​如何解決OpenStack雲的互聯問題？

應用程式和網路已經成為分散式的。應用程式被分割成微服務，因此網路由來自不同地區的不同雲組成。伴隨著這一點，出現了越來越多的安全問題，控制所有資源方面的需求增加。SD-WAN可供企業使用。但是，如果資料中心或終端點較少，並且分佈在多個區域，會怎樣呢？

可能存在這樣一種情況：你需要互連兩個或多個獨立的資料中心，或者使用OpenStack支援的NFV PoP。這些資料中心被認為位於不同的區域。這些資料中心最初希望實現按需互連。此外，互連可能需要私有定址和隔離，以便與專用通訊通道端到端共享資料。一種結合了按需和私有定址和隔離功能的中子VPN即服務（VPNaaS）。 在選擇一個VPN審查之後的合適的解決方案後，我們有了不同的VPN選擇可用。但是這個解決方案涉及IPSec，它有效能開銷。另外，為了實現正確的互連，你需要一個避免資料包隔離開銷的解決方案。 

OpenStack雲互連的架構之一可以是在雲之間新增一個編排器，並且相關雲的資源是互連的。但這種架構有幾個缺點。

編排器可能需要管理員許可權才能在資料中心的資源中建立網路。當涉及到不同的組織時，這就很困難了。此外，新增編排器將使API暴露於不同的攻擊，因此，這被認為是一個複雜的系統。             

一個推薦的選擇是擴充套件Neutron API來互連資源，比如OpenStack支援的資料中心的虛擬路由器。它包括User Facing API和Neutron to Neutron API。

在User Facing API中，有一個對稱的呼叫——位於中心的管理員對資料中心中的Neutron模組進行呼叫。在得到兩個資料中心的批准後，將建立一個連線。

在 Neutron to Neutron API中，API將允許每個Neutron元件檢查是否在另一側定義了對稱互連。透過這種方式，不同區域的Neutron元件一起協調，以在沒有編排或網路裝置配置的情況下建立私有的隔離互連。             

這個解決方案早在2018年的柏林OpenStack峰會上就已經討論過了。此解決方案適用於以下用例：             

——資料中心中有OpenStack；             

——一個OpenStack雲涉及多個區域；            

——多個其中有互相協調的信任實體的OpenStack雲；             

——不同的OpenStack雲例項使用不同的SDN解決方案。