Finish the vxlan mode

Author: yeasy

SUMMARY.md

@@ -10,8 +10,16 @@
    * [计算节点](vlan_mode/compute_node.md)
    * [网络节点](vlan_mode/network_node.md)
 * [VXLAN 模式](vxlan_mode/README.md)
-   * [计算节点](vxlan_mode/compute_node.md)
-   * [网络节点](vxlan_mode/network_node.md)
+   * [计算节点](compute_node/README.md)
+       * [br-int](vxlan_mode/compute_node/br-int.md)
+       * [br-tun](vxlan_mode/compute_node/br-tun.md)
+   * [网络节点](vxlan_mode/network_node/README.md)
+       * [br-tun](vxlan_mode/network_node/br-tun.md)
+       * [br-int](vxlan_mode/network_node/br-int.md)
+       * [br-ex](vxlan_mode/network_node/br-ex.md)
+* [网络命名空间](namespace/README.md)
+   * [DHCP 服务](namespace/dhcp.md)
+   * [路由服务](namespace/router.md)
 * [安全组](security_group/README.md)
    * [INPUT](security_group/input.md)
    * [OUTPUT](security_group/output.md)

_images/ovs_rules_network_br_tun.png

@@ -1,2 +1,198 @@
 # 附：安装配置
 参考 https://github.com/yeasy/openstack-tool。
+
+# DevStack 安装 OpenStack 多节点（Juno+Neutron+ML2+VXLAN）
+
+目前安装 OpenStack 常见的方案有 Redhat 的 [RDO](https://openstack.redhat.com/) 和社区的 [DevStack](http://docs.openstack.org/developer/devstack/)。
+
+当然，也可以手动安装，可以参考：[github.com/ChaimaGhribi/OpenStack-Juno-Installation/blob/master/OpenStack-Juno-Installation.rst](https://github.com/ChaimaGhribi/OpenStack-Juno-Installation/blob/master/OpenStack-Juno-Installation.rst)
+
+其中，RDO 功能比较强大，运行也稳定，可以在一个节点上通过一个 answer 文件直接部署多个节点，搭建一套 OpenStack 环境。但是可惜，在 Ubuntu 上还不支持。
+
+DevStack 支持 Ubuntu、Fedora 等环境，需要在每个节点上单独执行，适合进行实验。目前常见的教程一般都是讲解 DevStack 单节点安装。本文讲解最新的 Juno 版本在多节点上的安装过程。
+
+# 网络环境
+两台机器，分为控制节点（同时也作为网络节点）和计算节点。
+## 控制节点
+eth0: 9.186.100.77/24 作为管理网络（同时也是公共网络）。
+eth1: 10.0.100.77/24 作为内部网络接口。
+
+## 计算节点
+eth0: 9.186.100.88/24 作为管理网络（同时也是公共网络）。
+eth1: 10.0.100.88/24 作为内部网络接口。
+
+# 配置 stack 用户
+
+创建 stack 用户
+```
+sudo groupadd stack
+sudo useradd -g stack -s /bin/bash -d /opt/stack -m stack
+```
+
+添加 stack 用户权限。
+
+```
+sudo echo "stack ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers
+```
+
+切换到 stack 用户
+```
+sudo su - stack
+```
+
+# 下载代码
+
+下载 devstack 代码，并切换到 stable/juno 分支。
+```
+sudo apt-get install git -y
+git clone https://git.openstack.org/openstack-dev/devstack -b stable/juno
+```
+
+# 编写运行配置文件
+
+在 devstack 根目录下，编写 local.conf。
+
+控制节点的 local.conf
+
+```sh
+[[local|localrc]]
+
+MULTI_HOST=true
+HOST_IP=9.186.100.77 # management network
+
+FIXED_RANGE=10.0.0.0/24 #tenant private network
+NETWORK_GATEWAY=10.0.0.1
+#FIXED_NETWORK_SIZE=4096
+
+PUBLIC_INTERFACE=eth0  #public network
+FLOATING_RANGE=9.186.100.128/25
+PUBLIC_NETWORK_GATEWAY=9.186.100.1
+
+TUNNEL_ENDPOINT_IP=10.0.100.77 # data network endpoint for vxlan
+
+LOGFILE=/opt/stack/logs/stack.sh.log
+
+# Credentials
+ADMIN_PASSWORD=admin
+MYSQL_PASSWORD=secret
+RABBIT_PASSWORD=secret
+SERVICE_PASSWORD=secret
+SERVICE_TOKEN=abcdefghijklmnopqrstuvwxyz
+
+# enable neutron-ml2-vxlan
+disable_service n-net
+enable_service q-svc,q-agt,q-dhcp,q-l3,q-meta,q-metering,q-lbaas,q-fwaas,q-vpn,neutron,tempest,heat
+
+#OFFLINE=True
+
+LOG_COLOR=False
+LOGDIR=$DEST/logs
+SCREEN_LOGDIR=$LOGDIR/screen
+
+```
+
+计算节点的 local.conf
+
+```sh
+[[local|localrc]]
+MULTI_HOST=true
+
+HOST_IP=9.186.100.88 # management network
+
+FIXED_RANGE=10.0.0.0/24 # tenant private network
+NETWORK_GATEWAY=10.0.0.1
+#FIXED_NETWORK_SIZE=4096
+
+TUNNEL_ENDPOINT_IP=10.0.100.88 # data network endpoint for vxlan
+
+# Credentials
+ADMIN_PASSWORD=admin
+MYSQL_PASSWORD=secret
+RABBIT_PASSWORD=secret
+SERVICE_PASSWORD=secret
+SERVICE_TOKEN=abcdefghijklmnopqrstuvwxyz
+
+# Service information
+SERVICE_HOST=9.186.100.77
+MYSQL_HOST=$SERVICE_HOST
+RABBIT_HOST=$SERVICE_HOST
+GLANCE_HOSTPORT=$SERVICE_HOST:9292
+Q_HOST=$SERVICE_HOST
+KEYSTONE_AUTH_HOST=$SERVICE_HOST
+KEYSTONE_SERVICE_HOST=$SERVICE_HOST
+
+CEILOMETER_BACKEND=mongodb
+DATABASE_TYPE=mysql
+
+ENABLED_SERVICES=n-cpu,q-agt,neutron
+
+# vnc config
+NOVA_VNC_ENABLED=True
+NOVNCPROXY_URL="http://$SERVICE_HOST:6080/vnc_auto.html"
+VNCSERVER_LISTEN=$HOST_IP
+VNCSERVER_PROXYCLIENT_ADDRESS=$VNCSERVER_LISTEN
+
+#OFFLINE=True
+
+LOG_COLOR=False
+LOGDIR=$DEST/logs
+SCREEN_LOGDIR=$LOGDIR/screen
+#LOGFILE=/opt/stack/logs/stack.sh.log
+
+```
+
+# 执行配置
+
+执行命令。
+```
+./stack.sh
+```
+
+会输出各项操作的结果。日志会写到 stack.sh.log 文件。成功后最后会打印出相关信息。
+
+控制节点上
+
+```
+Horizon is now available at http://9.186.100.77/
+Keystone is serving at http://9.186.100.77:5000/v2.0/
+Examples on using novaclient command line is in exercise.sh
+The default users are: admin and demo
+The password: admin
+This is your host ip: 9.186.100.77
+```
+执行成功后，在控制节点上，将物理网卡 eth0 绑定到 br-ex 网桥上。
+```sh
+sudo ifconfig eth0 0.0.0.0; sudo ovs-vsctl add-port br-ex eth0; sudo ifconfig br-ex 9.186.100.77/24; sudo route add default gw 9.186.100.1
+```
+
+# 其它事项
+
+## 停止服务
+停止 OpenStack 的各个服务（DevStack 默认每个服务都在一个 screen 中以进程方式运行，可以通过 screen -x stack 进入查看）。
+```sh
+./unstack.sh
+```
+
+## 清除安装。
+```sh
+./clean.sh
+```
+
+## 手动清除
+有时候有些文件可能清除不干净，手动执行
+```
+sudo rm -rf /etc/libvirt/qemu/inst*
+sudo virsh list | grep inst | awk '{print $1}' | xargs -n1 virsh destroy
+```
+## 依赖版本
+安装过程中可能会报某些包版本不满足的问题，手动安装后。
+
+例如报 six 包版本过低。
+
+```
+sudo pip install six --upgrade
+```
+
+## screen 操作
+ctrl+a+" 显示 session 列表。
+ctrl+a+d 挂起到后台。

appendix_install/README.md

@@ -0,0 +1,2 @@
+# 计算节点
+计算节点上运行着虚拟机。如果不启用 DVR 特性，则所有的网络相关的服务，都在网络节点上进行。即计算节点上的网络只需要实现二层转发即可。

compute_node/README.md

@@ -0,0 +1,23 @@
+# 网络名字空间
+在 Linux 中，网络名字空间可以被认为是隔离的拥有单独网络栈（网卡、路由转发表、iptables）的环境。网络名字空间经常用来隔离网络设备和服务，只有拥有同样网络名字空间的设备，才能看到彼此。
+
+可以用ip netns list命令来查看已经存在的名字空间。
+```sh
+$ ip net
+qdhcp-ea3928dc-b1fd-4a1a-940e-82b8c55214e6
+qrouter-40fff075-d3a2-477b-942c-6b1adb42e35e
+```
+qdhcp开头的名字空间是dhcp服务器使用的，qrouter开头的则是router服务使用的。
+可以通过 `ip netns exec namespaceid command` 来在指定的网络名字空间中执行网络命令，例如
+```sh
+# ip netns exec qdhcp-88b1609c-68e0-49ca-a658-f1edff54a264 ip addr
+71: ns-f14c598d-98: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
+    link/ether fa:16:3e:10:2f:03 brd ff:ff:ff:ff:ff:ff
+    inet 10.1.0.3/24 brd 10.1.0.255 scope global ns-f14c598d-98
+    inet6 fe80::f816:3eff:fe10:2f03/64 scope link
+       valid_lft forever preferred_lft forever
+```
+可以看到，dhcp服务的网络名字空间中只有一个网络接口“ns-f14c598d-98”，它连接到br-int的tapf14c598d-98接口上。
+
+
+

namespace/README.md

@@ -0,0 +1,7 @@
+## DHCP 服务
+dhcp服务是通过dnsmasq进程（轻量级服务器，可以提供dns、dhcp、tftp等服务）来实现的，该进程绑定到dhcp名字空间中的br-int的接口上。可以查看相关的进程。
+```sh
+# ps -fe | grep 88b1609c-68e0-49ca-a658-f1edff54a264
+nobody   23195     1  0 Oct26 ?        00:00:00 dnsmasq --no-hosts --no-resolv --strict-order --bind-interfaces --interface=ns-f14c598d-98 --except-interface=lo --pid-file=/var/lib/neutron/dhcp/88b1609c-68e0-49ca-a658-f1edff54a264/pid --dhcp-hostsfile=/var/lib/neutron/dhcp/88b1609c-68e0-49ca-a658-f1edff54a264/host --dhcp-optsfile=/var/lib/neutron/dhcp/88b1609c-68e0-49ca-a658-f1edff54a264/opts --dhcp-script=/usr/bin/neutron-dhcp-agent-dnsmasq-lease-update --leasefile-ro --dhcp-range=tag0,10.1.0.0,static,120s --conf-file= --domain=openstacklocal
+root     23196 23195  0 Oct26 ?        00:00:00 dnsmasq --no-hosts --no-resolv --strict-order --bind-interfaces --interface=ns-f14c598d-98 --except-interface=lo --pid-file=/var/lib/neutron/dhcp/88b1609c-68e0-49ca-a658-f1edff54a264/pid --dhcp-hostsfile=/var/lib/neutron/dhcp/88b1609c-68e0-49ca-a658-f1edff54a264/host --dhcp-optsfile=/var/lib/neutron/dhcp/88b1609c-68e0-49ca-a658-f1edff54a264/opts --dhcp-script=/usr/bin/neutron-dhcp-agent-dnsmasq-lease-update --leasefile-ro --dhcp-range=tag0,10.1.0.0,static,120s --conf-file= --domain=openstacklocal
+```

namespace/dhcp.md

@@ -0,0 +1,80 @@
+## 路由服务
+首先，要理解什么是 router，router是提供跨 subnet 的互联功能的。比如用户的内部网络中主机想要访问外部互联网的地址，就需要router来转发（因此，所有跟外部网络的流量都必须经过router）。目前router的实现是通过iptables进行的。
+
+同样的，router服务也运行在自己的名字空间中，可以通过如下命令查看：
+```sh
+$ sudo ip net exec qrouter-40fff075-d3a2-477b-942c-6b1adb42e35e ip addr
+1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default
+    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
+    inet 127.0.0.1/8 scope host lo
+       valid_lft forever preferred_lft forever
+    inet6 ::1/128 scope host
+       valid_lft forever preferred_lft forever
+49: qr-694450d6-f6: <BROADCAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN group default
+    link/ether fa:16:3e:5d:18:10 brd ff:ff:ff:ff:ff:ff
+    inet 10.0.0.1/24 brd 10.0.0.255 scope global qr-694450d6-f6
+       valid_lft forever preferred_lft forever
+    inet6 fe80::f816:3eff:fe5d:1810/64 scope link
+       valid_lft forever preferred_lft forever
+50: qg-e76de35e-90: <BROADCAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN group default
+    link/ether fa:16:3e:70:24:92 brd ff:ff:ff:ff:ff:ff
+    inet 9.186.100.2/24 brd 9.186.100.255 scope global qg-e76de35e-90
+       valid_lft forever preferred_lft forever
+    inet 9.186.100.129/32 brd 9.186.100.129 scope global qg-e76de35e-90
+       valid_lft forever preferred_lft forever
+    inet6 fe80::f816:3eff:fe70:2492/64 scope link
+       valid_lft forever preferred_lft forever
+```
+可以看出，该名字空间中包括两个网络接口。
+
+第一个接口 qr-694450d6-f6（10.0.0.1）跟 br-int 上的接口相连。即任何从 br-int 来的找 10.0.0.1 （租户的私有网段）的网包都会到达这个接口。
+
+第一个接口 qg-e76de35e-90 连接到 br-ex 上的接口，即任何从外部来的网包，询问 9.186.100.2（默认的静态 NAT 外部地址）或 9.186.100.129（租户申请的 floating IP 地址），都会到达这个接口。
+
+查看该名字空间中的路由表：
+```sh
+$ sudo ip net exec qrouter-40fff075-d3a2-477b-942c-6b1adb42e35e ip route
+default via 9.186.100.1 dev qg-e76de35e-90
+9.186.100.0/24 dev qg-e76de35e-90  proto kernel  scope link  src 9.186.100.2
+10.0.0.0/24 dev qr-694450d6-f6  proto kernel  scope link  src 10.0.0.1
+```
+默认情况，以及访问外部网络的时候，休会从 qg-xxx 接口发出，经过 br-ex 发布到外网。
+
+访问租户内网的时候，会从 qr-xxx 接口发出，发给 br-int。
+
+```sh
+$ sudo ip net exec qrouter-40fff075-d3a2-477b-942c-6b1adb42e35e iptables -t nat -S
+-P PREROUTING ACCEPT
+-P INPUT ACCEPT
+-P OUTPUT ACCEPT
+-P POSTROUTING ACCEPT
+-N neutron-postrouting-bottom
+-N neutron-vpn-agen-OUTPUT
+-N neutron-vpn-agen-POSTROUTING
+-N neutron-vpn-agen-PREROUTING
+-N neutron-vpn-agen-float-snat
+-N neutron-vpn-agen-snat
+-A PREROUTING -j neutron-vpn-agen-PREROUTING
+-A OUTPUT -j neutron-vpn-agen-OUTPUT
+-A POSTROUTING -j neutron-vpn-agen-POSTROUTING
+-A POSTROUTING -j neutron-postrouting-bottom
+-A neutron-postrouting-bottom -j neutron-vpn-agen-snat
+-A neutron-vpn-agen-OUTPUT -d 9.186.100.129/32 -j DNAT --to-destination 10.0.0.2
+-A neutron-vpn-agen-POSTROUTING ! -i qg-e76de35e-90 ! -o qg-e76de35e-90 -m conntrack ! --ctstate DNAT -j ACCEPT
+-A neutron-vpn-agen-PREROUTING -d 169.254.169.254/32 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 9697
+-A neutron-vpn-agen-PREROUTING -d 9.186.100.129/32 -j DNAT --to-destination 10.0.0.2
+-A neutron-vpn-agen-float-snat -s 10.0.0.2/32 -j SNAT --to-source 9.186.100.129
+-A neutron-vpn-agen-snat -j neutron-vpn-agen-float-snat
+-A neutron-vpn-agen-snat -s 10.0.0.0/24 -j SNAT --to-source 9.186.100.2
+```
+其中SNAT和DNAT规则完成外部 floating ip （9.186.100.129）到内部 ip（10.0.0.2） 的映射：
+```sh
+-A neutron-vpn-agen-OUTPUT -d 9.186.100.129/32 -j DNAT --to-destination 10.0.0.2
+-A neutron-vpn-agen-PREROUTING -d 9.186.100.129/32 -j DNAT --to-destination 10.0.0.2
+-A neutron-vpn-agen-float-snat -s 10.0.0.2/32 -j SNAT --to-source 9.186.100.129
+```
+
+另外有一条SNAT规则把所有其他的内部IP出来的流量都映射到外部IP 9.186.100.2。这样即使在内部虚拟机没有外部IP的情况下，也可以发起对外网的访问。
+```
+-A neutron-vpn-agen-snat -s 10.0.0.0/24 -j SNAT --to-source 9.186.100.2
+```

namespace/router.md

@@ -57,7 +57,7 @@ NXST_FLOW reply (xid=0x4):
  cookie=0x0, duration=608.373s, table=0, n_packets=23, n_bytes=1706, idle_age=65534, hard_age=65534, priority=2,in_port=5 actions=drop
  cookie=0x0, duration=675.373s, table=0, n_packets=58, n_bytes=10625, idle_age=24, hard_age=65534, priority=1 actions=NORMAL
 ```
-1.4.2.2	br-int
+###	br-int
 br-int上挂载了大量的agent来提供各种网络服务，另外负责对发往br-eth1的流量，实现local vlan转化为外部vlan。
 ```sh
 #ovs-ofctl dump-flows br-int

vlan_mode/network_node.md

@@ -1,6 +1,17 @@
 # VXLAN 模式
-VXLAN 模式下，网络的架构跟 GRE 模式类似，所不同的是，不同节点之间通过 VXLAN 隧道互通。
+VXLAN 模式下，网络的架构跟 GRE 模式类似，所不同的是，不同节点之间通过 VXLAN 隧道互通，即虚拟化层是采用的 VXLAN 协议。
 
-如下图所示。
+基本结构如下图所示。
 
 ![VXLAN 模式](../_images/vxlan.png)
+
+
+其中，节点网络配置如下所示，注意数据网络接口需要 IP 地址，因为是隧道协议需要底下的三层转发支持。
+
+控制节点
+* eth0: 9.186.100.77/24 作为管理网络（同时也是公共网络）。
+* eth1: 10.0.100.77/24 作为数据网络接口。
+
+计算节点
+* eth0: 9.186.100.88/24 作为管理网络（同时也是公共网络）。
+* eth1: 10.0.100.88/24 作为数据网络接口。