www.zstack.iowww.zstack.io1本白皮書版權屬于上海云軸信息科技有限公司，并受法律保護。轉載、摘編或利用其www.zstack.io2目錄目錄 3 3ZSTACKZSTACK--網絡模型1：L2和L3網絡討論ZStack如何在Linux操作系統中創造網橋或VLAN設備。這篇文章的目的是給你云計算中最令人興奮和最困難的部分應該是網絡模型。云技術給傳www.zstack.io4注：由于虛擬私有云（VPC）尚未在這個ZStack版本（0.6）支持，上述網絡模型不顯示VPC將如何工作。然而，概念是類似的，VPC只是一個為多個L3網絡設計的，有編程選路功能的調度器。我們將在未來的ZStack版本中引入VPC，不久之后。www.zstack.io5ashortnamealongdescriptionuuidofzonetheL2networkbeastringcontaininginformationnecessarytoimplementtheL2nealistofclusteruuidtheL2networkhasatwww.zstack.io6以太網設備上使用操作系統中相同的VLAN創建7群中的主機將通過刪除它們的VLAN(10)網橋的方式，從廣播域中被移除。這種創被刪除。www.zstack.io8L2NetworkRealizationExtensionpublicinterfaceL2Networvoidrealize(L2Netwovoidcheck(L2NetworHypervisorTypegetSuppor}KVMRealizeL2NoVlanNetworkBackend和KVMRealizeL2L2NetworkRealizationExtensionPoint，為了在LinuPreVmInstantiateResourcpublicpublicinterfacePreVmInstantvoidpreBeforeInstantiateVmResource(VmI9voidpreInstantiateVmResource(VmvoidpreReleaseVmResource(Vm}www.zstack.ioNetworkServiceDnsBackend,NetworkServiceSnatBackend,EipBackend,PortForwardingBackend,服務提供模塊”，我們將討論我們引用到的提供模塊——虛擬路由，你可以探索更多ZSTACKZSTACK--虛擬路由網絡服務提供模塊www.zstack.io網絡服務，供應商可以通過創建網絡服務提供模塊的方式，選擇性地實現他們的硬件（VirtualRouterVM）實現所務。一種方式是使用中心的、功能強大的網絡節點，它們通常是一些物理服型。我們不想強迫用戶購買特定的硬件或要求他們在一組主機前放置一些特殊的功能www.zstack.io5.不依賴虛擬機管理程序：解決方案不應該依賴于Hypervisor，并且應該和主流的基于虛擬路由的NFV解決方案滿足上述所有考慮。我們選擇它應用虛擬機（ApplianceVMs）是一種特別的虛以及特別的幫助管理云的agents。虛擬路由虛擬機是應用虛擬機www.zstack.io網絡(10.x.x.x/x)隔離的客戶L3網絡（/24）時，網絡/24可），注意：當然，你可以創建一個只有DHCP和DNS服務的、隔離的客戶L3網絡，該網絡www.zstack.ioguestL3Network::{l3NetworkUuid}，www.zstack.io素。虛擬路由虛擬機是怎樣滿足以下考慮的它們只是一些類似于用戶虛擬機的虛擬機，可以在物理機上被創建。因為www.zstack.io它怎么工作并詳細闡述了它是怎樣滿足了我們關于網絡服務的考慮。借助www.zstack.io如何在私有云語境下定義如何在私有云語境下定義VPC接完成互聯互通等高級策略，可滿足豐富的網絡場景實VPC經過多年的市場教育和實踐，大部分公有云用戶已經接受了公有設項目，帶領網絡研發團隊向OpenStackOpenStack、MidoNet、buildbot等多個開www.zstack.io網接入、網絡靈活性等諸多方面有所欠缺，在面向復雜的私有云、混合云場性和隔離性的基礎上大量考慮了用戶的實際使用場景、軟硬結合的使用場景、利舊等，在現有的VPC1.0基礎上帶來了功能豐富虛擬機的小規模應用到幾萬臺虛擬機的大規模部署，并將完整對接混合下一步首先是在更加開放的網絡功能上。我們希望能將網絡功能其次是更加的自動化。目前混合云開通、隧道建立不可避免的還存在一些手工程，這是目前用戶需要等待多的步驟，也是最容易出錯的步驟，將來我們希望能夠通過引接下來，我們為您詳細解讀ZStackVPC2.0設計思路與架構。當用戶使用公有云時，其第一考慮的往往是安全企業自己控制下，而且往往在出口部署了高昂的網絡安全設備，相比將數據走在和別所以如何在保證安全的前提下減少用戶的安全運維成本是我們的第一個考量。網絡隔離和彈性計算天然是對立的——隔離的越細致，快速擴容、服務編排、資源回www.zstack.io但是實際上，隨著SaaS服務的興起、企業互聯網以及介入企業內網的設備越來越企業對外的數據和網絡入口越來越多，比如網站、員工VPN、購買的SaaS外的API服務、用于所開發的網站App或手機App而提供的數據通道，甚www.zstack.ioNAS，還有一些業務可能需要超高性能，一些業務需要對象存儲，還有冷熱分離，大量的日志存儲等等要求。此時完全自購設備是很不劃算的，對接公有云組成混合云無疑是哥不再基于IP、MAC而是應用、賬戶訪問控制不再是靜態的，而是動態的業務間相互訪問的權限甚至協議，但這種先進的安全架構如何應用到企業呢？私有云Network，前者用于加載到集群、加載VNIRange等等，并且在加載時可以選擇VTEP的地址段，ZStack就會自動尋找到合適的VTEP地每一個集群可以使用不同的VTEP地址段，管理員可以任意劃定VNI范圍，www.zstack.io從ZStack2.1開始我們提供路自定義路由這一功能，這一功能咋看之下信網絡或聯通網絡或BGP網絡等等。而私有云則不然，私有云中內網一定是部署絡而公網卻不一定是Internet，例如下假設我們有兩個VPC部署了三個業務，其中應用和數據庫為了性能考慮放在走自定義路由走到VPC2，這里VPC2運用了我們的云路由支持多公網的功這樣可以徹底的保證數據庫服務的地址段不會泄漏到VPC傳統安全組基于IP、協議和端口，這樣的安全組除了策略跟如上圖，我們可以針對源安全組來設置安全組規則，例如安全組1管理員可以根據自己的需求和實際環境配置做夠安戶與此同時可以接入一些既有的安全設備例如WAF、防火墻、流量清洗等等，可對于公有云，一切規則是由供應商決定的，供應商往往會根據自身的考慮或者技將業務虛擬機也只好遷到云上，隨之而來的還要遷移存儲系統、備份系統甚至一套相配套CloudNative”的理由認為客戶的需求不合理。特別是ZStack是一個產品化的私有云，對于中小型的私有云，一個常見需求是——公有網絡的IP地址不夠用，特別是一個地址但既想要用SNAT開放虛擬機到公網的訪問，又想用其作為IPSe好的協調每個服務對IP的需求，將其合理的配置到云路由上。從ZStawww.zstack.io資浪費，二來短時間內很多軟件的實現在性能或功能上都無法與硬件相媲美，例如www.zstack.io為了解決物理設備的接入，ZStack提供了多公網、自定義路由、多網卡而ZStack中卻有所不同，我們認為用戶的網絡服務創建是面向業務的，也業務的（特別是彈性IP、端口轉發等此時如果我們想將虛擬機轉傳統的網絡協議將整個過程一般都定義為集中式的，例如DHCP服務器、例如路由網關，而且集中控制也帶來實現上的便利性——特別是SNAT、路由表這些服務我們發現它其實可以通過一些手段做分布式的優化，而且其重要性也值得我們去這模有限制甚至很脆弱難以應用到生產不同，ZStackVPC2.0在設計之初就經過了精個很重要呢？因為ZStack設計原則里有很重要的一點控面的故障不會擴散到數據面上，任何情況下優先保證用戶業務的不受影息都記錄在了ZStack數據庫上，但一來不能保證數據庫DVR拋棄了消息隊列，實現了一種私有協議為ZSNP（ZStackNetworkP