绝不能错过的10款最新OpenStack网络运维 & 监控工具

摘要

今天我们要推荐给大家的是关于奥斯汀OpenStack Summit的OpenStack网络方面功能与工具相关的技术演讲。

希望可以帮助国内的开发者、架构师和用户更好地了解OpenStack在SDN网络领域的最新发展。

功能与工具篇的视频目录：

1. Tap-As-A-Service What You Need to Know Now

2. Skydive, Real-Time Network Topology and Protocol Analyzer

3. Neutron DSCP Policing your Network

4. Troubleshoot Cloud Networking Like a Pro

5. Load Balancing as a Service, Mitaka and Beyond

6. Tired of Iptables Based Security Groups? Here s How to Gain Trem

7. Integration of Neutron, Nova and Designate: How to Use It and How to Configure It

8. SNAT High Availability Service in Neutron for Distributed Virtual Routers

9. Virtual Routers on Compute Nodes: A (Not So) Irrational Decision?

10. F5 Networks - Technically Speaking..Are You in or Are You Out?

说明：

本文所介绍的相关讲座在YouTube均有完整视频，详见：

https://www.youtube.com/user/OpenStackFoundation/videos

接下来，我们就一起来聊聊这些视频：

1. Tap-As-A-Service What You Need to Know Now

评分：★★★☆

简介： Tap-As-A-Service 目前的主要用途在监控上，这个Presentation 介绍了 Tap-As-A-Service 的架构、作用、使用方法，做了一个 Demo 演示。

评论： TAAS 目前已经有了OVS的实现和CLI，基本设计是两个概念，Tap Service、Tap Flow，前者代表要监控的 Port，后者代表具体的 。

Overlay 网络的监控确实是刚需，但是目前基于OVSPortMirror的设计是否可靠，是否能适应大规模的Scale，还没有相关测试，猜测还有一段路要走。

监控虚拟机流量对系统管理员还是太过简单，毕竟自己用命令也可以做，关键是将来能否能在其上实现一套流量监控、分析之类的系统，这样才能比较完整的满足系统管理员、运维的需求。

2. Skydive, Real-Time Network Topology and Protocol Analyzer

评分：★★★★

简介：如上所述，我们缺乏一个好用的开源Overlay网络监控、运维工具，于是 RedHat 的开发者开发了Skydive这个工具，功能简洁、WebUI酷炫，做了一个 Demo，大概就是这样。

评论：如果能真的解决 Overlay 网络的监控运维那真是所有 OpenStack Overlay 网络使用者的大福音。

目前 OVS 组网运维基本靠手，很麻烦，传统的监控工具如 Zabbix 完全不适用，靠谱的只有额外购买工具（例如 BigSwitch 的解决方案、Gigamon 的解决方案）。

Skydive 就是来填补这一空白的，自动扫描 Linux 网络和 OVS，自动展现拓扑还可以抓包，通过整合 ElasticSearch，你还可以比较清楚的看到报文在哪里丢掉了。

这个项目笔者很久以前就关注过，最重要的的问题是，目前没有做过 Performance 和 Scale 的测试，要知道大型的 OpenStack 云目前已经有成百上千个 Namespace 和 Port。

包量可能有上兆的 PPS，节点数量可能也是成百上千，如果性能和 Scale 达不到的话，那就成为小实验室的玩具了。

3. Neutron DSCP Policing your Network

评分：★★★★

简介： Neutron QoS的最新进展、实现、和实现上遇到的挑战与解决方案。

评论： Neutron QoS进展不快是事实，但是令人欣慰的是毕竟一直还有进展。

这场 Session 介绍了一些人比较关心的 QoS 中 DSCP 的功能:

首先介绍了 DSCP 是什么？

然后介绍了在 OpenStack 中如何使用，如何在 OVS 中被实现。

遇到的挑战主要有以下几个：

• 一个是下面介绍的为了解决 L2 Agent 重启的问题。

每个 Flow 增加了 cookie，QoS 需要保证其规则在重启时不被刷掉，解决方案时 Agent Extension 获得自己的 cookie 值，自己维护。

• 另一个是 Feature 的隔离。

目前我们在 L2 Agent 上可能实现了很多功能，例如安全组、Vlan、QoS，都通过 OVS Flow 实现，那么如何保障这些 Flow 可以正常同时工作，或者其中一些功能关闭时保证开启的功能正常工作？

解决方案是 table 0 会给 packet 的 metadata field 打 0，然后送到 feature table 上，feature table 处理完把相关的 metadata field 打非 0，然后送回，有点像一个小 SFC 似的。

• 最后一个问题是 Server、Agent的RPC版本不同步的问题，解决方案是后面会提到的 OVO。 下一步的Roadmap是实现ECN、最小带宽保障、进流量限制等等。

4. Troubles hoot Cloud Networking Like a Pro

评分：★★★☆

简介：几个印度哥们讲的如何给 OpenStack 网络做 Trouble shoot。

评论： 关键词是 ip, brctl, ovs-*, netstat, iptables, arping, ping, tcpdump，然后掌握好架构图和 IO 路径。

如果你确实需要的话，可以参考他们写的PDF：

http://www.slideshare.net/SohailArham/troubleshoot-cloud-networking-like-a-pro

文末提到了一个 check.sh 的神秘脚本，遗憾的是笔者并没有找到这个脚本，当然其实你也可以自己参考其输出写一个，然后贡献到  OpenStack/Steth 项目里。

5. Load Balancing as a Service, Mitaka and Beyond

评分：★★★☆

简介：介绍 LBaaS 项目的进展和未来。

评论： 前面先花了很长时间介绍 Dashboard 的改进，然后 LBaaS 的改进总结起来就是支持了 7 层！然后 Octiva 支持了 A/S HA，支持了一些安全的改进、镜像更新更加容易、证书自动获取等等。

Octiva 的路线图：

整个介绍中规中矩，算是一个例行对外发布会吧。

6. Tired of Iptables Based Security Groups? Here s How to Gain Trem

评分：★★★★

简介：介绍了新的 OVS 实现的安全组。

评论： 安全组其实是个比较简单的基本功能，之前基于 iptables 实现，问题是虚拟网络拓扑比较复杂，性能一般。

另外就是功能也有限，这个演讲提出 Firewall 发展的三级:

第一级是实现基本的 ACL
第二级是实现状态防火墙
第三级是实现完整的 OSI 防火墙，可以做 DPI。

那么防火墙能否用 OVS 实现呢？第一级很好做，第二级的关键问题是实现状态。如何实现状态？一种思路是用 openflow 中的 learn 动作，记录送出去的流量，效果不错，但流表不好看：

另一个思路是通过 conntrack 记录状态，在 OVS 流表中增加 cs_state 字段，性能有提升，但远不如 learn 的实现：

大家都比较郁闷 conntrack 实现的性能提升有限，所以下一步会将 conntrack 移到用户态提升性能，以及提升测试和易用性等等工作。

7. Integration of Neutron, Nova and Designate: How to Use It and How to Configure It

评分：★★★☆

简介：如何使用 Nova、Neutron、Designate 来完成虚拟机的 DNS name 的自动设置、DNS 记录自动添加以及集成外部 DNS（Designate）。

评论：上手实践的大课堂，基本内容和http://docs.openstack.org/mitaka/networking-guide/adv-config-dns.html 一致。

根据 User Survey 的资料，DNS 是很多用户关心的一个问题，根据我们的客户经验也确实如此.

简单的来说，内部 DNS 使用网络（net）资源里的 dns_domain 属性设置 domain name，然后根据 nova 里虚拟机的名字（host name）来设置 dns name，这个 DNS 由 Neutron 里子网的 DHCP 服务器，dnsmasq 实现，所以要确保 Neutron 子网的 dns_nameservers 属性正确，使虚拟机能用正确的 DNS nameserver。

另一件事情就是与外部系统集成，这个就需要 Designate 项目的支持，目前 Designate 支持 Bind、Power DNS 这些开源 DNS 软件，也支持 Akamai、DynECT、Infoblox 这些外部 DNS 系统，也是蛮强大的，当然对于国内用户来说，可能 DNSPod 来的更实在一些。

目前外部 DNS 有几种 Use case，包括:

创建 Port 时把 Port 的 DNS 信息推送到外部 DNS 系统

创建 Flaoting IP 时把 Port 的 DNS 信息推送出去

创建 Floating IP时把Floating IP的DNS信息推送出去。

详细过程看文档或者视频吧。

8. SNAT High Availability Service in Neutron for Distributed Virtual Routers

评分：★★★

简介：介绍了 DVR 场景下 SNAT Router 的高可用功能。

评论： 简单的说就是把过去 L3 HA 的功能移到 DVR SNAT Router 上了，过去 DVR 与 L3 HA 不能共存的问题终于得到了解决。

未来有一些计划，例如更高效的控制平面、支持 BGP 等等。

9. Virtual Routers on Compute Nodes: A (Not So) Irrational Decision?

评分：★★★

简介：介绍了 TWC 公司在没有 DVR 时是怎么设计 OpenStack 架构的。
评论：简单的说就是把 L3 Agent 混布在所有计算节点上，他们管这个架构叫 VR-D，醉了……

10. F5 Networks - Technically Speaking..Are You in or Are You Out?

评分：★★★★

简介：很短的赞助演讲，但是内容不少，包括 F5 与 OpenStack 的 Roadmap、目前的实现、Demo 等。

评论：最有价值的可能是这个 Roadmap 吧，但愿 F5 能按时完成。

说明：

本文所介绍的相关讲座在YouTube均有完整视频，详见：

https://www.youtube.com/user/OpenStackFoundation/videos

文章来源：

本文作者为UnitedStack有云SDN网络部PTL 王为。

原文链接