华为云Stack网络平面根据功能划分为三个核心平面,各平面作用及技术实现如下:
一、核心网络平面分类
1、管理平面(Internal_Base)
作用:
-
承载云平台管理流量,包括节点注册、监控告警、配置下发等运维操作
-
支持FusionSphere OpenStack、ServiceOM等管理组件通信,实现资源调度与平台运维
-
提供API接口供上层运营面(OC)和运维面(SC)调用
技术实现:
-
采用VLAN隔离,独立部署物理交换机及防火墙策略
-
管理节点通过高可用集群部署,确保管理平面可靠性
2、存储网络平面
作用:
-
为块存储设备(如分布式存储)提供专用通信通道,支持存储资源池化与管理
-
保障存储流量与业务流量的物理隔离,避免存储带宽竞争导致的性能波动
技术实现:
-
通过VLAN划分独立物理网络,与租户网络、管理网络隔离
-
存储协议(如iSCSI、NVMe-oF)运行于专用网络平面,直接对接存储节点
3、租户网络平面
作用:
-
提供虚拟机间的业务通信通道,承载用户业务流量,例如Web服务、数据库交互等应用层数据
-
支持多租户隔离,不同租户的网络通过VXLAN实现逻辑隔离,保障业务安全性与独立性
-
支持与公有云VPC互通,通过云专线(DC)或VPN实现混合云组网
技术实现:
-
基于VXLAN技术封装二层网络流量,扩展网络规模并实现租户间逻辑隔离
-
采用智能网卡卸载VXLAN封装任务,减少宿主资源消耗(裸金属场景)
-
虚机通过虚拟交换机接入租户网络,支持弹性IP、安全组等高级特性
二、核心网络平面逻辑划分
1、管理平面(Internal_Base)
功能:承载内部组件通信(如Nova与Cinder间交互)、PXE安装流量及运维管理通道。
技术特性:
默认网段为172.28.0.0/20,无网关配置,采用二层VLAN隔离。
所有节点(管理节点、计算节点)及组件均分配独立IP,禁止外部访问。
租户平面(DMZ_Service & External_Relay_Network)
2、DMZ_Service
功能:提供云服务前端访问(如LVS、Nginx)及租户VM与公共服务区互通。
PS:支持外部Console访问,租户VM通过内网仅可访问此平面。
3、External_Relay_Network
功能:实现租户VPC内VM与PAAS/NTP等管理服务的通信,通过NAT机制解决地址重叠问题。
4、存储平面(Storage_Data0)
功能:对接块存储设备,为虚拟机提供存储资源,通过虚拟化平台中转数据。
分类:
Management_Storage_Data(必选):管理节点存储通信。
Service_Storage_Data(可选):服务节点存储通信。
外部接入平面(External_OM & External_API)
5、External_OM
功能:
负责云平台运维接入(如ELB管理、存储对接)及VNC登录流量。
支持与底层资源(如FusionCompute)对接。
6、External_API
处理外部API调用及管理指令下发(如Portal操作),通过反向代理与内部组件交互。
三、技术特点总结
|------|-----------|-------------------------|---------------|
| 平面类型 | 隔离方式 | 典型协议/技术 | 关键设备 |
| 租户网络 | VXLAN逻辑隔离 | VXLAN、VPC、BGP EVPN | 智能网卡、虚拟交换机 |
| 存储网络 | VLAN物理隔 | iSCSI、NVMe-oF | 存储交换机、分布式存储节点 |
| 存储网络 | VLAN物理隔离 | HTTPS、SSH、OpenStack API | 管理节点集群、防火墙 |
四、通信及安全实现
1、虚拟化组件与流量路径
虚拟机连接:通过Tap接口接入Linux Bridge(qbrxxx),经OVS网桥(br-int)转发流量。
跨节点通信:流量经br-tun实现VXLAN隧道封装,通过VLAN ID与VNI转换建立大二层互联。
路由处理:
br-router处理子网网关(qr口)及三层转发/NAT。
外部流量通过phy-brcps桥接物理网卡(eth0/eth1)进入物理网络。
2、网络隔离与安全
VLAN/VXLAN隔离:管理平面采用VLAN,租户平面采用VXLAN,避免广播域冲突。
分层访问控制:
管理平面禁止外部访问,租户平面通过DMZ区限制互通范围。
存储平面仅与虚拟化平台直连,不直接暴露给租户。
不想错过文章内容?读完请点一下**"在看**
**** " ,加个**"** 关注",您的支持是我创作的动力
期待您的一键三连支持(点赞、在看、分享~)