hcie-cloud培訓及實驗手冊05openstack3.5052neutron l3講解

HC13081云計算V1R51.0李扶洋2016-05fly新開發(fā)NeutronL3簡介—基礎(chǔ)知識、原理、代碼架構(gòu)等介紹L3基礎(chǔ)概念集中式路由

2.1概念模型

2.2流量走向分布式路由

3.1概念模型

3.2流量走向浮動IP4.1概念模型

4.2流量走向

4.3公有云場景L3基礎(chǔ)概念L3即vrouter，主要功能是連接租戶內(nèi)同一network或不同network之間的子網(wǎng)，以及連接內(nèi)外網(wǎng)(FIP/SNAT)。前者是數(shù)據(jù)中心內(nèi)部虛機之間的通信，稱為東西向流量。后者是虛機與外部通信，稱為南北向流量。vrouter分為兩種模式：集中式，分布式。集中式指的是vrouter實例化在network節(jié)點，compute節(jié)點不實例化vrouter，當兩個不同子網(wǎng)的vm通信時，流量需要在network節(jié)點上的vrouter做一次三層轉(zhuǎn)發(fā)，走兩次隧道。分布式指的是vruoter實例化在所有compute節(jié)點，三層轉(zhuǎn)發(fā)的功能在本節(jié)點的vrouter實例中完成。從而只需要走一次隧道。L3基礎(chǔ)概念集中式路由

2.1概念模型

2.2流量走向分布式路由

3.1概念模型

3.2流量走向浮動IP4.1概念模型

4.2流量走向

4.3公有云場景RouterNetworknodeL3-agent(legacymode)RouterL3AgentBinding集中式路由—概念模型集中式路由只和網(wǎng)絡(luò)節(jié)點有關(guān)系，router所在節(jié)點即為網(wǎng)絡(luò)節(jié)點，只有網(wǎng)絡(luò)節(jié)點上部署L3-agent，實現(xiàn)3層通信的功能。所有3層流量必須經(jīng)過網(wǎng)絡(luò)節(jié)點。集中式路由—流量走向(東西向)Computenodeswitchnetworknodebr-intbr-tunbrcpstunnel_bearingtrunk0computenodevm1br-intvm2qbrXXXbrcpstrunk0br-tuntunnel_bearingqbrXXXeth0eth1eth0eth1dnsmasqtapXXXqrXXXqrXXXqgXXX每個network對應一個命名空間qdhcp-XXX每個router對應一個命名空間qrouter-XXXlinuxbridgeopenvswitchbridgebondportroute轉(zhuǎn)發(fā)vlan102vlan101集中式路由—流量走向(南北向)switchnetworknodebr-intbr-tunbrcpstunnel_bearingtrunk0computenodebr-intbr-tuntunnel_bearingbrcpstrunk0eth0eth1eth0eth1vlan102vlan101qr-XXXqg-XXXqrouter-AAAvm1qbr-XXXL3基礎(chǔ)概念集中式路由

2.1概念模型

2.2流量走向分布式路由

3.1概念模型

3.2流量走向浮動IP4.1概念模型

4.2流量走向

4.3公有云場景分布式路由—概念模型出現(xiàn)背景網(wǎng)絡(luò)節(jié)點的可靠性，一旦網(wǎng)絡(luò)節(jié)點掛掉，三層功能無法使用網(wǎng)路節(jié)點的性能瓶頸，所有三層流量都經(jīng)過網(wǎng)絡(luò)節(jié)點，性能問題設(shè)計模型Vrouter和計算節(jié)點(l3-agent)有綁定關(guān)系，一旦vrouter下有虛擬機創(chuàng)建在計算節(jié)點，則添加vrouter和該計算節(jié)點的綁定關(guān)系，使該虛擬機能夠進行3層通信分布式路由—概念模型Router外網(wǎng)qgRouter-gateway內(nèi)網(wǎng)qrRouter-interfacenetworknodeL3-agent(dvr_snatmode)內(nèi)網(wǎng)qr虛擬機computenodeL3-agent(dvrmode)虛擬機computenodeL3-agent(dvrmode)分布式路由—流量走向(同節(jié)點東西向)computenode1Computenodeswitchbr-intbrcpstrunk0br-tuntunnel_bearingeth0eth1linuxbridgeopenvswitchbridgebondportvlan101vlan102qrXXXqrYYYqrouter-XXXXXicmprequesticmpreplyvm1qbrXXXvm2qbrXXX分布式路由—流量走向(跨節(jié)點東西向)Computenodeswitchcomputenode2br-intvm2br-tunbrcpstunnel_bearingtrunk0qbr-BBBcomputenode1vm1br-intqbr-AAAbrcpstrunk0br-tuntunnel_bearingeth0eth1eth0eth1linuxbridgeopenvswitchbridgebondportvlan101vlan102qr-XXXqr-YYYqr-XXXqr-YYYqrouter-XXXXXqrouter-XXXXXicmprequestvxlanpacketicmpreply分布式路由—流量走向(南北向)switchnetworknodebr-intbr-tunbrcpstunnel_bearingtrunk0computenodebr-intbr-tuntunnel_bearingbrcpstrunk0eth0eth1eth0eth1vlan102vlan101qr-XXXqrouter-AAAsg-XXXqg-XXXsnat-AAAvm1qbr-XXX注：分布式snat方案沒有上L3基礎(chǔ)概念集中式路由

2.1概念模型

2.2流量走向分布式路由

3.1概念模型

3.2流量走向浮動IP4.1概念模型

4.2流量走向

4.3公有云場景浮動IP—概念模型NAT原理簡介(SNAT/DNAT)NAT簡單來說就是實現(xiàn)地址轉(zhuǎn)換的功能，將私有地址和公網(wǎng)地址進行一個轉(zhuǎn)換，可以解決IP地址不足的問題，還能避免來自外網(wǎng)的攻擊，隱藏和保護內(nèi)部虛擬機。浮動IP原理利用NAT原理給虛擬機配置一個外網(wǎng)IP，虛擬機訪問外網(wǎng)時將原地址轉(zhuǎn)換成該外網(wǎng)IP，外網(wǎng)訪問該外網(wǎng)IP時轉(zhuǎn)換成虛擬機IP實現(xiàn)通信浮動IP—流量走向(分布式路由)switchcomputenodebr-intbr-tuntunnel_bearingbrcpstrunk0eth0eth1vlan102qr-XXXrfp-XXXqrouter-AAAfpr-XXXfg-XXXfip-AAAnetworknodebr-intbr-tuntunnel_bearingbrcpstrunk0eth0eth1vlan101qr-XXXqrouter-AAAsg-XXXqg-XXXsnat-AAAvm1qbr-XXX192.168.10.20192.168.10.1169.254.0.2100.64.0.2192.168.10.1192.168.10.6每個計算節(jié)點對應一個FIP命名空間進行NAT轉(zhuǎn)換浮動IP—公有云場景為什么公有云場景使用NGFW完成FIP特性（進行兩次NAT）:需要借用專業(yè)防火墻硬件提升FIP通信的性能和轉(zhuǎn)換能力。于此同時在使用FIP特性的同時，同時可以使用NGFW的防火墻特性，及帶寬等特性。在后續(xù)項目拓展