ADMIN 03/14 stellt Erste-Hilfe-Tipps zu Windows-Rettung, Backup und Recovery bei Datenbanken vor und verrät wie man Linux-Systeme vollständig sichert und ... (mehr)

Externe IP-Adressen

Technisch betrachtet sorgt der L3-Agent über SNAT-Regeln in den Iptables-Einträgen der einzelnen Network Namespaces für die externe Verbindung (Abbildung 4). Nicht unter den Tisch fallen soll bei dieser Gelegenheit auch die zweite vom L3-Agent übernommene Aufgabe, nämlich VMs über externe IP-Adressen von außen erreichbar zu machen. Der L3-Agent nutzt auch hierfür die Namespaces. Es wäre aus mehreren Gründen unklug, müssten Nutzer externe IP-Adressen in ihren VMs von Hand konfigurieren. Denn einerseits werden manche Benutzer gar nicht wissen, wie sie das anstellen sollen, und andererseits müsste dann in der Cloud-Umgebung eine statische Konfiguration vorhanden sein, die die jeweilige externe IP bis zur VM durchroutet.

Abbildung 4: Innerhalb der Network Namespaces setzt der L3-Agent SNAT-Regeln, um VMs die Kommunikation mit der Außenwelt zu ermöglichen.

Das skaliert in einer größeren Wolke aber schon deshalb nicht, weil Kunden VMs nicht immer dauerhaft benötigen, sondern öffentliche IPs eventuell schon nach kurzer Zeit zurückgeben, damit sie sie nicht länger bezahlen müssen. Neutron behilft sich mit einem Trick: Kunden können sich per Web-Interface externe IPs aus einem vom Admin einmal definierten Netz reservieren und sie dann einer VM mittels Mausklick zuweisen. Der L3-Agent legt die IP dann automatisch im passenden Network Namespace auf dem Netzwerkknoten an und erstellt eine DNAT-Regel, die die Pakete von der externen IP auf die interne DHCP-IP der Ziel-VM umleitet.

Skalierbarkeit

Die grundlegenden Funktionen von Neutron sind damit im Grunde erläutert – wer ob der Idee eines separaten Netzwerkknotens an ein künstliches Nadelöhr denkt, sei beruhigt: DHCP- und L3-Agents können mehrmals im Netz vorhanden sein, allerdings kommt dem Admin in einem solchen Setup die Aufgabe zu, die Zuständigkeit einzelner Agent-Instanzen für spezisiche Tenant-Netzwerke per manuellem Konfigurationseintrag festzulegen (Listing 1). Zukünftige Neutron-Versionen sollen Abhilfe schaffen, indem sie jeden Hypervisor-Knoten zum dynamischen Netzwerkknoten machen, der externe Verbindungen für genau die VMs ermöglicht, die eben auf ihm laufen.

Listing 1

Tenant-spezifische Netzwerke in Neutron

 

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022