ML2配置OVS VLAN网络：原理与实战

在ML2（Multi-Layer Logical Switching）架构中，配置VLAN网络是一种常见的网络隔离策略，特别是在Open vSwitch (OVS) 的部署中。VLAN网络，即带有标签的网络，允许在同一物理网络中创建多个逻辑隔离的子网，每个子网具有唯一的VLAN ID。在OpenStack Neutron中，通过`neutron`服务管理这些网络。 首先，让我们理解一下基础概念。在OVS中，每个VLAN实例的虚拟网卡（vNIC）都会连接到`br-int`桥，这与Linux Bridge的实现方式不同，后者会根据VLAN ID将不同的子网连接到不同的网桥上。例如，在实验环境中，物理网卡eth1通常用于处理多个VLAN的数据，因此其连接的交换机端口需要设置为trunk模式，以便支持多个VLAN的传输。 配置VLAN网络在`ml2_conf.ini`文件中进行，通过以下步骤： 1. **启用VLAN网络**： 在`/etc/neutron/plugins/ml2/ml2_conf.ini`文件中，添加或修改`tenant_network_types`配置项，将其设为`vlan`，表示允许普通用户创建VLAN网络。 2. **指定VLAN范围**： 定义一个或多个VLAN网络的标签（label），比如`default`，并为其分配一个VLAN ID范围。在本例中，`default`的VLAN ID范围是3001-4000，这是为普通用户租户内的网络预留的，他们不能直接指定VLAN ID，Neutron会自动从这个范围内分配。 3. **管理员权限的VLAN**： 对于管理员（admin），没有VLAN ID的限制，他们可以创建范围为1-4094的VLAN网络，这通常用于公共网络或特定用途的高级配置。 4. **VLAN网络与物理网络映射**： 在`ml2_type_vlan`部分，定义标签与Open vSwitch网桥的对应关系。例如，`[ovs]`中的`bridge_mappings`参数，将`label="default"`与物理网桥`br-eth1`关联起来。这里的标签（label）起到标识作用，允许管理和识别不同的VLAN网络。 5. **预置硬件配置**： 在实际操作前，需要使用`ovs-ovctl`命令创建所需的OVS桥，如`br-eth1`，并将物理网卡eth1桥接到该桥上，确保网络连接畅通。 6. **配置验证与下一步骤**： 完成这些配置后，可以进行VLAN网络的创建和测试，确保VLAN隔离功能正常工作。后续章节将介绍如何在实际操作中创建VLAN网络，包括创建端口组、绑定VLAN等步骤。 总结来说，配置OVS VLAN网络在ML2中涉及到网络类型的选择、VLAN范围的设定、网桥映射以及硬件配置，这些步骤确保了网络的安全性和灵活性，并为不同权限级别的用户提供适当的网络隔离。通过合理的规划和管理，可以实现多租户环境下的有效网络资源利用。