网络 (neutron) 概念

OpenStack Networking (neutron) 管理 OpenStack 环境中虚拟网络基础设施 (VNI) 以及物理网络基础设施 (PNI) 的访问层所有网络方面。OpenStack Networking 允许项目创建高级虚拟网络拓扑，其中可能包含防火墙和虚拟专用网络 (VPN) 等服务。

Networking 提供网络、子网和路由器作为对象抽象。每个抽象都具有与其物理对应物相似的功能：网络包含子网，路由器在不同的子网和网络之间路由流量。

任何给定的 Networking 设置至少有一个外部网络。与其他网络不同，外部网络不仅仅是虚拟定义的网络。相反，它代表了对 OpenStack 安装外部可访问的物理外部网络切片的一个视图。外部网络上的 IP 地址可供物理位于外部网络上的任何人访问。

除了外部网络之外，任何 Networking 设置还具有一个或多个内部网络。这些软件定义的网络直接连接到虚拟机。只有任何给定内部网络上的虚拟机，或者通过接口连接到类似路由器的子网上的虚拟机，才能直接访问连接到该网络的虚拟机。

为了使外部网络能够访问虚拟机，反之亦然，需要在网络之间使用路由器。每个路由器都有一个连接到外部网络的网关，以及一个或多个连接到内部网络的接口。就像物理路由器一样，子网可以访问连接到相同路由器的其他子网上的机器，并且机器可以通过路由器的网关访问外部网络。

此外，您可以将外部网络上的 IP 地址分配给内部网络的端口。每当有内容连接到子网时，该连接都称为端口。您可以将外部网络 IP 地址与端口关联到虚拟机。这样，外部网络上的实体就可以访问虚拟机。

Networking 还支持安全组。安全组允许管理员以组的形式定义防火墙规则。虚拟机可以属于一个或多个安全组，Networking 会将这些安全组中的规则应用于该虚拟机，以阻止或允许该虚拟机的端口、端口范围或流量类型。

Networking 使用的每个插件都有其自身的概念。虽然这对于操作 VNI 和 OpenStack 环境并非至关重要，但了解这些概念可以帮助您设置 Networking。所有 Networking 安装都使用核心插件和安全组插件（或仅使用 No-Op 安全组插件）。此外，防火墙即服务 (FWaaS) 也是可用的。