局域网SDN技术硬核内幕 二 从局域网到互联网

最新推荐文章于 2021-03-28 19:35:27 发布
最新推荐文章于 2021-03-28 19:35:27 发布
阅读量501 收藏 2
点赞数 1
分类专栏: SDN 文章标签: 防火墙 SDN OpenStack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014145183/article/details/102239482
版权
本文深入探讨了局域网SDN技术如何从数据中心内部扩展到外部,强调了硬件防火墙和负载均衡设备在大规模VPC场景中的重要性。通过Neutron的FWaaS和LBaaS特性,介绍了如何使用硬件设备替代原生软件实现,并讨论了设备虚拟化的两种方法——VS和VRF,以实现多个租户共享硬件资源。
摘要由CSDN通过智能技术生成

局域网SDN技术硬核内幕 二 从局域网到互联网

前面提到,在数据中心内部,通过层次化端口绑定和EVPN,云平台得以教会了让虚拟机通过硬件交换机封装VXLAN,实现同网段和不同网段的互联互通
但是,无论是服务器,还是虚拟机,最终是要向数据中心外部提供服务的。让我们回顾开篇时见到的这张图——
在这里插入图片描述
在图中,每个VPC需要通过vLB对外提供负载均衡,通过vFW进行内外网的互访策略控制。对于Neutron原生的实现而言,vFW使用Linux的iptables,vLB使用开源的nginx或haproxy。正如OVS的转发效率受x86体系结构的限制一样,iptables,nginx和haproxy的吞吐量、新建连接速率等关键指标,也在大规模部署中容易成为瓶颈。
在大规模VPC的场景下,专用硬件防火墙和LB设备的优势就体现出来了。一般而言,它们是使用专用的FPGA,或带有网络与安全加速硬件的多核处理器实现的,单台设备的吞吐量最高可达到2TB以上,支持2亿以上的并发连接。

那么如何用专用硬件防火墙和LB设备,代替Neutron中原生的vFW和vLB,实现VPC对外提供服务呢?
Neutron为了使用其他软硬件防火墙和LB设备,提供了FWaaS和LBaaS这两个特性。它们分别是Firewall-as-a-Service和LoadBalance-as-a-Service的缩写

最低0.47元/天 解锁文章
帅云霓
关注
专栏目录
局域网SDN技术硬核内幕 云网CP的日常恩爱——硬件VXLAN转发平面
帅云霓的技术博客
10-05 773
局域网SDN技术硬核内幕 云网CP的日常恩爱——硬件VXLAN转发平面 在大家的祝福之下,云和网络经历了红娘撮合(EVPN信令平面)、领证(层次化端口绑定),终于要过上幸福的小日子了——也就是业务转发。 我们知道,交换机作为VXLAN网关的硬件VXLAN,和前面我们提到的OVS作为VXLAN网关的软件VXLAN,转发平面的差异主要就是让交换机专用硬件(ASIC)接管了OVS进行VXLAN的处理...
局域网SDN技术硬核内幕 - 前传 突破多核的瓶颈——虚拟化
帅云霓的技术博客
09-26 366
局域网SDN技术硬核内幕 - 前传 突破多核的瓶颈——虚拟化 在前一篇《局域网SDN技术硬核内幕 - 前传 多核技术为摩尔定律延寿》中提到了,通过多核可以突破主频物理限制的瓶颈,提升单台计算机的计算能力。在Intel的至强处理器平台上,单台计算机的核数可达200以上。 但是,如果解决不好多核之间的并发协作,则会出现“一核有难,八核围观”的画面: 这是为什么呢? 原来,现在商用的操作系统和编译器,...
局域网SDN技术硬核内幕 - 前传 多核技术为摩尔定律延寿
帅云霓的技术博客
09-25 277
前面提到了,CPU的功率与主频成正比,同时也与更加精良的设计工艺有关。那么,如果我们不断改进设计工艺,同时无限制地提高主频,是不是就可以无限制地提高CPU的计算能力呢? 然而,事实并非如此。 让我们看一看Intel主流消费级CPU主频的演进历史: 100MHz 1996年 Pentium 200MHz 1997年 Pentium MMX 400MHz 1999年 Pentium II 800...
局域网SDN技术硬核内幕 一 从层到大
帅云霓的技术博客
09-30 1868
局域网SDN技术硬核内幕 一 从层到大层 在上一期《分布式任意播网关》中,我们提出了两个问题: 同网段的虚拟机,如何跨越虚拟交换机(OVS)通信? 不同网段的虚拟机,又如何跨越OVS通信呢? 今天我们将为大家揭开谜底。 首先,我们知道,在同一台宿主机下,同一网段的虚拟机可以直接通讯,而在同一个层域内,跨宿主机的虚拟机通讯则需要OVS在上连方向增加VLAN TAG,如图所示: 那么,我们...
局域网SDN技术硬核内幕 一 虚拟化网络的实现
帅云霓的技术博客
09-28 1094
局域网SDN技术硬核内幕 一 虚拟化网络的实现 在前一篇文章 《从计算虚拟化到网络虚拟化》中提到,将虚拟私有云(VPC)中,各个网络节点互联的是通过虚拟网元实现的。那么,在现实中,谁扮演虚拟网元的角色呢? 让我们将时间轴拉回到21世纪的第一个五年。在VMWare WorkStation中,创立一个虚拟机的时候,自定义网卡硬件,有这样的选项: 如果我们创建多个虚拟机,并且均使用Bridged模式,...
局域网SDN技术硬核内幕 一 分布式任意播网关
帅云霓的技术博客
09-29 1797
局域网SDN技术硬核内幕 一 分布式任意播网关 先让我们回顾,昨天的文章《虚拟化网络的实现》中,我们提到的一个虚拟网络标准化模型: 在这个模型下面,我们提出了两个问题: vRouter物理上在什么地方? 为什么vFW和vLB的逻辑位置和物理位置相差如此之大? 先让我们揭开第一个问题的答案。 在Neutron模型中,有一个重要的概念——分布式任意播网关 (Distributed Anycast...
局域网SDN技术硬核内幕 从软件Overlay到硬件Overlay
帅云霓的技术博客
10-03 1261
局域网SDN技术硬核内幕 从软件Overlay到硬件Overlay 在前一阶段的文章中,我们介绍了Neutron和NSX中的几个基本概念: IRB(Integrated Routing & Bridging)或DAG (Distributed Anycast Gateway),实现全网所有VM的同网段和跨网段转发; VTEP,位于IRB的边缘,各VTEP需要互相同步相关网段中所有VM...
SDN技术介绍
07-05
软件定义网络(Software Defined Network, SDN ),是Emulex网络一种新型网络创新架构,是网络虚拟化的一种实现方式,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络作为管道变得更加智能。
局域网SDN技术硬核内幕 三 从物到人——SDN走进园区网络
帅云霓的技术博客
10-07 764
局域网SDN技术硬核内幕 三 从物到人——SDN走进园区网络 首先,让我们小结一下数据中心SDN技术的来龙去脉和内涵外延: 为了突破CPU主频的物理上限对服务器计算能力演进的限制,在服务器中普遍采用了多核多CPU技术。虚拟化技术则是将多核多CPU能力发挥到极限的手段。 随着虚拟化的大规模部署,出现了OpenStack为代表的云平台,其Nova组件可以实现大批量虚拟机的自动分配和管理。OpenSta...
《网络技术内幕
风尘叹
03-31 267
2020-03-30 书买回家了,既然定位是网络核高基就要继续努力,每日一章,不求甚解。 0330 第28章 ARP 1、ARP 与RARP协议如同zigbee的zigbee network address request 和zo ieee request,就是两种地址相互查询的,到IPv6这个功能就被ND(邻居发现协议)协议取代 2、 ...
sdn局域网设置步骤
IT技术
03-28 2540
加密后发送,木马藏匿于加密流量中,从而避开安全检测,实施恶意活动。 老方法是用中间人技术,分析其中的行为和内容,再次加密后发送,但是有局限性,破坏了数据的完整性,耗时久,网络性能下降。 eca技术(加密通讯检测),在不破坏数据完整性和隐私型前提下,识别加密流量非加密流量,提取加密流量的特征并发送至cis安全分析器进行安全流量检测,快速发现隐藏在加密流量中的威胁,及时有效的处理。 eca该技术架构分为eca流探针和eca分析系统。 eca流探针主要负责提取加密流量特征,然后发送到eca分析系统进行判定,eca
局域网SDN技术硬核内幕 一 从层交换到三层路由
帅云霓的技术博客
10-01 1730
局域网SDN技术硬核内幕 一 从层交换到三层路由 昨天,我们在《从层到大层》中介绍了VXLAN层转发的机制。同一个网段的虚拟机需要跨越三层网络通信时,可以将层以太网数据包封装在VXLAN隧道中穿越三层网络。那么,当不同网段的虚拟需要通信时应当如何实现呢? 在Neutron中的实现如下图: 当网段100的VM,和网段200的VM互联互通的时候,会在VXLAN隧道的两端VTEP各更改一次网...
局域网SDN技术硬核内幕 云网融合CP的关键——层次化端口绑定
帅云霓的技术博客
10-04 1849
局域网SDN技术硬核内幕 云网融合CP的关键——层次化端口绑定 在之前的文章中,我们提到,EVPN是云网融合的红娘,撮合了云平台和网络转发平面。而当网络中的硬件交换机支持EVPN和VXLAN时,它可以代替软件OVS,提升网络吞吐量,降低转发时延,并且节约宝贵的CPU资源。 一个问题出现了: 在硬件交换机实现VXLAN封装的场景中,它需要将不同的VLAN封装到对应的VXLAN中。VLAN和VXL...
iptables命令学习(多网卡下的负载均衡)
12-17 2717
iptables主要参数-A 向规则链中添加一条规则,默认被添加到末尾 -T指定要操作的表,默认是filter -D从规则链中删除规则,可以指定序号或者匹配的规则来删除 -R进行规则替换 -I插入一条规则,默认被插入到首部 -F清空所选的链,重启后恢复 -N新建用户自定义的规则链 -X删除用户自定义的规则链 -p用来指定协议可以是tcp,udp,icmp等也可以是数字的协议号, -s指定源地址 ...
网络虚拟化(SDN,NFV..)和企业骨干网的演化
Netfilter
03-19 1万+
本来昨天就规划了今天的这篇文章,无奈昨天中午自己喝了将近一瓶的52度锅头...晚上想着今天怎么着也完了,要颓废难受一天了...没想到早上竟然一点都不难受了,于是就写下了本文。正文之前,还是做个广告,喝酒就要喝高度酒,醉得快,醒的也快。     BGP和IGP的路由黑洞问题在描述企业骨干网(大型企业的内网)之前,我得先来解释一下互联网路由的层次问题,理解了这个,你才能理解企业内网的构建规则,我还是
(一)SDN基本架构
热门推荐
任我行的博客
09-10 4万+
1.SDN架构SDN是一种数据控制分离、软件可编程的新型网络体系架构,其基本架构如 下图1所示。SDN采用了集中式的控制平面和分布式的转发平面,两个平面相互分离,控制平面利用控制——转发通信接口对转发平面上的网络设备进行集中式控制。 图1 这部分控制信令的流量发生在控制器与网络设备之间,网络设备通过接收控制信令生成转发表,并据此决定数据流量的处理,如图2
搞不懂网络 SDN?那是因为你没看过“傻大妞”的故事…
高效运维
04-04 3697
很久很久以前,有一个村子,名叫“通信童心村”。村里的每一户,都有一个男人和一个女人。每一户,都以搬砖为生。从不同的地方,搬到不同的地方。他们怎么办呢?很简单,男人负责搬,女人负责告诉男人往哪搬。。。每个家庭,都服从村委会的指挥。村委会根据砖厂老板的需求,跑去告诉每家每户该怎么搬。。。最开始,大家搬砖搬得挺开心的,一切都很顺利。可是,砖头越来越多,村子规模大了,村户也多了。每次搬砖计划有变动,村委会
Neutron之Iptables总结
周二也被占用
03-04 1386
openstack在网络管理上用的是neutron组件,而neutron管理网络流量直接用的是iptables规则。通过iptables能够有效的指定安全规则,为云计算提供安全的网络环境。那么要研究openstack的网络管理,必然要落到底层的iptables的研究上。   这次关于iptables研究使用的物理主机是OA环境4号节点。通过在openstack的dashboard上增减虚拟机和
局域网技术解析:从历史到现代的演变与应用
"局域网技术" 局域网(Local Area Network, LAN)是一种在小范围内,如办公室...随着技术的持续发展,最新的局域网技术如软件定义网络(SDN)、物联网(IoT)相关技术也在不断涌现,为局域网的应用提供了更多可能性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值