Quản trị net diễn đàn chia sẻ thông tin các thủ thuật mạng, internet bảo mật thông tin dành cho giới IT VIệt hy vọng là nơi bổ ích cho cộng đồng

Quản trị net diễn đàn chia sẻ thông tin các thủ thuật mạng, internet bảo mật thông tin dành cho giới IT VIệt hy vọng là nơi bổ ích cho cộng đồng (http://quantrinet.com/forum/index.php)
-   OpenStack (http://quantrinet.com/forum/forumdisplay.php?f=540)
-   -   Cấu hình và thử nghiệm LbaaS, VPNaaS trong OpenStack (http://quantrinet.com/forum/showthread.php?t=9763)

hoctinhoc 20-05-2015 02:34 PM

Cấu hình và thử nghiệm LbaaS, VPNaaS trong OpenStack
 
Cấu hình và thử nghiệm LbaaS, VPNaaS trong OpenStack



Giới thiệu Bài này nối tiếp bài hướng dẫn cài đặt IceHouse với Neutron GRE tunnel tại địa chỉ sau đây Hướng dẫn cài đặt OpenStack Icehouse 3 Nodes Nay mình tiếp tục chia sẽ cách cấu hình và thử nghiệm hai tính năng mở rộng trong Neutron là Load Balancing as a Service (LbaaS) […]

Giới thiệu
Bài này nối tiếp bài hướng dẫn cài đặt IceHouse với Neutron GRE tunnel tại địa chỉ sau đây Hướng dẫn cài đặt OpenStack Icehouse 3 Nodes
Nay mình tiếp tục chia sẽ cách cấu hình và thử nghiệm hai tính năng mở rộng trong Neutron là Load Balancing as a Service (LbaaS) và VPN as a Service (VPNaaS). Ngoài ra còn tính năng Firewall as a Service (FwaaS), hiện tại do trùng hợp khá nhiều với Security Group nên mình không giới thiệu, nếu ai muốn tìm hiểu thì có thể liên hệ thêm.
Mô hình thử nghiệmhttp://blogit.edu.vn//wp-content/upl...ron_vpn_lb.png

Mô hình bao gồm 2 vùng mạng:
– 10.196.200.0/24: vùng mạng ra Internet, dùng để kết nối API network (controller) và Public network (network)
-10.196.201.0/24: vùng mạng riêng, dùng để kết nối Management network (4 server) và Tenant network (network-compute1, network-compute2).
Cài đặt và cấu hình LbaaS, VPNaaS
  • Tại Network server, cài đặt các gói
apt-get install openswan neutron-plugin-vpn-agent neutron-lbaas-agent -y
Trong quá trình cài đặt , openswan sẽ hỏi bạn có tạo certificate X.509 để bảo mật các kết nối IPSec dùng cho OpenVPN sau này hay không, chọn No rồi Enter.
  • Tạo certificate X.509 tại Network server
dpkg-reconfigure openswan
+ Chọn Yes để restart openswan. http://blogit.edu.vn//wp-content/upl...openswan_1.png
+Chọn Yes để tạo certificate X.509 http://blogit.edu.vn//wp-content/upl...openswan_2.png
+Chọn crete để tạo tạo certificate http://blogit.edu.vn//wp-content/upl...openswan_3.png
+Chọn độ dài mặc định cho khóa RSA là 2048bit http://blogit.edu.vn//wp-content/upl...openswan_4.png
+Chọn Yes để tạo self-signed certificate http://blogit.edu.vn//wp-content/upl...openswan_5.png
+Điền tên nước, vd: VN http://blogit.edu.vn//wp-content/upl...openswan_6.png +Điền tên bang/tỉnh, vd: DN
http://blogit.edu.vn//wp-content/upl...openswan_7.png
+Điền tên tỉnh, vd: DN
http://blogit.edu.vn//wp-content/upl...openswan_8.png
+Điền tên tổ chức/cty, vd: DSP
http://blogit.edu.vn//wp-content/upl...openswan_9.png
+Điền tên bộ phận hoạt động, vd: IT
http://blogit.edu.vn//wp-content/upl...penswan_10.png
+Điền tên chung (common name), vd: openstack.blogit.edu.vn
http://blogit.edu.vn//wp-content/upl...penswan_11.png
+Điền địa chỉ email, vd: vuht@blogit.edu.vn
http://blogit.edu.vn//wp-content/upl...penswan_12.png
  • Cấu hình file /etc/neutron/vpn_agent.ini tại Network server
[DEFAULT]
interface_driver = neutron.agent.linux.interface.OVSInterfaceDriver

[vpnagent]
vpn_device_driver = neutron.services.vpn.device_drivers.ipsec.OpenSwan Driver

[ipsec]
ipsec_status_check_interval = 60
  • Cấu hình file /etc/neutron/lbaas_agent.ini tại Network server
[DEFAULT]
interface_driver = neutron.agent.linux.interface.OVSInterfaceDriver
device_driver = neutron.services.loadbalancer.drivers.haproxy.name space_driver.HaproxyNSDriver
  • Cấu hình file /etc/neutron/neutron.conf tại Network server và Controller server
[DEFAULT]
...
service_plugins = router, neutron.services.loadbalancer.plugin.LoadBalalance rPlguin,neutron.vpn.plugin.VPNDriverPlugin
...
[service_providers]
service_provider=LOADBALANCER:Haproxy:neutron.serv ices.loadbalancer.drivers.haproxy.plugin_driver.Ha proxyOnHostPluginDriver:default
service_provider=VPN:openswan:neutron.services.vpn .service_drivers.ipsec.IPsecVPNDriver:default
Lưu ý: các dòng cấu hình trong [service_providers] có thể đã tồn tại sẵn, nên kiểm tra kỹ trước khi thêm dòng cấu hình mới.
  • Khởi động lại các dịch vụ Neutron
+Tại Controller server
service neutron-server restart
+Tại Network server
service neutron-lbaas-agent restart
service neutron-vpn-agent restart
service neutron-dhcp-agent restart
service neutron-metadata-agenr restart
service neutron-plugin-openvswitch-agent restart
Lưu ý: Sau khi cài đặt vpn-agent, dịch vụ neutron-l3-agent sẽ bị stop, điều này không ảnh hưởng đến tính năng l3 của neutron.
Thử nghiệm LbaaS
  • Mục tiêu: thử nghiệm tính năng load balancer đối với 2 instance chạy web thông qua một VIP (Virtual IP).
  • Tạo vùng mạng riêng int_net có subnet 1.1.1.0/24 kết nối với mạng ext_net thông qua router
  • Launch 2 instance dùng Ubuntu 12.04 image, kết nối với int_net, sau đó cấp floating IP cho từng instance. Lưu ý rằng phải kết nối được với 2 instance thông qua http (80) và ssh(22) bằng cách thiết lập trong Security Group.
http://blogit.edu.vn//wp-content/upl...ance_lbaas.png
+Kiểm tra kết nối trong Network Topology
http://blogit.edu.vn//wp-content/upl...opo_lbaas1.png

  • Kết nối tới mỗi instance, cài đặt dịch vụ Apache2, sửa đổi file /var/www/index.html để nhận diện mỗi web server. Ví dụ khi kết nối đến web server 1
http://blogit.edu.vn//wp-content/upl...b_server_1.png
  • Trong giao diện Load Balancer, tạo http-pool với các thông số như hình sau:
http://blogit.edu.vn//wp-content/upl.../http-pool.png
http://blogit.edu.vn//wp-content/upl...te-monitor.png
  • Thêm monitor vừa tạo vào http-pool
  • Thêm 2 instance Ubuntu-demo-1 Ubuntu-demo-2 đã tạo ở trên vào danh sách member
http://blogit.edu.vn//wp-content/upl...add-member.png
Cấp floating IP cho VIP đã tạo ở trên.http://blogit.edu.vn//wp-content/upl...oating-vip.png
  • Ta sẽ thử nghiệm tính năng lb bằng cách truy cập 2 web server trên thông qua VIP.
http://blogit.edu.vn//wp-content/upl...14/05/lb-1.png
  • Như đã thấy ở hình trên, các truy cập sẽ được trỏ lần lượt đến web server 1 rồi đến web server 2.
  • Thử nghiệm trường hợp một trong 2 web server có sự cố, có thể tắt một trong 2 hoặc đơn giản hơn là thiết lập thông số weight trong load balacer member thành 0
http://blogit.edu.vn//wp-content/upl...hutdown-lb.png
  • Tiến hành truy cập lại vào VIP
http://blogit.edu.vn//wp-content/upl...14/05/lb-2.png
  • Sau khi một web server có sự cố, mọi truy cập sẽ được chuyển hướng đến web server còn lại (web server 2)
Thử nghiệm VPNaaS
  • Mục tiêu: Kết nối 2 vùng mạng riêng với nhau bằng VPN site-to-site
  • Tạo vùng mạng riêng int_net_2 có subnet 2.2.2.0/24 kết nối với mạng ext_net thông qua router2
  • Launch instance client-site-1 kết nối với int_net client-site-2 kết nối với int_net_2. Lưu ý rằng security group của 2 instance này phải cho phép ping.
http://blogit.edu.vn/wp-content/uplo...t-t%C3%B4p.png
  • Thử nghiệm ping từ client-site-1 sang client-site-2
http://blogit.edu.vn//wp-content/upl.../05/ping-1.png
  • Kết quả cho thấy không thể kết nối.
  • Trong mục IKE Policies của VPN, tạo ike-pool-1 với các cấu hình mặc định
http://blogit.edu.vn//wp-content/upl...ike-pool-1.png
  • Tương tự, tạo ike-pool-2, ta có 2 ike pool như sau
http://blogit.edu.vn//wp-content/upl...5/ike-pool.png

  • Trong mục IPSec Policies, tạo ipsec-pool-1
http://blogit.edu.vn//wp-content/upl...sec-pool-1.png
  • Tương tự, tạo ipsec-pool-2, ta có 2 ipsec-pool như sau
http://blogit.edu.vn//wp-content/upl...ipsec-pool.png
  • Trong mục VPN Service, ta tạo vpn-service-1
http://blogit.edu.vn//wp-content/upl...05/vpn-s-1.png
  • Tạo tiếp vpn-service-2
http://blogit.edu.vn//wp-content/upl...05/vpn-s-2.png
  • Trong mục IPSec Site Connections, tạo site1-to-site2
http://blogit.edu.vn//wp-content/upl...sec-site-1.png
  • Tạo site2-to-site1
http://blogit.edu.vn//wp-content/upl...sec-site-2.png
  • Kiểm tra kết nối giữa instance client-site-1client-site-2
http://blogit.edu.vn//wp-content/upl...te-to-site.png
  • Như vậy là ta đã thử nghiệm cơ bản thành công 2 tính năng LbaaS và VPNaaS. Mong các bạn cảm thấy hứng thú và vui vẻ với OpenStack :).


:battay:


Bây giờ là 02:21 PM. Giờ GMT +7

Diễn đàn tin học QuantriNet
quantrinet.com | quantrimang.co.cc
Founded by Trương Văn Phương | Developed by QuantriNet's members.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.