《虛擬化技術(shù)與應(yīng)用》 課件 11-ETSI的工作流程與部署模式；12-OpenStack網(wǎng)絡(luò)組件之Neutron

ETSI的工作流程與部署模式了解ETSINFV的工作過(guò)程熟悉NFV的部署模式熟悉NFV架構(gòu)的優(yōu)勢(shì)以及NFV架構(gòu)的驅(qū)動(dòng)力教學(xué)目標(biāo)目錄ETSINFV架構(gòu)工作流程N(yùn)FV部署模式ETSINFV架構(gòu)優(yōu)勢(shì)及驅(qū)動(dòng)力ETSINFV架構(gòu)工作流程計(jì)算硬件、存儲(chǔ)硬件、軟件硬件虛擬化層虛擬計(jì)算虛擬存儲(chǔ)虛擬網(wǎng)絡(luò)網(wǎng)絡(luò)功能虛擬化架構(gòu)（NFVI）VNF#2VNF#1VNF#3虛擬網(wǎng)絡(luò)功能（VNF）NFV管理與編排ETSINFV架構(gòu)中端到端的數(shù)據(jù)流運(yùn)營(yíng)與計(jì)費(fèi)支持系統(tǒng)NFV編輯器（NFVO）VNF管理（VNFM）虛擬基礎(chǔ)架構(gòu)管理（VIM）EM#2EM#1EM#312345678910ETSI架構(gòu)的工作流程執(zhí)行步驟ETSINFV架構(gòu)工作流程第5步NFVO將創(chuàng)建虛擬機(jī)和這些虛擬機(jī)所需資源分配的請(qǐng)求發(fā)送到VIM。第4步因?yàn)镹FVO有關(guān)于硬件資源的信息，它會(huì)驗(yàn)證是否有足夠的可用資源以滿足虛擬機(jī)的創(chuàng)建。這時(shí)NFVO需要發(fā)起一個(gè)創(chuàng)建這些虛擬機(jī)的請(qǐng)求。第3步VNFM決定虛擬機(jī)需求數(shù)量，以及每一個(gè)虛擬機(jī)的資源需求，并將結(jié)果返回NFVO，提出可以完全滿足VNF的創(chuàng)建的需求。第2步NFVO對(duì)有需求的VNF進(jìn)行實(shí)例化，并與VNFM通信。第1步NFVO對(duì)端到端的拓?fù)渚哂锌梢曅浴?2345ETSI架構(gòu)的工作流程執(zhí)行步驟ETSINFV架構(gòu)工作流程第10步VNF被成功配置，VNFM告知NFVO:VNF已經(jīng)配置完成并準(zhǔn)備完畢，你可以隨時(shí)使用它。第9步VNFM就可以使用任何特定的參數(shù)配置VNF了。第8步NFVO通知VNFM:你所需要的虛擬機(jī)已經(jīng)創(chuàng)建完畢并且是可用狀態(tài)，你可以接管工作了。第7步一旦虛擬機(jī)被成功創(chuàng)建，VIM就會(huì)通知NFVO。第6步VIM要求虛擬化層創(chuàng)建這些虛擬機(jī)。12345NFV架構(gòu)的目的為什么要定義NFV的架構(gòu)？定義架構(gòu)的目的，是消除互操作性上的挑戰(zhàn)和實(shí)現(xiàn)實(shí)施的規(guī)范化(或說(shuō)是為了將挑戰(zhàn)降至最低,或變得更加實(shí)際)。這些功能模塊的目的和功能范圍在架構(gòu)中有很好的定義。廠商可以獨(dú)自開發(fā)這些功能，并將其部署到其他廠商開發(fā)的相關(guān)功能模塊中，從而順利地工作。只要實(shí)現(xiàn)方式遵循架構(gòu)定義的范圍和角色，并在通過(guò)參考點(diǎn)與其他模塊進(jìn)行通信時(shí)使用了開放的標(biāo)準(zhǔn)，則網(wǎng)絡(luò)就可以通過(guò)異構(gòu)的方式部署為NFV模式。這意味著服務(wù)提供商可以在不同功能模塊的部署上，靈活地對(duì)廠商進(jìn)行選擇。目錄ETSINFV架構(gòu)工作流程N(yùn)FV部署模式ETSINFV架構(gòu)優(yōu)勢(shì)及驅(qū)動(dòng)力NFV的部署方式對(duì)于硬件基礎(chǔ)設(shè)置層、虛擬資源層和網(wǎng)絡(luò)功能層，NFV部署方式主要有三種。軟硬件接耦單廠商三層解耦單廠商部署硬件基礎(chǔ)層虛擬資源層VIM網(wǎng)絡(luò)功能層VNFMNFVO廠商A單廠商部署單廠商方式即硬件基礎(chǔ)設(shè)施層，虛擬資源層和網(wǎng)絡(luò)功能層均由單一廠商提供，NFVO既可以選擇獨(dú)立部署，也可以選擇由同一廠商提供。該方式對(duì)接口開放性要求不高，可實(shí)現(xiàn)快速部署。軟硬件解耦硬件基礎(chǔ)層虛擬資源層VIM網(wǎng)絡(luò)功能層VNFMNFVO廠商A軟硬件解耦軟硬件解耦方式即虛擬資源層和網(wǎng)絡(luò)功能層由同一廠商提供，硬件基礎(chǔ)設(shè)施層由運(yùn)營(yíng)商同一采購(gòu)，NFVO獨(dú)立設(shè)置并定義相關(guān)模塊的接口，實(shí)現(xiàn)與不同廠商相關(guān)功能模塊的互通和適配廠商B三層解耦硬件基礎(chǔ)層虛擬資源層VIM網(wǎng)絡(luò)功能層VNFMNFVO廠商A廠商B廠商B三層解耦三層解耦方式即硬件基礎(chǔ)設(shè)施層、虛擬資源層和網(wǎng)絡(luò)功能層分別由不同的廠商提供。NFVO獨(dú)立設(shè)置并定義相關(guān)模塊的接口，實(shí)現(xiàn)與不同廠商相關(guān)功能模塊的互通和適配。本方式接口開放性要求高，能狗實(shí)現(xiàn)資源層的充分共享哪一種方式更加適合云化網(wǎng)絡(luò)呢？思考：三種方式中，哪一種最適合云化演進(jìn)的需求呢？目錄ETSINFV架構(gòu)工作流程N(yùn)FV部署模式ETSINFV架構(gòu)優(yōu)勢(shì)及驅(qū)動(dòng)力NFV架構(gòu)優(yōu)勢(shì)硬件靈活性更快速的生命周期可擴(kuò)展性和彈性可以利用現(xiàn)有工具敏捷性NFV架構(gòu)優(yōu)勢(shì)解讀硬件靈活性：由于NFV使用常規(guī)的COTS硬件，因此用戶可以自行選擇和部署硬件，以最有效的方式去滿足他們的需求。更快速的生命周期：有了NFV，就可以更快地部署新的網(wǎng)絡(luò)服務(wù)或特性，基于按需分配的模式，為最終用戶和網(wǎng)絡(luò)供應(yīng)商帶來(lái)好處。可擴(kuò)展性和彈性：VNF不受定制的物理硬件限制的約束，它們提供了極大的彈性。因此網(wǎng)絡(luò)不需要為適應(yīng)容量需求的變化而被過(guò)多地超量配置。可利用現(xiàn)有工具：由于NFV使用與當(dāng)前數(shù)據(jù)中心相同的基礎(chǔ)架構(gòu)，因此它可以支持并重復(fù)利用數(shù)據(jù)中心使用的部署和管理工具?？焖俨渴鸷蛷S商獨(dú)立性：NFV提供了一種可以輕松部署融合了不同廠商解決方案的方式，因此用戶不會(huì)再被一個(gè)特定的廠商所綁定，新的解決方案和功能可以快速投入生產(chǎn)，無(wú)須等待提供現(xiàn)有設(shè)備的廠商去開發(fā)和支持。NFV的市場(chǎng)驅(qū)動(dòng)力向云遷移新的業(yè)務(wù)服務(wù)節(jié)省資本費(fèi)用廠商獨(dú)立運(yùn)維費(fèi)用節(jié)省更低的門檻NFV市場(chǎng)驅(qū)動(dòng)力解讀（一）向云遷移：經(jīng)研究表明，在2015~2020年，NFV市場(chǎng)份額將以83.1%的年復(fù)合增長(zhǎng)率增長(zhǎng)至超過(guò)90億美金。這是一個(gè)容易被傳統(tǒng)供應(yīng)商錯(cuò)過(guò)的巨大市場(chǎng)，許多新的供應(yīng)商則正在進(jìn)入這個(gè)市場(chǎng)，如云提供商、服務(wù)提供商、企業(yè)、初創(chuàng)公司等。新的業(yè)務(wù)服務(wù)：NFV帶來(lái)了一個(gè)新的商業(yè)機(jī)會(huì)，使用大規(guī)模服務(wù)器部署實(shí)現(xiàn)托管式網(wǎng)絡(luò)和IT服務(wù)。這種類型的服務(wù)業(yè)務(wù)增長(zhǎng)非?？?，并且已經(jīng)被證明是一種高收入業(yè)務(wù)。節(jié)省資本費(fèi)用：NFV使用標(biāo)準(zhǔn)的高容量硬件(如服務(wù)器、交換機(jī)和存儲(chǔ)設(shè)備)，替代傳統(tǒng)網(wǎng)絡(luò)中的專用設(shè)備，并且能夠提供給用戶多元化的選擇方案NFV市場(chǎng)驅(qū)動(dòng)力解讀（二）節(jié)省運(yùn)維費(fèi)用：隨著NFV對(duì)標(biāo)準(zhǔn)架構(gòu)的推動(dòng)，綁定了結(jié)合廠商專有硬件和軟件的現(xiàn)有網(wǎng)絡(luò)將被被淘汰或份額降低。NFV在其功能模塊及融合現(xiàn)有管理工具方面鼓勵(lì)并支持使用開放標(biāo)準(zhǔn)。這使得NFV在服務(wù)器和數(shù)據(jù)中心，可以使用諸多現(xiàn)有廠商提供的獨(dú)立工具對(duì)網(wǎng)絡(luò)進(jìn)行部署和運(yùn)維，而不需要進(jìn)行新的投資。進(jìn)入門檻：對(duì)于傳統(tǒng)網(wǎng)絡(luò)設(shè)備，新的廠商或服務(wù)供應(yīng)商很難進(jìn)入市場(chǎng)。廠商的開發(fā)成本和供應(yīng)商搭建基礎(chǔ)架構(gòu)的成本成為了一種門檻，有很強(qiáng)的挑戰(zhàn)性。NFV通過(guò)開放的軟件實(shí)現(xiàn)多種網(wǎng)絡(luò)功能，并帶來(lái)更低的硬件成本，這種門檻就被消除了。NFV應(yīng)用案例RR可以率先遷移到x86架構(gòu)上，來(lái)更快的實(shí)現(xiàn)一些需求，比如：改變BGP的下一跳等等。利用NFV技術(shù)，將物理防火墻都各種板卡都轉(zhuǎn)化為虛擬機(jī)，這些虛擬機(jī)在內(nèi)部可以形成防火墻集群VRR虛擬反射路由器VFW虛擬防火墻ETSINFV的工作過(guò)程N(yùn)FV的部署模式NFV架構(gòu)的優(yōu)勢(shì)以及NFV架構(gòu)的驅(qū)動(dòng)力總結(jié)OpenStack關(guān)鍵網(wǎng)絡(luò)組件OpenStack概述了解Neutron的基本功能描述Neutron網(wǎng)絡(luò)資源完成Neutron架構(gòu)的學(xué)習(xí)描述Neutron典型操作教學(xué)目標(biāo)目錄Neutron概述Neutron網(wǎng)絡(luò)資源Neutron架構(gòu)Neutron典型操作傳統(tǒng)的網(wǎng)絡(luò)管理方式很大程度上依賴于管理員手工配置和維護(hù)各種網(wǎng)絡(luò)硬件設(shè)備；而云環(huán)境下的網(wǎng)絡(luò)已經(jīng)變得非常復(fù)雜，特別是在多租戶場(chǎng)景里，用戶隨時(shí)都可能需要?jiǎng)?chuàng)建、修改和刪除網(wǎng)絡(luò)，網(wǎng)絡(luò)的連通性和隔離不已經(jīng)太可能通過(guò)手工配置來(lái)保證了。如何快速響應(yīng)業(yè)務(wù)的需求對(duì)網(wǎng)絡(luò)管理提出了更高的要求。傳統(tǒng)的網(wǎng)絡(luò)管理方式已經(jīng)很難勝任這項(xiàng)工作，而“軟件定義網(wǎng)絡(luò)（software-definednetworking,SDN）”所具有的靈活性和自動(dòng)化優(yōu)勢(shì)使其成為云時(shí)代網(wǎng)絡(luò)管理的主流。Neutron的設(shè)計(jì)目標(biāo)是實(shí)現(xiàn)“網(wǎng)絡(luò)即服務(wù)（NetworkingasaService）”。為了達(dá)到這一目標(biāo)，在設(shè)計(jì)上遵循了基于SDN實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化的原則，在實(shí)現(xiàn)上充分利用了Linux系統(tǒng)上的各種網(wǎng)絡(luò)相關(guān)的技術(shù)。SDN模式服務(wù)—NeutronSDN(軟件定義網(wǎng)絡(luò)),通過(guò)使用它，網(wǎng)絡(luò)管理員和云計(jì)算操作員可以通過(guò)程序來(lái)動(dòng)態(tài)定義虛擬網(wǎng)絡(luò)設(shè)備。Openstack網(wǎng)絡(luò)中的SDN組件就是Quantum.但因?yàn)榘鏅?quán)問(wèn)題而改名為Neutron。Neutron概述Neutron為整個(gè)OpenStack環(huán)境提供網(wǎng)絡(luò)支持，包括二層交換，三層路由，負(fù)載均衡，防火墻等。Neutron提供了一個(gè)靈活的框架，通過(guò)配置，無(wú)論是開源還是商業(yè)軟件都可以被用來(lái)實(shí)現(xiàn)這些功能。二層交換

Switching

Nova的Instance是通過(guò)虛擬交換機(jī)連接到虛擬二層網(wǎng)絡(luò)的。

Neutron支持多種虛擬交換機(jī)，包括Linux原生的LinuxBridge和第三方OpenvSwitch。

利用

LinuxBridge和OVS，Neutron除了可以創(chuàng)建傳統(tǒng)的VLAN網(wǎng)絡(luò)，還可以創(chuàng)建基于隧道技術(shù)的

Overlay網(wǎng)絡(luò)，比如VxLAN和GRE（LinuxBridge目前只支持VxLAN，此外，由于GRE容易單點(diǎn)故障已經(jīng)被棄用）。

OpenvSwitch--（OVS）是一個(gè)開源的虛擬交換機(jī)，它支持標(biāo)準(zhǔn)的管理接口和協(xié)議。比Linuxbridge的功能更強(qiáng)大，是為了配合Neutron而產(chǎn)生的。三層路由

Routing

Instance可以配置不同網(wǎng)段的IP，Neutron的router（虛擬路由器）實(shí)現(xiàn)instance跨網(wǎng)段通信。router通過(guò)IPforwarding，iptables等技術(shù)來(lái)實(shí)現(xiàn)路由和NAT。dhcp獲取的地址一般是私網(wǎng)地址，極個(gè)別是公網(wǎng)地址，這取決于使用了哪種通訊方式。Neutron的功能（1）負(fù)載均衡

LoadBalancing

提供了將負(fù)載分發(fā)到多個(gè)

instance的能力。LBaaS支持多種負(fù)載均衡產(chǎn)品和方案，不同的實(shí)現(xiàn)以

Plugin的形式集成到Neutron，目前默認(rèn)的Plugin是HAProxy。所以不用搭建LVS，直接設(shè)置策略就可以。防火墻

Firewalling

SecurityGroup通過(guò)iptables限制進(jìn)出instance的網(wǎng)絡(luò)包。

Firewall-as-a-ServiceFWaaS，限制進(jìn)出虛擬路由器的網(wǎng)絡(luò)包，也是通過(guò)iptables實(shí)現(xiàn)。

防火墻的本質(zhì)都是使用內(nèi)核掛載的filter模塊，只不過(guò)實(shí)現(xiàn)的方式有所區(qū)別，firewalld是利用分區(qū)實(shí)現(xiàn)，iptables是利用三表五鏈實(shí)現(xiàn)。Neutron的功能（2）目錄Neutron概述Neutron網(wǎng)絡(luò)資源Neutron架構(gòu)Neutron典型操作Neutron的網(wǎng)絡(luò)資源-NetworkLocal：網(wǎng)絡(luò)中的

instance只能與位于同一節(jié)點(diǎn)上同一網(wǎng)絡(luò)的instance通信，local網(wǎng)絡(luò)主要用于單機(jī)測(cè)試。Flat：網(wǎng)絡(luò)是無(wú)

vlantagging的網(wǎng)絡(luò)，其實(shí)就是交換機(jī)形成的二層網(wǎng)絡(luò)，和網(wǎng)橋一樣。flat網(wǎng)絡(luò)中的instance能與位于同一網(wǎng)絡(luò)的instance通信，并且可以跨多個(gè)節(jié)點(diǎn)。VLAN：網(wǎng)絡(luò)是具有

802.1qtagging的網(wǎng)絡(luò)，一共可以劃分4095個(gè)子網(wǎng)。vlan是一個(gè)二層的廣播域，同一vlan中的instance可以通信，不同vlan只能通過(guò)router通信。vlan網(wǎng)絡(luò)可以跨節(jié)點(diǎn)，是應(yīng)用最廣泛的網(wǎng)絡(luò)類型。

VxLAN：基于隧道技術(shù)的

overlay網(wǎng)絡(luò)，是VLAN的擴(kuò)展。VxLAN有1600萬(wàn)個(gè)VNI編號(hào)，足夠在云計(jì)算平臺(tái)使用了。vxlan網(wǎng)絡(luò)通過(guò)唯一的segmentationID（也叫VNI）與其他vxlan網(wǎng)絡(luò)區(qū)分。vxlan中數(shù)據(jù)包會(huì)通過(guò)VNI封裝成UPD包進(jìn)行傳輸。因?yàn)槎拥陌ㄟ^(guò)封裝在三層傳輸，能夠克服

vlan和物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施的限制。Linuxbridge只支持VxLAN。GRE：與

vxlan類似的一種overlay網(wǎng)絡(luò)。主要區(qū)別在于使用IP包而非UDP進(jìn)行封裝。不同

network之間在二層上是隔離的?，F(xiàn)在已經(jīng)被棄用了。network必須屬于某個(gè)Project（Tenant租戶），Project中可以創(chuàng)建多個(gè)network。network與Project之間是多對(duì)1的關(guān)系。subnet是一個(gè)IPv4或者IPv6地址段。instance的IP從subnet中分配。每個(gè)subnet需要定義

IP地址的范圍和掩碼。

subnet與network是1對(duì)多關(guān)系。一個(gè)

subnet只能屬于某個(gè)network；一個(gè)

network可以有多個(gè)

subnet，這些subnet可以是不同的IP段，但不能重疊。例如，以下這兩種設(shè)置都是被允許的：Neutron的網(wǎng)絡(luò)資源–Subnetport可以看做虛擬交換機(jī)上的一個(gè)端口。port上直接定義了MAC地址和IP地址，當(dāng)instance的虛擬網(wǎng)卡

VIF（VirtualInterface）綁定到port時(shí)，port會(huì)將MAC和IP分配給VIF。而原來(lái)我們做網(wǎng)橋時(shí)，是虛擬機(jī)的網(wǎng)卡eth0在物理機(jī)里對(duì)應(yīng)的是vnet0，vnet0是加在br0上的。

port與subnet是1對(duì)多關(guān)系。一個(gè)

port必須屬于某個(gè)subnet；一個(gè)

subnet可以有多個(gè)port。有了port直接定義MAC與IP就不用使用ARP與RARP協(xié)議了。Neutron的網(wǎng)絡(luò)資源–PortNeutron定義的三大網(wǎng)絡(luò)資源只是二層的網(wǎng)絡(luò)資源，與三層的沒有關(guān)系。目錄Neutron概述Neutron網(wǎng)絡(luò)資源Neutron架構(gòu)Neutron典型操作與openstack其他服務(wù)和組件的設(shè)計(jì)思路一樣，Neutron也采用分布式架構(gòu)，由多個(gè)組件（服務(wù)）共同對(duì)外提供網(wǎng)絡(luò)服務(wù)。Neutron架構(gòu)非常靈活，層次多一方面是為了支持各種現(xiàn)有或者將來(lái)會(huì)出現(xiàn)的先進(jìn)網(wǎng)絡(luò)技術(shù)加入到架構(gòu)中，有足夠的邏輯擴(kuò)展性另一方面支持分布式部署，可以獲得足夠的物理擴(kuò)展性；比如擴(kuò)展計(jì)算節(jié)點(diǎn)，Neutron只需要增加一個(gè)相應(yīng)的計(jì)算組件即可。Neutron架構(gòu)Neutron-server收到創(chuàng)建網(wǎng)絡(luò)的請(qǐng)求，通過(guò)消息隊(duì)列（rabbit）告知已注冊(cè)的linuxbridge插件，這里假設(shè)網(wǎng)絡(luò)提供者為linuxbridgelinuxbridge將要?jiǎng)?chuàng)建的網(wǎng)絡(luò)信息保存到數(shù)據(jù)庫(kù)，并通過(guò)消息隊(duì)列傳話筒通知運(yùn)行在各個(gè)節(jié)點(diǎn)上的代理代理收到信息后會(huì)在節(jié)點(diǎn)上的物理網(wǎng)卡上創(chuàng)建vlan設(shè)備（比如物理接口的子接口，eth1.10），并創(chuàng)建一個(gè)網(wǎng)橋來(lái)橋接網(wǎng)絡(luò)設(shè)備。創(chuàng)建vlan10虛擬網(wǎng)絡(luò)的流程N(yùn)eutron-server提供一組API來(lái)定義網(wǎng)絡(luò)連接和IP地址，也就是提供一個(gè)IP地址，供nova等客戶端調(diào)用，讓我們?nèi)ミB接，去發(fā)出指令它本身也是一個(gè)分層的模型設(shè)計(jì)Neutron架構(gòu)-NeutronServer（1）CoreAPI：對(duì)外提供管理network,subnet和port的RESTfulAPI。ExtensionAPI：對(duì)外提供管理router,loadbalance,firewall等資源的RESTfulAPI。CommnonService：認(rèn)證和校驗(yàn)API請(qǐng)求。NeutronCore：Neutronserver的核心處理程序，通過(guò)調(diào)用相應(yīng)的Plugin處理請(qǐng)求。CorePluginAPI：定義了CorePlgin的抽象功能集合，NeutronCore通過(guò)該API調(diào)用相應(yīng)的CorePlgin。ExtensionPluginAPI：定義了ServicePlgin的抽象功能集合，NeutronCore通過(guò)該API調(diào)用相應(yīng)的ServicePlgin。CorePlugin：實(shí)現(xiàn)了CorePluginAPI，在數(shù)據(jù)庫(kù)中維護(hù)network,subnet和port的狀態(tài)，并負(fù)責(zé)調(diào)用相應(yīng)的agent在networkprovider上執(zhí)行相關(guān)操作，比如創(chuàng)建network。ServicePlugin：實(shí)現(xiàn)了ExtensionPluginAPI，在數(shù)據(jù)庫(kù)中維護(hù)router,loadbalance,securitygroup等資源的狀態(tài)，并負(fù)責(zé)調(diào)用相應(yīng)的agent在networkprovider上執(zhí)行相關(guān)操作，比如創(chuàng)建router。Neutron架構(gòu)-NeutronServer（2）Neutron遵循openstack的設(shè)計(jì)原則，采用開放式架構(gòu)，通過(guò)插件、代理與網(wǎng)絡(luò)提供者的配合來(lái)實(shí)現(xiàn)各種網(wǎng)絡(luò)功能插件是Neutron的一種API的后端實(shí)現(xiàn)，目的是增強(qiáng)擴(kuò)展性。插件按照功能可分為coreplugin和service兩種類型；由corepluginAPI和extensionpluginAPI去調(diào)用coreplugin提供基礎(chǔ)二層虛擬網(wǎng)絡(luò)支持，實(shí)現(xiàn)網(wǎng)絡(luò)、子網(wǎng)和端口核心資源的支持serviceplugin提供coreplugin之外的功能，提供路由器、防火墻、安全組、負(fù)載均衡扽該服務(wù)支持Neutron架構(gòu)-Core-plugin插件（1）Neutron可以通過(guò)開發(fā)不同的plugin和agent支持不同的網(wǎng)絡(luò)技術(shù)，但是隨著支持的networkprovider數(shù)量的增加，開發(fā)人員面臨兩個(gè)突出的問(wèn)題：只能在OpenStack中使用一種coreplugin，多種networkprovider無(wú)法共存。只使用一個(gè)coreplugin本身沒有問(wèn)題。但問(wèn)題在于傳統(tǒng)的coreplugin與corepluginagent是一一對(duì)應(yīng)的。也就是說(shuō)，如果選擇了linuxbridgeplugin，那么linuxbridgeagent將是唯一選擇，就必須在OpenStack的所有節(jié)點(diǎn)上使用linuxbridge作為虛擬交換機(jī)（即networkprovider）。不同plugin之間存在大量重復(fù)代碼，開發(fā)新的plugin工作量大。所有傳統(tǒng)的coreplugin都需要編寫大量重復(fù)和類似的數(shù)據(jù)庫(kù)訪問(wèn)的代碼，大大增加了plugin開發(fā)和維護(hù)的工作量。Neutron架構(gòu)-Core-plugin插件（2）ModulerLayer2（ML2）：是Neutron在Havana版本實(shí)現(xiàn)的一個(gè)新的coreplugin，用于替代原有的linuxbridgeplugin和openvswitchplugin。作為新一代的coreplugin，提供了一個(gè)框架，允許在OpenStack網(wǎng)絡(luò)中同時(shí)使用多種Layer2網(wǎng)絡(luò)技術(shù)，不同的節(jié)點(diǎn)可以使用不同的網(wǎng)絡(luò)實(shí)現(xiàn)機(jī)制。ML2對(duì)二層網(wǎng)絡(luò)進(jìn)行抽象和建模，引入了typedriver和mechansimdriver。這兩類driver解耦了Neutron所支持的網(wǎng)絡(luò)類型（type）與訪問(wèn)這些網(wǎng)絡(luò)類型的機(jī)制（mechanism），其結(jié)果就是使得ML2具有非常好的彈性，易于擴(kuò)展，能夠靈活支持多種type和mechanism。Neutron架構(gòu)-Core-plugin插件（3）TypeDriver：Neutron支持的每一種網(wǎng)絡(luò)類型都有一個(gè)對(duì)應(yīng)的ML2typedriver。typedriver負(fù)責(zé)維護(hù)網(wǎng)絡(luò)類型的狀態(tài)，執(zhí)行驗(yàn)證，創(chuàng)建網(wǎng)絡(luò)等。ML2支持的網(wǎng)絡(luò)類型包括local,flat,vlan,vxlan和gre。MechansimDriver：Neutron支持的每一種網(wǎng)絡(luò)機(jī)制都有一個(gè)對(duì)應(yīng)的ML2mechansimdriver。mechanismdriver負(fù)責(zé)獲取由typedriver維護(hù)的網(wǎng)絡(luò)狀態(tài)，并確保在相應(yīng)的網(wǎng)絡(luò)設(shè)備（物理或虛擬）上正確實(shí)現(xiàn)這些狀態(tài)。Agent-based類型：包括linuxbridge,openvswitch等Controller-based類型：包括OpenDaylight,VMWareNSX等基于物理交換機(jī)：包括CiscoNexus,Arista,Mellanox等。Neutron架構(gòu)-Core-plugin插件（4）CorePlugin/Agent負(fù)責(zé)管理核心實(shí)體：net,subnet和port。而對(duì)于更高級(jí)的網(wǎng)絡(luò)服務(wù)，則由ServicePlugin/Agent管理。ServicePlugin及其Agent提供更豐富的擴(kuò)展功能，包括路由，loadbalance，firewall等。DHCP：dhcpagent通過(guò)dnsmasq為instance提供dhcp服務(wù)。Routing：l3agent可以為project（租戶）創(chuàng)建router，提供Neutronsubnet之間的路由服務(wù)。路由功能默認(rèn)通過(guò)IPtables實(shí)現(xiàn)。Neutron架構(gòu)-ServicePlugin/Agent（1）Firewall：l3agent可以在router上配置防火墻策略，提供網(wǎng)絡(luò)安全防護(hù)。另一個(gè)與安全相關(guān)的功能是SecurityGroup，也是通過(guò)IPtables實(shí)現(xiàn)。Firewall與SecurityGroup的區(qū)別在于：Firewall安全策略位于router，保護(hù)的是某個(gè)project的所有network。