个数据存储迁移都另一数据存储3个应用场景：存储器的维护和重新配置，无需虚拟机停机重新配置存储器的负载，分配到不同的存储卷以平衡容量将数据存储从VMFS2升级到VMFS5迁移5步骤：启动存储的迁移使用VMkenel数据移动工具复制数据启动新的虚拟机进程调用IO把镜像复制到新虚拟磁盘上的文件块切换到目标虚拟机进程，开始访问虚拟机磁盘副本(七)VMware可用性及可扩展性介绍1.VMware可用性VMware可以为各个级别提供高可用性保护，包括组件级别，服务器，存储，数据，站点高可用性HA：针对硬件故障的保护；零停机的计划内维护；针对计划外停机和灾难的保护；允许ESXi集合作为组协同工作2.代理通信HA集群中选举首选主机，存储多的有优势首选主机的职责：监控从属主机状况；监控受保护的虚拟机电源情况；管理集群主机；管理受保护的虚拟机列表3.数据存储检测信号HA主控主机功能：检测从属主机的故障（主机停止运行，主机和网络隔离）；故障切换4.ESXi主机故障首选主机检测从属主机活跃度，ESXi上的虚拟机在其他主机上启动5.客户操作系统故障首选主机检测不到虚拟机发送的检测信号，HA重置虚拟机(八)开源KVM虚拟化介绍1.基本概念KVM：linux内核的一个模块，是基于硬件虚拟化辅助开源的linux，原生的全虚拟化解决方案2.KVM架构KMM：模拟CPU和内存，没有网络和IOQEMU-KVM：一个完整的模拟器，包括网络和IOLibvirt：上层，提供跨虚拟化平台功能，可以控制QEMU、VMware、XEN虚拟化软件3.QEMU开源虚拟化软件，提供一整套设备的模拟，可使未经修改的各种操作系统在上面运行，包括windows、linux、MACOS等，执行效率低4.QEMU-KVM把CPU、内存的虚拟化用KVM来实现，设备模拟代码保留下来，继续使用QEMU实现，提高性能5.Libvirt管理虚拟机或虚拟化功能的工具，如存储、网络，构建在抽象概念之上，为支持虚拟化软件提供通用API。组成：API库、Libvirtd、virsh五、OpenStack介绍(一)openStack起源1.基本概念是最火的开源软件之一，180个国家8万多开发者，684个公司参与，2千万行代码。开源的云操作系统，提供web界面访问，命令行界面，提供API接口，最新版本是Queens，提供了计算、网络、存储、大数据、数据库、容器等功能。openStack管理虚拟机，但不提供虚拟机功能；云化是为了弹性计算，动态资源调度，多租户等特性，虚拟化只是实现这些特性的一个手段，云化不是必须虚拟化；openStack的Ironic提供裸金属服务。2.起源Nova+swift=openStack3.版本发展2010年A版本，一共17个版本，最新版本是Queens，目前一年发布一个版本4.生态圈个人会员，企业会员，8名白金会员(二)openStack架构1.项目构成Q版5大部分功能：功能区：最核心，计算、存储、网络、公共服务、大数据服务生命周期管理运营运维类开发类功能其他类，如容器、NFV服务2.核心项目9个核心项目即可完成一朵自服务、多租户、弹性计算的云：计算服务：Nova、IronicWeb前端：Horizon资源编排：HeatSDN网络服务：Neutron存储：swift（对象），cinder（块）鉴权认证：Keystone镜像存储服务：Glance3.逻辑架构分布式架构，每个服务由不同进程组成4.部署架构3种网络：业务网络；管理网络；存储网络，流量不会交叉4种节点：控制、计算、存储、网络，部署在不同服务器上(三)Nova介绍1.功能生命周期管理，维护和管理计算资源3种功能：虚拟机生命周期管理；计算资源管理；支持多种虚拟机2.逻辑架构openStack是分布式系统，Nova也是分布式架构部署在计算节点和控制节点上组件分为5类：API：对外提供接口计算核心：scheduler调度器；computer管理虚拟机的核心服务；conductor访问数据库的桥梁消息队列：服务间通信数据库：状态数据保存，默认用mysql虚拟桌面：console；consoleauth；cert证书3.工作流程API收到keystone验证后的创建虚拟机请求API向scheduler请求是否有创建虚拟机的资源Scheduler查询资源情况，完成调度算法后，给出创建虚拟机的计算节点Conduct在计算节点上创建虚拟机从glance请求操作系统镜像，向neutron获取所需网络信息，向cinder获取持久化存储信息4.调度器Nova-scheduler调度分为2步：filter过滤：筛选出合适的计算节点，有几十种过滤器weight称重：根据权重选出合适的计算节点2个调度机制：创建：在哪个计算节点创建启动虚拟机迁移：从一个计算节点迁移到另一个计算节点(四)Swift介绍1.功能提供分布式对象存储服务，容量可达到P级，非结构化存储，包括虚拟机镜像、视频、音频、图片、邮件、存储备份等支持直接从互联网访问存储系统功能：提供海量对象存储；大文件存储；多媒体处理；CDN后端；备份与归档数据组织形式Account：租户，一个租户可有多个容器Container容器：类似于文件系统的目录，可有多个对象Object对象：以文件形式保存在文件系统上逻辑架构2层：访问层：代理服务、认证服务、缓存服务、哈希环存储层：部署可不依赖openStack其他服务独立部署工作流程上传时负载均衡器发给代理服务器，选3个不同zone中的后端存储文件，其中2份写成功就向用户发送成功消息下载时负载均衡器发给代理服务器，向后端查询，至少2个节点表示可提供该文件，代理服务器从其中一个节点选择下载(五)Cinder介绍1.功能虚拟机通过2种方式获得存储容量：某种协议SAS、SCSI、SAN（FC-SAN和IP-SAN成本高，server-SAN）、iSCSI直接用裸硬盘（也叫卷），叫做块存储通过NFS、CIFS协议，文件系统存储3个功能：封装不同的后端存储，对外提供统一的API向虚拟机提供持久的块存储资源，也就是卷对卷提供生命周期管理2.逻辑架构分布式架构：CinderAPI：接收情况Scheduler：选合适的存储节点创建卷，两步（过滤器，称重排序）消息队列：晋城通讯rabbitMQ数据库：状态数据mysql卷：管理存储空间Backup：将存储卷备份到其他存储系统工作流程：客户端，API，Queue，Scheduler，节点创建卷3.调度器Scheduler与Nova一致，过滤器、称重(六)Keystone介绍1.功能提供认证服务2.架构6类服务，后台都有数据库支持：Identity：对用户和组提供身份验证Resource：存储domain域和project项目Assignment:提供role角色和角色分配Token:认证和管理tokenCotalog:提供endpoint细腻系，是一个地址Policy:鉴别user对某个project的资源是否有访问权限组件类比：openStack：宾馆Keystone：中央管理系统User：旅客Credentials：身份证Authentication：确认身份的过程Token：房卡Role：VIP登记Endpoint：服务提供场所的地址Service：提供的服务Project：宾馆的某些资源3.工作流程：用户发送账号密码到Keystone通过验证后返回Token用户将Token发给NovaNova到Keystone验证Nova给用户提供服务(七)Neutron介绍1.功能向租户虚拟机提供隔离的虚拟网路功能（二层网络、三层网络、可扩展的网络服务）；向openStack其他服务、管理员、用户提供访问的接口；对底层各种各样的网络资源抽象化2.逻辑架构分布式：Neutronserver：提供APIPlugin：处理Neutronserver发来的请求，维护网络状态，分为coreplugin（VLAN）和serviceplugin（DHCP、VPN、FW）Agent：处理Plugin发来的请求，实现各种网络功能消息队列：数据库：Neutron的扩展性：架构是分布式的，可横向扩展；可通过plugin方式，集成更多厂家设备，提供高级功能3.部署架构控制节点：Neutron、plugin计算节点：pluginAgent网络节点：pluginAgent(八)Glance介绍1.功能提供镜像管理服务，用于安装操作系统3个功能：镜像服务：查询、获取镜像对虚拟机执行快照后端支持多种存储系统，包括文件系统、swift、AmazoneS3等2.逻辑架构使用V2v版本，4个组件：API：对外接口Registry：完成镜像发现、获取、存储操作StoreAdapter：存储镜像文件，适配多种存储系统数据库：有效元数据，mysql(九)Ceilometer介绍1.功能监控数据采集；监控数据存储；告警管理；2.组件7个组件（1个API，6个agent），部署在控制、计算节点（只有Ceilometer-computer）API：查看计量数据，下发告警策略Central：统计openStack掐模块服务的运行状态Collector：监听消息队列，写入后端数据库Notification：监听消息队列，收集其他模块发送的通知Evaluator：对比计量统计结果和数据库中的告警策略Notifier：监控队列，发送告警Ceilometer-computer：统计本地虚拟机资源使用情况3.监控流程Ceilometer-computer收集情况，发送到Collector(十)Heat介绍1.功能模板编排：配置不同阶段的部署顺序和内容；管理云架构服务、应用的生命周期；简化了复杂基础设施、服务和应用的定义和部署支持丰富的资源类型2.与其他模块关系在Nova等之上，充当对外接口，用户把资源需求配置到Heat中3.逻辑架构分布式，3个组件：API：Heat-Api-cfn：把API请求发送给Heat-enginHeat-engin：完成应用系统的创建和部署，是核心功能工作流程：用户提交模板，转化为API，Heat-Api-cfn和API验证模板的正确性，Heat-engin把请求解析为各种类型的资源，发给其他服务4.编排按一定目的排序，包括：安装服务器，插入网络接口，安装操作系统，配置从左系统，安装中间件，配置中间件，安装应用程序，配置发布应用程序Heat的优势：通过模板设计、定义编排，文本编辑实现自动化部署。支持4个方面的编排：通过openStack提供基础资源编排，包括计算、网络、存储可通过Heat提供sofrwareconfiguration软件配置，sofrwareDeployment软件部署，对虚拟机进行复杂配置，如安装配置软件如需高级功能，如弹性的虚拟机和负载均衡，Heat可提供AutoScalling和LoadBalance支持更复杂的，已基于chef有了cookbook就可通过集成chef来复用这些cookbook',)