恒天云技术分享系列：

Vlan网络模式优点

1. 增加网络可扩展性
2. 网络隔离，每个租户拥有独立的网络及vlan

网络架构图

说明：

         每个租户有独立的一个vlan网络

         每个vlan会独立创建一个桥

         每个桥充当网关角色，桥内的所有虚拟机网关指向桥IP

         dns监听在每个桥上，所以会有多个dns进程

Vlan网络模式配置

1. 思科千兆交换机设置

设置15 16 17 18四个以太网接口为 trunk 模式，并创建两个 vlan。
    sina>enable
    sina#configure terminal
    sina(config-if)#interface GigabitEthernet0/15
    sina(config-if)#switchport mode trunk
    sina(config-if)#interface GigabitEthernet0/16
    sina(config-if)#switchport mode trunk
    sina(config-if)#interface GigabitEthernet0/17
    sina(config-if)#switchport mode trunk
    sina(config-if)#interface GigabitEthernet0/18
    sina(config-if)#switchport mode trunk
    sina(config-if)#exit
    sina(config)#vlan 100
    sina(config-vlan)#exit
    sina(config)#vlan 101
    sina(config-vlan)#exit
    sina(config)#exit
    sina#write

1. Nova配置/etc/nova/nova.conf

# Network settings

network_manager=nova.network.manager.VlanManager

force_dhcp_release=True

dhcpbridge_flagfile=/etc/nova/nova.conf

dhcpbridge=/usr/bin/nova-dhcpbridge

firewall_driver=nova.virt.libvirt.firewall.IptablesFirewallDriver

multi_host=true

public_interface=eth0

1. 添加vlan网络命令

nova-manage network create public --bridge_interface=eth0 --vlan=101

--fixed_range_v4="10.10.3.0/25" --network_size=128 --multi_host=T --bridge=br101

数据流分析

场景1：从10.0.2.2 ping 10.0.2.5

场景2：VM_1 to VM_3.

前提是tenant1与tenant2安全规则互信

tenant1: nova secgroup-add-rule default tcp 1 65535 10.1.0.0/24

tenant2: nova secgroup-add-rule default tcp 1 65535 10.0.0.0/24

从10.0.0.1ping10.1.0.1

场景3：VM_1 to VM_6

场景4：VM_1 to VM_6

结论：通过内网互信vlan之间不能保证能够通信，最好使用外网通讯

vlan不足之处

1. 数量限制 4096
2. 需要硬件（交换机）支持
3. 需提前创建好，无法实现SDN

实际环境分享数据流

Iptables 流程图: