《虛擬化技術(shù)與應(yīng)用》 課件 11-ETSI的工作流程與部署模式；12-OpenStack網(wǎng)絡(luò)組件之Neutron

ETSI的工作流程與部署模式了解ETSINFV的工作過程熟悉NFV的部署模式熟悉NFV架構(gòu)的優(yōu)勢以及NFV架構(gòu)的驅(qū)動力教學(xué)目標(biāo)目錄ETSINFV架構(gòu)工作流程NFV部署模式ETSINFV架構(gòu)優(yōu)勢及驅(qū)動力ETSINFV架構(gòu)工作流程計算硬件、存儲硬件、軟件硬件虛擬化層虛擬計算虛擬存儲虛擬網(wǎng)絡(luò)網(wǎng)絡(luò)功能虛擬化架構(gòu)（NFVI）VNF#2VNF#1VNF#3虛擬網(wǎng)絡(luò)功能（VNF）NFV管理與編排ETSINFV架構(gòu)中端到端的數(shù)據(jù)流運營與計費支持系統(tǒng)NFV編輯器（NFVO）VNF管理（VNFM）虛擬基礎(chǔ)架構(gòu)管理（VIM）EM#2EM#1EM#312345678910ETSI架構(gòu)的工作流程執(zhí)行步驟ETSINFV架構(gòu)工作流程第5步NFVO將創(chuàng)建虛擬機和這些虛擬機所需資源分配的請求發(fā)送到VIM。第4步因為NFVO有關(guān)于硬件資源的信息，它會驗證是否有足夠的可用資源以滿足虛擬機的創(chuàng)建。這時NFVO需要發(fā)起一個創(chuàng)建這些虛擬機的請求。第3步VNFM決定虛擬機需求數(shù)量，以及每一個虛擬機的資源需求，并將結(jié)果返回NFVO，提出可以完全滿足VNF的創(chuàng)建的需求。第2步NFVO對有需求的VNF進(jìn)行實例化，并與VNFM通信。第1步NFVO對端到端的拓?fù)渚哂锌梢曅浴?2345ETSI架構(gòu)的工作流程執(zhí)行步驟ETSINFV架構(gòu)工作流程第10步VNF被成功配置，VNFM告知NFVO:VNF已經(jīng)配置完成并準(zhǔn)備完畢，你可以隨時使用它。第9步VNFM就可以使用任何特定的參數(shù)配置VNF了。第8步NFVO通知VNFM:你所需要的虛擬機已經(jīng)創(chuàng)建完畢并且是可用狀態(tài)，你可以接管工作了。第7步一旦虛擬機被成功創(chuàng)建，VIM就會通知NFVO。第6步VIM要求虛擬化層創(chuàng)建這些虛擬機。12345NFV架構(gòu)的目的為什么要定義NFV的架構(gòu)？定義架構(gòu)的目的，是消除互操作性上的挑戰(zhàn)和實現(xiàn)實施的規(guī)范化(或說是為了將挑戰(zhàn)降至最低,或變得更加實際)。這些功能模塊的目的和功能范圍在架構(gòu)中有很好的定義。廠商可以獨自開發(fā)這些功能，并將其部署到其他廠商開發(fā)的相關(guān)功能模塊中，從而順利地工作。只要實現(xiàn)方式遵循架構(gòu)定義的范圍和角色，并在通過參考點與其他模塊進(jìn)行通信時使用了開放的標(biāo)準(zhǔn)，則網(wǎng)絡(luò)就可以通過異構(gòu)的方式部署為NFV模式。這意味著服務(wù)提供商可以在不同功能模塊的部署上，靈活地對廠商進(jìn)行選擇。目錄ETSINFV架構(gòu)工作流程NFV部署模式ETSINFV架構(gòu)優(yōu)勢及驅(qū)動力NFV的部署方式對于硬件基礎(chǔ)設(shè)置層、虛擬資源層和網(wǎng)絡(luò)功能層，NFV部署方式主要有三種。軟硬件接耦單廠商三層解耦單廠商部署硬件基礎(chǔ)層虛擬資源層VIM網(wǎng)絡(luò)功能層VNFMNFVO廠商A單廠商部署單廠商方式即硬件基礎(chǔ)設(shè)施層，虛擬資源層和網(wǎng)絡(luò)功能層均由單一廠商提供，NFVO既可以選擇獨立部署，也可以選擇由同一廠商提供。該方式對接口開放性要求不高，可實現(xiàn)快速部署。軟硬件解耦硬件基礎(chǔ)層虛擬資源層VIM網(wǎng)絡(luò)功能層VNFMNFVO廠商A軟硬件解耦軟硬件解耦方式即虛擬資源層和網(wǎng)絡(luò)功能層由同一廠商提供，硬件基礎(chǔ)設(shè)施層由運營商同一采購，NFVO獨立設(shè)置并定義相關(guān)模塊的接口，實現(xiàn)與不同廠商相關(guān)功能模塊的互通和適配廠商B三層解耦硬件基礎(chǔ)層虛擬資源層VIM網(wǎng)絡(luò)功能層VNFMNFVO廠商A廠商B廠商B三層解耦三層解耦方式即硬件基礎(chǔ)設(shè)施層、虛擬資源層和網(wǎng)絡(luò)功能層分別由不同的廠商提供。NFVO獨立設(shè)置并定義相關(guān)模塊的接口，實現(xiàn)與不同廠商相關(guān)功能模塊的互通和適配。本方式接口開放性要求高，能狗實現(xiàn)資源層的充分共享哪一種方式更加適合云化網(wǎng)絡(luò)呢？思考：三種方式中，哪一種最適合云化演進(jìn)的需求呢？目錄ETSINFV架構(gòu)工作流程NFV部署模式ETSINFV架構(gòu)優(yōu)勢及驅(qū)動力NFV架構(gòu)優(yōu)勢硬件靈活性更快速的生命周期可擴(kuò)展性和彈性可以利用現(xiàn)有工具敏捷性NFV架構(gòu)優(yōu)勢解讀硬件靈活性：由于NFV使用常規(guī)的COTS硬件，因此用戶可以自行選擇和部署硬件，以最有效的方式去滿足他們的需求。更快速的生命周期：有了NFV，就可以更快地部署新的網(wǎng)絡(luò)服務(wù)或特性，基于按需分配的模式，為最終用戶和網(wǎng)絡(luò)供應(yīng)商帶來好處。可擴(kuò)展性和彈性：VNF不受定制的物理硬件限制的約束，它們提供了極大的彈性。因此網(wǎng)絡(luò)不需要為適應(yīng)容量需求的變化而被過多地超量配置?？衫矛F(xiàn)有工具：由于NFV使用與當(dāng)前數(shù)據(jù)中心相同的基礎(chǔ)架構(gòu)，因此它可以支持并重復(fù)利用數(shù)據(jù)中心使用的部署和管理工具?？焖俨渴鸷蛷S商獨立性：NFV提供了一種可以輕松部署融合了不同廠商解決方案的方式，因此用戶不會再被一個特定的廠商所綁定，新的解決方案和功能可以快速投入生產(chǎn)，無須等待提供現(xiàn)有設(shè)備的廠商去開發(fā)和支持。NFV的市場驅(qū)動力向云遷移新的業(yè)務(wù)服務(wù)節(jié)省資本費用廠商獨立運維費用節(jié)省更低的門檻NFV市場驅(qū)動力解讀（一）向云遷移：經(jīng)研究表明，在2015~2020年，NFV市場份額將以83.1%的年復(fù)合增長率增長至超過90億美金。這是一個容易被傳統(tǒng)供應(yīng)商錯過的巨大市場，許多新的供應(yīng)商則正在進(jìn)入這個市場，如云提供商、服務(wù)提供商、企業(yè)、初創(chuàng)公司等。新的業(yè)務(wù)服務(wù)：NFV帶來了一個新的商業(yè)機會，使用大規(guī)模服務(wù)器部署實現(xiàn)托管式網(wǎng)絡(luò)和IT服務(wù)。這種類型的服務(wù)業(yè)務(wù)增長非常快，并且已經(jīng)被證明是一種高收入業(yè)務(wù)。節(jié)省資本費用：NFV使用標(biāo)準(zhǔn)的高容量硬件(如服務(wù)器、交換機和存儲設(shè)備)，替代傳統(tǒng)網(wǎng)絡(luò)中的專用設(shè)備，并且能夠提供給用戶多元化的選擇方案NFV市場驅(qū)動力解讀（二）節(jié)省運維費用：隨著NFV對標(biāo)準(zhǔn)架構(gòu)的推動，綁定了結(jié)合廠商專有硬件和軟件的現(xiàn)有網(wǎng)絡(luò)將被被淘汰或份額降低。NFV在其功能模塊及融合現(xiàn)有管理工具方面鼓勵并支持使用開放標(biāo)準(zhǔn)。這使得NFV在服務(wù)器和數(shù)據(jù)中心，可以使用諸多現(xiàn)有廠商提供的獨立工具對網(wǎng)絡(luò)進(jìn)行部署和運維，而不需要進(jìn)行新的投資。進(jìn)入門檻：對于傳統(tǒng)網(wǎng)絡(luò)設(shè)備，新的廠商或服務(wù)供應(yīng)商很難進(jìn)入市場。廠商的開發(fā)成本和供應(yīng)商搭建基礎(chǔ)架構(gòu)的成本成為了一種門檻，有很強的挑戰(zhàn)性。NFV通過開放的軟件實現(xiàn)多種網(wǎng)絡(luò)功能，并帶來更低的硬件成本，這種門檻就被消除了。NFV應(yīng)用案例RR可以率先遷移到x86架構(gòu)上，來更快的實現(xiàn)一些需求，比如：改變BGP的下一跳等等。利用NFV技術(shù)，將物理防火墻都各種板卡都轉(zhuǎn)化為虛擬機，這些虛擬機在內(nèi)部可以形成防火墻集群VRR虛擬反射路由器VFW虛擬防火墻ETSINFV的工作過程NFV的部署模式NFV架構(gòu)的優(yōu)勢以及NFV架構(gòu)的驅(qū)動力總結(jié)OpenStack關(guān)鍵網(wǎng)絡(luò)組件OpenStack概述了解Neutron的基本功能描述Neutron網(wǎng)絡(luò)資源完成Neutron架構(gòu)的學(xué)習(xí)描述Neutron典型操作教學(xué)目標(biāo)目錄Neutron概述Neutron網(wǎng)絡(luò)資源Neutron架構(gòu)Neutron典型操作傳統(tǒng)的網(wǎng)絡(luò)管理方式很大程度上依賴于管理員手工配置和維護(hù)各種網(wǎng)絡(luò)硬件設(shè)備；而云環(huán)境下的網(wǎng)絡(luò)已經(jīng)變得非常復(fù)雜，特別是在多租戶場景里，用戶隨時都可能需要創(chuàng)建、修改和刪除網(wǎng)絡(luò)，網(wǎng)絡(luò)的連通性和隔離不已經(jīng)太可能通過手工配置來保證了。如何快速響應(yīng)業(yè)務(wù)的需求對網(wǎng)絡(luò)管理提出了更高的要求。傳統(tǒng)的網(wǎng)絡(luò)管理方式已經(jīng)很難勝任這項工作，而“軟件定義網(wǎng)絡(luò)（software-definednetworking,SDN）”所具有的靈活性和自動化優(yōu)勢使其成為云時代網(wǎng)絡(luò)管理的主流。Neutron的設(shè)計目標(biāo)是實現(xiàn)“網(wǎng)絡(luò)即服務(wù)（NetworkingasaService）”。為了達(dá)到這一目標(biāo)，在設(shè)計上遵循了基于SDN實現(xiàn)網(wǎng)絡(luò)虛擬化的原則，在實現(xiàn)上充分利用了Linux系統(tǒng)上的各種網(wǎng)絡(luò)相關(guān)的技術(shù)。SDN模式服務(wù)—NeutronSDN(軟件定義網(wǎng)絡(luò)),通過使用它，網(wǎng)絡(luò)管理員和云計算操作員可以通過程序來動態(tài)定義虛擬網(wǎng)絡(luò)設(shè)備。Openstack網(wǎng)絡(luò)中的SDN組件就是Quantum.但因為版權(quán)問題而改名為Neutron。Neutron概述Neutron為整個OpenStack環(huán)境提供網(wǎng)絡(luò)支持，包括二層交換，三層路由，負(fù)載均衡，防火墻等。Neutron提供了一個靈活的框架，通過配置，無論是開源還是商業(yè)軟件都可以被用來實現(xiàn)這些功能。二層交換

Switching

Nova的Instance是通過虛擬交換機連接到虛擬二層網(wǎng)絡(luò)的。

Neutron支持多種虛擬交換機，包括Linux原生的LinuxBridge和第三方OpenvSwitch。

利用

LinuxBridge和OVS，Neutron除了可以創(chuàng)建傳統(tǒng)的VLAN網(wǎng)絡(luò)，還可以創(chuàng)建基于隧道技術(shù)的

Overlay網(wǎng)絡(luò)，比如VxLAN和GRE（LinuxBridge目前只支持VxLAN，此外，由于GRE容易單點故障已經(jīng)被棄用）。

OpenvSwitch--（OVS）是一個開源的虛擬交換機，它支持標(biāo)準(zhǔn)的管理接口和協(xié)議。比Linuxbridge的功能更強大，是為了配合Neutron而產(chǎn)生的。三層路由

Routing

Instance可以配置不同網(wǎng)段的IP，Neutron的router（虛擬路由器）實現(xiàn)instance跨網(wǎng)段通信。router通過IPforwarding，iptables等技術(shù)來實現(xiàn)路由和NAT。dhcp獲取的地址一般是私網(wǎng)地址，極個別是公網(wǎng)地址，這取決于使用了哪種通訊方式。Neutron的功能（1）負(fù)載均衡

LoadBalancing

提供了將負(fù)載分發(fā)到多個

instance的能力。LBaaS支持多種負(fù)載均衡產(chǎn)品和方案，不同的實現(xiàn)以

Plugin的形式集成到Neutron，目前默認(rèn)的Plugin是HAProxy。所以不用搭建LVS，直接設(shè)置策略就可以。防火墻

Firewalling

SecurityGroup通過iptables限制進(jìn)出instance的網(wǎng)絡(luò)包。

Firewall-as-a-ServiceFWaaS，限制進(jìn)出虛擬路由器的網(wǎng)絡(luò)包，也是通過iptables實現(xiàn)。

防火墻的本質(zhì)都是使用內(nèi)核掛載的filter模塊，只不過實現(xiàn)的方式有所區(qū)別，firewalld是利用分區(qū)實現(xiàn)，iptables是利用三表五鏈實現(xiàn)。Neutron的功能（2）目錄Neutron概述Neutron網(wǎng)絡(luò)資源Neutron架構(gòu)Neutron典型操作Neutron的網(wǎng)絡(luò)資源-NetworkLocal：網(wǎng)絡(luò)中的

instance只能與位于同一節(jié)點上同一網(wǎng)絡(luò)的instance通信，local網(wǎng)絡(luò)主要用于單機測試。Flat：網(wǎng)絡(luò)是無

vlantagging的網(wǎng)絡(luò)，其實就是交換機形成的二層網(wǎng)絡(luò)，和網(wǎng)橋一樣。flat網(wǎng)絡(luò)中的instance能與位于同一網(wǎng)絡(luò)的instance通信，并且可以跨多個節(jié)點。VLAN：網(wǎng)絡(luò)是具有

802.1qtagging的網(wǎng)絡(luò)，一共可以劃分4095個子網(wǎng)。vlan是一個二層的廣播域，同一vlan中的instance可以通信，不同vlan只能通過router通信。vlan網(wǎng)絡(luò)可以跨節(jié)點，是應(yīng)用最廣泛的網(wǎng)絡(luò)類型。

VxLAN：基于隧道技術(shù)的

overlay網(wǎng)絡(luò)，是VLAN的擴(kuò)展。VxLAN有1600萬個VNI編號，足夠在云計算平臺使用了。vxlan網(wǎng)絡(luò)通過唯一的segmentationID（也叫VNI）與其他vxlan網(wǎng)絡(luò)區(qū)分。vxlan中數(shù)據(jù)包會通過VNI封裝成UPD包進(jìn)行傳輸。因為二層的包通過封裝在三層傳輸，能夠克服

vlan和物理網(wǎng)絡(luò)基礎(chǔ)設(shè)施的限制。Linuxbridge只支持VxLAN。GRE：與

vxlan類似的一種overlay網(wǎng)絡(luò)。主要區(qū)別在于使用IP包而非UDP進(jìn)行封裝。不同

network之間在二層上是隔離的。現(xiàn)在已經(jīng)被棄用了。network必須屬于某個Project（Tenant租戶），Project中可以創(chuàng)建多個network。network與Project之間是多對1的關(guān)系。subnet是一個IPv4或者IPv6地址段。instance的IP從subnet中分配。每個subnet需要定義

IP地址的范圍和掩碼。

subnet與network是1對多關(guān)系。一個

subnet只能屬于某個network；一個

network可以有多個

subnet，這些subnet可以是不同的IP段，但不能重疊。例如，以下這兩種設(shè)置都是被允許的：Neutron的網(wǎng)絡(luò)資源–Subnetport可以看做虛擬交換機上的一個端口。port上直接定義了MAC地址和IP地址，當(dāng)instance的虛擬網(wǎng)卡

VIF（VirtualInterface）綁定到port時，port會將MAC和IP分配給VIF。而原來我們做網(wǎng)橋時，是虛擬機的網(wǎng)卡eth0在物理機里對應(yīng)的是vnet0，vnet0是加在br0上的。

port與subnet是1對多關(guān)系。一個

port必須屬于某個subnet；一個

subnet可以有多個port。有了port直接定義MAC與IP就不用使用ARP與RARP協(xié)議了。Neutron的網(wǎng)絡(luò)資源–PortNeutron定義的三大網(wǎng)絡(luò)資源只是二層的網(wǎng)絡(luò)資源，與三層的沒有關(guān)系。目錄Neutron概述Neutron網(wǎng)絡(luò)資源Neutron架構(gòu)Neutron典型操作與openstack其他服務(wù)和組件的設(shè)計思路一樣，Neutron也采用分布式架構(gòu)，由多個組件（服務(wù)）共同對外提供網(wǎng)絡(luò)服務(wù)。Neutron架構(gòu)非常靈活，層次多一方面是為了支持各種現(xiàn)有或者將來會出現(xiàn)的先進(jìn)網(wǎng)絡(luò)技術(shù)加入到架構(gòu)中，有足夠的邏輯擴(kuò)展性另一方面支持分布式部署，可以獲得足夠的物理擴(kuò)展性；比如擴(kuò)展計算節(jié)點，Neutron只需要增加一個相應(yīng)的計算組件即可。Neutron架構(gòu)Neutron-server收到創(chuàng)建網(wǎng)絡(luò)的請求，通過消息隊列（rabbit）告知已注冊的linuxbridge插件，這里假設(shè)網(wǎng)絡(luò)提供者為linuxbridgelinuxbridge將要創(chuàng)建的網(wǎng)絡(luò)信息保存到數(shù)據(jù)庫，并通過消息隊列傳話筒通知運行在各個節(jié)點上的代理代理收到信息后會在節(jié)點上的物理網(wǎng)卡上創(chuàng)建vlan設(shè)備（比如物理接口的子接口，eth1.10），并創(chuàng)建一個網(wǎng)橋來橋接網(wǎng)絡(luò)設(shè)備。創(chuàng)建vlan10虛擬網(wǎng)絡(luò)的流程Neutron-server提供一組API來定義網(wǎng)絡(luò)連接和IP地址，也就是提供一個IP地址，供nova等客戶端調(diào)用，讓我們?nèi)ミB接，去發(fā)出指令它本身也是一個分層的模型設(shè)計Neutron架構(gòu)-NeutronServer（1）CoreAPI：對外提供管理network,subnet和port的RESTfulAPI。ExtensionAPI：對外提供管理router,loadbalance,firewall等資源的RESTfulAPI。CommnonService：認(rèn)證和校驗API請求。NeutronCore：Neutronserver的核心處理程序，通過調(diào)用相應(yīng)的Plugin處理請求。CorePluginAPI：定義了CorePlgin的抽象功能集合，NeutronCore通過該API調(diào)用相應(yīng)的CorePlgin。ExtensionPluginAPI：定義了ServicePlgin的抽象功能集合，NeutronCore通過該API調(diào)用相應(yīng)的ServicePlgin。CorePlugin：實現(xiàn)了CorePluginAPI，在數(shù)據(jù)庫中維護(hù)network,subnet和port的狀態(tài)，并負(fù)責(zé)調(diào)用相應(yīng)的agent在networkprovider上執(zhí)行相關(guān)操作，比如創(chuàng)建network。ServicePlugin：實現(xiàn)了ExtensionPluginAPI，在數(shù)據(jù)庫中維護(hù)router,loadbalance,securitygroup等資源的狀態(tài)，并負(fù)責(zé)調(diào)用相應(yīng)的agent在networkprovider上執(zhí)行相關(guān)操作，比如創(chuàng)建router。Neutron架構(gòu)-NeutronServer（2）Neutron遵循openstack的設(shè)計原則，采用開放式架構(gòu)，通過插件、代理與網(wǎng)絡(luò)提供者的配合來實現(xiàn)各種網(wǎng)絡(luò)功能插件是Neutron的一種API的后端實現(xiàn)，目的是增強擴(kuò)展性。插件按照功能可分為coreplugin和service兩種類型；由corepluginAPI和extensionpluginAPI去調(diào)用coreplugin提供基礎(chǔ)二層虛擬網(wǎng)絡(luò)支持，實現(xiàn)網(wǎng)絡(luò)、子網(wǎng)和端口核心資源的支持serviceplugin提供coreplugin之外的功能，提供路由器、防火墻、安全組、負(fù)載均衡扽該服務(wù)支持Neutron架構(gòu)-Core-plugin插件（1）Neutron可以通過開發(fā)不同的plugin和agent支持不同的網(wǎng)絡(luò)技術(shù)，但是隨著支持的networkprovider數(shù)量的增加，開發(fā)人員面臨兩個突出的問題：只能在OpenStack中使用一種coreplugin，多種networkprovider無法共存。只使用一個coreplugin本身沒有問題。但問題在于傳統(tǒng)的coreplugin與corepluginagent是一一對應(yīng)的。也就是說，如果選擇了linuxbridgeplugin，那么linuxbridgeagent將是唯一選擇，就必須在OpenStack的所有節(jié)點上使用linuxbridge作為虛擬交換機（即networkprovider）。不同plugin之間存在大量重復(fù)代碼，開發(fā)新的plugin工作量大。所有傳統(tǒng)的coreplugin都需要編寫大量重復(fù)和類似的數(shù)據(jù)庫訪問的代碼，大大增加了plugin開發(fā)和維護(hù)的工作量。Neutron架構(gòu)-Core-plugin插件（2）ModulerLayer2（ML2）：是Neutron在Havana版本實現(xiàn)的一個新的coreplugin，用于替代原有的linuxbridgeplugin和openvswitchplugin。作為新一代的coreplugin，提供了一個框架，允許在OpenStack網(wǎng)絡(luò)中同時使用多種Layer2網(wǎng)絡(luò)技術(shù)，不同的節(jié)點可以使用不同的網(wǎng)絡(luò)實現(xiàn)機制。ML2對二層網(wǎng)絡(luò)進(jìn)行抽象和建模，引入了typedriver和mechansimdriver。這兩類driver解耦了Neutron所支持的網(wǎng)絡(luò)類型（type）與訪問這些網(wǎng)絡(luò)類型的機制（mechanism），其結(jié)果就是使得ML2具有非常好的彈性，易于擴(kuò)展，能夠靈活支持多種type和mechanism。Neutron架構(gòu)-Core-plugin插件（3）TypeDriver：Neutron支持的每一種網(wǎng)絡(luò)類型都有一個對應(yīng)的ML2typedriver。typedriver負(fù)責(zé)維護(hù)網(wǎng)絡(luò)類型的狀態(tài)，執(zhí)行驗證，創(chuàng)建網(wǎng)絡(luò)等。ML2支持的網(wǎng)絡(luò)類型包括local,flat,vlan,vxlan和gre。MechansimDriver：Neutron支持的每一種網(wǎng)絡(luò)機制都有一個對應(yīng)的ML2mechansimdriver。mechanismdriver負(fù)責(zé)獲取由typedriver維護(hù)的網(wǎng)絡(luò)狀態(tài)，并確保在相應(yīng)的網(wǎng)絡(luò)設(shè)備（物理或虛擬）上正確實現(xiàn)這些狀態(tài)。Agent-based類型：包括linuxbridge,openvswitch等Controller-based類型：包括OpenDaylight,VMWareNSX等基于物理交換機：包括CiscoNexus,Arista,Mellanox等。Neutron架構(gòu)-Core-plugin插件（4）CorePlugin/Agent負(fù)責(zé)管理核心實體：net,subnet和port。而對于更高級的網(wǎng)絡(luò)服務(wù)，則由ServicePlugin/Agent管理。ServicePlugin及其Agent提供更豐富的擴(kuò)展功能，包括路由，loadbalance，firewall等。DHCP：dhcpagent通過dnsmasq為instance提供dhcp服務(wù)。Routing：l3agent可以為project（租戶）創(chuàng)建router，提供Neutronsubnet之間的路由服務(wù)。路由功能默認(rèn)通過IPtables實現(xiàn)。Neutron架構(gòu)-ServicePlugin/Agent（1）Firewall：l3agent可以在router上配置防火墻策略，提供網(wǎng)絡(luò)安全防護(hù)。另一個與安全相關(guān)的功能是SecurityGroup，也是通過IPtables實現(xiàn)。Firewall與SecurityGroup的區(qū)別在于：Firewall安全策略位于router，保護(hù)的是某個project的所有network。