OVN实战---《OVN and Containers》翻译

最新推荐文章于 2023-11-30 15:55:47 发布
最新推荐文章于 2023-11-30 15:55:47 发布
阅读量320 收藏
点赞数
文章标签: 运维 数据库
原文链接:http://www.cnblogs.com/YaoDD/p/7479118.html
版权

Overview

在本篇文章中,我们要讨论的是OVN和容器的集成。到本次实验中,我们将会创建一个包含有一对容器的“虚拟机”,这些容器会直接和OVN logical switch相连,并且可以供逻辑网络内的所有虚拟机直接访问。

 

The OVN Container Networking Model

根据ovn-architecture的man page,OVN的容器网络策略是和容器宿主机进行VLAN trunk connection,并且要求来自每一个容器的流量都用一个单独的VLAN进行隔离。当然,这就要求OVN和容器宿主机之间进行合作,从而保证它们对于给定容器使用的VLAN tag是同步的。同时这也要求容器宿主机从内部保证容器之间是相互隔离的。

下面我们进一步对细节进行讨论,基本的想法是我们利用OVN创建一个logical port用于连接容器宿主机。之后再为我们的容器定义logical port,并将它们映射到"parent" VM logical port,并且定义相应的VLAN tag。之后,OVN会配置OVS flows,将来自parent VM的logical port的标有VLAN的流量映射到合适的container logical port。具体如下图所示:

 

The Existing Setup

在进一步操作之前,我们先来回顾一下已有的拓扑结构

The lab network

 

The OVN logical network:

 

Defining the Logical Network

在本次实验中,我们要创建一个新的fake "VM",vm5,用来存放我们的fake "containers"。这个新的虚拟机会插入到已经存在的dmz交换机上,和vm1,vm2一起。对于新的虚拟机和它的容器,我们都将使用DHCP来配置IP。

 在为vm5创建logical port之前,我们需要先确定在之前的lab中,我们为dmz创建的DHCP options。我们将通过直接对OVN northbound DB进行查找来获取该信息。以下是查找的结果。

root@ubuntu1:~# ovn-nbctl list DHCP_Options
_uuid               : 7e32cec4-957e-46fa-a4cc-34218e1e17c8
cidr                : "172.16.255.192/26"
external_ids        : {}
options             : {lease_time="3600", router="172.16.255.193", server_id="172.16.255.193", server_mac="02:ac:10:ff:01:93"}

_uuid               : c0c29381-c945-4507-922a-cb87f76c4581
cidr                : "172.16.255.128/26"
external_ids        : {}
options             : {lease_time="3600", router="172.16.255.129", server_id="172.16.255.129", server_mac="02:ac:10:ff:01:29"}

  

我们需要的是"172.16.255.128/26"这个网络的UUID(在我们这个例子中是c0c29381-c945-4507-922a-cb87f76c4581)。获取该UUID以备后用。

接下来为vm5创建logical port。这些操作我们应该已经很熟悉了。需要注意的是,将其中的{uuid}用上文获取的UUID替换。

ubuntu1

ovn-nbctl lsp-add dmz dmz-vm5
ovn-nbctl lsp-set-addresses dmz-vm5 "02:ac:10:ff:01:32 172.16.255.132"
ovn-nbctl lsp-set-port-security dmz-vm5 "02:ac:10:ff:01:32 172.16.255.132"
ovn-nbctl lsp-set-dhcpv4-options dmz-vm5 {uuid}

  

现在我们为vm5内的容器创建logical port。这和创建普通的logical port几乎没什么不同,不过是加了一些额外的设置。

ubuntu1

# create the logical port for c51
ovn-nbctl lsp-add dmz dmz-c51
ovn-nbctl lsp-set-addresses dmz-c51 "02:ac:10:ff:01:33 172.16.255.133"
ovn-nbctl lsp-set-port-security dmz-c51 "02:ac:10:ff:01:33 172.16.255.133"
ovn-nbctl lsp-set-dhcpv4-options dmz-c51 {uuid}

# set the parent logical port and vlan tag for c51
ovn-nbctl set Logical_Switch_Port dmz-c51 parent_name=dmz-vm5
ovn-nbctl set Logical_Switch_Port dmz-c51 tag=51

# create the logical port for c52
ovn-nbctl lsp-add dmz dmz-c52
ovn-nbctl lsp-set-addresses dmz-c52 "02:ac:10:ff:01:34 172.16.255.134"
ovn-nbctl lsp-set-port-security dmz-c52 "02:ac:10:ff:01:34 172.16.255.134"
ovn-nbctl lsp-set-dhcpv4-options dmz-c52 {uuid}

# set the parent logical port and vlan tag for c52
ovn-nbctl set Logical_Switch_Port dmz-c52 parent_name=dmz-vm5
ovn-nbctl set Logical_Switch_Port dmz-c52 tag=52

  

因此,唯一的不同仅仅只是我们为container logical port设置了parent_name和tag。我们可以通过数据库的记录来确认这一点。例如,以下是我们的输出:

root@ubuntu1:~# ovn-nbctl find Logical_Switch_Port name="dmz-c51"
_uuid               : ea604369-14a9-4e25-998f-ec99c2e7e47e
addresses           : ["02:ac:10:ff:01:31 172.16.255.133"]
dhcpv4_options      : c0c29381-c945-4507-922a-cb87f76c4581
dhcpv6_options      : []
dynamic_addresses   : []
enabled             : []
external_ids        : {}
name                : "dmz-c51"
options             : {}
parent_name         : "dmz-vm5"
port_security       : ["02:ac:10:ff:01:31 172.16.255.133"]
tag                 : 51
tag_request         : []
type                : ""
up                  : false

  

Configure vm5

对于本次实验,首先需要记住的是,我们使用的并不是真正的虚拟机,我们仅仅通过直接在Ubuntu主机上模拟它们来作为ovs internal ports。对于vm1-vm4我们是直接在br-int创建这些internal port的,但对于vm5,我们的要求有所不同,因此我们会使用一个专门的ovs bridge。这个bridge叫做br-vm5,它并不由OVN管理,当你真正对一个容器宿主机进行配置时,需要对这样一个网桥进行配置。这个网桥会为虚拟机和它的容器提供网络,并且会被配置为进行VLAN tagging操作。下图显示了当我们配置完成时的拓扑结构:

 

这个实验的配置是非常简单的,我将所有容器都放在了同一个logical switch中,事实上这不是必须的,我可以将container logical switch放在任何logical switch上。

那接下来就开始吧。第一步是对vm5进行配置,这一步我们将放在ubuntu2上进行。

# create the bridge for vm5
ovs-vsctl add-br br-vm5

# create patch port on br-vm5 to br-int
ovs-vsctl add-port br-vm5 brvm5-brint -- set Interface brvm5-brint type=patch options:peer=brint-brvm5

# create patch port on br-int to br-vm5. set external id to dmz-vm5 since this is our connection to vm5
ovs-vsctl add-port br-int brint-brvm5 -- set Interface brint-brvm5 type=patch options:peer=brvm5-brint
ovs-vsctl set Interface brint-brvm5 external_ids:iface-id=dmz-vm5

# create vm5 within a namespace, vm5 traffic will be untagged
ovs-vsctl add-port br-vm5 vm5 -- set Interface vm5 type=internal
ip link set vm5 address 02:ac:10:ff:01:32
ip netns add vm5
ip link set vm5 netns vm5
ip netns exec vm5 dhclient vm5

  

从vm5 ping 它的默认网关确认连通性:

root@ubuntu2:~# ip netns exec vm5 ping 172.16.255.129
PING 172.16.255.129 (172.16.255.129) 56(84) bytes of data.
64 bytes from 172.16.255.129: icmp_seq=1 ttl=254 time=0.797 ms
64 bytes from 172.16.255.129: icmp_seq=2 ttl=254 time=0.509 ms
64 bytes from 172.16.255.129: icmp_seq=3 ttl=254 time=0.404 ms

  

Configuring the vm5 "Containers"

现在vm5已经启动并正常工作了,接下来我们就能配置它的fake "containers"了。这看起来和配置我们的fake "vm"相同,只是我们还需要对它进行vlan tagging的配置。

# create c51 within a namespace. c51 traffic will be tagged with vlan 51
ip netns add c51
ovs-vsctl add-port br-vm5 c51 tag=51 -- set interface c51 type=internal
ip link set c51 address 02:ac:10:ff:01:33
ip link set c51 netns c51
ip netns exec vm5 dhclient c51

# create c52 within a namespace. c52 traffic will be tagged with vlan 52
ip netns add c52
ovs-vsctl add-port br-vm5 c52 tag=52 -- set interface c52 type=internal
ip link set c52 address 02:ac:10:ff:01:34
ip link set c52 netns c52
ip netns exec c52 dhclient c52

  

进行连通性确认:

root@ubuntu2:~# ip netns exec c51 ping 172.16.255.129
PING 172.16.255.129 (172.16.255.129) 56(84) bytes of data.
64 bytes from 172.16.255.129: icmp_seq=1 ttl=254 time=1.33 ms
64 bytes from 172.16.255.129: icmp_seq=2 ttl=254 time=0.420 ms
64 bytes from 172.16.255.129: icmp_seq=3 ttl=254 time=0.371 ms

root@ubuntu2:~# ip netns exec c52 ping 172.16.255.129
PING 172.16.255.129 (172.16.255.129) 56(84) bytes of data.
64 bytes from 172.16.255.129: icmp_seq=1 ttl=254 time=1.53 ms
64 bytes from 172.16.255.129: icmp_seq=2 ttl=254 time=0.533 ms
64 bytes from 172.16.255.129: icmp_seq=3 ttl=254 time=0.355 ms

  

Final Words

根据ovn-architecture guide,如果你直接在hypervisor运行容器,或者将他们直接绑定在integration bridge上,那么随着系统的扩展,它们可能会使整个OVN系统停滞。上文这种嵌套的网络解决方案就比较好,因为它有效地减少了integration bridge上的VIF的数目,因此它能最小化对性能带来的影响。再次强调,本文的目的不是为了对真实世界容器解决方案的模拟,仅仅只是为了说明OVN内置的容器网络特性。

 

原文链接:http://blog.spinhirne.com/2016/10/ovn-and-containers.html

 

转载于:https://www.cnblogs.com/YaoDD/p/7479118.html

weixin_30755393
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ovn-nbctl手册.pdf
03-22
针对ovn v2.12.0版本,根据man ovn-nbctl整理的ovn-nbctl中文使用手册,详细介绍了各命令的使用方法及限制条件。
ovn 配置逻辑路由器实现三层转发
fengcai_ke的博客
07-09 1472
ovn 逻辑路由器 三层转发
【kubernetes/k8s概念】OVN NorthBound DB 及 ovn-nbctl 命令
zhonglinzhang
07-28 9029
Northbound DB 是 OVN 和 CMS 之间的接口,Northbound DB 的数据几乎都是由 CMS 产生的,ovn-northd 监听这个数据库的内容,然后翻译并保存到 Southbound DB 里面。 Northbound DB 主要有如下表: Table Purpose NB_Global Northbound configuration for an OVN system. This table must haveexactly...
ovn常用命令
最新发布
py_op_dev的博客
11-30 550
【代码】ovn常用命令。
SDN控制器之OVN实验三:从OVN虚拟网络访问物理网络
筋斗云计算
05-31 4343
OVN是由开发出OVS的那群出色的程序员们的另一个优秀的作品,旨在提高基于OVS的OpenStack网络方案的扩展性和易用性。这个网络虚拟化项目从2015初宣告启动,到不久前才发布第一个正式版本OVN 2.6 。 在这篇文章中,我会演示一个简单实验:将一个OVN网关路由器添加进来。 此网关路由器将提供从我们的OVN 虚拟网络访问物理网络的能力。
kube-ovn项目详细介绍,物超所值
11-07
kube-ovn-controller 是 Kube-OVN 的核心组件,将所有 Kubernetes 内资源到 OVN 资源的翻译工作。kube-ovn-controller 监听了所有和网络功能相关资源的事件,并根据资源变化情况更新 OVN 内的逻辑网络。
ovn-architecture − Open Virtual Network architecture
05-31
OVN 架构概述 OVN(Open Virtual Network)是一种虚拟网络抽象系统,旨在提供虚拟网络抽象支持。OVN 通过与 Open vSwitch(OVS)的集成,提供了对虚拟 L2 和 L3 overlay 以及安全组的支持,并且还提供了 DHCP 等...
ml2ovn-trace
03-08
ml2ovn-trace 这是围绕ovn-trace的简单包装,它将基于从openstack对象提取的值来填充数据路径,inport,eth.src,ip.src,eth.dst和ip.dst。 用法 `$ ml2ovn-trace --help用法:ml2ovn-trace [选项] 选项:-c,--...
k8s cni 网络组件kube-ovn脚本
09-25
是kube-ovn1.4稳定版本一个能成功安装完成的脚本,release1.4分支上的脚本目前不能安装成功。
OVN:dhcp-options分配网络的问题
shunzi2016的博客
03-17 250
如果将逻辑逻辑网络接入路由器的网关地址分配了比如10.10.0.2,也就是这个网关地址已经配置了,不能在继续分配给其他的虚拟机了。但是ovn在初始分配给私网下虚拟机IP地址时也会继续分配这个IP地址,造成地址重复出现问题。
ovn 架构介绍
fengcai_ke的博客
07-09 2451
ovn架构
ovn 集成容器
fengcai_ke的博客
07-09 255
ovn 容器
OpenvSwitch OVN子项目提前看(by quqi99)
技术并艺术着
01-16 8079
作者:张华 发表于:2014-01-16 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 ( http://blog.csdn.net/quqi99 ) OpenvSwitch OVN在本月(2015年1月)发布,它将tenant的概念引入openvswitch正式将手伸向neutron的地盘提供对L2/L3/L4网络虚拟化的支持. 看...
为OpenStack量身打造 OVS推出全新OVN项目
筋斗云计算
02-16 834
编者按:OVS团队推出了C语言倾向的全新OVN项目,旨在提高基于OVS的OpenStack网络方案的扩展性和易用性,不得不说,midonet这次似乎是碰上了一个不错的对手了。 OVS团队在这周启动了OVS下的一个崭新的子项目,用来给OVS这款在OpenStack项目广泛使用的虚拟交换机引入一个轻量级的控制平面,致力于提高基于OVS的OpenStack网络方案的扩展性和易用性
OVN 简介
mr1jie的博客
02-10 4190
文章目录OVN 介绍OVN的架构OVN 应用OVN 信息流配置数据状态信息Chassis 设置逻辑网络 OVN 介绍 Open vSwitch(OVS)是一款开源的“虚拟交换机”,控制协议方面它不但支持 OpenFlow 的所有特性而且扩展了部分 OpenFlow 的功能;Overlay 协议方面它支持 GRE, VXLAN, STT, Geneve 四种主流Overlay 数据包。OVS 已经是数据平面的事实标准了。 但是长期一来 OVS 都缺乏一个统一的网络模型(Neutron 虽然花费巨大力气实现一个
OVN架构
任我行的博客
12-05 3165
OVN,即,是一个支持虚拟网络抽象的系统。 OVN补充了OVS的现有功能,增加了对虚拟网络抽象的原生(native)支持,比如虚拟2层和3层还有安全组(security group)。 DHCP等服务也是其理想的特性。和OVS一样,OVN之所以设计出来,就是为了获得一个可以大规模运行的产品级实现。OVN的实现包括下面几个部分:下图展示了OVN的主要部分和相关的软件交互: 从图表的最上面开始,主要有:云管系统(Cloud Management System) : 即最上面的部分OVN/CMS 插件(Plugi
ovn原理与实践
NUCEMLS的博客
08-03 3654
ovn原理和简单实践
《精通OpenStack》新书(原书翻译第二版)出版
madmanvswarrior的博客
02-25 2650
由我(山金孝)和业内技术专家刘世民(Sammy Liu)、肖力(《深度实践KVM作者》)共同翻译的英文畅销Openstack书籍,于2019年2月已由机械工业出版社出版,目前可在京东等各大商店购买!这本书在在国外的销量还是很不错的,我们翻译的时候已经是第二版本了,主要将的是OpenStack整个生命周期的管理及各种工具,对从事或想要了解openstack的朋友应该会有帮助。 目录如下: 目录 ...
OVN架构原理
热门推荐
虾米的博客
11-27 1万+
ovn-architecture OVN架构OVN(即Open Virtual Network)是一款支持虚拟网络抽象的软件系统。OVN在OVS现有功能的基础上原生支持虚拟网络抽象,例如虚拟L2,L3覆盖网络以及完全组。诸如DHCP,DNS的服务也是其关注的内容。就像OVS一样,OVN的设计目标是可以大规模运行的高质量生产级实施方案。OVN部署由以下几个组件组成

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值