9.1. 网络模型

桉树企业版包含了一个高度可配的可以适应各种网络环境的虚拟网络子系统。桉树企业版提供四种级别的网络模式：

      •    SYSTEM模式

      •    STATIC模式

      •    MANAGED模式

      •    MANAGED NOVLAN模式

每种模式都有各自的参数配置、特征及优点，用户可以根据本地网络的需求而选用不同的模式。管理员在每个运行桉树组件的机器上启动桉树之前必须通过修改eucalyptus.conf文件来指定要使用的模式，每种模式的详细配置如下：

SYSTEM

SYSTEM模式是最简单的网络配置，同时也只提供最小数量的网络功能。在SYSTEM模式中，桉树会在虚拟机实例启动之前为其简单的分配一个随机的MAC地址，并通过节点的本地网桥将虚拟机实例的网络设备连接到物理网络。虚拟机实例使用DHCP方式获取IP地址，同样的，任何非虚拟机也可以使用DHCP获取ip地址。需要注意的是，在SYSTEM模式下，桉树管理员（或桉树组件所在网络的管理员）必须建立一个有动态ip池的DHCP 服务器，当虚拟系统启动时为其动态分配ip地址。换句话说，如果你的笔记本电脑/台式机/服务器是使用桉树节点通过DHCP获得一个ip地址，那么你的虚拟机系统应该同样获得ip地址。这个模式对于那些尝试在自己笔记本或台式机上搭建桉树的用户最有用。

STATIC

STATIC模式下，桉树管理员对于虚拟机的IP地址的分配有更多的配置。管理员可以通过一个mac地址和ip地址的名值对的map映射来配置桉树。当一个虚拟机被实例化时，桉树会在其控制的DHCP服务器上创建一个静态条目，并将一个空闲的MAC/IP对分配给虚拟机，并通过节点上的Xen 桥 (类似于SYSTEM模式)连接VM虚拟机网络设备到物理设备。这种模式对于那些有一个MAC/IP地址池，并总是希望分配给他们的虚拟机的管理员来说非常有用。

需要注意的是，以SYSTEM或STATIC模式运行的桉树会禁用一些功能，被禁用的功能包括以下内容：

1. VM之间的网络访问规则(在Amzaon EC2 称为security groups 安全组)

2.用户可以在实例启动及运行时控制和动态分配ip地址(在Amazon EC2 称为 elastic IPs)

3.vm间的网络流量的隔离(例如，vm扫描变得脆弱，容易受到入侵)

4.元数据服务的可用性(使用类似http://169.254.169.254/的url来获取指定的信息实例)

MANAGED

MANAGED模式是桉树提供的四种模式中最有特色的，在MANAGED模式下，桉树管理员可以通过虚拟机实例绘制的ip地址来定义一个大型的私有网络。静态模式下，桉树为创建的每个虚拟机实例维护DHCP服务器的静态映射。桉树用户可以定义若干“named networks命名网络”，或“security groups安全组”来做为网络入口规则。 当用户运行一个虚拟机实例时，用户要指定虚拟机所属网络的名称，桉树会在该网络中的其他虚拟机所在的ip集合中选择一个子集。

桉树用户可以给指定网络定义规则，例如使用者可以选择是否允许 ping (ICMP) 或 ssh (TCP, port 22)到他们的 虚拟机，这让桉树暴露了一个类似 Amazon的'security groups'的能力，此外，管理员可以指定一个可以让用户分配的公共ip的pool，然后在虚拟机启动或运行时动态分配给虚拟机。这功能类似于Amazon的'elastic IPs'。桉树管理员需要security groups, elastic IPs, and VMnetwork isolation 时必须选用MANAGED模式。

MANAGED-NOVLAN

这种模式和MANAGED模式在(elastic IPs 和 security groups)上提供相同的功能，但是不提供虚拟机的网络隔离功能。管理员需动态分配ip地址及安全组，如果他们的虚拟机在网络上是相互隔离的，应该选用此模式。

WARNING: 如果你在eucalyptus.conf文件中编辑一个网络相关的值，需要执行一下clean restart命令($EUCALYPTUS/etc/init.d/eucalyptus-ccclean restart)来让更改生效。并确保在执行clean restart之前终止所有虚拟机实例。