模拟kube-ovn创建自定义vpc网关流程

于 2024-02-21 10:44:15 发布
阅读量979 收藏 25
点赞数 21
分类专栏: 云原生网络 文章标签: 网络 kube-ovn sdn ovn iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40148538/article/details/136205584
版权

拓扑信息:

一个逻辑路由器lr1

两个逻辑交换机ls1和ls2

分别在两个逻辑交换机上创建了两个端口,并将端口放入了网络命名空间vm1和vm2中

在ls2上创建了ovn0端口作为整个vpc的网关,并将ovn0放入了gw网络命名空间中

以ens38物理网卡创建了macvlan模式的网卡ens38.100并将创建的虚拟网卡放入了gw网络命名空间中

ovn0作为整个vpc的网关内部网卡,ens38.100作为网关的外部网卡,从而实现了网关功能

创建vpc拓扑

master节点
ovn-nbctl ls-add ls1
ovn-nbctl ls-add ls2
ovn-nbctl lr-add lr1

ovn-nbctl lrp-add lr1 lr1-ls1 00:00:00:00:00:01 10.10.10.1/24

ovn-nbctl lsp-add ls1 ls1-lr1
ovn-nbctl lsp-set-type ls1-lr1 router
ovn-nbctl lsp-set-addresses ls1-lr1 00:00:00:00:00:01
ovn-nbctl lsp-set-options ls1-lr1 router-port=lr1-ls1

ovn-nbctl lrp-add lr1 lr1-ls2 00:00:00:00:00:02 10.10.20.1/24

ovn-nbctl lsp-add ls2 ls2-lr1
ovn-nbctl lsp-set-type ls2-lr1 router
ovn-nbctl lsp-set-addresses ls2-lr1 00:00:00:00:00:02
ovn-nbctl lsp-set-options ls2-lr1 router-port=lr1-ls2

ovn-nbctl lsp-add ls1 ls1-vm1
ovn-nbctl lsp-set-addresses ls1-vm1 "00:00:00:00:00:03 10.10.10.2"

ovn-nbctl lsp-add ls1 ls1-vm2
ovn-nbctl lsp-set-addresses ls1-vm2 "00:00:00:00:00:04 10.10.10.3"

ovn-nbctl lsp-add ls2 ls2-vm1
ovn-nbctl lsp-set-addresses ls2-vm1 "00:00:00:00:00:03 10.10.20.2"

ovn-nbctl lsp-add ls2 ls2-vm2
ovn-nbctl lsp-set-addresses ls2-vm2 "00:00:00:00:00:04 10.10.20.3"


ip netns add vm1
ovs-vsctl add-port br-int vm1 -- set interface vm1 type=internal
ip link set vm1 netns vm1
ip netns exec vm1 ip link set vm1 address 00:00:00:00:00:03
ip netns exec vm1 ip addr add 10.10.10.2/24 dev vm1
ip netns exec vm1 ip link set vm1 up
ip netns exec vm1 ip route add default via 10.10.10.1 dev vm1
ovs-vsctl set Interface vm1 external_ids:iface-id=ls1-vm1


ip netns add vm2
ovs-vsctl add-port br-int vm2 -- set interface vm2 type=internal
ip link set vm2 netns vm2
ip netns exec vm2 ip link set vm2 address 00:00:00:00:00:04
ip netns exec vm2 ip addr add 10.10.10.3/24 dev vm2
ip netns exec vm2 ip link set vm2 up
ip netns exec vm2 ip route add default via 10.10.10.1 dev vm2
ovs-vsctl set Interface vm2 external_ids:iface-id=ls1-vm2


master清除环境
ovs-vsctl del-port br-int vm1
ovs-vsctl del-port br-int vm2
ip netns del vm1
ip netns del vm2
ovn-nbctl ls-del ls1
ovn-nbctl ls-del ls2
ovn-nbctl lr-del lr1


node1节点
ip netns add vm1
ovs-vsctl add-port br-int vm1 -- set interface vm1 type=internal
ip link set vm1 netns vm1
ip netns exec vm1 ip link set vm1 address 00:00:00:00:00:03
ip netns exec vm1 ip addr add 10.10.20.2/24 dev vm1
ip netns exec vm1 ip link set vm1 up
ip netns exec vm1 ip route add default via 10.10.20.1 dev vm1
ovs-vsctl set Interface vm1 external_ids:iface-id=ls2-vm1


ip netns add vm2
ovs-vsctl add-port br-int vm2 -- set interface vm2 type=internal
ip link set vm2 netns vm2
ip netns exec vm2 ip link set vm2 address 00:00:00:00:00:04
ip netns exec vm2 ip addr add 10.10.20.3/24 dev vm2
ip netns exec vm2 ip link set vm2 up
ip netns exec vm2 ip route add default via 10.10.20.1 dev vm2
ovs-vsctl set Interface vm2 external_ids:iface-id=ls2-vm2

node1清除
ovs-vsctl del-port br-int vm1
ovs-vsctl del-port br-int vm2
ip netns del vm1
ip netns del vm2

创建网关命名空间

这个网络命名空间作为整个vpc的网关,会根据虚拟机的一个物理网卡使用macvlan虚拟出一个新的网卡,并将虚拟出的网卡放入整个网络命名空间中并设置外部网络的地址作为外部网关ip地址

master节点
# 创建网关命名空间gw
ip netns add gw
# 给物理网卡ens38创建macvlan网卡
ip link add link ens38 name ens38.100 type macvlan mode bridge
# 将创建的macvlan网卡加入到网络命名空间
ip link set ens38.100 netns gw
# 设置网卡ip地址
ip netns exec  gw ip addr add 192.168.40.150/24 dev ens38.100
ip netns exec  gw ip link set ens38.100 promisc on
ip netns exec  gw ip link set ens38.100 up

master清理
ip netns del gw

创建内部网关网卡

创建一个vpc内部子网的ip地址,并将整个ip地址放入网关网络命名空间中,并配置地址,此时的gw网络命名空间中有了两个网卡,一个是连接外部网络的ens38.100网卡,另一个是连接vpc内部网络的ovn0网卡

master节点
ovn-nbctl lsp-add ls2 gw-nic
ovn-nbctl lsp-set-addresses gw-nic "00:00:00:00:00:14 10.10.20.254"

ovs-vsctl add-port br-int ovn0 -- set Interface ovn0 type=internal
ovs-vsctl set Interface ovn0  external_ids:iface-id=gw-nic

ip link set ovn0 netns gw
ip netns exec gw ip link set ovn0 address 00:00:00:00:00:14
ip netns exec gw ip addr add 10.10.20.254/24 dev ovn0
ip netns exec gw ip link set ovn0 up
ip netns exec gw ip route add default via 10.10.20.1 dev ovn0


master清理
ovs-vsctl del-port br-int ovn0

添加路由

在vpc的逻辑路由器上添加了静态路由,这个静态路由会将访问外界的报文都转发到10.10.20.254上,10.10.20.254是gw的地址,因此通过这条路由便会将外部的流量引入到gw网关中

master节点
ovn-nbctl   lr-route-add  lr1   0.0.0.0/0  10.10.20.254

添加gw的snat和dnat规则创建了fip

在gw网络命名空间中添加了dnat和snat规则,通过dnat和snat规则使内部的ip 10.10.10.2 和外部的ip 192.168.40.150相绑定,在外部可以直接访问192.168.40.150从而访问到vpc内部的网络

master节点
ip netns exec  gw iptables -t nat -A POSTROUTING  -s 10.10.10.2  -j SNAT --to-source 192.168.40.150
ip netns exec  gw iptables -t nat -A PREROUTING  -d 192.168.40.150 -j DNAT --to-destination 10.10.10.2

在经过prerouting点后会经过路由,然后到达forward,然后是进行arp解析,最后选择从哪个口发出去

验证

ovn内部的网络访问外部网络

  1. master节点的vm1访问外部网络

  2. 在gw网络命名空间的ovn0上抓包,此时还没有经过snat转换,源ip仍然是10.10.10.2

  3. 在gw网络命名空间的ens38.100网卡上抓包,到这个网卡上是已经经过了snat转换了,这里的master就是192.168.40.150

  4. 在外部网络的网卡上抓包,可以看到收到了报文并且报文的源ip是192.168.40.150,是经过snat后的ip

总结:从vm1访问外网的流程是,报文先通过ovn的静态路由将报文发送到gw网络命名空间的ovn0网卡,经过prerouting(没有修改报文),再经过路由判断(报文不是发送给自己的),会进入postrouting进行snat转换,将原本报文的源ip地址10.10.10.2转换为192.168.40.150,从ens38.100网卡发送出去

外部访问内部网络

  1. 在一台外部的机器上ping 192.168.40.150

  2. 在gw的ens38.100网卡上抓包,此时目的ip还没有转换目的ip是master即是192.168.40.150

  3. 在gw的ovn0上抓包,此时经过了dnat转换了,目的ip变成了10.10.10.2

  4. 在vm1上进行抓包

总结:192.168.40.150相当于vm1的一个外网ip,外界可以直接访问192.168.40.150从而直接访问到vm1,具体的流程是报文首先到达gw的ens38.100网卡,在prerouting中进行了dnat转换,将报文的目的地址转换成了10.10.10.2,再经过路由判断是进行转发的,将报文从ovn0发出进入到ovn网络了,最终到达vm1

长着翅膀的乌龟
关注
  • 21
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《使用 VPP 为 Kube-OVN VPC 提供高性能网关
mr1jie的博客
06-13 1214
vpp 对接 kube-ovn 自定义 vpc
浅谈Kube-OVN
小男孩儿的博客
09-06 3388
Kube-OVN 是一款 CNCF 旗下的企业级云原生网络编排系统,将 SDN 的能力和云原生结合, 提供丰富的功能,极致的性能以及良好的可运维性。Kube-OVN可提供跨云网络管理、传统网络架构与基础设施的互联互通、边缘集群落地等复杂应用场景的能力支持,解除Kubernetes网络面临的性能和安全监控的掣肘,为基于Kubernetes架构原生设计的系统提供最为成熟的网络底座,提升用户对Kubernetes生态Runtime的稳定性和易用性。
kube-OVN总体架构
任我行的博客
12-05 2982
本文档将介绍 Kube-OVN 的总体架构,和各个组件的功能以及其之间的交互。总体来看,Kube-OVN 作为 Kubernetes 和 OVN 之间的一个桥梁,将成熟的 SDN 和云原生相结合。 这意味着 Kube-OVN 不仅通过 OVN 实现了 Kubernetes 下的网络规范,例如 CNI,Service 和 Networkpolicy,还将大量的 SDN 领域能力带入云原生,例如逻辑交换机,逻辑路由器,VPC网关,QoS,ACL 和流量镜像。Kube-OVN 的组件可以大致分为三类:该类型组件
OVN学习(三)
dcldz5007的博客
10-14 446
部署OVN实验环境 同OVN学习(一) 网关 在L3网络基础上部署网关 添加L3网关 ### Central节点 # ovn-sbctl show Chassis "8bd09faf-5ba2-49ad-931b-11155ff3ab00" hostname: localhost Encap geneve ip: "92.0.0.12" ...
OVN学习整理
weixin_30747253的博客
07-06 5003
部署OVN网络拓扑 OVN-安装软件包 /etc/yum.repos.d/CentOS-OpenStack-ocata.repo # yum list installed | grep openvswitch openvswitch.x86_64 1:2.9.0-3.el7 @centos-openstack-ocata o...
SDN控制器之OVN实验三:从OVN虚拟网络访问物理网络
筋斗云计算
05-31 4345
OVN是由开发出OVS的那群出色的程序员们的另一个优秀的作品,旨在提高基于OVS的OpenStack网络方案的扩展性和易用性。这个网络虚拟化项目从2015初宣告启动,到不久前才发布第一个正式版本OVN 2.6 。 在这篇文章中,我会演示一个简单实验:将一个OVN网关路由器添加进来。 此网关路由器将提供从我们的OVN 虚拟网络访问物理网络的能力。
kube-ovn项目详细介绍,物超所值
11-07
Kube-OVN 项目详细介绍,物超所值 Kube-OVN 是一个 CNCF 沙盒项目,将 SDN 连接到 Cloud Native。它为企业提供了一种功能最多、性能最高、操作最简单的先进容器网络结构。 丰富的功能 Kube-OVN 为云原生空间带来...
Kube-OVN中国电信天翼云边缘场景实践.pdf
07-24
Kube-OVN中国电信天翼云边缘场景实践.pdf
kube-ovn:功能丰富且易于操作的企业级Kubernetes网络结构
02-02
Kube-OVN将基于OVN网络虚拟化与Kubernetes集成在一起。 它为企业提供了功能最多,操作最简单的高级容器网络结构。社区Kube-OVN社区正在等待您的参与! 在关注我们在与我们聊天其他问题请发送电子邮件至微信用户加...
k8s cni 网络组件kube-ovn脚本
09-25
kube-ovn1.4稳定版本一个能成功安装完成的脚本,release1.4分支上的脚本目前不能安装成功。
kube-flannel.yml
06-30
在部署过程中,`kubectl apply` 命令会检查 `kube-flannel.yml` 文件中的资源定义,将它们与当前集群状态进行比较,并执行必要的操作(如创建、更新或删除资源)以使集群状态符合配置文件的要求。 `说明.txt` 文件...
KubeVirt使用Kube-OVN
weixin_48711696的博客
01-19 554
安装 kube-ovn controller以及 cni 插件,包括组件 kube-ovn-controller kube-ovn-cni kube-ovn-pinger kube-ovn-monitor。安装 kube-ovn CRD,包括 ips subnet vlans provider-networks vpcs vpc-nat-gateways。在defaultvlan上,创建一个子网,这个子网作用的namespace为mail263,指定子网分配的物理网络地址段,物理网络网关地址。
kube-ovn自定义vpc
最新发布
sun的博客
02-20 1015
创建一个自定义vpc,每创建一个vpckube-ovn创建一个ovn逻辑路由器,在vpc中定义的staticRoutes会被添加到ovn逻辑路由器上,下面vpc定义的静态路由是将所有的报文的nexthop到10.0.1.254,10.0.1.254是vpc内部子网的一个ip,是vpc网关ipkind: Vpcmetadata:spec:- ns1在自定义vpc创建了一个子网和一个podmetadata:name: net1spec:- ns1---kind: Pod。
ovn 通过网关虚拟路由器连接外部网络
fengcai_ke的博客
07-09 1863
ovn 虚拟路由器 外部网络
Kube-OVN组件
Kason_iWiki
05-01 1222
Kube-OVN, a CNCF Sandbox Project, bridges the SDN into Cloud Native. It offers an advanced Container Network Fabric for Enterprises with the most functions, extreme performance and the easiest operation.
Kube-OVN子网
任我行的博客
12-04 954
子网是 Kube-OVN 中的一个核心概念和基本使用单元,Kube-OVN 会以子网来组织 IP 和网络配置,每个 Namespace 可以归属于特定的子网, Namespace 下的 Pod 会自动从所属的子网中获取 IP 并共享子网的网络配置(CIDR,网关类型,访问控制,NAT控制等)。在 Kube-OVN 中子网为一个全局的虚拟网络配置,同一个子网的地址可以分布在任意一个节点上。[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-aSnfoZgU-1670161299418
OVN架构原理
热门推荐
虾米的博客
11-27 1万+
ovn-architecture OVN架构OVN(即Open Virtual Network)是一款支持虚拟网络抽象的软件系统。OVN在OVS现有功能的基础上原生支持虚拟网络抽象,例如虚拟L2,L3覆盖网络以及完全组。诸如DHCP,DNS的服务也是其关注的内容。就像OVS一样,OVN的设计目标是可以大规模运行的高质量生产级实施方案。OVN部署由以下几个组件组成
OVN 架构分析
weixin_33878457的博客
06-30 1138
架构分析 Base flow L2/L3 forwarding OVN L2 gateway OVN 是 Open vSwitch 社区在 2015 年 1 月份才宣布的一个子项目,OVN 使用 Open vSwitch功能提供一个网络虚拟化方案, 不同于一般的SDN Controller,它主要专注于L2/L3和Security Group,利用轻量级控制平面提高当...
Kube-OVN:云原生网络的全能之选,极致性能与易用性兼备
- Kube-OVN基于OVS/OVN的成熟技术,支持子网管理、静态IP分配、分布式/集中式网关、混合网络模式(底层/覆盖)、VPC多租户网络、跨集群通信、QoS控制、多网卡管理、ACL、流量镜像等,满足不同场景的需求。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值