【2022争霸赛*干货满满】深信服OPEN AD与华三云平台(基于OpenStack架构)的对接实施方案部署分享
  

山东_朱文鑫 13385人觉得有帮助

{{ttag.title}}
大家好,我是大白,生活的道路一旦选定,就要勇敢地走到底,决不回头。优质的帖子也在尽力中提供,也希望各位道友多多支持,让我引劫渡劫成功哈哈哈。

大白队口号就是:砸锅卖铁我最行,拼死拼活就要赢!!!!!!!!!!!!

今天进行配置方案案例的分享,今天分享的是深信服OPEN AD实施方案部署分享,目的是完成Open AD与华三云平台(基于OpenStack架构)的对接,确保项目上线配置实施顺利完成。

实施实现的目的:

      OpenAD通过与openstack对接,为每个业务提供负载服务,用于解决业务的高可用、扩展性、业务弹性;从而实现:网络隔离、管理高可靠、业务高可靠、高性能与扩展性,从产品功能/性能上完全满足业务需求。

逻辑拓扑图:

23183634eba7b13ec0.png

环境准备:

     深信服openAD lbaas插件

     深信服openAD 物理设备(目前AD7.0.9及以上版本)

     支持openstack   Kilo、Liberty、Mitaka版本

     支持原生neutron-lbaasv1/v2 API全部功能接口

     支持业务口组建bond、支持千兆、万兆网口

     支持单机/集群模式部署(单一集群最多支持16台)

初始化AD:

      为尽可能减少断网时间,需要在线下完成设备基本配置,设备的基础网络配置,源地址转换规则,路由以及虚拟服务的配置。

登录设备:

      设备出厂时manage口地址为10.252.252.252,电脑通过交叉线直连设备manage(管理口),电脑IP配置为10.252.252.0/24段的地址,浏览器访问https://10.252.252.252登录,设备出厂时控制台管理员帐号为admin,密码为admin,如下图:

26301634ebb2e9b8d7.png

单臂部署配置:

      若openAD为集群环境部署,则需优先搭建集群,并向openstack管理员申请额外的集群管理IP,需要的管理IP数量为 N+1(N为openAD的数量,用于每台设备自身管理网口使用,1为集群管理IP);

      集群部署下:配置下发将会在所有设备保存,在压力最小的设备上生效(生效压力权重1)并再选出压力最小的设备做会话备份(备份压力权重0.3),两台设备同时宕机后会重新选举(权重一致下会随机选取);

      具体集群配置可参考AD用户手册;

开启多租户模式:

1)确认openad的admin账号开启了Web API权限(默认开启)

96305634ebb7975607.png

2)确认全局负载中数据中心配置的用户管理是否勾选,必须去除勾选【全局负载】—>【数据中心配置】—>【同步选项】—>【用户管理】。

77255634ebb982d2d6.png

3)切换模式到多租户

92126634ebbadae614.png

配置业务口:

1)接入方式为vlan或vxlan-vlan场景(交换机接口为trunk口),仅需配置聚合口即可,如下配置步骤:【资源管理】—>【多租户】—>【多租户网络配置】点击【VLAN网络接口】的【编辑】按钮,将对应业务口添加进来即可,聚合策略需和交换机一致,如使用单口则用默认的哈希即可。

56967634ebbd5d15ad.png

2)接入方式为vxlan 场景,需要额外配置vxlan通信口,如下配置步骤:向管理员申请n个IP(每个集群节点一个,能和业务网络中的vtep ip连通),【网络配置】—>【网络接口】—>【新建】—>选择类别 WAN,配置静态ip(每个ip选择一个生效设备)名称固定为vxnet_tunnel

37096634ebbf548694.png


OPEN AD插件包:

32315634ebc6c76552.png

openAD 插件构成如下图:

24114634ebc996d904.png

插件安装:

      1.使用权限账号登录平台,非权限账号需切换用户为权限账号;

      2.使用mkdir lbaas_tmp命令创建lbaas_tmp目录;

      3.使用SFTP工具上传openAD插件包到openstack平台的lbaas_tmp目录;

      4.进入刚才放置压缩包的lbaas_tmp目录使用tar xvf <包名>解压;

      5.安装open ad插件,并且修改neutern_lbass.conf,增加service provider;

其中每条配置由四个区域组成,由“:”分隔

      第一区域 为固定区域,lbaasv2插件声明,不做更改;

      第二区域 可根据用户需求进行命名,但需要能够区分不同service_provider,例如“Beijing_DC、Shanghai_DC“;

      第三区域 为固定区域,不可更改,深信服OpenAD一共内置了10个载入类“SangforLbaaSVDriver(N),N = 1-9(首个为空)”用户需按照顺序填写,即最多10个集群;

      第四区域“default “为固定区域,只有首个service_provider 需要填写,其余不填写。

      若为多 service_provider (多个集群),参考上述说明:

注意:因内置载入类限制,最多只支持10个集群部署。

      6.修改lbaas-plugin 的用户配置文件

      若为多 service_provider (多个集群),则部署多份lbaas_plugin配置文件

注意:若不创建多份lbaas_plugin,则所有SP进程共用这个默认配置文件。

lbaas-plugin配置文件说明:

      1)多provider实现和写入说明这两块只是说明介绍,不做修改;

      2)agent调度类和生成service的类使用默认#注释,不做修改;

      7.修改lbaas-agent的用户配置文件

33028634ebfa2d41e9.png

      若为多 service_provider (多个集群),则部署多份lbaas-agent配置文件。

      进程名称可根据需要命名“sangfor-oslbaasv2-agent、sangfor1-oslbaasv2-agent”,和配置文件名称无关,需要在进程文件中将配置文件关联在一起。

      每个agent进程对应的配置文件,需要修改自身所对应的集群(单机)管理IP地址以及用户名密码,并且按照“第三区域”命名规则.

lbaas-agent配置文件说明:

1)单机/集群均使用erver_password 作为登录凭证;

2)vxlan总开关,默认不开启vxlan;

3)vxlan端口,平台一般为4789,默认无需修改;

4)advertised_tunnel_ips :vxlan添加非openstack系统的vtep节点信息,默认无需修改;

5)vxlan隧道通信wan口名字,该参数和openAD上使用的WAN口名称一致;

6)双臂模式开启,默认为False,即单臂旁路模式,修改为True后开启双臂模式(一进一出);

7)是否启用配置健康检查,默认开启,无需修改,agent会定期检查云平台配置和openAD上面的配置是否一致,以平台为准,如不对称会清除设备配置并重新下发;

8)环境变量,用于多service_provider场景,单SP下无需修改,保留默认。

9)node_state_report_enable:用来上报ad的节点状态给云平台,需要云平台支持。默认False

10)对每个lb做资源限制:默认0表示不作限制connection_limit、cps_limit、throughput_limit这三个值分别表示并发、新建、吞吐

注意:当部署为N个service_provider时,neutron-server端需要在所有控制节点执行同样安装,并且sangfor-openstack-lbaas.ini需要部署N个,统一由每个节点的sangfor-plugin-driver加载;同时,agent进程需要在每个控制节点中启动N个,并且每个agent名称不可重复,其对应的配置文件也不可重复。即:多节点或多集群按照推荐部署下会有多个agent进程,如3个openstack控制节点和2个AD集群,则应该有6个agent进程。

设备上架:

1.设备上架,并固定好耳片,确保设备平稳,稳固;

2.设备wan口(即eth1口)接前置核心交换机,如果需要单外管理需要把管理口(manage)单独接核心交换机并且单独划分一个VLAN。

3.连接设备网口的网线分别打上相应标签。

注意:有双机的请提前确认AD设备的放置位置(比如跨机柜,跨楼层或者是跨楼栋)和线缆长度是否有特殊的需求

设备上线后 通过【运行概览】—>【首页】可以查看当前设备状态以及业务状态;包括:CPU状态、内存占用状态、网络吞吐量、虚拟服务并发连接数、虚拟服务新建连接数等;通过查看来巡检系统状态是否异常。

26926634ec0b477fc8.png

插件日志位置,可通过查看日志进行测试排障,查看是否对接成功、是否下发成功等;

可通过openstack-dashboard 配置lb 实例并下发配置,或通过后台neutron-api进行配置下发测试,下发成功后可登录OpenAD 物理设备前端控制台查看配置是否下发一致。

92491634ec0dc2bc99.png

84944634ec117373be.png

openstack  lbaasv2 组件结构:

69578634ec131ce1fa.png

      Load balancer简称lb,1个lb对应多个Listener

      Listener仅可创建1个Pool

      Pool仅可创建1个Health Monitor(监控Members)

      Pool可创建多个Member

与openAD对应的关系图:

6958634ec1509144d.png


创建lb下发:

      openAD会生成:macvlan、netns(后台查看)

      openAD会生成:网络接口(wan口)  //在双臂条件下会有lan口

      openAD会生成:vlan网络会有vlan子接口 //在vxlan网络无vlan子接口

      openAD会生成:IP组、静态路由

      创建listener下发,openAD会生成:服务和虚拟服务(无pool时,使用默认pool)

      创建pool下发,openAD会生成:节点池、会话保持 //pool会关联到虚拟服务上

      创建monitor下发,openAD会生成:监视器

      创建member下发,openAD会生成:节点成员

      创建lb和listener后,openAD会自动生成虚拟服务

      默认引用1个无节点的openstack-default-pool

以上就是本次的深信服OPEN AD与华三云平台(基于OpenStack架构)的对接实施方案部署分享,建议大家先去下载AD的OPEN AD文档以及API接口开放看一下,感谢大佬们的参阅,此贴先到这里后续会带上更加实用的帖子,感谢大家!

励志分享超清壁纸语句~~:

65128634ec398d482e.png

毋意,毋必,毋固,毋我。 ——《论语》

好的今天就到这里,老样子,感谢各位大神的参阅,孩子为了挣豆子不容易,孩子家里穷没豆子吃饭了!!!

打赏鼓励作者,期待更多好文!

打赏
5人已打赏

网泰王晓庆 发表于 2022-10-19 08:15
  
楼主分析的很详细,不错的实战经验,小白用户一看就懂,非常好的技术干货帖,顶一个!
刘江 发表于 2022-10-20 13:10
  
楼主分享的案例很实用,具有典型性,希望有更多这样的干货供我们学习参考,非常感谢!
平凡的小网工 发表于 2022-10-30 18:16
  
楼主分析的很详细,不错的实战经验,小白用户一看就懂,非常好的技术干货帖,顶一个!
牵网线的 发表于 2022-11-2 15:22
  

楼主分析的很详细,不错的实战经验,小白用户一看就懂,非常好的技术干货帖,顶一个!
一个无趣的人 发表于 2022-12-5 10:18
  
楼主的文章图文并茂,清晰易懂,看完这波操作可以轻松上手了,如遇到问题再向楼主请教~
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
秒懂零信任
自助服务平台操作指引
新版本体验
标准化排查
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版达人

新手61940...

本周建议达人

zhao_HN

本周分享达人

ZSFKF

本周提问达人