Cấu hình và thử nghiệm LbaaS, VPNaaS trong OpenStack | Cau hinh va thu nghiem LbaaS, VPNaaS trong OpenStack - Quản trị net diễn đàn chia sẻ thông tin các thủ thuật mạng, internet bảo mật thông tin dành cho giới IT VIệt hy vọng là nơi bổ ích cho cộng đồng

20-05-2015, 02:34 PM

Cấu hình và thử nghiệm LbaaS, VPNaaS trong OpenStack

Giới thiệu Bài này nối tiếp bài hướng dẫn cài đặt IceHouse với Neutron GRE tunnel tại địa chỉ sau đây Hướng dẫn cài đặt OpenStack Icehouse 3 Nodes Nay mình tiếp tục chia sẽ cách cấu hình và thử nghiệm hai tính năng mở rộng trong Neutron là Load Balancing as a Service (LbaaS) […]

Giới thiệu
Bài này nối tiếp bài hướng dẫn cài đặt IceHouse với Neutron GRE tunnel tại địa chỉ sau đây Hướng dẫn cài đặt OpenStack Icehouse 3 Nodes
Nay mình tiếp tục chia sẽ cách cấu hình và thử nghiệm hai tính năng mở rộng trong Neutron là Load Balancing as a Service (LbaaS) và VPN as a Service (VPNaaS). Ngoài ra còn tính năng Firewall as a Service (FwaaS), hiện tại do trùng hợp khá nhiều với Security Group nên mình không giới thiệu, nếu ai muốn tìm hiểu thì có thể liên hệ thêm.
Mô hình thử nghiệm

Mô hình bao gồm 2 vùng mạng:
– 10.196.200.0/24: vùng mạng ra Internet, dùng để kết nối API network (controller) và Public network (network)
-10.196.201.0/24: vùng mạng riêng, dùng để kết nối Management network (4 server) và Tenant network (network-compute1, network-compute2).
Cài đặt và cấu hình LbaaS, VPNaaS

Tại Network server, cài đặt các gói

apt-get install openswan neutron-plugin-vpn-agent neutron-lbaas-agent -y
Trong quá trình cài đặt , openswan sẽ hỏi bạn có tạo certificate X.509 để bảo mật các kết nối IPSec dùng cho OpenVPN sau này hay không, chọn No rồi Enter.

Tạo certificate X.509 tại Network server

dpkg-reconfigure openswan
+ Chọn Yes để restart openswan.

+Chọn Yes để tạo certificate X.509

+Chọn crete để tạo tạo certificate

+Chọn độ dài mặc định cho khóa RSA là 2048bit

+Chọn Yes để tạo self-signed certificate

+Điền tên nước, vd: VN

+Điền tên bang/tỉnh, vd: DN

+Điền tên tỉnh, vd: DN

+Điền tên tổ chức/cty, vd: DSP

+Điền tên bộ phận hoạt động, vd: IT

+Điền tên chung (common name), vd: openstack.blogit.edu.vn

+Điền địa chỉ email, vd: vuht@blogit.edu.vn

Cấu hình file /etc/neutron/vpn_agent.ini tại Network server

[DEFAULT]
interface_driver = neutron.agent.linux.interface.OVSInterfaceDriver

[vpnagent]
vpn_device_driver = neutron.services.vpn.device_drivers.ipsec.OpenSwan Driver

[ipsec]
ipsec_status_check_interval = 60

Cấu hình file /etc/neutron/lbaas_agent.ini tại Network server

[DEFAULT]
interface_driver = neutron.agent.linux.interface.OVSInterfaceDriver
device_driver = neutron.services.loadbalancer.drivers.haproxy.name space_driver.HaproxyNSDriver

Cấu hình file /etc/neutron/neutron.conf tại Network server và Controller server

[DEFAULT]
...
service_plugins = router, neutron.services.loadbalancer.plugin.LoadBalalance rPlguin,neutron.vpn.plugin.VPNDriverPlugin
...
[service_providers]
service_provider=LOADBALANCER:Haproxy:neutron.serv ices.loadbalancer.drivers.haproxy.plugin_driver.Ha proxyOnHostPluginDriver:default
service_provider=VPN:openswan:neutron.services.vpn .service_drivers.ipsec.IPsecVPNDriver:default
Lưu ý: các dòng cấu hình trong [service_providers] có thể đã tồn tại sẵn, nên kiểm tra kỹ trước khi thêm dòng cấu hình mới.

Khởi động lại các dịch vụ Neutron

+Tại Controller server
service neutron-server restart
+Tại Network server
service neutron-lbaas-agent restart
service neutron-vpn-agent restart
service neutron-dhcp-agent restart
service neutron-metadata-agenr restart
service neutron-plugin-openvswitch-agent restart
Lưu ý: Sau khi cài đặt vpn-agent, dịch vụ neutron-l3-agent sẽ bị stop, điều này không ảnh hưởng đến tính năng l3 của neutron.
Thử nghiệm LbaaS

Mục tiêu: thử nghiệm tính năng load balancer đối với 2 instance chạy web thông qua một VIP (Virtual IP).
Tạo vùng mạng riêng int_net có subnet 1.1.1.0/24 kết nối với mạng ext_net thông qua router
Launch 2 instance dùng Ubuntu 12.04 image, kết nối với int_net, sau đó cấp floating IP cho từng instance. Lưu ý rằng phải kết nối được với 2 instance thông qua http (80) và ssh(22) bằng cách thiết lập trong Security Group.

+Kiểm tra kết nối trong Network Topology

Kết nối tới mỗi instance, cài đặt dịch vụ Apache2, sửa đổi file /var/www/index.html để nhận diện mỗi web server. Ví dụ khi kết nối đến web server 1

Trong giao diện Load Balancer, tạo http-pool với các thông số như hình sau:

Thêm VIP cho http-pool vừa tạo, với các thông số:
Tạo monitor

Thêm monitor vừa tạo vào http-pool
Thêm 2 instance Ubuntu-demo-1 và Ubuntu-demo-2 đã tạo ở trên vào danh sách member

Cấp floating IP cho VIP đã tạo ở trên.

Ta sẽ thử nghiệm tính năng lb bằng cách truy cập 2 web server trên thông qua VIP.

Như đã thấy ở hình trên, các truy cập sẽ được trỏ lần lượt đến web server 1 rồi đến web server 2.
Thử nghiệm trường hợp một trong 2 web server có sự cố, có thể tắt một trong 2 hoặc đơn giản hơn là thiết lập thông số weight trong load balacer member thành 0

Tiến hành truy cập lại vào VIP

Sau khi một web server có sự cố, mọi truy cập sẽ được chuyển hướng đến web server còn lại (web server 2)

Thử nghiệm VPNaaS

Mục tiêu: Kết nối 2 vùng mạng riêng với nhau bằng VPN site-to-site
Tạo vùng mạng riêng int_net_2 có subnet 2.2.2.0/24 kết nối với mạng ext_net thông qua router2
Launch instance client-site-1 kết nối với int_net và client-site-2 kết nối với int_net_2. Lưu ý rằng security group của 2 instance này phải cho phép ping.

Thử nghiệm ping từ client-site-1 sang client-site-2

Kết quả cho thấy không thể kết nối.
Trong mục IKE Policies của VPN, tạo ike-pool-1 với các cấu hình mặc định

Tương tự, tạo ike-pool-2, ta có 2 ike pool như sau

Trong mục IPSec Policies, tạo ipsec-pool-1

Tương tự, tạo ipsec-pool-2, ta có 2 ipsec-pool như sau

Trong mục VPN Service, ta tạo vpn-service-1

Tạo tiếp vpn-service-2

Trong mục IPSec Site Connections, tạo site1-to-site2

Tạo site2-to-site1

Kiểm tra kết nối giữa instance client-site-1 và client-site-2

Như vậy là ta đã thử nghiệm cơ bản thành công 2 tính năng LbaaS và VPNaaS. Mong các bạn cảm thấy hứng thú và vui vẻ với OpenStack .

20-05-2015, 02:34 PM	#1
hoctinhoc Guest Trả Lời: n/a	Cấu hình và thử nghiệm LbaaS, VPNaaS trong OpenStack Cấu hình và thử nghiệm LbaaS, VPNaaS trong OpenStack Giới thiệu Bài này nối tiếp bài hướng dẫn cài đặt IceHouse với Neutron GRE tunnel tại địa chỉ sau đây Hướng dẫn cài đặt OpenStack Icehouse 3 Nodes Nay mình tiếp tục chia sẽ cách cấu hình và thử nghiệm hai tính năng mở rộng trong Neutron là Load Balancing as a Service (LbaaS) […] Giới thiệu Bài này nối tiếp bài hướng dẫn cài đặt IceHouse với Neutron GRE tunnel tại địa chỉ sau đây Hướng dẫn cài đặt OpenStack Icehouse 3 Nodes Nay mình tiếp tục chia sẽ cách cấu hình và thử nghiệm hai tính năng mở rộng trong Neutron là Load Balancing as a Service (LbaaS) và VPN as a Service (VPNaaS). Ngoài ra còn tính năng Firewall as a Service (FwaaS), hiện tại do trùng hợp khá nhiều với Security Group nên mình không giới thiệu, nếu ai muốn tìm hiểu thì có thể liên hệ thêm. Mô hình thử nghiệm Mô hình bao gồm 2 vùng mạng: – 10.196.200.0/24: vùng mạng ra Internet, dùng để kết nối API network (controller) và Public network (network) -10.196.201.0/24: vùng mạng riêng, dùng để kết nối Management network (4 server) và Tenant network (network-compute1, network-compute2). Cài đặt và cấu hình LbaaS, VPNaaS Tại Network server, cài đặt các gói apt-get install openswan neutron-plugin-vpn-agent neutron-lbaas-agent -y Trong quá trình cài đặt , openswan sẽ hỏi bạn có tạo certificate X.509 để bảo mật các kết nối IPSec dùng cho OpenVPN sau này hay không, chọn No rồi Enter. Tạo certificate X.509 tại Network server dpkg-reconfigure openswan + Chọn Yes để restart openswan. +Chọn Yes để tạo certificate X.509 +Chọn crete để tạo tạo certificate +Chọn độ dài mặc định cho khóa RSA là 2048bit +Chọn Yes để tạo self-signed certificate +Điền tên nước, vd: VN +Điền tên bang/tỉnh, vd: DN +Điền tên tỉnh, vd: DN +Điền tên tổ chức/cty, vd: DSP +Điền tên bộ phận hoạt động, vd: IT +Điền tên chung (common name), vd: openstack.blogit.edu.vn +Điền địa chỉ email, vd: vuht@blogit.edu.vn Cấu hình file /etc/neutron/vpn_agent.ini tại Network server [DEFAULT] interface_driver = neutron.agent.linux.interface.OVSInterfaceDriver [vpnagent] vpn_device_driver = neutron.services.vpn.device_drivers.ipsec.OpenSwan Driver [ipsec] ipsec_status_check_interval = 60 Cấu hình file /etc/neutron/lbaas_agent.ini tại Network server [DEFAULT] interface_driver = neutron.agent.linux.interface.OVSInterfaceDriver device_driver = neutron.services.loadbalancer.drivers.haproxy.name space_driver.HaproxyNSDriver Cấu hình file /etc/neutron/neutron.conf tại Network server và Controller server [DEFAULT] ... service_plugins = router, neutron.services.loadbalancer.plugin.LoadBalalance rPlguin,neutron.vpn.plugin.VPNDriverPlugin ... [service_providers] service_provider=LOADBALANCER:Haproxy:neutron.serv ices.loadbalancer.drivers.haproxy.plugin_driver.Ha proxyOnHostPluginDriver:default service_provider=VPN:openswan:neutron.services.vpn .service_drivers.ipsec.IPsecVPNDriver:default Lưu ý: các dòng cấu hình trong [service_providers] có thể đã tồn tại sẵn, nên kiểm tra kỹ trước khi thêm dòng cấu hình mới. Khởi động lại các dịch vụ Neutron +Tại Controller server service neutron-server restart +Tại Network server service neutron-lbaas-agent restart service neutron-vpn-agent restart service neutron-dhcp-agent restart service neutron-metadata-agenr restart service neutron-plugin-openvswitch-agent restart Lưu ý: Sau khi cài đặt vpn-agent, dịch vụ neutron-l3-agent sẽ bị stop, điều này không ảnh hưởng đến tính năng l3 của neutron. Thử nghiệm LbaaS Mục tiêu: thử nghiệm tính năng load balancer đối với 2 instance chạy web thông qua một VIP (Virtual IP). Tạo vùng mạng riêng int_net có subnet 1.1.1.0/24 kết nối với mạng ext_net thông qua router Launch 2 instance dùng Ubuntu 12.04 image, kết nối với int_net, sau đó cấp floating IP cho từng instance. Lưu ý rằng phải kết nối được với 2 instance thông qua http (80) và ssh(22) bằng cách thiết lập trong Security Group. +Kiểm tra kết nối trong Network Topology Kết nối tới mỗi instance, cài đặt dịch vụ Apache2, sửa đổi file /var/www/index.html để nhận diện mỗi web server. Ví dụ khi kết nối đến web server 1 Trong giao diện Load Balancer, tạo http-pool với các thông số như hình sau: Thêm VIP cho http-pool vừa tạo, với các thông số: Tạo monitor Thêm monitor vừa tạo vào http-pool Thêm 2 instance Ubuntu-demo-1 và Ubuntu-demo-2 đã tạo ở trên vào danh sách member Cấp floating IP cho VIP đã tạo ở trên. Ta sẽ thử nghiệm tính năng lb bằng cách truy cập 2 web server trên thông qua VIP. Như đã thấy ở hình trên, các truy cập sẽ được trỏ lần lượt đến web server 1 rồi đến web server 2. Thử nghiệm trường hợp một trong 2 web server có sự cố, có thể tắt một trong 2 hoặc đơn giản hơn là thiết lập thông số weight trong load balacer member thành 0 Tiến hành truy cập lại vào VIP Sau khi một web server có sự cố, mọi truy cập sẽ được chuyển hướng đến web server còn lại (web server 2) Thử nghiệm VPNaaS Mục tiêu: Kết nối 2 vùng mạng riêng với nhau bằng VPN site-to-site Tạo vùng mạng riêng int_net_2 có subnet 2.2.2.0/24 kết nối với mạng ext_net thông qua router2 Launch instance client-site-1 kết nối với int_net và client-site-2 kết nối với int_net_2. Lưu ý rằng security group của 2 instance này phải cho phép ping. Thử nghiệm ping từ client-site-1 sang client-site-2 Kết quả cho thấy không thể kết nối. Trong mục IKE Policies của VPN, tạo ike-pool-1 với các cấu hình mặc định Tương tự, tạo ike-pool-2, ta có 2 ike pool như sau Trong mục IPSec Policies, tạo ipsec-pool-1 Tương tự, tạo ipsec-pool-2, ta có 2 ipsec-pool như sau Trong mục VPN Service, ta tạo vpn-service-1 Tạo tiếp vpn-service-2 Trong mục IPSec Site Connections, tạo site1-to-site2 Tạo site2-to-site1 Kiểm tra kết nối giữa instance client-site-1 và client-site-2 Như vậy là ta đã thử nghiệm cơ bản thành công 2 tính năng LbaaS và VPNaaS. Mong các bạn cảm thấy hứng thú và vui vẻ với OpenStack .

Chia Sẽ Kinh Nghiệm Về IT