OpenStack提供了豐富的網絡配置環境，本文介紹設計云系統是對于網絡部分需求的考慮和設計。

如果這次是首次在你的組織中部署云系統，在閱讀完本章節后請和你的網絡運維團隊進行溝通，以便了解現有網絡狀況。云系統使用的網絡同普通系統所使用的網絡部署方式不同，且有可能在部署時對于網絡的連接性和網絡策略造成影響。

比如：組成云系統的服務器和云上運行的虛擬機實例所需要用的IP地址資源就需要事先進行妥善規劃和準備；云系統網絡中所涉及到的代理，防火墻也需要進行相應的研究。

網絡管理

網絡有效管理通常是一個重要的考慮項目(常見的如：分散的交換機和網絡接口)。通過將系統管理和監控產生流量和實際云系統用戶流量進行分流的網絡管理方式可以減少對于用戶使用的影響。

對于OpenStack內部組件則建議使用私有網絡進行通訊，如：消息隊列，OpenStack計算節點。VLAN非常適合于這種私有網絡的場景。

公共訪問選項

對于云系統中虛擬機實例有兩種的IP地址分配策略：固定IP和動態IP。固定IP策略是在虛擬機實例啟動時分配并綁定一個固定IP地址，而動態IP策略則可能在用戶的不同操作時IP地址發生變更。這兩種IP策略按照需求同時可用于共有和私有網絡。

OpenStack必須使用固定IP地址，而動態IP地址則不是必須的。常見的2種動態IP的應用場景是：對于公網IP地址有限的私有云環境，可提供外網對于私有云的訪問；或對于公有云用戶可以有一個靜態IP來訪問云資源，而在云系統中實際對應的實例已遷移或升級。

固定IP地址可以是私有云中的內網IP，也可以是公有云中的公網IP。當虛擬機實例終止后，對應的固定IP地址就被系統回收。需要注意的是剛開始使用云系統的用戶可能會對固定IP地址的消失產生困惑。

IP地址規劃

OpenStack環境可能會需要很多子網，且每個子網間運行不同的服務。IP地址規劃可以對于網絡分隔和擴展提供更好的幫助。控制類服務同時需要公網和私網IP地址，可參見之前提到的虛擬機公網配置的選項。

IP地址規劃可以分解成以下部分：

1. 子網路由：子網數據包通過專用路由或nova-network服務進行通訊
2. 控制服務的公開接口：swift-proxy, nova-api, glance-api和horizon的公用訪問，可以指向單臺服務器也可在負載均衡之后。
3. 對象存儲集群內部通訊：在對象/賬號/容器的服務之間的通訊和代理服務的內部接口使用的私有網絡上的通訊。
4. 計算和存儲通訊：臨時存儲和對象存儲對于計算節點來說是外部服務，需要網絡進行連接通訊。
5. 外部遠程管理：如果專用的外部遠程控制器用于管理服務器，通常采用分隔的網絡。
6. 內部遠程管理：通常計算或存儲節點需要額外的網絡接口（如 1G接口）用于系統管理或監控工具訪問服務器。
7. 未來擴展的預留空間：添加新的面向公開的控制服務，或是更多的虛擬機實例的IP需要在你的計劃中。

比如：在私有IP段172.22.42.0/24 and 172.22.87.0/26上部署了OpenStack的計算和對象存儲服務，可按照如下方式進行配置：

也可以使用公網IP地址實現類似方式，建議使用較大范圍段的IP地址。需要注意的是有些Openstack網絡配置下，虛擬機實例的公網IP地址是分配給了nova-compute主機。

網絡拓撲

OpenStack提供了幾種網絡管理方式，每種各自有自己的優缺點。選擇不同的網絡管理管理方式會影響到你網絡拓撲，所以需要謹慎選擇合適方式。 方式 Flat 優點：及其簡單，不需要DHCP廣播 缺點：需要在虛擬機實例中進行文件注入，僅限于有限的Linux發行版，配置困難，不推薦 FlatDHCP 優點：配置相對簡單，標準網絡協議，可用于任意操作系統 缺點：需要有自己的DHCP廣播域 VlanManager 優點：每個租戶可以隔離在自己的VLAn中 缺點：配置較復雜，需要有自己的DHCP廣播域，需要需要許多VLAN配置傳輸端口，有VLAN數量限制，交換機需要支持802.1q VLAN tagging FlatDHCP Multi-host 優點：網絡故障可按照虛擬機進行隔離 缺點：配置復雜 HA 優點：running on the hypervisor affected.（不知道什么意思？主機上運行，可遷移？），DHCP通訊可以隔離在單個主機，網絡流量可以分布到不同的計算節點上 缺點：默認計算節點需要分配公網IP地址，在線擴展時在網絡部分需要特別小心的修改配置

VLANs

VLAN的配置可以從簡單到復雜。使用VLAN可以使每個項目有有自己的子網且網絡廣播可以同其他的項目分隔開。為了讓OpenStack更好的使用VLAN，需要將VLAN進行劃分（每個項目一個VLAN）且每個計算節點連接的交換機端口都需要綁定到VLAN的傳輸端口(trunck port)。

比如：你的云預計需要支持最多100個項目，選擇一個當前網絡架構中沒有使用的VLAN范圍（如：VLAN 200 - 299），然后配置OpenStack使用該VLAN范圍且交換機端口允許該范圍的VLAN進行通訊。

多個網絡接口

OpenStack可以支持將多個網絡接口分配給一個虛擬機實例。雖然這是一個不常用的高級特性，但通過簡單配置就可支持。需要注意的是第二個網絡接口使用整個子網或VLAN，對于可支持的項目數會減少。

多主機和單主機網絡

nova-network服務可以運行在多主機或單主機模式下。多主機網絡模式就是每個計算節點上都運行一份nova-network服務，該服務就作為相同節點上虛擬機實例連接Internet的網關。同時，計算節點也為本機的虛擬機實例提供了動態IP和安全組(Security Groups)。單主機網絡模式是使用集中的服務器，如：云控制器，獨立運行nova-network服務。所有計算節點都將虛擬機實例的網絡通訊轉發到云控制器，云控制器負責連接到Internet。云中的所有計算節點上所有的虛擬機實例使用的動態IP和安全組(Security Groups)都是由云控制器支持。

這兩種模式各有優缺點。單主機網絡模式有單點故障的缺點，當云控制器發生故障，所有虛擬機實例都無法進行網絡通訊。而多主機網絡模式則沒有這個問題，但多主機模式下需要每個計算節點都有一個公網IP用于連接Internet。當沒有足夠的公網IP地址時，則無法使用多主機網絡模式。

網絡服務

OpenStack和其他網絡應用一樣會應用很多標準服務，比如：DNS和NTP

NTP

時間同步是確保OpenStack各個組件能正常工作的一個關鍵因素。虛擬機實例中的調度，對象存儲中的對象復制和日志中的時間戳匹配都必須要有正確的時間。

所有運行OpenStack組件的服務器都需要能訪問適合的NTP服務。你可以通過在本地搭建一個NTP服務或者是使用公用的NTP服務。通過訪問http://www.pool.ntp.org/可以獲得可用的公用NTP服務。

DNS

除了在安裝nova-network服務器上有運行dnsmasq之外，OpenStack目前并不提供DNS服務。你可以考慮提供一個動態DNS服務用于虛擬機實例更新DNS記錄指向新的IP地址，也可以提供正向或逆向的DNS同虛擬機實例IP地址的映射，如：vm-203-0-113-123.example.com。