Murano/Specifications/网络管理

按环境的网络管理

目的

Murano 将环境定义为一组隔离的服务。这些组应该彼此完全独立，不应存在不同环境的服务之间发生意外和不受欢迎的干扰的可能性。安全性也是一个非常重要的课题：即使在单个租户内，也可能存在需要消除理论上的窃听、嗅探、流量拦截和其他恶意尝试（从一个服务到另一个位于不同环境中的服务）的敏感场景。因此，Murano 的默认行为是将环境放置在不同的网络段中，从而在物理层提供隔离。但是，可能存在不同的场景，需要不同的环境以更紧密集成的方式进行通信。在这种情况下，不同环境的服务可能（甚至应该）放置在同一网络段中，以简化这些服务之间的直接通信。

本规范更详细地定义了这些不同的场景及其在 Murano 中的支持。

默认场景

默认情况下，Murano 将为每个部署的环境创建一个网络（L2 段）。该网络将分配一个子网（L3 段）。此子网的 IP 范围将在该租户的其他子网中是唯一的。可以通过定义不同大小的子网来实现不同的方式。默认的建议方法是使用 24 位子网掩码的 C 类网络。在这种情况下，前两个八位字节将固定（从配置文件中读取），第三个八位字节将由 Murano 管理，Murano 将选择并分配任何可用的值（即，未被该租户的任何其他环境占用），并且结果子网掩码将为 255.255.255.0。这将导致最多 255 个可能的环境，每个环境最多可容纳 252 个虚拟机节点。这些常量可以在配置中更改，方法是在配置中选择不同大小的掩码。

将此网络连接到的路由器将自动检测：如果租户只有一个指定了外部网关的路由器，则将选择该路由器。如果没有路由器，Murano 将自动创建一个，命名为“MuranoRouter-%tenant_id%”，并将此新路由器连接到找到的第一个外部网络。如果为租户找到多个路由器，Murano 将尝试查找一个名为“MuranoRouter-%tenant_id%”的路由器，如果未找到，则查找包含“murano”关键字的任何路由器，如果未找到此类路由器，则选择一个随机路由器。为了减少歧义，建议云管理员为他们在云中创建的每个租户预先创建正确命名的路由器。

高级场景

如果需要，用户将能够手动指定所有高级网络属性。例如，他们可以选择将环境添加到某些已存在的网络（在这种情况下，用户需要选择是否应在该网络中创建一个新的子网，或者选择任何现有的子网），或者 - 如果更喜欢创建新网络 - 手动指定应将此网络连接到的路由器。这被认为是一种高级场景。它将在创建环境时提供给用户。在环境创建对话框中将提供一个复选框。如果选中，它应该导致额外的对话框步骤。默认情况下，应取消选中该复选框。