neutron之DVR(distributed virtual router)学习笔记

最新推荐文章于 2021-12-08 10:03:32 发布
最新推荐文章于 2021-12-08 10:03:32 发布
阅读量5.6k 收藏 6
点赞数 2
分类专栏: 云计算&openstack 文章标签: neutron DVR HA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/madmanvswarrior/article/details/50453067
版权


何为网络南北东西向:

                                                 North
                     external           
                           |                
    East  <——|route|—————————>West
                   /          \         
                VM1             VM2      
                subnet1          subnet2          South
                
内部网络subnet1的流量通过路由到另一个内部网络subnet2去或反之,则称为东西流量;外部网络通过路由进入内部网络或者反之则称为南北流量;
在Juno之前,openstack全部的compute的VM东西南北流量都需要通过network node进行处理之后才能转发,东西流量的汇聚势必增加网络节点的负载导致性能问题,南北流量的汇聚
同时还导致spof单点故障,南北转发又分为不需floatingip的源地址SNAT和需要floatingip的目的地址转发DNAT,Juno之前SNAT和DNAT都得通过网络节点上的L3 agent实现,在Juno版本
之后,可以配置DVR,distributed virtual route,即在每一个nova节点上都配置L3 agent,这样compute节点上的VM就通过local的L3 agent直接走tunnel内部网络到达位于另一个compute上
的VM上,分支亦然,而具有floatingip的DNAT直接通过local的L3 agent通过外部网桥br-ext直接到达外网,反之亦然。由于DVR下SNAT无法实现FWaaS,SNAT还是保持继续流向网络节点在到达外网。


DVR的出现使得neutron的路由具有了高可用性和扩展性,网络通过compute节点直接出去,甚至可以不要网络节点的存在;


启用DVR需要在compute node上安装neutron-l3-agent,并且要打开DVR mode。同时需要修改neutron-openvswitch-agent为DVR mode:


SNAT与DNAT:
SNAT主要应用场景是:局域网内部的多个VM的私网IP通过共享一个public IP来实现外网访问,内外可以出去访问外网,但是外网不能访问内网IP
具体原理就是: 私网IP在通过路由或者访火墙问外网的时候,IP包中的源私有地址会被更改为这个共享的public IP,这样公网就会认为这个IP包是由公网发出来的而不是私网发出的数据包,
这类NAT是在研究路由之后在修改源地址,称为postrouting


DNAT主要应用场景:在内网里面的VM上部署应用,并将应用接口发布到公网中去,这样Internet上的客户便可以访问企业私网里的应用服务,目前公有云都是这种场景;
具体原理就是:外部网络通过路由或者网关访问内网私网IP的时候,在外部网络IP包进入路由之前,将目的IP由路由或者网关上的public IP更改为内网私有IP,这样数据包进入路由之后就能够
正确路由到内部私有IP上,这类NAT是在进入路由之前,将目的IP替换成为内网私有IP,发生在路由之前,称为prerouting


两种方式都需要在内部私网和外部公网之间存在一个可以充当网关路由的设备,该设备至少需要两个网卡,一个连接内部私网,配置与私网同网段的IP并作为私网网关,一个连接外部公网,配置可以
访问外网公网IP。在私网访问公网IP的时候,一旦数据包经过网关设备路由出去之后,就把网关设备的公网IP替换成为数据包中的源IP(源IP一开始时候是私网IP),这样公网中的IP在返回数据包
时候就把网关设备的公网IP作为目的IP发送数据包,公网数据包到达网关设备经过路由之后,就把目的IP(当前为网关设备的公网IP)替换为私网真正需要访问的IP,这样就实现了私网与公网的相互
访问。


SNAT:   private net ——————>route->source ip takeover————————> public net   私网发起数据包访问外网,源地址转换,postrouting


DNAT:  private net <——————route<—destination ip takeover<———————— public net  外网发起数据包访问内网,目的地址转换,prerouting




在实现了DVR后:
1)对于东西向的流量, 流量会直接在计算节点之间传递。
2)对于南北向的流量,如果有floating ip,流量就直接走计算节点。如果没有floating ip,则会走网络节点。




namespace:
命名空间,Linux中一个命名空间就是一个虚拟的网络设备,namespace有独立的路由表,iptables策略,设备管理机构,和其它的namespace完全隔离,如果系统里面有eth0和eth1两个网卡,
eth0加入namespace1,而eth1加入namespace2,则eth1和eth2就相当于位于两个网络设备上的接口,在系统中ifconfig是看不到这两个网卡的在他们加入namespace之后。
在Linux中,使用命令:ip netns 查看系统中的全部netns,即命名空间。要在命名空间中执行命令,需要指定特定的命名空间:ip netns exec netns_name command
exp:ip netns exec ns1 ip address


DVR中为什么需要保留中心化的SNAT而不是做成distributed形式:
SNAT的主要目的是让私网VM可以访问外部网络,访问外部网络的方式就是将内部VM的源IP替换成为router的外网网关IP,即只需要一个外部网络的ip地址作为route的外部gateway,即可实现全部的
VM对外访问,如果将SNAT做成distributed的,则每个compute的route上都要指配一个外网IP作为SNAT的源IP,将会耗用太多的外网IP,因此最好的方式就是将SNAT 使用的IP集中化到网络节点上,
可以通过DVR+HA的实现构建DNAT和SNAT的router高可用。
只要将router同私网subnet连接并设置router的外部网关臂,则私网中的VM就可以通过外部网关臂访问外网,并不是一定要设置floatingIP才可以访问外网。


DVR创建过程:
在部署DVR时候,network节点的L3 agent 设置为DVR_SNAT model,compute节点设置为DVR模式,在controler节点创建router的时候,会在network节点创建snat_router命名空间和qroute命名空间;
snat_router命名空间会根据路由接入的子网数目创建接口,即对于接入到router的每一个外部或者内部网络,在该命名空间中都会生成一个sq或者qg接口。通常,其中一个接口上配置了外网IP,
而其余接口配置的是各个内网IP(这几个IP并不是各个子网段的网关IP,而是网段可以使用的第一个IP地址)。在SNAT转换的时候,来自内部网络的源IP会以postrouting的形式被替换成router接口
上的这个外网IP,这个规则可以在snat_router的iptables中看到:
ip netns exec snat_id iptables -t nat -S
同时可以查看snat_router命名空间中的接口IP:ip netns exec snat_id ip addr
除了snat_router命名空间外,还会创建一个qrouter命名空间,此命名空间不会接入外部网络,而是内部子网,并且ip netns exec qrouter_id ip addr看到的ip地址是子网的网关IP,qrouter
命名空间内部不会存在SNAT规则;
当在compute节点上创建VM的时候,该节点上会创建一个qrouter命名空间,此命名空间与network节点上的qrouter命名空间完全一样,命名空间内部的接口名称即IP mac地址均一样;在为此VM
associate一个floatingIP的时候,会在此compute节点上生成一个fip命名空间,该空间的名字为fip_id-of-ext-net,于此同时会在计算节点的qrouter中增加一个rfp接口,此qrouter接口与fip命名空间
中的fpr接口是一对vethpair,同时,fip命名空间和qrouter命名空间中的fpr和rfp的接口都会被配置上外部IP,qrouter的rfp上是用户生成的FIP,fip命名空间上的fpr是FIP按1递增后的IP,并且
在qrouter的命名空间中有一条FIP与VM fixIP的DNAT规则。但是network节点上的qrouter命名空间没有因为compute的qrouter更改而出现更改。




##############################openstack网络之neutron网络节点上功能flow分析########################################################
br-tun和br-int与br-ex之间的通信:
安装openvswitch之后,OVS会虚拟出三个交换机,br-tun/br-int/be-ex,及隧道网桥,集成网桥,外部网桥;从compute节点进来的package是经过tunnel封装的,具有tunnel ID,即在GRE网络
中,不同网络在节点之间的通信并不是通过VLAN ID来区别不同网络的包,而是通过tunnel ID,因此,br-tun网桥的作用就是根据tunnel ID来设置VLAN ID(此处VLANid与tunnel ID为一一对应
关系,是某一网络的不同标志),并将打上的VLAN tag的包发送到br-int上。反之,从br-int上来的具有VLNA tag的包会被br-tun将VLAN ID转换为tunnelID并通过GRE网络发送到compute节点上去。
假设有N个网络,则在br-int上就有N个网络命名空间namespace,namespace中有router和dhcp虚拟设备负责该网络的IP地址分发管理和路由功能,namespace中的router将属于该网络的包路由
到br-ex网桥上,br-ex网桥上绑定了可以访问外部网络的物理网卡,br-ex网桥将经过SNAT的包发送到外部网络去。


查看有哪些命名空间:ip netns
qrouter-74402efc-9917-4137-ac7d-106a72e58f93
qdhcp-08edfbf9-1cf3-4c79-a3c2-99bac11e1ce8


查看命名空间qrouter中的接口:ip netns exec qrouter-74402efc-9917-4137-ac7d-106a72e58f93 ip addr
63: qr-8bac7f2a-1e: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN 
    link/ether fa:16:3e:ff:82:b0 brd ff:ff:ff:ff:ff:ff
    inet 192.168.5.1/24 brd 192.168.5.255 scope global qr-8bac7f2a-1e
       valid_lft forever preferred_lft forever
    inet6 fe80::f816:3eff:feff:82b0/64 scope link 
       valid_lft forever preferred_lft forever
77: qg-c16788da-f3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN 
    link/ether fa:16:3e:50:58:43 brd ff:ff:ff:ff:ff:ff
    inet 192.168.115.102/24 brd 192.168.115.255 scope global qg-c16788da-f3
       valid_lft forever preferred_lft forever
    inet 192.168.115.120/32 brd 192.168.115.120 scope global qg-c16788da-f3
       valid_lft forever preferred_lft forever
    inet6 fe80::f816:3eff:fe50:5843/64 scope link 
       valid_lft forever preferred_lft forever


在命名空间qrouter的接口中,qr-xxx是连接br-int的接口,qg-xxx是连接br-ex的接口,这两个接口在:ovs-vsctl show的br-int网桥接口中会被显示出来,如果设置了floatingip,qg-xxx接口
上会有两个外部网络IP,一个是在neutron router-gateway-set router_name net_name设置网关臂的时候配置的,一个是在此网络下创建VM并生成floatingIP和associate的时候配置的,其中
网关臂IP是必须的对于SNAT功能,如果外部网络要访问内部VM,则floatingIP是用于DNAT所必须的。此列中,网关臂IP配置在qg-c16788da-f3上,此接口即是路由器连接外部网络的接口,
在neutron中表现为连接br-ex网桥的接口,IP为192.168.115.102,因此全部经过qr-8bac7f2a-1e进入路由的来自内部VM的网络包都会被此router通过SNAT转发到qg-c16788da-f3并进入br-ex然后
到达外部,从qg-c16788da-f3出去的包的源地址都被SNAT后替换成了192.168.115.102。
查看路由规则:ip netns exec qrouter-74402efc-9917-4137-ac7d-106a72e58f93 route -n 
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.115.254 0.0.0.0         UG    0      0        0 qg-c16788da-f3
192.168.5.0     0.0.0.0         255.255.255.0   U     0      0        0 qr-8bac7f2a-1e
192.168.115.0   0.0.0.0         255.255.255.0   U     0      0        0 qg-c16788da-f3
可以看出,不属于本网络的包全通过网关臂接口qg-c16788da-f3转发到默认路由网关192.168.115.254 (此处为外部网络网关),属于本网络(192.168.5.0)的包通过路由内部接口qr-8bac7f2a-1e
转发到默认网关(0.0.0.0)192.168.5.1,目的为192.168.115.0网络的包也被接口qg-c16788da-f3转发到默认网关192.168.115.254。


关于路由器上接口IP的说明:
与家用物理路由一致,路由器一端是电信等运行商提供的可以访问Internet的IP,此IP需要购买,此IP段的网关服务器在电信机房,源为此IP的包自动发送到电信网关服务器(路由);家用路由的
另一端连接家庭LAN的设备,路由器通过DHCP可以自动分配家庭私网ip,对于家庭私网来说,此路由就是网关服务器,家庭设备的网络包都会发送到网关服务器(路由),然后路由通过SNAT将家庭设备
上的的私网IP替换为购买到的电信IP,然后发送到电信网关服务器,即可上网。对于neutron,Linux系统中可以有多个router,每个router是一个命名空间qrouter-xxx,qrouter-xxx其实就和家庭
路由器功能类似,一端是可以访问外网的IP地址(不是外网网关IP,外网网关IP在运行商网关设备上),一端是连接内网的网关,即内网网关在此路由上,此路由的接口是内网网关IP。


查看路由iptables规则:ip netns exec qrouter-74402efc-9917-4137-ac7d-106a72e58f93 iptables -t nat -S
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-N neutron-l3-agent-OUTPUT
-N neutron-l3-agent-POSTROUTING
-N neutron-l3-agent-PREROUTING
-N neutron-l3-agent-float-snat
-N neutron-l3-agent-snat
-N neutron-postrouting-bottom
-A PREROUTING -j neutron-l3-agent-PREROUTING
-A OUTPUT -j neutron-l3-agent-OUTPUT
-A POSTROUTING -j neutron-l3-agent-POSTROUTING
-A POSTROUTING -j neutron-postrouting-bottom
-A neutron-l3-agent-OUTPUT -d 192.168.115.120/32 -j DNAT --to-destination 192.168.5.5
-A neutron-l3-agent-OUTPUT -d 192.168.115.130/32 -j DNAT --to-destination 192.168.5.4
-A neutron-l3-agent-POSTROUTING ! -i qg-c16788da-f3 ! -o qg-c16788da-f3 -m conntrack ! --ctstate DNAT -j ACCEPT
-A neutron-l3-agent-PREROUTING -d 169.254.169.254/32 -i qr-+ -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 9697
-A neutron-l3-agent-PREROUTING -d 192.168.115.120/32 -j DNAT --to-destination 192.168.5.5
-A neutron-l3-agent-PREROUTING -d 192.168.115.130/32 -j DNAT --to-destination 192.168.5.4
-A neutron-l3-agent-float-snat -s 192.168.5.5/32 -j SNAT --to-source 192.168.115.120
-A neutron-l3-agent-float-snat -s 192.168.5.4/32 -j SNAT --to-source 192.168.115.130
-A neutron-l3-agent-snat -j neutron-l3-agent-float-snat
-A neutron-l3-agent-snat -o qg-c16788da-f3 -j SNAT --to-source 192.168.115.102
-A neutron-l3-agent-snat -m mark ! --mark 0x2 -m conntrack --ctstate DNAT -j SNAT --to-source 192.168.115.102
-A neutron-postrouting-bottom -m comment --comment "Perform source NAT on outgoing traffic." -j neutron-l3-agent-snat


该网络中创建了两个VM,固定IP分别为192.168.5.5和192.168.5.4,floating-ip分别为192.168.115.120/32和192.168.115.130/32,在qrouter-xxx的规则中,有两条DNAT的PREROUTING:
-A neutron-l3-agent-PREROUTING -d 192.168.115.120/32 -j DNAT --to-destination 192.168.5.5
-A neutron-l3-agent-PREROUTING -d 192.168.115.130/32 -j DNAT --to-destination 192.168.5.4
这两条用于将外部网络包中的目的地址192.168.115.120/32和192.168.115.130/32通过DNAT转换为192.168.5.5和192.168.5.4,在经过router转发到br-int,然后经过br-tun出去到达hold
 vm的compute节点;
另外还有两条SNAT规则:
-A neutron-l3-agent-float-snat -s 192.168.5.5/32 -j SNAT --to-source 192.168.115.120
-A neutron-l3-agent-float-snat -s 192.168.5.4/32 -j SNAT --to-source 192.168.115.130
来自两个VM上的源地址分别为192.168.5.5和192.168.5.4的包被路由之后又被SNAT将源地址分别替换为 192.168.115.120/32和192.168.115.130/32,之后进入br-ex然后出去到达外网。
如果VM没有配置floating IP,则采用规则对固定IP进行SNAT转换:
-A neutron-l3-agent-snat -o qg-c16788da-f3 -j SNAT --to-source 192.168.115.102
如果此私有网络内有N个VM,则这N个VM的包中的源地址都被SNAT成为router的网关臂IP:192.168.115.102,然后进入br-ex后出去到达外网。


DHCP-server实现:
每个具有DHCP功能的网络都会在Linux系统中创建一个dhcp命名空间,以qdhcp-xxx命名,xxx是该网络ID,dhcp表现为Linux中的一个dnsmasq进程,dhcp命名空间通过tap设备与br-int中的tap
设备连接,dhcp的主机IP分配记录存放在:/var/lib/neutron/dhcp/08edfbf9-1cf3-4c79-a3c2-99bac11e1ce8/host文件中,其中08edfbf9-1cf3-4c79-a3c2-99bac11e1ce8为该网络的ID,
此host文件中记录了dhcp各个client端的mac地址与得到的IP地址:more /var/lib/neutron/dhcp/08edfbf9-1cf3-4c79-a3c2-99bac11e1ce8/host
fa:16:3e:bc:0b:7f,host-192-168-5-2.openstacklocal,192.168.5.2
fa:16:3e:ff:82:b0,host-192-168-5-1.openstacklocal,192.168.5.1
fa:16:3e:78:c0:b8,host-192-168-5-4.openstacklocal,192.168.5.4
fa:16:3e:11:36:f4,host-192-168-5-5.openstacklocal,192.168.5.5
其中,5.1行为router接口的IP和端口MAC地址;5.2行为dhcp-server的端口MAC地址和IP,剩余两行为两个VM的IP和MAC地址;可以看到:路由器上获得的是该网络的网关地址,DHCP-server上
获得的是此网络子网中第一个可以使用的IP地址,即VM的IP地址必然是从地址池中第二个可用地址开始分配。


##########################################################网络节点分析完成################################################################################


##############################openstack网络之neutron计算compute节点上功能flow分析########################################################
此compute上了两个VM,位于同一网段:ovs-vsctl show
a4ca2f55-8f3d-49b1-bf89-8b17068ab12e
    Bridge br-tun                        #tunnel 隧道网桥
        fail_mode: secure
        Port patch-int                  #同br-int上的path-tun是一对veth-pair
            Interface patch-int
                type: patch
                options: {peer=patch-tun}
        Port br-tun
            Interface br-tun
                type: internal
        Port "gre-c0a88e0d"
            Interface "gre-c0a88e0d"
                type: gre
                options: {df_default="true", in_key=flow, local_ip="192.168.142.11", out_key=flow, remote_ip="192.168.142.13"}
        Port "gre-c0a88e0a"
            Interface "gre-c0a88e0a"
                type: gre
                options: {df_default="true", in_key=flow, local_ip="192.168.142.11", out_key=flow, remote_ip="192.168.142.10"}
    Bridge br-int                     #集成网桥
        fail_mode: secure
        Port "qvo9057cb6a-18"         #br-int上与Linux-bridge的qvbxxxx连接的端口,每个VM会自动生成一个Linux-bridge,命名为qbrxxx
            tag: 2                    #此网络的VLAN ID是2(neutron net-create 时候分配),即进入br-int的包VLAN-ID会被设置为tag=2
            Interface "qvo9057cb6a-18"
        Port "qvod0a3a5b7-75"         #br-int上与Linux-bridge的qvbyyyy连接的端口,每个VM会自动生成一个Linux-bridge,命名为qbryyy
            tag: 2
            Interface "qvod0a3a5b7-75"
        Port patch-tun
            Interface patch-tun
                type: patch
                options: {peer=patch-int}
        Port br-int
            Interface br-int
                type: internal
    ovs_version: "2.3.1"
查看该compute节点中有哪些新增虚拟IP接口:ifconfig
qbr9057cb6a-18: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet6 fe80::a4a5:a3ff:fe8d:1cc  prefixlen 64  scopeid 0x20<link>
        ether a6:a5:a3:8d:01:cc  txqueuelen 0  (Ethernet)
        RX packets 26  bytes 1860 (1.8 KiB)
        RX errors 0  dropped 5  overruns 0  frame 0
        TX packets 9  bytes 738 (738.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0


qbrd0a3a5b7-75: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet6 fe80::403:aaff:feb2:ad5a  prefixlen 64  scopeid 0x20<link>
        ether 06:03:aa:b2:ad:5a  txqueuelen 0  (Ethernet)
        RX packets 40  bytes 3156 (3.0 KiB)
        RX errors 0  dropped 5  overruns 0  frame 0
        TX packets 9  bytes 738 (738.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0


qvb9057cb6a-18: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 1500
        inet6 fe80::a4a5:a3ff:fe8d:1cc  prefixlen 64  scopeid 0x20<link>
        ether a6:a5:a3:8d:01:cc  txqueuelen 1000  (Ethernet)
        RX packets 132  bytes 13383 (13.0 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 267  bytes 24806 (24.2 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0


qvbd0a3a5b7-75: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 1500
        inet6 fe80::403:aaff:feb2:ad5a  prefixlen 64  scopeid 0x20<link>
        ether 06:03:aa:b2:ad:5a  txqueuelen 1000  (Ethernet)
        RX packets 172  bytes 18678 (18.2 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 184  bytes 17657 (17.2 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0


qvo9057cb6a-18: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 1500
        inet6 fe80::f897:d5ff:febc:b66  prefixlen 64  scopeid 0x20<link>
        ether fa:97:d5:bc:0b:66  txqueuelen 1000  (Ethernet)
        RX packets 267  bytes 24806 (24.2 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 132  bytes 13383 (13.0 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0


qvod0a3a5b7-75: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 1500
        inet6 fe80::1ccc:17ff:fe35:db51  prefixlen 64  scopeid 0x20<link>
        ether 1e:cc:17:35:db:51  txqueuelen 1000  (Ethernet)
        RX packets 184  bytes 17657 (17.2 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 172  bytes 18678 (18.2 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0


tap9057cb6a-18: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet6 fe80::fc16:3eff:fe78:c0b8  prefixlen 64  scopeid 0x20<link>
        ether fe:16:3e:78:c0:b8  txqueuelen 500  (Ethernet)
        RX packets 251  bytes 23510 (22.9 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 140  bytes 14023 (13.6 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0


tapd0a3a5b7-75: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet6 fe80::fc16:3eff:fe11:36f4  prefixlen 64  scopeid 0x20<link>
        ether fe:16:3e:11:36:f4  txqueuelen 500  (Ethernet)
        RX packets 168  bytes 16361 (15.9 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 153  bytes 14676 (14.3 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
 根据端口ID来划分,可以分为两类端口,一类的ID是形如:device_named0a3a5b7-75 ;另一类形如:device_name9057cb6a-18。对于一个compute节点,创建完成一个VM1后,假设此VM的网卡
 端口ID前11为是以xxx开头的,则系统中会多出如下几种接口设备:qbrxxx,tabxxx,qvbxxx,qvoxxx;如果在创建另外一个VM2,假设此VM的网卡 端口ID前11为是以yyy开头的,则系统中会再多出
 如下几种接口设备:qbryyy,tabyyy,qvbyyy,qvoyyy。即VM1中数据流从VM1的xxx网卡端口流出后,会经过tabxxx->qbrxxx->qvbxxx->qvoxxx->br-tun后流出此compute节点,VM2中的数据流会从
 VM2的yyy网卡端口流出后,会经过tabyyy->qbryyy->qvbyyy->qvoyyy->br-tun后流出此compute节点。此列中我们在compute上有两个VM,每个VM一个虚拟网卡,此虚拟网卡的网口ID在neutron中可以
 看到:neutron port-list
+--------------------------------------+------+-------------------+----------------------------------------------------------------------------------------+
| id                                   | name | mac_address       | fixed_ips                                                                              |
+--------------------------------------+------+-------------------+----------------------------------------------------------------------------------------+
 9057cb6a-1884-4e27-8ae8-7f9ad2ea8ebe |      | fa:16:3e:78:c0:b8 | {"subnet_id": "2332c020-6f86-45dd-8713-fbafa8655ee0", "ip_address": "192.168.5.4"}  #VM1 
 d0a3a5b7-75d2-4824-8f25-1dcd39500414 |      | fa:16:3e:11:36:f4 | {"subnet_id": "2332c020-6f86-45dd-8713-fbafa8655ee0", "ip_address": "192.168.5.5"}  #VM2
       
通过此端口ID,我们可以看到ifconfig中那些device是处理VM1的流量,而那些device是处理VM2的流量的。VM的数据包在compute的内部处理过程为:从VM的tap设备进入Linux-bridge的tab,这是
一对veth-pair,然后经过Linux-bridge中security-group的filter后,再从Linux-bridge(qbrxxx)的qvbxxx流入br-int的qvoxxx,这是一对veth-pair,最后再从br-int的patch-tun进入
br-tun的patch-int,最后将VLAN ID丢弃并设置GRE ID后经过GRE tunnel流出compute节点。


各个device在compute中的作用:Linux-bridge设备qbrxxx,openstack使用qbrxxx的tap设备来设置安全组,br-int网桥负责流入流出数据包的VALN-ID添加和删除,即出去的包打上VLAN tag,
进来的包出去VLAN tag,br-tun负责VLAN tag与GRE tunnel ID的转换,即进来的带有GRE id包被转换成为对应的VLAN ID,流出的包中的VLAN tag被转换成为GRE ID 然后从隧道中流出。


          VM1               VM2
          |                  |
      Linux-bridge      Linux-bridge
               \         /
                 br-int
                   |
                 br-tun
                   |                                  
                 phy-eth————————>neutron node
######################################compute 网络完成###########################################




#################################DVR 模式没有配置floating IP################################################################################
在DVR模式中,没有配置floating-ip的情况下,VM内部的网络是如何访问的外网的,即VM的南北流量走向:
假设租户demo有两个私有网络,每个网络上挂载一个VM,VM在不同的compute节点上,当compute1中的VM1 ping www.baidu.com的时候,流量包走向如下分析:
首先通过命令确认路由已经发布到计算节点:neutron l3-agent-list-hosting-router demo-router
+--------------------------------------+------------+----------------+-------+----------+
| id                                   | host       | admin_state_up | alive | ha_state |
+--------------------------------------+------------+----------------+-------+----------+
| 81fd7fb0-917b-4fe7-b954-dde77b6555e3 | network    | True           | :-)   |          |
| de073487-4341-4abc-98f9-754118396014 | compute    | True           | :-)   |          |
| e9e22757-fcb6-4f0c-8945-26bce7d9eeb5 | controller | True           | :-)   |          |
+--------------------------------------+------------+----------------+-------+----------+
本例中controler同时充当了compute的角色。
之后通过 ip netns可以看到在network,computer,controler节点上都有一个一模一样的qrouter,qrouter的端口和IP均相同:
[root@network ~]# ip netns
snat-aa791a83-c11c-4bef-b454-b1c53502e323
qdhcp-d6d20c19-1cb7-477c-90e9-249df278869a
qdhcp-d1023ea3-a090-4e3b-a335-f43a8a1631c0
qrouter-aa791a83-c11c-4bef-b454-b1c53502e323


[root@controller ~]# ip netns
qrouter-aa791a83-c11c-4bef-b454-b1c53502e323


[root@compute /]# ip netns
qrouter-aa791a83-c11c-4bef-b454-b1c53502e323


其中,网络节点由于agent工作在dvr_snat模式下,因此还有一个snatxxx 命名空间,xxx为路由ID;由于有两个租户网络,因此出现了两个qdhcpxxx命名空间,xxx为网络ID。
现在才看compute上的qrouter:
ip netns exec qrouter-aa791a83-c11c-4bef-b454-b1c53502e323 ip addr


18: qr-52218be2-97: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN 
    link/ether fa:16:3e:b2:50:9a brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.1/24 brd 192.168.1.255 scope global qr-52218be2-97
       valid_lft forever preferred_lft forever
    inet6 fe80::f816:3eff:feb2:509a/64 scope link 
       valid_lft forever preferred_lft forever
20: qr-3aeb9186-67: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN 
    link/ether fa:16:3e:32:c5:eb brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.1/24 brd 192.168.2.255 scope global qr-3aeb9186-67
       valid_lft forever preferred_lft forever
    inet6 fe80::f816:3eff:fe32:c5eb/64 scope link 
       valid_lft forever preferred_lft forever
出现了两个qr设备,设备IP均为对应两个私有网络的gateway IP,然后才看此路由的rule:
[root@compute /]# ip netns exec qrouter-aa791a83-c11c-4bef-b454-b1c53502e323 ip rule
0:      from all lookup local 
32766:  from all lookup main 
32767:  from all lookup default 
3232235777:     from 192.168.1.1/24 lookup 3232235777 
3232236033:     from 192.168.2.1/24 lookup 3232236033 


才看对应路由table:
[root@compute /]# ip netns exec qrouter-aa791a83-c11c-4bef-b454-b1c53502e323 ip route list table 3232235777
default via 192.168.1.7 dev qr-52218be2-97 
[root@compute /]# ip netns exec qrouter-aa791a83-c11c-4bef-b454-b1c53502e323 ip route list table 3232236033
default via 192.168.2.3 dev qr-3aeb9186-67 


通过qrouter的rule可以发现,来自from 192.168.1.1/24即192.168.1.0/24网络的包将会通过路由端口qr-52218be2-97 转发到ip地址为192.168.1.7 端口设备去,
来自from 192.168.2.1/24即192.168.2.0/24网络的包将会通过路由端口qr-52218be2-97 转发到ip地址为192.168.2.3 端口设备去。那么192.168.1.7和192.168.2.3在什么设备上呢?
我们来看网络节点的网络命名空间:
[root@network ~]# ip netns exec snat-aa791a83-c11c-4bef-b454-b1c53502e323 ip addr
11: sg-416d8a05-df: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN 
    link/ether fa:16:3e:18:4a:21 brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.3/24 brd 192.168.2.255 scope global sg-416d8a05-df
       valid_lft forever preferred_lft forever
    inet6 fe80::f816:3eff:fe18:4a21/64 scope link 
       valid_lft forever preferred_lft forever
13: sg-f3407fd3-81: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN 
    link/ether fa:16:3e:28:98:7d brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.7/24 brd 192.168.1.255 scope global sg-f3407fd3-81
       valid_lft forever preferred_lft forever
    inet6 fe80::f816:3eff:fe28:987d/64 scope link 
       valid_lft forever preferred_lft forever
14: qg-1b3cd60f-f5: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN 
    link/ether fa:16:3e:c7:2a:6a brd ff:ff:ff:ff:ff:ff
    inet 192.168.115.156/24 brd 192.168.115.255 scope global qg-1b3cd60f-f5
       valid_lft forever preferred_lft forever
    inet6 fe80::f816:3eff:fec7:2a6a/64 scope link 
       valid_lft forever preferred_lft forever
可以看到:192.168.1.7和192.168.2.3出现在network节点上的snat命名空间里面,对应的端口设备是sg-f3407fd3-81和sg-416d8a05-df,而此snat命名空间连接外网的端口是qg-1b3cd60f-f5,
对应的外网固定IP是192.168.115.156,此ip是在neutron router-gateway-set demo-router ext-net命令设置的,此IP 可以通过命令查看:
[root@controller ~]# neutron router-list
+--------------------------------------+-------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+-------------+-------+
| id                                   | name        | external_gateway_info                                                                                                                                                                       | distributed | ha    |
+--------------------------------------+-------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+-------------+-------+
| aa791a83-c11c-4bef-b454-b1c53502e323 | demo-router | {"network_id": "282bbb70-6903-4d3d-84ea-c2c8349ff11b", "enable_snat": true, "external_fixed_ips": [{"subnet_id": "ac8b9f0a-0309-495a-98d6-325017a5d8b2", "ip_address": "192.168.115.156"}]} | True        | False |
+--------------------------------------+-------------+---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+-------------+-------+
查看snat命名空间的转发规则:
       valid_lft forever preferred_lft forever
[root@network ~]# ip netns exec snat-aa791a83-c11c-4bef-b454-b1c53502e323 iptables -t nat -S
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-N neutron-l3-agent-OUTPUT
-N neutron-l3-agent-POSTROUTING
-N neutron-l3-agent-PREROUTING
-N neutron-l3-agent-float-snat
-N neutron-l3-agent-snat
-N neutron-postrouting-bottom
-A PREROUTING -j neutron-l3-agent-PREROUTING
-A OUTPUT -j neutron-l3-agent-OUTPUT
-A POSTROUTING -j neutron-l3-agent-POSTROUTING
-A POSTROUTING -j neutron-postrouting-bottom
-A neutron-l3-agent-POSTROUTING ! -i qg-1b3cd60f-f5 ! -o qg-1b3cd60f-f5 -m conntrack ! --ctstate DNAT -j ACCEPT
-A neutron-l3-agent-snat -o qg-1b3cd60f-f5 -j SNAT --to-source 192.168.115.156
-A neutron-l3-agent-snat -m mark ! --mark 0x2 -m conntrack --ctstate DNAT -j SNAT --to-source 192.168.115.156
-A neutron-postrouting-bottom -m comment --comment "Perform source NAT on outgoing traffic." -j neutron-l3-agent-snat


规则:-A neutron-l3-agent-snat -o qg-1b3cd60f-f5 -j SNAT --to-source 192.168.115.156 将私网数据包进行SNAT之后从qg-1b3cd60f-f5出去。


总结:在没有设置floating-ip的情况下,vm的数据包走向如下:
        br-int                         gre
 |VM-------------->qrouter(local)|------------------->SNAT(network)|------------>external
 |           compute node        |            network node          |


                                                                     |                                                       snat                                      | 
192.168.2.4(VM's IP)----->192.168.2.1(qrouter's qr-3aeb9186-67 IP) |---------->192.168.2.3(SNAT's sg-416d8a05-df ip IP)--------->192.168.115.156(router's gateway)|-------->external
                         compute node                                |                                network node                                                     |


在DVR部署下,租户不同网络之间的VM数据流是如何走向的,即VM之间的东西流向分析如下:
在DVR情况下,每一个compute上都有一个和network节点上一模一样的router,假如租户的两个网络同事接入一个router里面,那么这个router必然有两个内部网络接口,命令查看如下(每个node都一样):
You have new mail in /var/spool/mail/root
[root@compute /]# ip netns exec qrouter-aa791a83-c11c-4bef-b454-b1c53502e323 ip addr
18: qr-52218be2-97: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN 
    link/ether fa:16:3e:b2:50:9a brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.1/24 brd 192.168.1.255 scope global qr-52218be2-97
       valid_lft forever preferred_lft forever
    inet6 fe80::f816:3eff:feb2:509a/64 scope link 
       valid_lft forever preferred_lft forever
20: qr-3aeb9186-67: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN 
    link/ether fa:16:3e:32:c5:eb brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.1/24 brd 192.168.2.255 scope global qr-3aeb9186-67
       valid_lft forever preferred_lft forever
    inet6 fe80::f816:3eff:fe32:c5eb/64 scope link 
       valid_lft forever preferred_lft forever
即路由上有两个qr接口,ip分别为两个私网的gateway IP,查看此qrouter上的路由:
[root@compute /]# ip netns exec qrouter-aa791a83-c11c-4bef-b454-b1c53502e323 ip route
192.168.1.0/24 dev qr-52218be2-97  proto kernel  scope link  src 192.168.1.1 
192.168.2.0/24 dev qr-3aeb9186-67  proto kernel  scope link  src 192.168.2.1


目的为192.168.2.0/24网络的包,通过设备qr-3aeb9186-67 转发,目的地址为192.168.1.0/24的包,通过设备qr-52218be2-97 转发,转发之后直接进入另一个compute 的br-int,然后进入VM2;
因此,在DVR中,东西流量是不经过network节点的,从vm流出的包直接在local的qrouter上转发后进入位于另一个compute上的VM中。


以上结论的证明:
1.在租户demo下创建两个网络;
2.在demo租户下创建一个router;
3.将两个网络连接到router上;
4.将router与外网连接;
5.在net2和net2上分别创建一个VM,VM最好在两个compute节点上;
6.在VM1和VM2中ping 8.8.8.8,成功;
7.在VM1中pingVM2中的私网IP,成功;
8.shutdown网络节点;
9.在VM1和VM2中ping 8.8.8.8,由于SNAT不存在,失败;
10.在VM1中ping VM2中的私网IP,或者VM2中ping VM1中的的私网IP,尽管network上的SNAT和qrouter命名空间均消失,但是compute1和compute2上的qrouter均存在,而且东西流量不经过network
节点,因此互ping是成功的。


############################################DVR 没有配置floating IP场景分析完成####################################################################


##########################################DVR 配置有floating-ip分析###############################################################################
在以上分析的基础上,为VM1和VM2配置floating IP,这样,外网即可以访问租户的VM,随便指出,从kilo开始,用户可以指定floating IP了,以前是openstack neutron随即生成的,
用户无法指定具体的IP。
floating ip配置前:
[root@controller ~]# nova list    
+--------------------------------------+-------+--------+------------+-------------+-----------------------+
| ID                                   | Name  | Status | Task State | Power State | Networks              |
+--------------------------------------+-------+--------+------------+-------------+-----------------------+
| 8d7db991-bd78-41ca-bf06-1c6c2869368a | test1 | ACTIVE | -          | Running     | demo-net=192.168.1.5  |
| 7b086c8a-9a94-4360-8148-6099cb6b5388 | test2 | ACTIVE | -          | Running     | demo-net2=192.168.2.4 |
+--------------------------------------+-------+--------+------------+-------------+-----------------------+
floating ip配置后:
[root@controller ~]# nova list
+--------------------------------------+-------+--------+------------+-------------+----------------------------------------+
| ID                                   | Name  | Status | Task State | Power State | Networks                               |
+--------------------------------------+-------+--------+------------+-------------+----------------------------------------+
| 8d7db991-bd78-41ca-bf06-1c6c2869368a | test1 | ACTIVE | -          | Running     | demo-net=192.168.1.5, 192.168.115.157  |
| 7b086c8a-9a94-4360-8148-6099cb6b5388 | test2 | ACTIVE | -          | Running     | demo-net2=192.168.2.4, 192.168.115.159 |
+--------------------------------------+-------+--------+------------+-------------+----------------------------------------+
在compute节点和network节点上观察网络命名空间namespace的变化:
[root@network ~]# ip netns exec qrouter-aa791a83-c11c-4bef-b454-b1c53502e323 ip addr        
10: qr-3aeb9186-67: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN 
    link/ether fa:16:3e:32:c5:eb brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.1/24 brd 192.168.2.255 scope global qr-3aeb9186-67
       valid_lft forever preferred_lft forever
    inet6 fe80::f816:3eff:fe32:c5eb/64 scope link 
       valid_lft forever preferred_lft forever
12: qr-52218be2-97: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN 
    link/ether fa:16:3e:b2:50:9a brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.1/24 brd 192.168.1.255 scope global qr-52218be2-97
       valid_lft forever preferred_lft forever
    inet6 fe80::f816:3eff:feb2:509a/64 scope link 
       valid_lft forever preferred_lft forever
网络节点上的qrouter没有任何变化。


[root@network ~]# ip netns exec snat-aa791a83-c11c-4bef-b454-b1c53502e323 ip addr
11: sg-416d8a05-df: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN 
    link/ether fa:16:3e:18:4a:21 brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.3/24 brd 192.168.2.255 scope global sg-416d8a05-df
       valid_lft forever preferred_lft forever
    inet6 fe80::f816:3eff:fe18:4a21/64 scope link 
       valid_lft forever preferred_lft forever
13: sg-f3407fd3-81: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN 
    link/ether fa:16:3e:28:98:7d brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.7/24 brd 192.168.1.255 scope global sg-f3407fd3-81
       valid_lft forever preferred_lft forever
    inet6 fe80::f816:3eff:fe28:987d/64 scope link 
       valid_lft forever preferred_lft forever
14: qg-1b3cd60f-f5: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN 
    link/ether fa:16:3e:c7:2a:6a brd ff:ff:ff:ff:ff:ff
    inet 192.168.115.156/24 brd 192.168.115.255 scope global qg-1b3cd60f-f5
       valid_lft forever preferred_lft forever
    inet6 fe80::f816:3eff:fec7:2a6a/64 scope link 
       valid_lft forever preferred_lft forever       
网络节点上的SNAT命名空间没有任何变化。
总结:为VM增加floating-IP后,network节点上的命名空间不会有任变化;


[root@compute /]# ip netns
fip-282bbb70-6903-4d3d-84ea-c2c8349ff11b
qrouter-aa791a83-c11c-4bef-b454-b1c53502e323


compute节点上增加了fip命名空间,fip命名空间的ID是外部网络的ID。
[root@compute /]# ip netns exec qrouter-aa791a83-c11c-4bef-b454-b1c53502e323 ip addr
2: rfp-aa791a83-c: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 2a:5c:29:62:5e:ee brd ff:ff:ff:ff:ff:ff
    inet 169.254.31.28/31 scope global rfp-aa791a83-c
       valid_lft forever preferred_lft forever
    inet 192.168.115.157/32 brd 192.168.115.157 scope global rfp-aa791a83-c
       valid_lft forever preferred_lft forever
    inet6 fe80::285c:29ff:fe62:5eee/64 scope link 
       valid_lft forever preferred_lft forever
18: qr-52218be2-97: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN 
    link/ether fa:16:3e:b2:50:9a brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.1/24 brd 192.168.1.255 scope global qr-52218be2-97
       valid_lft forever preferred_lft forever
    inet6 fe80::f816:3eff:feb2:509a/64 scope link 
       valid_lft forever preferred_lft forever
20: qr-3aeb9186-67: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN 
    link/ether fa:16:3e:32:c5:eb brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.1/24 brd 192.168.2.255 scope global qr-3aeb9186-67
       valid_lft forever preferred_lft forever
    inet6 fe80::f816:3eff:fe32:c5eb/64 scope link 
       valid_lft forever preferred_lft forever
       
[root@compute /]# ip netns exec fip-282bbb70-6903-4d3d-84ea-c2c8349ff11b ip addr
2: fpr-aa791a83-c: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 76:90:74:f5:eb:86 brd ff:ff:ff:ff:ff:ff
    inet 169.254.31.29/31 scope global fpr-aa791a83-c
       valid_lft forever preferred_lft forever
    inet6 fe80::7490:74ff:fef5:eb86/64 scope link 
       valid_lft forever preferred_lft forever
21: fg-d991b7a6-14: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN 
    link/ether fa:16:3e:ca:d2:0a brd ff:ff:ff:ff:ff:ff
    inet 192.168.115.158/24 brd 192.168.115.255 scope global fg-d991b7a6-14
       valid_lft forever preferred_lft forever
    inet6 fe80::f816:3eff:feca:d20a/64 scope link 
       valid_lft forever preferred_lft forever       


1.外部网络如何通过floating ip进入私网中的VM内
[root@storage ~]# traceroute 192.168.115.157
traceroute to 192.168.115.157 (192.168.115.157), 30 hops max, 60 byte packets
 1  192.168.115.158 (192.168.115.158)  1.898 ms  1.797 ms  1.717 ms
 2  * * *
 3  * * *
 4  * * *
 网络包首先到达192.168.115.158,不是157,这里存在一个arp欺骗,即外部网络通过floating ip进行ARP时候,获得的MAC并不是floating ip对应的接口MAC,而是fip命名空间中的fg接口的MAC
 地址,这是因为在fip的fg接口上配置了ARP proxy的缘故。外部网络获得floatip的mac 地址后(实际上是fg接口的欺骗mac地址),开始向它解析到的MAC地址发送包,包通过br-ex后到达fip命名空间,
 查询fip命名空间的路由:
 [root@compute /]# ip netns exec fip-282bbb70-6903-4d3d-84ea-c2c8349ff11b ip route
default via 192.168.115.254 dev fg-d991b7a6-14 
169.254.31.28/31 dev fpr-aa791a83-c  proto kernel  scope link  src 169.254.31.29 
192.168.115.0/24 dev fg-d991b7a6-14  proto kernel  scope link  src 192.168.115.158 
192.168.115.157 via 169.254.31.28 dev fpr-aa791a83-c 


可以看到到192.168.115.157的包需要经过fpr-aa791a83-c 设备先发送到169.254.31.28 ,而169.254.31.28 ip地址在qrouter的rfp-aa791a83-c接口上,因此外部网络包被fip转发到qrouter
命名空间中。
查看qrouter的命名空间路由:
[root@compute /]# ip netns exec qrouter-aa791a83-c11c-4bef-b454-b1c53502e323 iptables -t nat -S
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-N neutron-l3-agent-OUTPUT
-N neutron-l3-agent-POSTROUTING
-N neutron-l3-agent-PREROUTING
-N neutron-l3-agent-float-snat
-N neutron-l3-agent-snat
-N neutron-postrouting-bottom
-A PREROUTING -j neutron-l3-agent-PREROUTING
-A OUTPUT -j neutron-l3-agent-OUTPUT
-A POSTROUTING -j neutron-l3-agent-POSTROUTING
-A POSTROUTING -j neutron-postrouting-bottom
-A neutron-l3-agent-OUTPUT -d 192.168.115.157/32 -j DNAT --to-destination 192.168.1.5
-A neutron-l3-agent-POSTROUTING ! -i rfp-aa791a83-c ! -o rfp-aa791a83-c -m conntrack ! --ctstate DNAT -j ACCEPT
-A neutron-l3-agent-PREROUTING -d 169.254.169.254/32 -i qr-+ -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 9697
-A neutron-l3-agent-PREROUTING -d 192.168.115.157/32 -j DNAT --to-destination 192.168.1.5
-A neutron-l3-agent-float-snat -s 192.168.1.5/32 -j SNAT --to-source 192.168.115.157
-A neutron-l3-agent-snat -j neutron-l3-agent-float-snat
-A neutron-postrouting-bottom -m comment --comment "Perform source NAT on outgoing traffic." -j neutron-l3-agent-snat


通过规则:-A neutron-l3-agent-OUTPUT -d 192.168.115.157/32 -j DNAT --to-destination 192.168.1.5 进行DNAT转换,这是一个prerouting过程,转换后进入路由:
[root@compute /]# ip netns exec qrouter-aa791a83-c11c-4bef-b454-b1c53502e323 ip route
169.254.31.28/31 dev rfp-aa791a83-c  proto kernel  scope link  src 169.254.31.28 
192.168.1.0/24 dev qr-52218be2-97  proto kernel  scope link  src 192.168.1.1 
192.168.2.0/24 dev qr-3aeb9186-67  proto kernel  scope link  src 192.168.2.1 


到私有网络192.168.1.0/24的包被qrouter的qr-52218be2-97接口转发出去。
总结:外部网络首先从fip命名空间的fg接口处获得arp欺骗后的MAC地址,然后发送包到该地址,进入fip后,fip根据路由规则将来自fg的包从fpr接口路由到qrouter命名空间的的rfp接口,
然后在qrouter中进行DNAT转换,之后从qrouter的qr接口转发到br-int然后进入VM内部。


2.VM中的包如何通过floating ip进入外网
网络包从虚机触发,进入本服务器所在的 qrouter 的 qr interface,首先经过DNAT,没有命中,然后查路由表,local,main,default 中没有命中的路由规则,查表 16,命中默认路由,
需要经过 rfp 端口发到下一个路由器169.254.31.29:
[root@compute /]# ip netns exec qrouter-aa791a83-c11c-4bef-b454-b1c53502e323 ip rule
0:      from all lookup local 
32766:  from all lookup main 
32767:  from all lookup default 
32768:  from 192.168.1.5 lookup 16 
3232235777:     from 192.168.1.1/24 lookup 3232235777 
3232236033:     from 192.168.2.1/24 lookup 3232236033


[root@compute /]# ip netns exec qrouter-aa791a83-c11c-4bef-b454-b1c53502e323 ip route list table 16
default via 169.254.31.29 dev rfp-aa791a83-c 


[root@compute /]# ip netns exec fip-282bbb70-6903-4d3d-84ea-c2c8349ff11b ip route              
default via 192.168.115.254 dev fg-d991b7a6-14 
169.254.31.28/31 dev fpr-aa791a83-c  proto kernel  scope link  src 169.254.31.29 
192.168.115.0/24 dev fg-d991b7a6-14  proto kernel  scope link  src 192.168.115.158 
192.168.115.157 via 169.254.31.28 dev fpr-aa791a83-c 
 
 路由器169.254.31.29位于fip命名空间的fpr接口,进入fip后,根据路由规则:192.168.115.0/24 dev fg-d991b7a6-14  proto kernel  scope link  src 192.168.115.158 ,由fip命名空间
 中的fg-d991b7a6-14接口转发到192.168.115.0/24网络的包,路由后进行SNAT,将源地址替换发送到外部网络。
 
 
 floating-ip下南北网络不走网络节点的证明:
 1.为两个VM创建floating IP,并关联到VM上;
 2.从 两个VM内部ping www.baidu.com,成功;
 3.从外部网络ping 两个VM的floating IP,成功;
 4.shutdown network节点;
 5.从外部ping 两个VM的floating IP,成功;
 6.从两个VM内部ping外部ip,成功;
 
 ###############################################DVR floating ip分析完成###########################################################
DVR分布式虚拟路由总结:
在传统未使用DVR的情况下,存在以下不足:
1.网络流量集中在网络节点,东西南北流向都要流过network节点再转发,增加network的负载;
2.流量全集中在network节点,容易造成单点故障;
3.在大规模扩展compute节点的时候,network的网络瓶颈愈发明显,即传统neutron难以适应扩展性需求;
总结起来就是:流量集中,单点故障,难以扩展


使用DVR后:
1.东西流量分流到每一个compute节点上,不再经过network节点;
2.在使用floating的情况下,南北流量也分流到compute节点,此时根本无需network节点的存在,VM的流量完全可以从本地compute节点进出;
3.在不使用floatingip的情况下,SNAT仍然需要经过network节点,但是东西流量无需经过;
4.流量分散后,单点故障也被分散;

5.compute节点扩展多少个,network也随之而扩展,不存在传统neutron网络限制compute扩展的情况。


参考链接:
http://docs.openstack.org/networking-guide/scenario_dvr_ovs.html
http://www.cnblogs.com/sammyliu/p/4713562.html



 





























山金孝
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
neutron:Spansh中子路由器的桌面前端
04-30
中子 Neutron(名称更改)是Spansh广受欢迎的的桌面前端,用于太空探索,交易和战斗游戏Elite:Dangerous。 除了Neutron路由器提供的所有功能外,该前端还提供了播放时的实时更新,自动将新系统复制到剪贴板中以及更新剩余的跳转计数。 特征 远程路线图。 通过绘制发现的中子星,可以减少每条路线的时间。 剩余跳跃和即将到来的系统的实时更新。 检测到a回时自动重绘。 手动路线控制。 性感的界面。 安装 当前,Neutron仅是Windows x64,但是我将在不久的将来将其扩展到macOS。 主要的精英:危险的用户群是Windows系统,因此我并不感到太糟糕了我的懒惰。 稳定的 要安装,请转到,下载neutron.exe文件,然后运行它! 就这么简单! Neutron应该可以在桌面上用作快捷方式,然后在开始菜单中可用。 开发人员 克隆此存储库并构建应用程序。 运
142-Neutron Router 工作原理1
08-08
首先查看控制节点的网络结构发生了什么变化:br-int 上多了两个 port: 1. qr-d295b258-45,从命名上可以推断该 interface 对应
openstack网络(neutron)模式之GRE的基本原理
01-30
neutron网络目的是为OpenStack云更灵活的划分网络,在多租户的环境下提供给每个租户独立的网络环境。neutron混合实施了第二层的VLAN和第三层的路由服务,它可为支持的网络提供防火墙,负载均衡以及IPSec VPN等扩展功能。neutron是openstack中一个重要模块,也是比较难理解和debug的模块之一。图1:三节点opens网络1、ExternalNetwork/APINetwork,这个网络是链接外网的,无论是用户调用OpenStack的API,还是创建出来的虚拟机要访问外网,或者外网要ssh到虚拟机,都需要
Neutron的dvr模式下br-int桥二、三层流量泛洪问题分析.pptx
03-20
neutron的dvr模式下的br-int泛洪问题分析,提出修复方法,并验证通过。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
neutron DVR
weixin_33763244的博客
04-12 396
DVR 简介 DVR 提出的背景 在 Neutron 的网络环境中,跨子网的虚机通信是需要通过 Neutron 的路由器。这既包括不同子网的虚拟机之间的通信,又包括虚拟机与外网之间的通信。在 DVR 被提出之前, 由于 Neutron 的 legacy router 只会部署在网络节点上,因此会造成网络节点的流量过大,从而产生了两个问题,其一是网络节点将成为整个 Neutron 网络的瓶颈,其...
理解 OpenStack 高可用(HA)(3):Neutron 分布式虚拟路由(Neutron Distributed Virtual Routing)...
weixin_33971130的博客
08-17 307
本系列会分析OpenStack 的高可用性(HA)概念和解决方案: (1)OpenStack 高可用方案概述 (2)Neutron L3 Agent HA - VRRP (虚拟路由冗余协议) (3)Neutron L3 Agent HA - DVR (分布式虚机路由器) (4)Pacemaker 和 OpenStack Resource Agent (RA) (5)RabbitMQ HA...
Openstack Neutron DVR 分布式路由
bule_sky
11-14 1941
转载地址:https://yq.aliyun.com/ziliao/65778 1. 背景 没有使用DVR的场景: 从图中可以明显看到东西向和南北向的流量会集中到网络节点,这会使网络节点成为瓶颈。 如果启用DVR,如下图: 对于东西向的流量, 流量会直接在计算节点之间传递。 对于南北向的流量,如果有floating ip,流量就直
初探Openstack Neutron DVR
热门推荐
Liping Mao's Blog
09-10 1万+
本文简单介绍了一下Neutron L3 DVR这个feature。
1>XxxDlg.obj : error LNK2005: "char * * tabPageData" (?tabPageData@@3PAPADA) 已经在 XxxDlg.obj 中定义
慕阳博客
08-11 3876
用VS2005无意中遇到了这样的编译问题编译错误提示: 1>------ 已启动生成: 项目: Xxx, 配置: Debug Win32 ------ 1>正在编译... 1>stdafx.cpp 1>正在编译... 1>ControlPos.cpp 1>e:\xxx\uiclass\controlpos\controlpos.cpp(233) : warning C4244: 'in
ORA-20000:unable to analyze table "XXX"."DBMS_TABCOMP_TEMP_UNCMP",insufficient privileges or does no
文档搬运工
06-22 6757
RDBMS 11.2.0.1 PLATFORM :AIX 6.1在alertlog中发现ORA-20000:unable to analyze table "XXX"."DBMS_TABCOMP_TEMP_UNCMP",insufficient privileges or does no exist 告警。告警具体内容为gather_stats_job encountered errors.che...
Neutron DVR实现multi-host特性打通东西南北流量提前看(by quqi99)
技术并艺术着
03-07 1万+
作者:张华 发表于:2014-03-07 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 (http://blog.csdn.net/quqi99 ) Legacy Routing and Distributed Router in Neutron 先温习下l3-agent原理:l3-agent节点为所有subnet创建内部网关...
OpenStack网络指南(16)分布式虚拟路由与VRRP
fyggzb的博客
12-29 1600
Open vSwitch:使用DVR的高可用性支持使用虚拟路由器冗余协议(VRRP)的增强。使用此配置,虚拟路由器支持–distributed和–ha选项。 与传统的HA路由器类似,DVR / SNAT HA路由器提供SNAT服务到在不同节点上运行的代理上的备份DVR / SNAT路由器的快速故障切换。 SNAT高可用性以类似于Linux网桥的方式实现:使用VRRP和Open vSwitch的高
Neutron 分布式虚拟路由(Neutron Distributed Virtual Routing)
查理王的博客
05-01 1559
本系列会分析OpenStack 的高可用性(HA)概念和解决方案: (1)OpenStack 高可用方案概述 (2)Neutron L3 Agent HA - VRRP (虚拟路由冗余协议) (3)Neutron L3 Agent HA - DVR (分布式虚机路由器) (4)Pacemaker 和 OpenStack Resource Agent (RA) (5)RabbitMQ HA...
neutron DVR 通信流程
weixin_35664258的博客
04-15 928
A:192.168.1.5 B:192.168.2.7 A ping B 数据包首先到达A的网关qr1:192.168.1.1 [root@compute2 ~]# ip netns exec qrouter-37842dc4-50bf-44b0-9559-00fe2cd7bac8 ip nei 192.168.1.2 dev qr-e6a45441-da lladdr fa:16:3e:14:...
Neutron - DVR配置
weixin_34357887的博客
12-23 346
DVR介绍dvrdistributed virtual router的缩写,目的是为了解决openstack neutron部署的扩展问题,分发网络节点的流量负载到计算节点上。如果实例绑定了floating ip,外网流量直接从计算节点出去,不经过网络节点。对于那些没绑定floating ip的实例外网流量还是走snat,要经过网络节点。DVR配置这里说明一下,我的cont...
解决Vue warn: Duplicate keys detected:“tab-XXX“. This may cause an update error.问题
baixue0111的博客
12-08 1万+
在开发过程中碰到控制台打印Vue warn: Duplicate keys detected:"tab-XXX". This may cause an update error. 这样的一个警告,虽然是警告不阻碍流程,但是看着也变扭,仔细一看错误说明很明确是因为key值重复导致,说明我们的tabNav应该使用了for循环,从而导致key值重复,所以检查一下自己key是如何赋值的,确保key不重复就行,一般会给for循环的index值,因实际情况而定 ...... 定位到问题那么就可以解决了 ~ ...
Virtual Router —— 开源的虚拟无线路由器
weixin_34255055的博客
06-02 606
Virtual Router 支持 Windows 7+,是一个将你带无线 WIFI 的 PC 变成一个虚拟的 WIFI 路由器,可用来创建一个新的 AP 访问点。 ...
openstack 分布式路由器dvr
u013920085的专栏
11-09 6335
DVRDistributed Virtual Route)分布式虚拟路由 用户可能会发现,所有网络服务都在网络节点上进行,这意味着大量的流量和处理,给网络节点带来了很大的压力。 这些处理的核心是路由器服务。那么如果计算节点上自己就能实现路由器服务的话,无疑是更为合理的。这个思路是正确的,但具体实施起来有诸多的考量和细节问题。 为了降低网络节点的负载,同时提高可扩展性,OpenStack
OpenStack Neutron 中的 DVR 简介与 OVS 流表分析
llxx1234的博客
01-08 664
https://www.ibm.com/developerworks/cn/cloud/library/1509_xuwei_dvr/
openstack neutron的所有命令行
最新发布
03-31
22. neutron router-interface-delete <router-id> <subnet-id>:从指定路由器的接口中删除子网 23. neutron router-list:列出所有的路由器 24. neutron router-show <router-id>:查看指定路由器的详细信息 25....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值