keyanyuan127
作者keyanyuan1272019-06-14 14:06
存储工程师, eccom

Fusion Cloud最佳实践

字数 30803阅读 5208评论 1赞 5

目 录
1 概述 1
1.1 内容简介 1
1.2 写作目的 1
1.3 目标读者 1
1.4 业务场景 2
1.5 关键技术 2
1.6 客户收益 2
2 场景介绍 3
2.1 概述 3
2.2 网络特性使用场景 3
2.2.1 VPC使用场景 3
3 网络服务调测 5
3.1 调测准备 5
3.1.1 组网 5
3.1.2 硬件要求 6
3.1.3 软件要求 6
3.1.4 网络规划 6
3.2 调测步骤 14
3.2.1 网络设备配置 14
3.2.1.1 接入交换机配置 14
3.2.1.1.1 接入交换机端口连接表 14
3.2.1.1.2 管理区接入交换机配置 14
3.2.1.1.3 业务区接入交换机配置 16
3.2.1.2 核心交换机配置 17
3.2.1.2.1 创建网络平面网关地址 17
3.2.1.2.2 配置相关路由 19
3.2.2 网络服务调测 20
3.2.2.1 VPC 20
3.2.3 FusionCloud Deploy工具上联接口配置 21
3.2.4 对象存储服务网络配置 22
3.2.4.1 交换机和防火墙 22
3.2.4.2 对象存储LVS节点 30
3.2.5 备份服务网络配置 31
3.2.6 容灾服务网络配置 32
3.2.7 配置裸金属服务器网络 33
3.2.7.1 网络平面规划 33
3.2.7.2 交换机网络预配置 33
3.2.7.3 切换网络并获取IP 34
3.2.8 配置Paas服务网络 35
4 附录 36
4.1 核心/汇聚交换机与边界防火墙互联接口配置举例 36
4.2 核心/汇聚交换机路由配置举例 37
4.3 核心/汇聚交换机VRF路由互通举例 38

1 概述
1.1 内容简介
1.2 写作目的
1.3 目标读者
1.4 业务场景
1.5 关键技术
1.6 客户收益
1.1 内容简介
FusionCloud为华为私有云解决方案,本文主要介绍FusionCloud 6.3.1 Type III网络服务调测配置,包括场景介绍、逻辑组网、软硬件要求、设备预配置、以及网络服务调测。
1.2 写作目的
本文主要目的是通过介绍FusionCloud 6.3.1 Type III网络服务场景以及调测配置流程,让客户、华为员工、合作伙伴了解FusionCloud 6.3.1 Type III网络方案。为华为员工的项目交付提供参考,为客户更高效、优质的使用华为私有云解决方案提供参考,为合作伙伴更好的了解华为私有云解决方案提供参考。
1.3 目标读者
本文档面向华为员工、客户、合作伙伴,具备以下方面知识,可以帮助您更好的理解本文的内容。
 网络交换、路由等基础知识
 FusionSphere、Iaas+云服务
1.4 业务场景
本文介绍的业务场景如下:
 VPC:为弹性云服务器构建隔离的、用户自主配置和管理的虚拟网络环境,提升用户资源的安全性,简化用户的网络部署。
1.5 关键技术
本文相关的关键技术如下:
 OpenStack:一个开源的云计算管理平台项目,由几个主要的组件组合起来完成具体工作。OpenStack支持几乎所有类型的云环境,项目目标是提供实施简单、可大规模扩展、丰富、标准统一的云计算管理平台。OpenStack通过各种互补的服务提供了基础设施即服务(IaaS)的解决方案,每个服务提供API以进行集成。OpenStack兼容的华为云计算解决方案FusionCloud是云平台建设的最佳选择。
1.6 客户收益
通过Neutron管理vSwitch实现二层自动化,采用VLAN网络接入,网络硬件设备手工配置。成本低,无需SDN控制器,网络配置稳定。以服务化的形式提供VPC功能,简化了传统网络部署的难度,使客户业务可以快速上线,提高了客户业务部署的灵活性,满足了客户业务动态变化的需求。

2 场景介绍
2.1 概述
2.2 网络特性使用场景
2.1 概述
本章节主要介绍网络服务的使用场景,通过本章节您可以更好的理解、使用网络服务。介绍的网络服务包括VPC(含子网、安全组)。
2.2 网络特性使用场景
2.2.1 VPC使用场景
虚拟私有云(Virtual Private Cloud,以下简称VPC),为弹性云服务器构建隔离的、用户自主配置和管理的虚拟网络环境,提升用户资源的安全性,简化用户的网络部署。与传统网络相比,VPC为用户提供了更多的自主操作能力。在VPC内可以创建子网,并用创建好的子网创建弹性云服务器应用。创建弹性云服务器时,可以选择安全组,为其在VPC内提供安全的隔离环境。
图2-1 VPC

用户如何规划VPC?主要包括两个方面:第一是规划几个VPC,第二是在VPC内部创建什么样的子网。每个VPC为一个隔离的网络环境,如果没有隔离需要,您只需要创建一个VPC;如果有隔离需求,隔离的业务可以部署在不同的VPC,不同VPC默认隔离。每个VPC可以创建多个子网,子网之间的访问控制通过安全组实现。通过安全组可以配置在同一个VPC内不同子网的通信需求。另外,华为FusionCloud 6.3.1 提供默认的default安全组允许在相同安全组内的子网互通,所以如果弹性云服务器在一个VPC内,并选择default安全组,弹性云服务器可以互通。VPC内的子网用户可以自定义,推荐使用如下几个网段:192.168.0.0/16、172.16.0.0/12、10.0.0.0/8。

3 网络服务调测
3.1 调测准备
3.2 调测步骤
3.1 调测准备
3.1.1 组网
本最佳实践采用典型的TypeIII组网,通过Neutron管理vSwitch实现二层自动化,提供VPC、Subnet等网络功能。整体组网为TypeIII主推的管理、业务网络分离的方式,如图3-1所示。
图3-1 组网图

3.1.2 硬件要求
具体设备型号以及版本请参考FusionCloud 6.3.1版本配套表。
3.1.3 软件要求
请按照FusionCloud 6.3.1版本配套表获取软件。
3.1.4 网络规划
管理区网络平面规划
类别 网络平面名称 VLAN ID 网段/IP 网关 网关位置 是否在网络中预配置 自动分配IP范围 VRF 手动规划的IP地址 说明
OpenStack管理平面 External_OM 4 10.200.4.0/26 10.200.4.1 核心交换机 是 NA Management NA FusionSphere OpenStack内部OM管理平面,与外部网络相连,通过该网络可以从内部网络接入外部网络。控制节点+云服务节点+FSM+OM+CPS基本配置会占用此网段的IP

External_API    5    10.200.4.64/26    10.200.4.65    核心交换机    是    NA    Management    NA    FusionSphere OpenStack的外部API管理平面,与外部网络相连,通过该网络可以从外部网络接入内部虚拟机执行操作。反向代理+正向代理占用此网段的IP
Internal_Base    260    172.28.0.0/20    无网关    NA    NA    NA    NA    NA    建议默认 FusionSphere OpenStack内部管理网络。物理组网时,需要在交换机上为其设置VLAN,主要作用为内部管理网络互通。IP由系统自动分配,默认为“172.28.0.0/20”,不建议修改

管理节点存储平面 Storagel_data0(FusionStorage&IPSAN) 6 192.168.31.0/26 192.168.31.1 核心交换机 是 NA Manage NA 使用KVM资源时的内部存储平面。可用于接入FusionStorage及其他存储设备网络。
FusionStorage只需要data0平面;IPSAN需要data0与data1平面

Storage_data1(IPSAN特殊场景按需求规划Storage_data2\\3…….)    17    192.168.31.64/26    192.168.31.65    核心交换机    是    NA    Manage    NA    

云服务后端平面 Public_Service 8 10.200.5.0/24 10.200.5.1 核心交换机 是 NA Manage NA 公共服务和云服务后端(组合API,IAM,IAAS+服务)。
心跳平面 Heart_beat 9 198.18.1.0/24 无网关 NA NA NA NA NA 云服务内部心跳平面
云服务前端平面 DMZ_Service 10 10.200.6.0/24 10.200.6.1 核心交换机 是 NA DMZ NA IAAS/PAAS/SAAS等服务的前端节点,以console等方式,对外提供服务
面向租户的管理平面 DMZ_Tenant 1000 11.125.0.0/25 11.125.0.1 核心交换机 是 NA DMZ NA 面向租户的网络,属于内部网络。APIGW、安全区漏扫、网页防篡改,补丁服务等服务与虚机互通时需要此网络的一个地址,此网络与租户网络需要三层互通,例如 DMZ与VPC需要互通场景。
OBS(可选) OBS_OM 7 10.200.4.192/26 10.200.4.193 核心交换机 是 NA Manage NA OBS服务的运维平面。每个OBS存储节点以及LVS节点均会占用此网段的一个IP

OBS_Service    1001    11.125.0.128/26    11.125.0.129    核心交换机    是    NA    DMZ    NA    OBS服务的业务平面。多个Region的OBS_Service平面需要互通。(查询多个Region的OBS,确保相关信息全局唯一)每个OBS存储节点以及LVS节点均会占用此网段的一个IP
OBS_Inter    2    192.168.4.0/26    192.168.4.1    核心交换机    是    NA    DMZ    NA    OBS后端网络,VLAN取值只能是2-9,建议固定为2
OBS_LVS_ECMP    402    192.168.100.64/27    192.168.100.65    核心交换机    是    -    DMZ    192.168.100.66-192.168.100.67    OBS-LVS节点的等价路由平面。每个LVS节点占用一个IP。

探测VLAN detect_vlan 4093 NA 虚拟机HA,开启业务防脑裂的时候配置,把业务口所在的物理口对应的交换机端口放通探测VLAN
租户业务网段 tenant_network NA 10.200.220.0/24 NA 租户业务网络的网段(需要包括所有的租户业务网段),此网段只用于参数输入,不需要配置物理设备。用于配置与租户区虚拟机互通的云服务虚拟机配置路由时使用,比如租户DNS_NTP,APIGW等,目的地址是tenant_network的路由走DMZ_Tenant的网卡,用于配置租户虚拟机访问租户DNS/NTP和APIGW的的回程路由。FCD自动安装只支持一个网段,建议把归纳一个大网段覆盖所有访问DNS_NTP,APIGW的租户网络,

业务区网络平面规划
类别 网络平面名称 VLAN ID 网段/IP 网关 网关位置 自动分配IP范围 VRF 是否在网络中预配置 手动规划的IP地址 说明
计算节点 POD_Storage0 532 192.168.32.0/23 192.168.32.1 NA NA NA Manage NA 生产存储的数据平面。

POD_Storage1    536    192.168.36.0/23    192.168.36.1    NA    NA    NA    Management    NA    

ebackup(可选) Product_storage(生产存储面) 复用POD_Storage规划 核心交换机 NA Manage 是 NA 生产存储平面,复用计算节点的存储平面

ebackup_OM    复用External_OM规划    核心交换机    NA    Manage    是    NA    备份节点的管理/内部平面,复用OM平面
Backup_storage(备份存储面)    533    192.168.34.0/26    192.168.34.1    核心交换机    NA    Manage    是    NA    备份存储的数据平面

存储节点 Storage_OM 300 10.200.7.0/26 100.200.7.1 核心交换机 NA Manage 是 NA FusionStorage存储集群的管理平面与存储平面

storage_service    复用POD_Storage0规划    

组网图:

网络分区设计:
管理区:
管理区两台CE6851/CE6855使用2*40GE做堆叠或者peer-link,两台CE6851/CE6855分别上行两根40GE连接核心交换机。
BMC接入交换机推荐CE5855,每个CE5855出2*10GE连接到管理区的TOR。
业务区:
业务区包括计算节点和存储节点。
计算节点分为四种类型:KVM(内核态)、KVM(用户态)、BMS。
 KVM(内核态)通过Host的Linux内核访问网卡,进行数据收发,在内核态datapath进行交换,性能受到限制。
 KVM(用户态)通过DPDK进行收发包,优化了流表,提升了性能。
存储节点包括FusionStorage、IPSAN和FCSAN。
管理节点的网口配置需要与计算节点的网口配置配套,项目需要根据计算节点的配置决定管理节点的配置。
表3-1 管理节点和业务节点的网口配置方案
配套方案 计算节点配置 管理节点配置 DHCP部署方案 备注
计算节点2网口 210GE(主备):管理+存储+业务 210GE(主备):管理+存储+业务 可集中或者下沉,推荐集中。 -
计算节点4网口  2*10GE(主备):管理+业务
 210GE(或者HBA):存储 210GE(主备):管理+存储+业务 可集中或者下沉,推荐集中。 计算节点是管理和业务共用,管理节点只需要一对10GE网口,保证业务口都在physnet1部署。
计算节点6网口  2*10GE(主备):管理 (兼容GE)
 2*10GE(主备):业务
 210GE(或者HBA):存储  210GE(主备):管理+存储
 2*10GE(主备):业务(可选) 可集中或者下沉。
如果下沉部署并且没有裸金属服务器(裸金属依赖的Provision网络需要部署在业务口),控制节点可以只配置2*10GE,不配置业务口。 计算节点是管理和业务分离,管理节点需要两对10GE网口,如果DHCP下沉部署,并且没有裸机,可以只配置一对10GE网口。
由于裸金属服务只能有一个资源池,单REgion多物理出口隔离场景下,如果需要部署裸金属服务,裸金属服务只能在一个分区,控制节点的业务连接一个物理出口。
业务口用户态下默认是静态LACP。

VRF 设计:
表3-2 交换机VRF设计
名称 描述
Internet 主要承载公网流量,从出入公网需要进入此VRF。
外网网络的VLAN和网关划入此VRF。
Manage 主要承载内部运维管理流量以及各种云服务内部数据通讯流量。
DMZ 主要承载IAAS/PAAS/SAAS等服务的业务面数据流量以及FusionCloud的Console、邮件网关、NTP、DNS等对公网暴露的流量。
不划分单独的DMZ分区的网络,DMZ规划到ManageVRF。
BMC 主要承载各物理设备带外管理流量。
在不划分单独的BMC VRF情况下,BMC划分到Manage VRF,默认情况下BMC一律划分到Manage VRF。
VPC 业务VPC的VRF,为了做不同租户的隔离,在交换机上做不同的VRF隔离。

备注:本文档采用DMZ和Manage VRF分开方式。

3.2 调测步骤
3.2.1 网络设备配置
网络设备涉及到接入交换机、核心交换机的配置,下面针对每个设备的配置进行说明。
3.2.1.1 接入交换机配置
管理区和业务区上联交换机端口连接表基本相同,本文采用模式三方案,以管理节点1所连交换机端口连接表为例,模式三请参考章节3.1.4 网络规划。
3.2.1.1.1 接入交换机端口连接表
如表3-3所示:
表3-3 管理区接入交换机
设备名称 本端端口 对端设备 对端端口 说明
管理区接入交换机 10GE1/0/1 管理节点1 Eth0 管理+存储网卡
管理区接入交换机 10GE2/0/1 管理节点1 Eth1
管理区接入交换机 10GE1/0/2 管理节点1 Eth2 业务网卡
管理区接入交换机 10GE2/0/2 管理节点1 Eth3
管理区接入交换机 40GE1/0/6 核心交换机 40GE1/0/0/1 核心交换机使用Eth-trunk 1,接入交换机使用Eth-trunk 1
管理区接入交换机 40GE2/0/6 核心交换机 40GE2/0/0/1

3.2.1.1.2 管理区接入交换机配置
管理交换机配置如下表3-4所示,vlan 规划请参考3.1.4 网络规划。
表3-4 管理交换机配置
节点 服务器网口 网络平面 VLAN
控制节点+云服务节点 eth0、eth1(管理+存储网口) External_OM 4

    External_API    5
    Internal_Base    260(untagged)
    Public Service    8
    DMZ Service    10
    DMZ Tenant    1000
    Heart Beat    9
    Storage_data0    6
eth2、eth3(业务网口)    业务平面    按照实际业务规划

这里以管理网口举例,业务网口配置按照实际业务规划参考。

  1. 连接管理节点管理网口。
    interface 10GE1/0/1
    description link_to_管理节点_1_eth0
    port link-type hybrid
    port hybrid pvid vlan 260
    port hybrid tagged vlan 4 to 6 8 to 10 1000
    undo port hybrid untagged vlan 1
    port hybrid untagged vlan 260
    interface 10GE2/0/1
    description link_to_管理节点_1_eth1
    port link-type hybrid
    port hybrid pvid vlan 260
    port hybrid tagged vlan 4 to 6 8 to 10 1000
    undo port hybrid untagged vlan 1
    port hybrid untagged vlan 260
  2. 连接核心交换机。
    接入交换机上行端口配置:
    interface Eth-Trunk1
    port link-type trunk
    undo port trunk allow-pass vlan 1
    port trunk allow-pass vlan 4 to 6 8 10 260
    interface 40GE1/0/6
    eth-trunk 1
    interface 40GE2/0/6
    eth-trunk 1
    核心交换机对端端口配置:
    interface Eth-Trunk1
    port link-type trunk
    undo port trunk allow-pass vlan 1
    port trunk allow-pass vlan 4 to 6 8 10 260
    interface 40GE1/0/0/1
    eth-trunk 1
    interface 40GE2/0/0/1
    eth-trunk 1
    3.2.1.1.3 业务区接入交换机配置
    业务区交换机配置如下表3-5所示,vlan 规划请参考3.1.4 网络规划,下面以计算节点1为例。
    表3-5 业务区交换机配置
    节点 服务器网口 网络平面 VLAN
    计算节点 eth0、eth1(管理网口) External_OM 4
    External_API 5
    Internal_Base 260(untagged)

    eth2、eth3 (存储网口)    POD_Storage0    532
    eth4、eth5(业务网口)    业务平面    按照实际业务规划
    

这里以管理网口和存储网口举例,业务网口配置按照实际业务规划参考。

  1. 连接计算节点管理网卡。
    interface 10GE1/0/1
    description link_to_计算节点_1_eth0
    port link-type hybrid
    port hybrid pvid vlan 260
    port hybrid tagged vlan 4 to 5
    undo port hybrid untagged vlan 1
    port hybrid untagged vlan 260
    interface 10GE2/0/1
    description link_to_计算节点_1_eth1
    port link-type hybrid
    port hybrid pvid vlan 260
    port hybrid tagged vlan 4 to 5
    undo port hybrid untagged vlan 1
    port hybrid untagged vlan 260
  2. 连接核心交换机。
    接入交换机本端端口配置:
    interface Eth-Trunk1
    port link-type trunk
    undo port trunk allow-pass vlan 1
    port trunk allow-pass vlan 4 to 5 532 260
    interface 40GE1/0/6
    eth-trunk 1
    interface 40GE2/0/6
    eth-trunk 1
    核心交换机对端端口配置:
    interface Eth-Trunk1
    port link-type trunk
    undo port trunk allow-pass vlan 1
    port trunk allow-pass vlan 4 to 5 532 260
    interface 40GE1/0/0/1
    eth-trunk 1
    interface 40GE2/0/0/1
    eth-trunk 1
  3. 连接计算节点存储网卡。
    interface 10GE1/0/2
    description link_to_计算节点_1_eth2
    port link-type trunk
    undo port trunk allow-pass vlan 1
    port trunk allow-pass vlan 532
    interface 10GE2/0/2
    description link_to_计算节点_1_eth3
    port link-type trunk
    undo port trunk allow-pass vlan 1
    port trunk allow-pass vlan 532
    3.2.1.2 核心交换机配置
    核心交换机中需要的多个VRF,分别为:Internet、Manage、DMZ、VPC等。
    说明:网关所在设备才需要配置VRF,提供三层能力。
    3.2.1.2.1 创建网络平面网关地址
    以下以每个VRF创建网关为例,其网关参考3.1.4 网络规划中VRF划分创建。
  4. 配置vrf。
    ip vpn-instance Manage
    ipv4-family
    route-distinguisher 101:1
    vpn-target 101:1 both
    quit
    quit
    ip vpn-instance DMZ
    ipv4-family
    route-distinguisher 102:1
    vpn-target 102:1 both
    quit
    quit
    ip vpn-instance Internet
    ipv4-family
    route-distinguisher 103:1
    vpn-target 103:1 both
    quit
    quit
    ip vpn-instance VPC
    ipv4-family
    route-distinguisher 104:1
    vpn-target 104:1 both
    quit
    quit
  5. 配置Mange和DMZ的vlanif接口ip。VPC和Internet需按照实际规划的vlan配置vlanif接口和ip,执行命令可以参考。
    vlan batch 4 to 6 8 to 10 22 260 1000
    interface vlanif 4
    description External_OM_GateWay
    ip binding vpn-instance Manage
    ip address 10.200.4.1 26

    interface vlanif 5
    description External_API_GateWay
    ip binding vpn-instance Manage
    ip address 10.200.4.65 26

    interface vlanif 6
    description Storage_data0_GateWay
    ip binding vpn-instance Manage
    ip address 10.200.4.129 26

    interface vlanif 8
    description Public_Service_GateWay
    ip binding vpn-instance Manage
    ip address 10.200.5.1 24

    interface vlanif 10
    description DMZ_Service_GateWay
    ip binding vpn-instance DMZ
    ip address 10.200.6.1 24

    interface vlanif 1000
    description DMZ_Tenant_GateWay
    ip binding vpn-instance DMZ
    ip address 11.125.0.1 25
    3.2.1.2.2 配置相关路由
    场景 源VRF 目标地址 目的设备 网络域/安全域 下一跳IP 下一跳地址类型
    默认路由 Internet (自定义) 0.0.0.0 PE N/A 10.200.1.58 PE与核心交换机的互联IP
    默认路由 Manage 0.0.0.0 边界防火墙 Manage zone 10.200.1.34 核心交换机与边界墙Manage VRF的互联IP(虚IP)
    默认路由 DMZ 0.0.0.0 边界防火墙 DMZ zone 10.200.1.50 核心交换机与边界墙 DMZ VRF的互联IP(虚IP)
    默认路由 VPC1(业务VRF)
    如果存在多个租户网络,这里需要配置多个VRF) 0.0.0.0 边界防火墙 VPC1 zone 10.200.1.42 核心交换机与边界墙 VPC1 VRF的互联IP(虚IP)
    从Internet访问云平台Portal,如SC租户侧(入方向) Internet Portal的Internet地址(LVS的浮动IP NAT到 Internet的地址) 边界墙 Internet zone 10.200.1.26 核心交换机与边界墙Internet VRF的互联IP(虚IP)
    从Internet访问APIGW Internet APIGateway的Internet地址( APIGW-LB的浮动IP浮动IP NAT到Internet的地址) 边界墙 Internet zone 10.200.1.26 边界墙与核心交换机Internet VRF的互联IP(虚IP)
    业务虚拟机访问OBS区域路由 DMZ OBS VIP LVS DMZ 到LVS的等价路由 LVS节点
    回程路由 Internet 管理混合云SNAT的Internet地址(ip1~4 NAT到 Internet的地址) 边界墙 Internet 10.200.1.26 综合接入交换机与边界墙Internet VRF的互联IP(虚IP)
    大数据应用从外大网访问FusionInsight HD(可选) Internet DMZ_Tenant(FusionInsight HD数据节点的DMZ_tennat网段) 边界墙 Internet zone 10.200.1.26 综合接入交换机与边界墙Internet VRF的互联IP(虚IP)

3.2.2 网络服务调测
该部分主要介绍网络服务调测的配置步骤以及注意事项。

网络服务调测前需要完成云服务的安装部署,具体步骤可以参考《FusionCloud 6.3.1 软件安装指南》。
3.2.2.1 VPC
请参见FusionCloud 6.3.1 用户指南 (Region Type III)》进行调测。
3.2.3 FusionCloud Deploy工具上联接口配置
FusionCloud Deploy工具上联接口配置需要提前在交换机配置。

FCD执行机eth0(举例,以实际情况为准)上联交换机放通Internal Base, External API及External OM平面VLAN,并且保留vlan tag。vlan的值参考3.1.4 网络规划,示例配置如下:
interface 10GE1/0/20
description link_to_FCD
port link-type trunk
port trunk allow pass vlan 4 to 5 260
undo port trunk allow pass vlan 1
device transceiver 10GBASE-FIBER
注意:所有VLAN为tagged,且接口PVID为1。
备注:若FCD工具使用计算节点临时服务器搭建,搭建完成后将需要将交换机上连接FCD的端口的配置进行更改,修改后的配置如下:
interface 10GE1/0/20
description link_to_compute_node
port link-type hybrid
port hybrid pvid vlan 260
port hybrid tagged vlan 4 to 5
undo port hybrid untagged vlan 1
port hybrid untagged vlan 260
device transceiver 10GBASE-FIBER
3.2.4 对象存储服务网络配置
对象存储服务(OBS)涉及的网络配置包括交换机和防火墙、LVS。
3.2.4.1 交换机和防火墙
本节主要介绍对象存储LVS节点和FusionStorage所连接的接入交换机的配置以及汇聚交换机和防火墙的配置。
数据准备
对象存储LVS节点与FusionStorage的逻辑组网如图3-2所示。
图3-2 对象存储LVS节点与FusionStorage的逻辑组网

根据组网规划,在配置接入交换机前,您需要准备相关的数据,如表3-6和表3-7所示。
表3-6 对象存储LVS节点IP分类
IP类型 功能 网络分段
BMC IP 用于远程登录管理设备。  IP:10.200.20.X/23
 VLAN ID:20
 网关:10.200.20.1
对象存储LVS节点管理IP 用于SSH方式登录对象存储LVS节点,以及与第三方平台的对接,如进程监控、上报告警和上报日志等。  IP:10.200.19.X/26
 VLAN ID:7
 网关:10.200.19.1
等价路由IP 防火墙配置等价路由。  IP:192.168.100.X/27
 VLAN ID:402
 网关:192.168.100.65
对象存储LVS节点业务IP 与业务节点集群业务IP同一网段,同一VLAN。  IP:11.125.0.X/26
 VLAN ID:1001
 网关:11.125.0.129
对象存储LVS节点虚拟IP 业务请求入口。与对象存储LVS节点业务IP同一网段。  IP:11.125.0.X/26
 VLAN ID:1001
 网关:11.125.0.129

表3-7 数据规划
设备 管理IP 业务IP 等价路由IP BMC IP 虚拟IP
LVS01 10.200.19.7 11.125.0.134 192.168.100.66 10.200.20.23 11.125.0.136
LVS02 10.200.19.8 11.125.0.135 192.168.100.67 10.200.20.24
FusionStorage01 10.200.19.2 11.125.0.130 - 10.200.20.20 -
FusionStorage02 10.200.19.3 11.125.0.131 - 10.200.20.21 -
FusionStorage03 10.200.19.4 11.125.0.132 - 10.200.20.22 -

以上参数请根据实际局点信息进行修改。
配置后端存储网络交换机
前提条件
确保两台交换机连线正常,且已配置为堆叠状态。
配置举例
下面以CE6800系列交换机为例,可参考如下配置方法。如果采用其他型号的前端业务网络交换机,请参考交换机配套资料完成配置。

  1. 通过telnet或直连设备Console口,使用admin用户登录后端存储网络交换机。
  2. 配置DCB中的PFC功能。
    后端存储网络VLAN ID默认为2,与出厂时存储节点的SLOT4-0.2中的2保持一致。若不能配置为2,则还需要对应修改存储节点的SLOT4-0.2的值,更改方法请参考《FusionStorage V100R006C10 对象存储服务软件安装指南》中的“附录 系统常用信息和基本操作 > 修改存储节点虚拟网口ID”章节。

    进入系统视图

    <HUAWEI> system-view

    创建VLAN2

    [~HUAWEI] vlan 2
    [*HUAWEI-vlan2] commit
    [~HUAWEI-vlan2] quit

    创建端口组1,添加接口

    [~HUAWEI] port-group 1
    [*HUAWEI-port-group-1] group-member 10GE 1/0/1 to 10GE 1/0/3
    [*HUAWEI-port-group-1] group-member 10GE 2/0/1 to 10GE 2/0/3
    [*HUAWEI-port-group-1] commit

    对连接RoCE网卡的端口配置hybrid,并指定PFC功能的工作模式

    [~HUAWEI-port-group-1] port link-type hybrid

    RoCE端口退出VLAN1

    [*HUAWEI-port-group-1] undo port hybrid untagged vlan 1
    [*HUAWEI-port-group-1] port hybrid tagged vlan 2
    [*HUAWEI-port-group-1] dcb pfc enable mode manual
    [*HUAWEI-port-group-1] commit
    [~HUAWEI-port-group-1] quit

    设置优先级

    [~HUAWEI] dcb pfc
    [~HUAWEI-dcb-pfc] priority 0 to 5
    [*HUAWEI-dcb-pfc] commit
    [~HUAWEI-dcb-pfc] quit

  3. 为MEth0/0/0配置IP地址。

    为MEth0/0/0接口配置IP地址(该IP地址将为2台堆叠交换机共用)

    [~HUAWEI] interface MEth0/0/0
    [~HUAWEI-MEth0/0/0] ip address 10.200.19.9 255.255.255.192
    [*HUAWEI-MEth0/0/0] commit
    [~HUAWEI-MEth0/0/0] quit
    [~HUAWEI] quit

    保存配置脚本

    <HUAWEI> save
    Warning: The current configuration will be written to the device. Continue? [Y/N]:y
    ...
    配置与对象存储LVS节点对接的接入交换机
    前提条件
    确保两台交换机连线正常,且已配置为堆叠状态。
    配置举例
    使用FusionCloud Deploy工具安装对象存储LVS节点的操作系统前,需要配置与对象存储LVS节点连接的交换机。本节以CE6800系列交换机为例介绍配置操作。如果采用其他型号的交换机,请参考交换机配套资料完成配置。
    步骤 1 登录与对象存储LVS节点连接的接入交换机。
    步骤 2 创建等价路由VLAN 402、Eth-Trunk10。
    <HUAWEI> system-view
    [~HUAWEI] vlan 402
    [*HUAWEI-vlan2] commit
    [~HUAWEI-vlan2] quit
    [~HUAWEI] interface Eth-Trunk10
    [*HUAWEI-Eth-Trunk10] commit
    [~HUAWEI-Eth-Trunk10] quit
    步骤 3 设置对象存储LVS节点连接的接入交换机端口,如LVS01的enp2s0f0网口接入到接入交换机的10GE 1/0/13口,允许业务、管理、等价路由VLAN通过。CE6850交换机参考如下命令:
    interface 10GE 1/0/13
    description To RH2288H-UDSLVS-01-enp2s0f0
    eth-trunk 10

interface 10GE 1/0/14
description To RH2288H-UDSLVS-01-enp2s0f1
eth-trunk 10

interface Eth-Trunk10
description To UDSLVS01
port link-type hybrid
port hybrid tagged vlan 1001 7 402
commit
步骤 4 对Eth-Trunk接口执行如下命令,放通Internal Base平面的VLAN。
interface Eth-Trunk10
port hybrid pvid vlan vlan_id
port hybrid untagged vlan vlan_id
commit
vlan_id表示Internal Base平面的VLAN ID。
步骤 5 对Eth-Trunk10中只保留一个状态为up的成员口,其他接口均执行shutdown命令,关闭剩余成员口。
步骤 6 设置其他对象存储LVS节点连接的接入交换机端口,执行步骤1到步骤5进行配置。
步骤 7 登录其他上行交换机,执行步骤4放通Internal Base平面的VLAN。
----结束
配置与FusionStorage对接的接入交换机
本节主要介绍FusionStorage所连接的接入交换机的配置。
配置举例
下面以CE6800系列交换机为例,可参考如下配置方法。如果采用其他型号的前端业务网络交换机,请参考交换机配套资料完成配置。

  1. 登录接入交换机。
  2. 执行如下命令,配置交换机接口流控。
    <HUAWEI> system-view

    打开流量控制开关。

    [~HUAWEI] port-group 1
    [*HUAWEI-port-group-1] group-member 10GE 1/0/1 to 10GE 1/0/48
    [*HUAWEI-port-group-1] commit
    [~HUAWEI-port-group-1] flow-control
    [*HUAWEI-port-group-1] commit
    [~HUAWEI-port-group-1] quit
    [~HUAWEI] port-group 2
    [*HUAWEI-port-group-2] group-member 10GE 2/0/1 to 10GE 2/0/48
    [*HUAWEI-port-group-2] commit
    [~HUAWEI-port-group-2] flow-control
    [*HUAWEI-port-group-2] commit
    [~HUAWEI-port-group-2] quit
    [~HUAWEI] quit
    <HUAWEI>save
    Warning: The current configuration will be written to the device. Continue? [Y/N]:y
    ...

  3. 可选:当“bond模式”选择“mode=2(balance-xor)”时,为与FusionStorage前端业务接口相连的交换机网口配置VLAN和Trunk属性。
    <HUAWEI> system_view

    配置vlan。

    [~HUAWEI] vlan 1001
    [*HUAWEI-Vlan110] description FrontEnd
    [*HUAWEI-Vlan110] commit
    [~HUAWEI-Vlan110] quit
    [~HUAWEI] vlan 7
    [*HUAWEI-Vlan100] description Management
    [*HUAWEI-Vlan100] commit
    [~HUAWEI-Vlan100] quit

    创建ETH-Trunk 1并配置负载均衡。

    [~HUAWEI] interface Eth-Trunk 1
    [*HUAWEI-Eth-Trunk1] port link-type hybrid
    [*HUAWEI-Eth-Trunk1] port hybrid tagged vlan 1001 7
    [*HUAWEI-Eth-Trunk1] stp disable
    [*HUAWEI-Eth-Trunk1] load-balance src-dst-mac
    [*HUAWEI-Eth-Trunk1] commit
    [~HUAWEI-Eth-Trunk1] quit

    将节点1连接前端业务网络交换机的两个接口加入ETH-Trunk 1。

    [~HUAWEI] interface 10GE 1/0/1
    [~HUAWEI-10GE1/0/1] port link-type access
    [*HUAWEI-10GE1/0/1] eth-trunk 1
    [*HUAWEI-10GE1/0/1] commit
    [~HUAWEI-10GE1/0/1] quit
    [~HUAWEI] interface 10GE 2/0/1
    [~HUAWEI-10GE2/0/1] port link-type access
    [~HUAWEI-10GE2/0/1] eth-trunk 1
    [*HUAWEI-10GE2/0/1] commit
    [~HUAWEI-10GE2/0/1] quit

    创建ETH-Trunk 2并配置负载均衡。

    [~HUAWEI] interface Eth-Trunk 2
    [*HUAWEI-Eth-Trunk2] port link-type hybrid
    [*HUAWEI-Eth-Trunk2] port hybrid tagged vlan 1001 7
    [*HUAWEI-Eth-Trunk2] stp disable
    [*HUAWEI-Eth-Trunk2] load-balance src-dst-mac
    [*HUAWEI-Eth-Trunk2] commit
    [~HUAWEI-Eth-Trunk2] quit

    将节点2连接前端业务网络交换机的两个接口加入ETH-Trunk 2。

    [~HUAWEI] interface 10GE 1/0/2
    [~HUAWEI-10GE1/0/2] port link-type access
    [*HUAWEI-10GE1/0/2] eth-trunk 2
    [*HUAWEI-10GE1/0/2] commit
    [~HUAWEI-10GE1/0/2] quit
    [~HUAWEI] interface 10GE 2/0/2
    [~HUAWEI-10GE2/0/2] port link-type access
    [~HUAWEI-10GE2/0/2] eth-trunk 2
    [*HUAWEI-10GE2/0/2] commit
    [~HUAWEI-10GE2/0/2] quit

    创建ETH-Trunk 3并配置负载均衡。

    [~HUAWEI] interface Eth-Trunk 3
    [*HUAWEI-Eth-Trunk3] port link-type hybrid
    [*HUAWEI-Eth-Trunk3] port hybrid tagged vlan 1001 7
    [*HUAWEI-Eth-Trunk3] stp disable
    [*HUAWEI-Eth-Trunk3] load-balance src-dst-mac
    [*HUAWEI-Eth-Trunk3] commit
    [~HUAWEI-Eth-Trunk3] quit

    将节点3连接前端业务网络交换机的两个接口加入ETH-Trunk 3。

    [~HUAWEI] interface 10GE 1/0/3
    [~HUAWEI-10GE1/0/3] port link-type access
    [*HUAWEI-10GE1/0/3] eth-trunk 3
    [*HUAWEI-10GE1/0/3] commit
    [~HUAWEI-10GE1/0/3] quit
    [~HUAWEI] interface 10GE 2/0/3
    [~HUAWEI-10GE2/0/3] port link-type access
    [~HUAWEI-10GE2/0/3] eth-trunk 3
    [*HUAWEI-10GE2/0/3] commit
    [~HUAWEI-10GE2/0/3] quit
    [~HUAWEI] quit
    <HUAWEI> save
    Warning: The current configuration will be written to the device. Continue? [Y/N]:y
    ...
    配置汇聚交换机和防火墙
    为了使Internet能够访问OBS,您需要在汇聚交换机和防火墙上完成相应的配置。本节介绍配置汇聚交换机和防火墙所需要的数据以及配置步骤。
    数据准备
    在配置汇聚交换机和防火墙前,您需要准备相关的数据,如表3-8所示。
    表3-8 数据准备
    配置步骤 需要提前获取的参数 配置样例
    在汇聚交换机上配置静态路由指向防火墙
    Internet VRF名称 Internet

    Internet 网络地址    112.29.0.0
    面向Internet VRF的防火墙IP地址    10.200.1.25
    DMZ VRF名称    DMZ
    面向DMZ VRF的防火墙IP地址    10.200.1.49

    在汇聚交换机上配置指向LVS的等价路由IP
    等价路由IP地址 192.168.100.66
    192.168.100.67

    对象存储LVS节点的虚拟IP地址    11.125.0.136

    在防火墙上配置静态路由指向汇聚交换机
    对象存储LVS节点的虚拟IP地址 11.125.0.136

    面向DMZ VRF的汇聚交换机IP地址    10.200.1.10
    面向Internet VRF的汇聚交换机IP地址    10.200.1.58

    在防火墙上配置NAT策略
    对象存储LVS节点的虚拟IP地址 11.125.0.136

    对象存储LVS节点虚拟IP面向Internet的NAT地址    112.29.249.136

    在防火墙上配置安全策略
    对象存储LVS节点的虚拟IP地址 11.125.0.136

以上参数请根据实际局点信息进行修改。
配置举例
此处以CE12800交换机和USG6600防火墙为例进行说明,如果现网的设备和版本与举例不符,请以实际为准。
 在汇聚交换机上配置静态路由指向防火墙
a. 执行命令system-view,进入系统视图。
b. 执行以下命令配置静态路由指向防火墙。
[HUAWEI]ip route-static vpn-instance Internet 112.29.0.0 255.254.0.0 10.200.1.25
[HUAWEI]ip route-static vpn-instance DMZ 0.0.0.0 0.0.0.0 10.200.1.49
 在汇聚交换机上配置指向对象存储LVS节点的等价路由IP
a. 执行命令system-view,进入系统视图。
b. 交换机上配置NQA,检测对象存储LVS节点与交换机链路是否正常,针对每个对象存储LVS节点配置一条NQA。
[~HUAWEI]nqa test-instance uds_lvs_1 uds_lvs_1
[*HUAWEI-nqa-uds_lvs_1-uds_lvs_1]test-type icmp
[*HUAWEI-nqa-uds_lvs_1-uds_lvs_1]destination-address ipv4 192.168.100.66
[*HUAWEI-nqa-uds_lvs_1-uds_lvs_1]interval seconds 1
[*HUAWEI-nqa-uds_lvs_1-uds_lvs_1]timeout 1
[*HUAWEI-nqa-uds_lvs_1-uds_lvs_1]probe-count 2
[*HUAWEI-nqa-uds_lvs_1-uds_lvs_1]frequency 5
[*HUAWEI-nqa-uds_lvs_1-uds_lvs_1]start now
[*HUAWEI-nqa-uds_lvs_1-uds_lvs_1]commit
[~HUAWEI-nqa-uds_lvs_1-uds_lvs_1]quit

[~HUAWEI]nqa test-instance uds_lvs_2 uds_lvs_2
[*HUAWEI-nqa-uds_lvs_2-uds_lvs_2]test-type icmp
[*HUAWEI-nqa-uds_lvs_2-uds_lvs_2]destination-address ipv4 192.168.100.67
[*HUAWEI-nqa-uds_lvs_2-uds_lvs_2]interval seconds 1
[*HUAWEI-nqa-uds_lvs_2-uds_lvs_2]timeout 1
[*HUAWEI-nqa-uds_lvs_2-uds_lvs_2]probe-count 2
[*HUAWEI-nqa-uds_lvs_2-uds_lvs_2]frequency 5
[*HUAWEI-nqa-uds_lvs_2-uds_lvs_2]start now
[*HUAWEI-nqa-uds_lvs_2-uds_lvs_2]commit
[~HUAWEI-nqa-uds_lvs_2-uds_lvs_2]quit
[~HUAWEI]quit
<HUAWEI>save
Warning: The current configuration will be written to the device. Continue? [Y/N]:y
Now saving the current configuration to the slot 1 .
Info: Save the configuration successfully.
Now saving the current configuration to the slot 2 .........
Info: Save the configuration successfully.
c. 配置等价路由与NQA联动。
[~HUAWEI]ip route-static 11.125.0.136 255.255.255.255 192.168.100.66 track nqa uds_lvs_1 uds_lvs_1 description lvs01
[*HUAWEI]ip route-static 11.125.0.136 255.255.255.255 192.168.100.67 track nqa uds_lvs_2 uds_lvs_2 description lvs02
[*HUAWEI]commit
 在防火墙上配置静态路由指向汇聚交换机
a. 执行命令system-view,进入系统视图。
b. 执行以下命令配置静态路由指向汇聚交换机。
HRP_M[A06-USG6600-02]ip route-static 11.125.0.136 255.255.255.255 10.200.1.10
HRP_M[A06-USG6600-02]ip route-static 0.0.0.0 0.0.0.0 10.200.1.58
 在防火墙上配置NAT策略
a. 执行命令system-view,进入系统视图。
b. 执行以下命令配置NAT策略。
HRP_M[A06-USG6600-02]nat server global 112.29.249.136 112.29.249.136 inside 11.125.0.136

 在防火墙上配置安全策略,允许访问对象存储LVS节点面向Internet的IP地址
a. 执行命令system-view,进入系统视图。
b. 执行以下命令配置安全策略。
HRP_M[A06-USG6600-02]security-policyrule
HRP_M[A06-USG6600-02-policy-security]name obs_NAT
HRP_M[A06-USG6600-02-policy-security-rule-obs_NAT]source-zone trust
HRP_M[A06-USG6600-02-policy-security-rule-obs_NAT]destination-zone DMZ
HRP_M[A06-USG6600-02-policy-security-rule-obs_NAT]destination-address 11.125.0.136 mask 255.255.255.255
HRP_M[A06-USG6600-02-policy-security-rule-obs_NAT]action permit
3.2.4.2 对象存储LVS节点
本节介绍对象存储LVS节点的硬件典型配置,以及工具界面操作前需要完成的软硬件操作。
硬件配置
OBS LVS节点硬件典型配置如下:
名称 典型配置 说明
LVS 节点 RH2288H V3(2E5-2680 V4 CPU, 232GB DIMM, 2600G SAS, SR430c(LSI 3108) RAID card, 22*10GE NIC)
2288H V5(24116 CPU, 216GB DIMM, 2600G SAS,SR530c-M(LSI 3108) RAID card, 22*10GE NIC)
注:以上配置不包含电源制式、滑轨等配置,请根据项目需求进行配置 推荐使用典型配置。典配经过性能测试,可满足LVS性能规格。其他配置的服务器,需单独对性能进行评估(配置可以高于典配)。
当前只支持3108型号的RAID卡。

软硬件操作
在进行界面操作之前,完成以下软硬件操作如表3-9。
表3-9 对象存储LVS节点软硬件操作列表
操作顺序 操作步骤 参考文档 参考章节
1 规划系统 《FusionStorage V100R006C10 LVS安装指南》
“安装 > 系统规划”
2 安装硬件 “安装 > 硬件安装”
3 配置交换机网络 本文 3.2.4.1 交换机和防火墙

4 配置RAID 《FusionStorage V100R006C10 LVS安装指南》
“安装 > 操作系统安装 > 服务器初始化”

3.2.5 备份服务网络配置
安装eBackup Server&Proxy节点的操作系统前,需要配置与eBackup Server&Proxy节点连接的接入交换机。本节以CE6800系列交换机为例介绍配置操作。
放通Internal_Base和External_OM平面的VLAN
步骤 1 执行以下命令进入与Server节点External_OM网口连接的交换机接口。
此处以接入交换机的接口10GE1/0/4为例。
interface 10GE1/0/4
步骤 2 如果是采用自动化方式安装eBackup Server&Proxy的操作系统,请执行该步骤。
依次执行以下命令,放通Internal_Base和External_OM平面的VLAN。
port link-type hybrid
port hybrid pvid vlan vlan_id
port hybrid untagged vlan vlan_id
port hybrid tagged vlan vlan_id1
Region Type I场景,vlan_id表示级联层Internal_Base平面的VLAN ID。vlan_id1表示被级联层External_OM平面的VLAN ID。
Region Type II,Region Type III场景,vlan_id表示Internal_Base平面的VLAN ID,vlan_id1表示External_OM平面的VLAN ID。
步骤 3 如果是采用手动方式安装eBackup Server&Proxy的操作系统,请执行该步骤。
依次执行以下命令放通External_OM平面的VLAN。
port link-type hybrid
port hybrid pvid vlan vlan_id
port hybrid untagged vlan vlan_id
Region Type I场景,vlan_id表示被级联层External_OM平面的VLAN_ID。
Region Type II,III场景,vlan_id表示External_OM平面的VLAN_ID。
步骤 4 执行commit命令,提交配置。
放通Backup_storage平面的VLAN
步骤 5 执行以下命令进入与Server节点Backup_storage网口连接的交换机接口。
此处以接入交换机的接口10GE1/0/5为例。
interface 10GE1/0/5
步骤 6 依次执行以下命令,放通Backup_storage平面的VLAN。
port link-type hybrid
port hybrid pvid vlan vlan_id
port hybrid untagged vlan vlan_id
vlan_id表示Backup_storage平面的VLAN ID。
步骤 7 执行commit命令,提交配置。
放通Product_storage平面的VLAN
步骤 8 执行以下命令进入与Server节点Product_storage网口连接的交换机接口。
此处以接入交换机的接口10GE1/0/6为例。
interface 10GE1/0/6
步骤 9 依次执行以下命令,放通Product_storage平面的VLAN。
port link-type hybrid
port hybrid pvid vlan vlan_id
port hybrid untagged vlan vlan_id
vlan_id表示Product_storage平面的VLAN ID。
步骤 10 执行commit命令,提交配置。
步骤 11 重复步骤1至步骤10进入与Proxy节点连接的接入交换机接口进行配置。
步骤 12 登录其他上行交换机(eBackup Server&Proxy的接入交换机与FusionCloud Deploy工具的接入交换机之间的所有交换机),重复步骤1到步骤11放通各网络平面的VLAN。
----结束
3.2.6 容灾服务网络配置
CSDR服务网络配置要求
CSDR场景下的多Region的网络规划和配置,与非CSDR场景下多Region的网络配置规划和配置相同,要求多个Region之间的网络三层互通。CSDR场景下,需要单独增加存储复制平面(多个Region之间的存储设备通过该平面通信),且多Region之间的存储复制平面需要互通。
CSHA服务网络配置要求
CSHA的网络规划和配置要求,请参见《FusionCloud 6.3.1 集成设计指导书》中的“单Region管理面跨DC高可用”章节。
VHA服务网络配置要求
VHA的网络规划和配置要求,与无VHA的单AZ或单POD的网络规划和配置相同。VHA服务还需要单独增加双活复制平面(两个存储设备之间通过该平面通信)。
3.2.7 配置裸金属服务器网络
3.2.7.1 网络平面规划
除FusionSphere OpenStack的基本网络平面之外,裸金属服务网络组网需要单独规划如表3-10所示的组网信息。
表3-10 网络平面规划
网络平面 vlan id 子网 DHCP地址段 说明
Provision 1738 24.55.48.0/24 24.55.48.11-24.55.48.130 必选

控制节点的External_om平面需要与裸金属服务器的BMC网络平面互通。
3.2.7.2 交换机网络预配置
步骤 1 裸金属服务器进行裸机扩容和节点清理操作或者引导部署GuestOS时,需要通过Provision网络进行通信,主要作为裸金属服务器的PXE通道。
interface 10GE1/0/1
port link-type access
undo port default vlan vlan1
port default vlan 1738
commit

 “10GE1/0/1”表示交换机上与裸金属服务器网口相连的交换机端口名称,如有多个PXE端口,则需对应重复执行该步骤进行配置。汇聚交换机及OpenStack控制节点的接入交换机也要配置放通provision网络,确保制节点与裸金属服务器节点provision平面二层互通。
 “vlan1” 表示物理机连接交换机网口已存在在网络平面的vlan id。
 “1738”表示provision平面的vlan id。
 裸金属服务器接入交换机的端口只需配置provison一个网络平面即可,租户网络平面在裸金属服务器发放完成后再进行手动切换。
步骤 2 登录汇聚交换机及OpenStack控制节点的接入交换机,配置Provision网络,具体配置依赖于实际组网。
interface 10GE1/0/2
port trunk allow-pass vlan 1738
commit

 “10GE1/0/2”表示控制节点管理网口与交换机相连的端口名称,如有多个端口,则需对应重复执行该步骤进行配置。接入交换机与汇聚交换机相连的端口也要配置放通provision网络,确保控制节点与裸金属服务器节点二层互通。
 “1738”表示Provision平面的vlan id。
----结束
3.2.7.3 切换网络并获取IP
步骤 1 使用浏览器,登录ManageOne运维面。
 登录地址:https://ManageOne运维面主页的访问地址:31943。例如,https://oc.type.com:31943
 默认帐号:admin,默认密码:Huawei12#$。
步骤 2 在页面上方的导航栏,选择“运维地图”,进入“运维地图”页面。
步骤 3 在“运维地图”页面右边的“快速访问”导航栏中,单击“ServiceOM”进入Service OM界面。
步骤 4 在Service OM界面,选择“服务列表 > 计算 > 裸金属服务器”。
步骤 5 单击裸金属服务器所在行前面的 ,在“概要”页签的左下角查看裸金属服务器的实例ID,记录为instance_uuid备用。
步骤 6 在FusionSphere OpenStack主机中,执行以下命令,查询裸金属服务器的port信息。
nova interface-list instance_uuid
步骤 7 根据查询到的port信息,针对每一个port,获取其“port_id”信息。
neutron port-show port_uuid
根据详情里面的“binding:profile”项目,获取“local_link_information”中所有的“port_id”。
图3-3 操作示例

 如果port没有IP地址,就在交换机上将该“port_id”进行shutdown。
 如果port有IP地址,则在交换机上将该“port_id”切换到租户的VLAN上。
----结束
3.2.8 配置Paas服务网络
Paas服务部署过程中需动态创建资源VPC,需提前规划VLAN,用于DMZ_tenant网络平面与租户VPC互通。
Paas业务虚拟机需要连接租户NTP服务用于时间同步,故Pass业务虚拟机网段(management_network)需是OpenStack的tenant_network的子网。

4 附录
4.1 核心/汇聚交换机与边界防火墙互联接口配置举例
4.2 核心/汇聚交换机路由配置举例
4.3 核心/汇聚交换机VRF路由互通举例
4.1 核心/汇聚交换机与边界防火墙互联接口配置举例
以配置核心交换机与边界墙之间的互联接口为例。假设核心交换机、边界墙的互联物理接口为Eth-Trunk1,vlan为600,互联IP段为10.200.1.24/30,配置命令如下举例,用户需根据实际规划参考配置。
[~CE12800-Eth-Trunk1]dis th

interface Eth-Trunk1
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 600

return
[~CE12800]int Vlanif 600
[*CE12800-Vlanif600]ip binding vpn-instance Internet
Info: All IPv4 and IPv6 related configurations on this interface are removed.
[*CE12800-Vlanif600]ip address 10.200.1.25 30
[*CE12800-Vlanif600]com
[~CE12800-Vlanif600]dis th

interface Vlanif600
ip binding vpn-instance Internet
ip address 10.200.1.25 255.255.255.252

return
[USG9520_FW-Eth-Trunk10]dis th
2018-01-12 15:24:30.090

interface Eth-Trunk10
portswitch
port link-type trunk
port trunk allow-pass vlan 600

return
[USG9520_FW]int vlan 600
[USG9520_FW-Vlanif600]ip address 10.200.1.26 30
[USG9520_FW-Vlanif600]dis th
2018-01-12 15:27:03.070

interface Vlanif600
ip address 10.200.1.26 255.255.255.252

return
[USG9520_FW]firewall zone name Internet
[USG9520_FW-zone-Internet]set priority 10
[USG9520_FW-zone-Internet]add interface Vlanif 600
[USG9520_FW-zone-Internet]dis th
2018-01-12 15:31:32.090

firewall zone name Internet id 4
set priority 10
add interface Vlanif600

return
[USG9520_FW]security-policy
[USG9520_FW-policy-security]rule name Internet_inter
[USG9520_FW-policy-security-rule-Internet_inter]source-address 10.200.1.24 30
[USG9520_FW-policy-security-rule-Internet_inter]destination-address 10.200.1.24 30
[USG9520_FW-policy-security-rule-Internet_inter]action permit
[USG9520_FW-policy-security-rule-Internet_inter]dis th
2018-01-12 15:34:42.160

rule name Internet_inter
source-address 10.200.1.24 mask 255.255.255.252
destination-address 10.200.1.24 mask 255.255.255.252
action permit

return

[USG9520_FW]ip route-static x.x.x.x/x 10.200.1.25
其中x.x.x.x/x为实际规划网段
4.2 核心/汇聚交换机路由配置举例
默认路由配置静态路由,默认路由以3.2.1.2.2 配置相关路由章节第一条路由为例。管理网关交换机以CE12800为例,边界防火墙以USG9520为例。互联接口默认已经配置好,可参考4.1 核心/汇聚交换机与边界防火墙互联接口配置举例。
[~CE12800]ip route-static vpn-instance Internet 0.0.0.0 0.0.0.0 10.200.1.58
[*CE12800]commit
4.3 核心/汇聚交换机VRF路由互通举例
在没有边界墙的时候,需要在核心交换机配置路由,实现VRF互通,交换机以CE12800为例,该命令依赖交换机支持,有些交换机不支持该命令,需要按时间场景配置。
这里以DMZ访问Internet为例,配置如下。
[~CE12800]ip route-static vpn-instance DMZ 0.0.0.0 0.0.0.0 vpn-instance Internet 10.200.1.58
[*CE12800]commit

如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!

5

添加新评论1 条评论

michael1983michael1983技术总监, 某证券
2019-06-14 16:23
谢谢分享
Ctrl+Enter 发表
X社区推广