OpenStack安装部署Liberty Neutron

最近在两台物理机环境中部署了OpenStack的Liberty版本，各个模块都遇到或多或少的问题，但尤以Neutron的问题最让人头疼。尽管OpenStack一直致力于简化Neutron的部署，但对于非网络技术人员来说依然存在着很大的挑战，根本原因还是由于网络自身的复杂性所导致的，因此想要成功部署Neutron还是需要网络基础的，但这并不意味着没有网络基础就不能成功部署Neutron并使其工作。本文将总结Neutron的安装部署步骤，并对遇到的问题进行详细的描述，旨在提供解决问题的思路或者给与一定的启示。

根据官方部署文档的说法，Neutron允许创建由其它OpenStack服务管理的接口设备，并将这样的设备附加到网络，可以实现各种插件或代理以适应不同的网络设备和软件，为OpenStack架构提供足够的灵活性。Neutron主要包括以下组件：

• Neutron-server：接收并转发API请求到合适的Neutron插件，如linuxbridge-agent。
• Neutron插件和代理：连接port，创建网络或子网，提供IP地址。根据云计算环境使用的厂商或者技术，这些插件和代理会有所区别。Neutron为思科的虚拟和物理交换机、NEC的OpenFlow产品、Open vSwitch（OVS）、Linux bridging和VMware的NSX产品提供了插件或代理。
• 消息队列：Neutron使用消息队列在Neutron-server和各种代理之间路由消息，也存储特定插件的状态。主要的消息队列有RabbitMQ、Qpid和ZeroMQ。

Neutron将网络、子网和路由器抽象为对象，每个抽象对象都具有与其对应的物理概念或设备的功能，网络包含子网，路由器在不同的子网和网络之间路由消息。每个路由器有一个连接到网络的网关（Gateway）和许多连接子网的虚拟网卡，连接到相同路由器的子网可以互相访问。这和实际物理环境中路由器的功能是一致的。

无论以何种方式部署Neutron，在创建网络时至少需要创建一个external网络。与其它网络不同的是，external网络不仅仅是虚拟定义网络，它代表了物理的，OpenStack安装之外的外部网络的视图。External网络上的IP地址可以被外部物理网络访问，由于external网络仅仅表示外部网络的视图，因此在该网络总DHCP是禁用的。除了external网络，还要有一个或多个internal网络，VMs直接连接到这些软件定义网络。相同internal网络上的VMs可以互相访问，或连接到相同路由器上不同子网中的VMs也可以互相访问，比如主机A位于子网N1，主机B位于子网N2，N1和N2连接到相同的路由器，那么A和B之间是网络可达的。外部网络访问VMs或VMs访问外部网络的功能有路由器完成，路由器的网关连接external网络，internal网络连接路由器的接口，与实际的物理网络结构相似。可以为internal网络中的ports分配external网络中的IP地址，port指的是连接到子网的连接。通过将external网络中的IP与VMs的ports关联可以实现外部网络对VMs的访问。Neutron也支持安全组。安全组使管理员可以在组内定义防火墙规则，VM可以属于多个安全组，Neutron根据安全组的规则或策略阻塞或允许ports，或VMs允许的通信类型。

 本次将Neutron部署在两台物理机controller和compute上，其中controller做为控制节点（网络节点），compute为计算节点，controller节点已经安装配置了MySQL、RabbitMQ和keystone。首先需要在mysql数据库中创建neutron对应的数据库：

 MariaDB [(none)]> create database neutron; Query OK, 1 row affected (0.04 sec) MariaDB [(none)]> grant all privileges on neutron.* to 'neutron'@'localhost' identified by 'neutron'; Query OK, 0 rows affected (0.24 sec) MariaDB [(none)]> grant all privileges on neutron.* to 'neutron'@'%' identified by 'neutron';      Query OK, 0 rows affected (0.00 sec)