所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

FusionCloud 6.3.1 用户指南 (Region Type I) 10

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
政务行业VDC租户建模实施

政务行业VDC租户建模实施

实施流程

政务行业VDC租户建模的配置流程如下图所示。

图3-16 配置流程

创建经信委和VDC管理员

该任务指导运营管理员创建一级VDC(经信委)和一级VDC管理员,并按照配置规划为一级VDC设置配额。

每个一级VDC都默认关联一个Project(项目)。

前提条件

已获取运营管理员用户名和密码。

操作步骤
  1. 使用浏览器,以运营管理员帐号登录ManageOne。

    非B2B场景登录地址:https://控制台主页的访问地址。例如,https://console.demo.com。

    B2B场景登录地址:https://运营管理员的访问地址。例如,https://admin.demo.com。

  2. 选择租户 > 租户管理
  3. 在界面右上角单击“创建租户”

    运营管理员可以创建租户(即一级VDC)。一级VDC管理员可以创建2~5级VDC。

  4. 填写基本信息,创建管理员,开通VDC服务,设置配额。

    参数设置请参见下表。
    表3-10 参数信息

    模块

    名称

    说明

    示例

    基本信息

    租户名称

    一级VDC的显示名称。

    经信委

    Project名称

    一级VDC默认创建的Project名称。

    项目组

    创建管理员

    用户名

    一级VDC管理员的用户名。VDC管理员可以申请与管理资源,也可以进行运营管理类操作,例如对VDC、产品、角色等进行管理。

    VDC_admin

    密码

    一级VDC管理员用户密码。

    test@123

    开通VDC服务

    地域

    选择地域。用户可根据需要选择多个地域。

    cn-region-1

    资源池

    选择资源池或可用分区。目前可供选择的资源池有:私有云资源池、华为云资源池、两级云资源池,不同的资源池所包含的资源有所不同,用户可根据实际场景选择合适的资源池。

    • 弹性云服务器,可用分区:kvm.type2
    • 虚拟私有云,OpenStack_cn-region-1(cn-region-1)
    • 弹性IP,OpenStack_cn-region-1(cn-region-1)
    • 弹性负载均衡,OpenStack_cn-region-1(cn-region-1)
    • 弹性文件,OpenStack_cn-region-1(cn-region-1)
    • 安全组,OpenStack_cn-region-1(cn-region-1)

    资源配额

    该处不选择“使用默认设置”,手动设置资源配额。

    • 设置资源配额时,可为各云服务下的配额项设置是否支持不限配额。
    • 如果上级VDC设置云服务的资源配额为不限配额,创建下级VDC时可设置该云服务的资源配额为不限配额或限制配额;如果上级VDC设置云服务的资源配额为限制配额,创建下级VDC时也必须设置该云服务的资源配额为限制配额。
    • 创建VDC时设置的云服务资源配额为不限配额或限制配额,在VDC创建成功后该设置不能被修改。
    • 设置租户配额时,系统默认将配额设置为不限配额。如果用户需要手动设置配额值,当实际可分配配额不足时,将导致用户创建租户失败。此时可通过开关控制资源配额的限制范围,保证租户最大可分配量满足新建租户分配所需。

      具体方法如下:

      1. 登录ManageOne运维面。

      2. 在主菜单选择系统管理 > 平台配置 > 系统维护,然后在左侧列表单击“配置信息管理”,切换到“管理系统对接”页签。

      3. 在“分组名称”“VDC”所在行,依次单击“修改”“确定”

      4. 在“修改配置”对话框的“配置项信息”区域,修改配置项的值。取值范围为:true,false。
      说明:

      取值含义为:

      • true:当用户手动设置配额时,如果实际可分配配额不足将导致用户创建租户失败。该值为系统默认值。
      • false:当用户手动设置配额时,如果实际可分配配额不足,无法正常创建租户。此时可通过设置该值,保证配额满足所需。设置后,用户直接在配额输入框输入需要的配额值,便可正常分配配额并创建租户。但该情况会导致租户配额已分配量大于资源池总量。建议在B2B模式下,将该值设置为false。
    • 弹性云服务器:
      • CPU:220个
      • 内存:550G
    • 虚拟私有云:6个
    • 弹性IP:规划2个网段
    • 弹性负载均衡:6个
    • 弹性文件:6个
    • 安全组:12个

  5. 此处不关联审批流程。

    关联了审批流程的VDC,该VDC的VDC管理员在修改自己的配额时,需要提交审批,审批通过后才能生效。上级VDC管理员修改下级VDC的名称或描述时,也可以修改审批流程为不需要审批。
    说明:
    • 一级VDC只能关联由运营管理员创建的审批流程。
    • 一级VDC给下级VDC关联审批流程后,该一级VDC管理员在修改该下级VDC的审批流程时,只能看到该一级VDC管理员创建的审批流程。
    • VDC管理员在修改下级VDC配额时,无需审批。

  6. 单击“创建”

创建委办局1~3和VDC管理员

该任务指导VDC_admin创建委办局1~3和对应的VDC管理员,并设置配额。

操作步骤
  1. 使用浏览器,以VDC_admin帐号登录ManageOne运营面。

    非B2B场景登录地址:https://控制台主页的访问地址。例如,https://console.demo.com。

    B2B场景登录地址:https://租户的访问地址。例如,https://tenant.demo.com。

  2. 选择VDC > VDC管理
  3. “VDC管理”界面,单击界面右上角的“创建VDC”创建委办局。
  4. 填写基本信息,创建管理员,开通VDC服务,设置配额。下表为创建一个委办局参数配置。

    表3-11 参数信息

    模块

    名称

    说明

    示例

    基本信息

    上级VDC

    为新建的VDC选择所属的上级VDC。

    经信委

    VDC名称

    二级VDC的显示名称。

    委办局1

    Project名称

    二级VDC默认创建的Project名称。

    yewuzu1

    创建管理员

    用户名

    二级VDC管理员的用户名。VDC管理员可以申请与管理资源,也可以进行运营管理类操作,例如对VDC、产品、角色等进行管理。

    VDC_admin1

    密码

    二级VDC管理员用户密码。

    test@123

    开通VDC服务

    地域

    选择地域。用户可根据需要选择多个地域。

    cn-region-1

    资源池

    选择资源池或可用分区。目前可供选择的资源池有:私有云资源池、华为云资源池、两级云资源池,不同的资源池所包含的资源有所不同,用户可根据实际场景选择合适的资源池。

    • 弹性云服务器,可用分区:kvm.type2
    • 虚拟私有云,OpenStack_cn-region-1(cn-region-1)
    • 弹性IP,OpenStack_cn-region-1(cn-region-1)
    • 弹性负载均衡,OpenStack_cn-region-1(cn-region-1)
    • 弹性文件,OpenStack_cn-region-1(cn-region-1)
    • 安全组,OpenStack_cn-region-1(cn-region-1)

    资源配额

    该处不选择“使用默认设置”,手动设置资源配额。

    • 如果上级VDC设置云服务的资源配额为不限配额,创建下级VDC时可设置该云服务的资源配额为不限配额或限制配额;如果上级VDC设置云服务的资源配额为限制配额,创建下级VDC时也必须设置该云服务的资源配额为限制配额。
    • 创建VDC时设置的云服务资源配额为不限配额或限制配额,在VDC创建成功后该设置不能被修改。
    • 弹性云服务器:
      • CPU:40个
      • 内存:100G
    • 虚拟私有云:1个
    • 弹性IP:规划2个网段
    • 弹性负载均衡:1个
    • 弹性文件:1个
    • 安全组:2个

  5. 此处不关联审批流程。

    关联了审批流程的VDC,该VDC的VDC管理员在修改自己的配额时,需要提交审批,审批通过后才能生效。上级VDC管理员修改下级VDC的名称或描述时,也可以修改审批流程为不需要审批。

    说明:
    • 二级及以下级别VDC的审批流程,由上级VDC管理员在创建该下级VDC时关联。关联的审批流程必须为上级VDC管理员创建的审批流程,不能关联由运营管理员创建的审批流程。
    • 上级VDC给下级VDC关联审批流程后,该上级VDC在修改该下级VDC的审批流程时,只能看到该上级VDC和该上级VDC以上级别VDC的VDC管理员创建的审批流程。
    • VDC管理员在修改下级VDC配额时,无需审批。

  6. 单击“创建”
  7. 重复执行步骤 2~步骤 6,继续创建如下信息。

    1. 创建委办局2、VDC_admin2、和yewuzu2。
    2. 创建委办局3、VDC_admin3、和yewuzu3。

创建项目组

Project是对所使用资源的分组,在实际使用时相当于项目组,各个Project之间资源相互隔离。一个VDC可以包含多个Project,一个Project只能属于一个VDC。如果用户需要申请或管理资源,则至少关联一个Project。

除创建的默认Project外,如果还需要其他项目组,则创建符合实际需求数量的Project。

该任务指导VDC_admin分别为委办局1~3创建对应的行政组。

操作步骤
  1. 使用浏览器,以VDC_admin1登录ManageOne运营面。

    非B2B场景登录地址:https://控制台主页的访问地址。例如,https://console.demo.com。

    B2B场景登录地址:https://租户的访问地址。例如,https://tenant.demo.com。

  2. 选择VDC > VDC管理
  3. “VDC管理”界面,单击委办局1的VDC。
  4. 在打开的界面左侧列表选择“Project”,在“Project”页面,单击“创建Project”。如图3-17所示。

    图3-17 创建Project

  5. 填写Project名称。如:xingzhengzu1。
  6. 为Project选择关联的地域,只能选择一个地域。
  7. 选择用户组。此处选择“不关联用户组”。
  8. 单击“确定”

    返回Project列表并显示创建的Project状态正常时,表示创建成功。

    说明:

    创建的Project状态异常时,可单击右侧操作列的“更新状态”进行处理。如果更新失败,会影响该Project下资源的使用。

  9. 重复执行步骤 2~步骤 8,分别为委办局2和委办局3创建对应的行政组。

在委办局中创建VDC业务员

委办局创建完成后可以为VDC添加用户,此处添加的用户是VDC业务员,可根据实际需要添加多个VDC管理员、VDC业务员或VDC只读管理员。

该任务指导VDC_admin分别为委办局1~3创建对应的VDC业务员。

操作步骤
  1. 使用浏览器,以VDC_admin帐号登录ManageOne运营面。

    非B2B场景登录地址:https://控制台主页的访问地址。例如,https://console.demo.com。

    B2B场景登录地址:https://租户的访问地址。例如,https://tenant.demo.com。

  2. 选择VDC > VDC管理
  3. “VDC管理”界面,单击委办局1的VDC。
  4. 在打开的界面左侧列表选择“用户”,在“用户”页面,单击“创建用户”
  5. 根据界面提示填写用户信息。如图3-18所示。

    图3-18 为VDC添加用户
    • “角色”选择“VDC业务员”角色。VDC业务员可以申请或管理资源,但不可以进行运营管理类操作。
    • 选择项目组,即Project。

  6. 单击“确定”

    当系统返回成员列表,并显示创建的新用户时,表示创建成功。

  7. 重复执行步骤 2~步骤 6,分别为委办局2和委办局3创建对应的VDC业务员。

划分外部网络

为dummy_external_network配置资源标签

环境部署完成后,需要为dummy_external_network外部网络配置资源标签,租户创建虚拟机时才能使用dummy_external_network对应的VPC服务。

背景信息

dummy_external_network是用于租户创建VPC所使用的外部网络。

说明:
  • 环境部署完成后,dummy_external_network由工具自动创建,用户无需再创建自己的location网络。
  • 必须进行dummy_external_network资源标签的设置,否则会导致租户创建虚拟机时无法选择VPC。
操作步骤
  1. 使用浏览器,登录ManageOne运维面。

    • 登录地址:https://ManageOne运维面主页的访问地址:31943。例如,https://oc.type.com:31943。
    • 默认帐号:admin,默认密码:Huawei12#$。

  2. 单击“登录”。
  3. 在ManageOne运维面上方的导航栏,选择“运维地图”。
  4. 在“运维地图”页面,选择配置 > 云服务配置 > 网络服务配置,进入“外部网络”页面。
  5. 在“OpenStack名称”下选择对应的级联层OpenStack名称,一般以“cascading”为前缀,如cascading-az1.dc1。

  6. 找到名称为“dummy_external_network”的外部网络,在外部网络所在行选择更多 > 资源标签设置
  7. 参见表3-12设置外部网络资源标签,单击“确定”。

    表3-12 资源标签参数说明

    参数项

    说明

    名称

    自定义标签名称。

    例如:“dummy_external_network”。

    group

    表示网络集群出口的分组。此处勾选“group1”。

    • group1:表示出口1的外部网络分组。
    • group2:表示出口2的外部网络分组。
    说明:

    如果后续再创一个新的网络集群出口,则选择“group2”。

    可用分区

    选择与该外部网络有对应关系的可用分区 ,打上勾表示已选择。如果外部网络支持多个可用分区,请多选。

    此处需要勾选级联层和使用该dummy_external_network的被级联层所对应的可用分区信息。

    网络类型

    选择外部网络所属类型。

    此处勾选“Location”。

创建外部网络

租户在使用弹性IP服务和虚拟专用网络服务之前,需要先创建外部网络。

背景信息

外部网络是用于连接系统外网络的网络,系统外网络即为用户已有网络,可以是企业内部网络,也可以是公共网络(Internet)等。

  • 弹性IP服务:需要创建Internet类型的外部网络(即EIP型外部网络),用于创建弹性IP,实现虚拟机与互联网的连通。
  • 虚拟专用网络服务:需要创建VPN类型的外部网络(即VPN型外部网络),用于在远端用户和VPC之间建立一条安全加密的通信隧道。
表3-13 外部网络说明

云外部网络类型

AC外部网络类型

使用场景

是否必选

Internet

公共

用于创建弹性IP,实现虚拟机与互联网的连通。

VPN

公共

用于在远端用户和VPC之间建立一条安全加密的通信隧道。

Intranet

私有

用于租户创VPC时关联所用,需要使用专线。

使用VPC时,至少需要创建Intranet和Location类型的外部网络中的一种。

Location

None

用于租户创VPC时关联所用,不需要使用专线。

前提条件

创建外部网络时,规划为外部网络的网段中的所有IP地址作为资源池被VPC、EIP和VPN使用,确保任何IP地址不能被其他系统使用。如果外部网络的IP地址被其他系统占用,会造成外部网络IP地址冲突,网络不通。

  • 创建外部网络前,要求已在交换机上配置用于创建VPN外部网络的VLAN或子网。
  • 已获取待创建外部网络的网络规划信息。
操作步骤
  1. 使用浏览器,登录ManageOne运维面。

    • 登录地址:https://ManageOne运维面主页的访问地址:31943。例如,https://oc.type.com:31943。
    • 默认帐号:admin,默认密码:Huawei12#$。

  2. 单击“登录”。
  3. 在ManageOne运维面上方的导航栏,选择“运维地图”。
  4. 在“运维地图”页面,选择配置 > 云服务配置 > 网络服务配置,进入“外部网络”页面。
  5. 在“OpenStack名称”下选择对应的级联层OpenStack名称,一般以“cascading”为前缀,如cascading-az1.dc1。

  6. 单击“创建”,参见表3-14设置外部网络参数。

    表3-14 网络信息参数说明

    参数

    说明

    名称

    • 创EIP型外部网络,设置为“eip_external_net”
    • 创VPN型外部网络,设置为“vpn_external_network”

    网络类型

    Region Type I场景下,网络类型选择“local”。

    说明:
    • vlan:带有vlan标识的网络,支持映射到实际的网络上。一个物理网络上可以创建多个vlan类型的虚拟网络。
    • flat:无vlan标识的网络,且一个物理网络上只能创建一个flat类型的网络,且不支持创建其他类型的虚拟网络,如不允许创建vlan类型虚拟网络。
    • local:local类型的虚拟网络,使用该网络创建的虚拟机的报文不会进入物理网络。

    共享类型

    此处选择“非共享”。

    说明:
    • 共享:即该外部网络默认所有VDC租户都可使用。
    • 非共享:即该外部网络需要运营管理员通过ManageOne运营面上分配给指定VDC租户后,VDC租户才可使用。

  7. 单击“下一步”,参见表3-15设置外部网络资源标签,然后单击“确定”。

    表3-15 资源标签参数说明

    参数项

    说明

    名称

    用于在ManageOne运营面展示的名称,该名称是由管理员根据租户或者云资源应用领域等关联信息进行命名的名称,请填写有实际业务含义的“名称”,“名称”项内输入可支持多语言,可以使用当地语言的名称。

    • 创EIP型外部网络,设置为“eip_external_net”
    • 创VPN型外部网络,设置为“vpn_external_network”

    group

    表示网络集群出口的分组。此处勾选“group1”。

    • group1:表示出口1的外部网络分组。
    • group2:表示出口2的外部网络分组。
    说明:
    • 在多出口场景下,如果后续再创一个新的网络集群出口,则选择“group2”。
    • 多出口场景下,会存在不同group下的外部网络,需确保在ManageOne运营面创VPC、EIP、VPN时,使用同一个group分组的外部网络。

      举例,在ManageOne运营面创VPC时,如果选择group1的dummy外部网络,那么在申请EIP时,就要选择group1下的Internet型外部网络,否则会导致网络不通。

    可用分区

    选择与该外部网络有对应关系的可用分区 ,打上勾表示已选择。如果外部网络支持多个可用分区,请多选。

    此处勾选使用该外部网络的被级联层所对应的可用分区信息。

    网络类型

    • 创EIP型外部网络,勾选“Internet”。
    • 创VPN型外部网络,勾选“VPN”。

    说明:
    • Internet:用于配置弹性IP所使用的外部网络。
    • VPN:用于配置VPN的外部网络。
    • Location:用于租户申请VPC时关联的外部网络。

    用于EIP外部网络可以同时用于VPN服务,如果某个外部网络同时用于EIP和VPN,需要同时打上Internet和VPN的标签。

    Location与Internet或VPN的网络类型不可同时勾选。

  8. 在新创建的网络所在行,选择“更多 > 创建子网”。
  9. 配置子网信息。

    • 配置子网:勾选“IPv4配置”
    • 启用DHCP:此次不勾选。子网信息和网关从LLD模板中获取。如启用DHCP,则会使用系统DHCP服务自动分配IP地址,不需配置以下子网信息。
    • 名称:子网的名称。
      • EIP型外部网络示例:external_eip_1
      • VPN型外部网络示例:external_vpn_1
    • 子网IP地址:子网IP地址的网段。示例:10.185.76.0
    • 子网掩码:子网的网络掩码。示例:255.255.255.0
    • 网关:子网的网关。示例:10.185.76.254
    • 可用IP地址段:可以使用的子网IP地址范围。
    • 首选DNS服务器:主DNS服务器的IP地址。
    • 备选DNS服务器:备DNS服务器的IP地址。

  10. 单击“创建”。
  11. 在被级联层的external_relay_network网络中创建级联层eip_external_net网络下对应的子网。

    1. 在“OpenStack名称”下选择对应的被级联层OpenStack名称,一般以“cascaded”为前缀,如cascaded-az1.dc1。

    2. 在external_relay_network所在行操作列下单击“更多 > 创建子网”。
    3. 配置子网信息。
      • 配置子网:勾选“IPv4配置”
      • 启用DHCP:此次不勾选。子网信息和网关从LLD模板中获取。如启用DHCP,则会使用系统DHCP服务自动分配IP地址,不需配置以下子网信息。
      • 名称:子网的名称。示例:eip_external_net1
      • 子网IP地址:与级联层配置的EIP外部网络子网IP地址网段相同,由步骤 9获取。
      • 子网掩码:与级联层配置的EIP外部网络子网的网络掩码相同,由步骤 9获取。
      • 网关:与级联层配置的EIP外部网络子网的网关相同,由步骤 9获取。
      • 可用IP地址段:可以使用的子网IP地址范围。
      • 首选DNS服务器:主DNS服务器的IP地址。
      • 备选DNS服务器:备DNS服务器的IP地址。
    4. 单击“创建”。
      说明:
      • 若一个VPC内包含多个AZ,需要在每个被级联的external_relay_network增加每个AZ对应的EIP子网。
      • 系统默认隔离10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三个网段,如果创建的EIP外部网络子网包含于这三子网中,则需要配置neutron-dvr-compute-agent组件(KVM场景下)或neutron-bm-dvr-agent组件(裸金属场景下)的isolate_tenant_cidrs取值,将对应其余的子网从参数值中去除。

        举例,EIP子网包含于192.168.0.0/16 ,配置方法如下:

        • KVM场景下,在被级联层任意节点,执行以下命令。

          cps template-ext-params-update --parameter dvr_compute_agent.DEFAULT.isolate_tenant_cidrs=10.0.0.0/8,172.16.0.0/12 --service network-agent neutron-dvr-compute-agent

          cps commit

          其中dvr_compute_agent.DEFAULT.isolate_tenant_cidrs的配置值为本系统内部使用到的,且不希望用户能够在虚拟机内通过EIP直接访问的网段,例如“172.16.0.0/12,192.168.0.0/16”,多个网段之间以英文“,”隔开。

          如果该参数字段不存在,则命令如下:

          cps template-ext-params-add --parameter dvr_compute_agent.DEFAULT.isolate_tenant_cidrs=10.0.0.0/8,172.16.0.0/12 --service network-agent neutron-dvr-compute-agent

          cps commit

        • 裸金属场景下,在被级联层任意节点,执行以下操作。

          执行以下命令,查询neutron-bm-dvr-agent组件列表。

          cps template-list | grep neutron-bm-dvr-agent

          回显如下类似信息,可能存在多个neutron-bm-dvr-agent组件,如neutron-bm-dvr-agent001,neutron-bm-dvr-agent002。

          执行如下命令,将其余子网从参数值中去除。

          cps template-ext-params-update --service baremetal-gateway neutron-bm-dvr-agent001 --parameter bm_dvr_agent.DEFAULT.isolate_tenant_cidrs=10.0.0.0/8,172.16.0.0/12

          cps commit

          其中,neutron-bm-dvr-agent001为查询到的组件,如neutron-bm-dvr-agent001,neutron-bm-dvr-agent002,如查出多个,则依次执行此命令。

          10.0.0.0/8,172.16.0.0/12为需要去除的子网,即不希望用户能够在虚拟机内通过EIP直接访问的网段。

          如果该参数字段不存在,则命令如下:

          cps template-ext-params-add --service baremetal-gateway neutron-bm-dvr-agent001 --parameter bm_dvr_agent.DEFAULT.isolate_tenant_cidrs=10.0.0.0/8,172.16.0.0/12

          cps commit

          执行以下命令,查询neutron-hypervbm-agent组件列表。

          cps template-list | grep neutron-hypervbm-agent

          回显如下类似信息,可能存在多个neutron-hypervbm-agent组件,如neutron-hypervbm-agent001,neutron-hypervbm-agent002。

          执行如下命令,将其余子网从参数值中去除。

          cps template-ext-params-update --service baremetal-gateway neutron-hypervbm-agent001 --parameter hypervbm_ovs_agent.DEFAULT.isolate_tenant_cidrs=10.0.0.0/8,172.16.0.0/12

          cps commit

          其中,neutron-hypervbm-agent001为查询到的组件,如neutron-hypervbm-agent001,neutron-hypervbm-agent002,如查出多个,则依次执行此命令。

          10.0.0.0/8,172.16.0.0/12为需要去除的子网,即不希望用户能够在虚拟机内通过EIP直接访问的网段

          如果该参数字段不存在,则命令如下:

          cps template-ext-params-add --service baremetal-gateway neutron-hypervbm-agent001 --parameter hypervbm_ovs_agent.DEFAULT.isolate_tenant_cidrs=10.0.0.0/8,172.16.0.0/12

          cps commit

        • 如果属于KVM和裸金属场景,则同时执行以上两步。

  12. 手动在级联层的neutron-server增加VPN外部网络对应配置项。

    说明:

    仅创建VPN外部网络时涉及,其它外部网络的创建跳过此步骤。

    1. 使用“PuTTY”,登录级联层的控制节点任意主机。

      以“fsp”用户,通过主机External OM平面IP地址登录。

      说明:

      主机External OM平面IP地址可通过登录FusionSphere OpenStack安装部署界面,在“概要”页面查看主机列表中的“管理IP地址”获取。

    2. 执行以下命令,并按提示输入“root”用户的密码,切换至“root”用户。

      su - root

    3. 导入环境变量
    4. 执行以下命令,查看neutron-server现有的vpn_network_name配置项。

      cps template-params-show --service neutron neutron-server

      回显以下类似信息。

    5. 执行以下命令,在级联层的neutron-server增加VPN外部网络对应配置项。

      cps template-params-update --service neutron neutron-server --parameter vpn_network_name=现有vpn_network_name配置项,VPN外部网络名称

      cps commit

      其中,

      现有vpn_network_name配置项12.d回显信息中获取,

      VPN外部网络名称步骤 6中创建的VPN外部网络名称。

      举例,12.d回显信息中,配置项为exter_net_name01,external_net_name02,则执行命令如下:

      cps template-params-update --service neutron neutron-server --parameter vpn_network_name=external_net_name01,external_net_name02,vpn_external_network

      cps commit

    6. 执行以下命令,查出网络集群的neutron-ngfw-vpn-agent。

      cps template-list

    7. 执行以下命令,在neutron-ngfw-vpn-agent上增加vpn_ip_pool和vlan_ranges。

      cps template-params-update --service neutron neutron-ngfw-vpn-agent0x --parameter vpn_ip_pool=现有vpn_ip_pool配置项 vlan_ranges=现有vlan_ranges配置项 vsys_ranges=现有vsys_ranges配置项

      cps commit

      其中“neutron-ngfw-vpn-agent0x代表第x个网络集群的neutron-ngfw-vpn-agent

      举例执行如下命令:

      cps template-params-update --service neutron neutron-ngfw-vpn-agent01 --parameter vpn_ip_pool=10.1.1.0/24 vlan_ranges=2000:2255,3000:3255 vsys_ranges=2000:2255,3000:3255

      cps commit

相关任务
说明:

在扩容网络集群场景下,在扩容之前已搭建的被级联层,如果需要使用新增出口网络业务,则需要在原来已搭建的被级联层的任意节点执行以下命令,放通ELB下联面网段。其他场景请跳过该任务。

  1. 执行如下命令,获取dvr_compute_agent.DEFAULT.exclude_relay_cidr的值。

    cps template-ext-params-show --service network-agent neutron-dvr-compute-agent

  2. 执行以下命令,将ELB下联面的网段加到步骤 1获取的dvr_compute_agent.DEFAULT.exclude_relay_cidr的值的网段后。

    cps template-ext-params-update --service network-agent neutron-dvr-compute-agent --parameter dvr_compute_agent.DEFAULT.exclude_relay_cidr=10.125.65.0/24,10.125.0.0/24,10.66.0.0/24,elb_down子网信息

    cps commit

    其中,10.125.65.0/24,10.125.0.0/24,10.66.0.0/24为步骤 1中获取的dvr_compute_agent.DEFAULT.exclude_relay_cidr的值。

    elb_down子网信息为LLD文档中“1.2基本参数”中的elb_down子网信息,如10.100.1.0/24

配置EIP外部网络等价路由

创建完EIP外部网络后,需要在网络设备(综合接入交换机和NGFW)上配置等价路由,将EIP流量路由到软NAT(nat-server)节点。本章以子网网段为10.21.11.0,子网掩码255.255.255.0的EIP外部网络为例。

说明:

请根据导出的参数信息汇总文件(LLD)中,确认网络规划:

  • 如果规划的“EIP入软NAT流量的VLAN”(in_fip_vlan)的网关配置在交换机上,在交换机上配置等价路由。
  • 如果规划的“EIP入软NAT流量的VLAN”(in_fip_vlan)的网关配置在NGFW上,在NGFW上配置等价路由。
前提条件

已创建完成EIP外部网络。

操作步骤

在综合接入交换机上配置等价路由

以华为S系列交换机(如S6700)为例,执行以下操作:

  1. 登录需要配置等价路由的交换机,执行以下命令配置NQA。

    nqa test-instance soft_nat icmp_10.12.12.2

    test-type icmp

    destination-address ipv4 10.12.12.2

    frequency 3

    interval seconds 1

    timeout 1

    probe-count 2

    vpn-instance InNetwork

    frequency 3

    start now

    其中,icmp_10.12.12.2表示“test instance”对象的名称,用户可自己定义,但名称不能重复。10.12.12.2为规划的nat-server配置项“软NAT节点业务IPs”(host_ip_mapping)中的一个ip地址。重复本步骤,为每个IP地址对应一个“test instance”。

  2. 执行以下命令,为nat-server节点添加等价路由。

    ip route-static vpn-instance InNetwork subnet netmask nexthop track nqa soft_nat test_instance_name

    其中,subnetnetmask为创建外部网络中创建的EIP外部网络的子网网段和子网掩码,nexthop为host_ip_mapping中的一个ip地址,test_instance_name为“test instance”对象的名称。重复本步骤,为每个ip和“test instance”对创建路由。

    例如:

    ip route-static vpn-instance InNetwork 10.21.11.0 255.255.255.0 10.12.12.2 track nqa soft_nat icmp_10.12.12.2

    ip route-static vpn-instance InNetwork 10.21.11.0 255.255.255.0 10.12.12.3 track nqa soft_nat icmp_10.12.12.3

  3. 执行以下命令,配置等价路由vlanif与网关。

    interface Vlanif 1626

    ip binding vpn-instance InNetwork

    ip address 10.12.12.1 24

    commit

    其中,Vlanif 1626为等价路由网关(in_fip_vlan的vlanif)所在接口。10.12.12.1为规划的nat-server的网关。24为IP地址掩码。

在核心交换机配置路由

  1. 执行以下命令,为核心交换机上的Internet VRF里配置EIP网段路由,下一跳是NGFW带宽墙接口IP。

    ip route-static vpn-instance Internet EIP网段 10.200.1.62

  2. 执行以下命令,为核心交换机上InNetwork VRF里配置EIP网段路由,下一跳是综合接入交换机的InNetwork VRF接口IP。

    ip route-static vpn-instance InNetwork EIP网段 10.200.1.18

  3. 执行以下命令,为核心交换机上InNetwork VRF里配置默认路由,下一跳是NGFW接口IP。

    ip route-static vpn-instance InNetwork 0.0.0.0 0 10.200.1.66

    图3-19所示。

    图3-19 核心交换机上配置等价路由

在NGFW上配置路由

  1. 执行以下命令,为NGFW上配置EIP网段路由,下一跳是核心交换机的InNetwork VRF接口IP。

    ip route-static EIP网段 10.200.1.65

  2. 执行以下命令,为NGFW上配置默认路由,下一跳是核心交换机的Internet VRF接口IP。

    ip route-static 0.0.0.0 0 10.200.1.61

为VDC租户分配外部网络

您可以对租户内的外部网络进行配置,供用户申请网络资源使用。

前提条件
  • 已创建外部网络,具体请参见创建外部网络。
  • 已获取运营管理员用户名和密码。
操作步骤
  1. 使用浏览器,以运营管理员帐号登录ManageOne。

    非B2B场景登录地址:https://控制台主页的访问地址。例如,https://console.demo.com。

    B2B场景登录地址:https://运营管理员的访问地址。例如,https://admin.demo.com。

    运营管理员默认帐号和密码分别为bss_admin和Changeme_123,首次登录需要修改密码,如果不是首次登录,请获取新密码。

  2. 选择租户 > 租户管理
  3. 在租户所在行,单击租户名称。
  4. “外部网络管理”页面执行如图3-20所示操作,分配外部网络。

    图3-20 分配外部网络
    1. 从下拉列表框中选择云资源池。
    2. 分配外部网络

      在外部网络所在行,单击“分配”,为租户分配该外部网络。当分配状态由“未分配”变为“已分配”时,表示外部网络分配成功。

翻译
下载文档
更新时间:2019-08-15

文档编号:EDOC1100043090

浏览量:18072

下载量:563

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页