TFLive直播回放丨王峻：借助開源SDN利器打通異構(gòu)混合云

在多云時(shí)代的企業(yè)云服務(wù)中，經(jīng)常遇到混合云和異構(gòu)資源問(wèn)題，作為開源SDN 的代表， Tungsten Fabric 能夠很好實(shí)現(xiàn) SDN 互通，在網(wǎng)絡(luò)層面打通異構(gòu)資源池。

創(chuàng)新互聯(lián)服務(wù)項(xiàng)目包括南陵網(wǎng)站建設(shè)、南陵網(wǎng)站制作、南陵網(wǎng)頁(yè)制作以及南陵網(wǎng)絡(luò)營(yíng)銷策劃等。多年來(lái)，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢(shì)、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，南陵網(wǎng)站推廣取得了明顯的社會(huì)效益與經(jīng)濟(jì)效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到南陵省份的部分城市，未來(lái)相信會(huì)繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

7 月 9 日，在 TF 中文社區(qū)線上直播活動(dòng)【  TF Live  】中，華勝天成網(wǎng)絡(luò)架構(gòu)師王峻與大家進(jìn)行了在線交流，演示了基于 Tungsten Fabric 開源 SDN 功能，如何實(shí)現(xiàn) vCenter 、 OpenStack 、 K8s 之間的異構(gòu)資源池互通，以及服務(wù)鏈的引流功能。

本期活動(dòng)，由TF 中文社區(qū)和 SDNLAB 聯(lián)合舉辦。

【pdf文檔下載】

https://tungstenfabric.org.cn/assets/uploads/files/tf-live4-sdn.pdf

【直播視頻回放】

https://v.qq.com/x/page/m31138leucf.html

 

王峻，華勝天成網(wǎng)絡(luò)架構(gòu)師。擁有 10 多年網(wǎng)絡(luò)行業(yè)經(jīng)驗(yàn)，曾參與設(shè)計(jì)建設(shè)大型銀行骨干網(wǎng)、互聯(lián)網(wǎng)政務(wù)云等項(xiàng)目。在 7 月 9 日的 TF Live 直播和問(wèn)答環(huán)節(jié)，王峻也分享了自己的實(shí)踐心得，以及 Tungsten Fabric 在企業(yè)云計(jì)算應(yīng)用中的作用和表現(xiàn)。

基于 Tungsten Fabric 實(shí)現(xiàn)資源池互通

作為老牌云計(jì)算綜合服務(wù)商和云計(jì)算運(yùn)營(yíng)商，華勝天成在服務(wù)客戶云計(jì)算業(yè)務(wù)的過(guò)程中，開發(fā)了適應(yīng)多云異構(gòu)資源的統(tǒng)一管理平臺(tái)，通過(guò)統(tǒng)一的云管平臺(tái)，去對(duì)接OpenStack 、 K8s 、 vCenter 、 PowerVC 、 Ironic/xCAT 、裸機(jī)、公有云等各自不同的資源池。  

不過(guò)，在網(wǎng)絡(luò)層面上，每類資源池其實(shí)都有各自的一套網(wǎng)絡(luò)體系和插件。這對(duì)于云管平臺(tái)來(lái)說(shuō)，網(wǎng)絡(luò)層就變得比較復(fù)雜，需要尋找統(tǒng)一網(wǎng)絡(luò)管理解決方案，應(yīng)對(duì)客戶支持異構(gòu)資源池的需求。同時(shí)，許多客戶并不希望被廠商綁定，希望構(gòu)建一個(gè)解耦的架構(gòu)。

 

王峻介紹，華勝天成的云開發(fā)團(tuán)隊(duì)經(jīng)過(guò)大量調(diào)研比較，在多云環(huán)境覆蓋、混合資源池網(wǎng)絡(luò)應(yīng)用編排、 SDN 功能、設(shè)備支持友好度、開源架構(gòu)、專業(yè)網(wǎng)絡(luò)支持等方面綜合考量，最終選擇了 Tungsten Fabric 作為未來(lái)統(tǒng)一網(wǎng)絡(luò)管理的技術(shù)方向。  

從Tungsten Fabric 的整體架構(gòu)來(lái)看，不管是 OpenStack 的資源池，還是 k8s 的資源，或者 VMware 的資源池，都通過(guò) Tungsten Fabric 計(jì)算節(jié)點(diǎn)里邊的 vRouter 來(lái)實(shí)現(xiàn)。

QA問(wèn)答

在 實(shí)際應(yīng)用使用中， 一般 什么場(chǎng)景 會(huì)出現(xiàn)這種多個(gè)異構(gòu)資源 ？

從現(xiàn)在很多項(xiàng)目上來(lái)看，客戶本身一直通過(guò) VMWARE 使用虛擬化，后來(lái)又上了 OpenStack ，這種情況很多，但兩邊管理是割裂的。對(duì)于客戶來(lái)說(shuō)，一方面想要解耦，不希望綁定廠商；另一方面，比如互聯(lián)網(wǎng)出口有內(nèi)外兩層防火墻，也需要做成異構(gòu)的，在金融行業(yè)都是比較常見的。

原來(lái)用 某廠 的 OpenStack 方案，想用Tungsten Fabric的話是不是改動(dòng)太大了？

改動(dòng)應(yīng)該比較大，我不知道您用的是他們SDN 哪個(gè)版本？像廠商這種的，都是基于硬件下發(fā)相應(yīng)配置，然后在邊界上去做一個(gè) VLAN 到 VXLAN 的一個(gè)轉(zhuǎn)換。而  Tungsten Fabric 主要是開源軟件，可以看到，我們所有的 vRouter 全都是在宿主機(jī)上去裝的，然后跟 underlay 的網(wǎng)絡(luò)其實(shí)沒什么關(guān)系，只要保證互通就行。

V r outer替換了OVS，架構(gòu)變化還是挺大的。

對(duì)。變化確實(shí)比較大，vRouter 相當(dāng)于都是路由的東西。比如說(shuō)我在 vCenter 里面創(chuàng)建了一個(gè)虛機(jī)，然后接到了分布式交換機(jī)上，就算我們用的是相同的網(wǎng)絡(luò)， Tungsten Fabric 也會(huì)分配不同的 VLAN tag ，這就會(huì)導(dǎo)致所有的流量都會(huì)上到 vRouter 上去，不會(huì)在這個(gè) vSwitch 上去做轉(zhuǎn)發(fā)。  

三個(gè)資源池的互通演示

接下來(lái)王峻進(jìn)行了細(xì)致的演示，基于Tungsten Fabric 在 vmware 中的實(shí)現(xiàn)（ Tungsten Fabric 和 vCenter 的集成），來(lái)進(jìn)一步說(shuō)明 Tungsten Fabric 的功能。  

l  Tungsten Fabric 通過(guò)監(jiān)控 VM 的創(chuàng)建的 event ，部署網(wǎng)絡(luò)和安全策略；

l  Tungsten Fabric 會(huì)為每個(gè) VM 分配 vlan id ，每一個(gè) VM 都有一個(gè)獨(dú)立的 vlan id ；

l  vRouter 一個(gè)口通過(guò) trunk 連接到 vCenter 的分布式交換機(jī)，所有 VM 流量到交換機(jī)上打上相應(yīng) tag ，通過(guò) trunk 發(fā)給 vRouter ，進(jìn)入相應(yīng) vrf ，接下來(lái)處理方式和 openstack 和 k8s 就都一樣了；

l  vRouter 另一個(gè)口通過(guò)標(biāo)準(zhǔn)端口組連接物理網(wǎng)卡，和其他的 ESXi 和 KVM 資源池建立 MPLSoverUDP 的隧道；

l  實(shí)際運(yùn)行中，會(huì)在vRouter 裝一個(gè) vCenter 的 manager ，去管理 VLAN 的 tag 。

   

  在直播的演示環(huán)境中，包含了 OpenStack ， K8s 和 vCenter 三個(gè)資源池。通過(guò)在 vCenter 上部署兩臺(tái)機(jī)器：一臺(tái)為 TF 的 Controller ，一臺(tái)為部署了 vRouter 的 ESXi ，后者創(chuàng)建一個(gè)虛機(jī)，然后去和 K8s 和 OpenStack 上虛機(jī)的互通。  

在三個(gè)資源池互通演示完成后，王峻還演示了數(shù)據(jù)流追蹤，在vRouter 上通過(guò)命令追蹤數(shù)據(jù)流，查看了中間的轉(zhuǎn)發(fā)過(guò)程和互通的實(shí)現(xiàn)。

QA問(wèn)答

每個(gè)資源池都有一個(gè) vRouter ，這個(gè)是誰(shuí)提供的？

比如說(shuō)我們?cè)贠penStack 有兩個(gè)計(jì)算節(jié)點(diǎn)，這兩個(gè)節(jié)點(diǎn)宿主機(jī)上面都會(huì)有相應(yīng)的 vRouter ，去負(fù)責(zé)它的宿主機(jī)的轉(zhuǎn)發(fā)。再看 K8s 里面的 Pod ，兩個(gè) node 上都有 vRouter 。對(duì)于 vCenter 來(lái)說(shuō)，每個(gè) ESXi 上都有 vRouter 。

剛才這些 演示的 操作，都在一臺(tái) 宿主 機(jī)上完成的嗎？

不是的，我們的OpenStack 和 K8s 是嵌套虛擬化，在現(xiàn)有的虛擬化平臺(tái)上又搭建了環(huán)境， vCenter 這塊也是用一個(gè)工作站去搭的，還有 v Center 的環(huán)境， VMX 出口的路由器是在一個(gè) vCenter 的環(huán)境上。

Tungsten Fabric 只能用于 二層的網(wǎng)絡(luò) ，來(lái) 連接幾個(gè)資源池 ，是這樣嗎？

它其實(shí)本質(zhì)上是三層的，你的每一個(gè)虛機(jī)上來(lái)，它都在vRouter 上面，剛才我們也看了追蹤路由，虛擬機(jī)接上來(lái)之后會(huì)給它分配相應(yīng)的虛擬接口，劃到相應(yīng)的 VRF 里邊，剛才看到 VRF 里面的路由表，會(huì)生成一個(gè) 32 位的路由，本質(zhì)上我覺得還是路由，但它是一個(gè) 32 位的路由。

服務(wù)鏈的功能及引流

除了異構(gòu)資源池互通，王峻還分享了服務(wù)鏈的引流功能。 

虛機(jī)一般是通過(guò)vRouter 到網(wǎng)關(guān)，然后出去訪問(wèn)互聯(lián)網(wǎng)，但為了保護(hù)虛機(jī)安全，可能還要在路徑上增加一個(gè)防火墻。此時(shí)防火墻有可能是在 OpenStack 、 KVM 資源池里邊，那就需要把流量引到防火墻，再?gòu)姆阑饓Τ鰜?lái)，然后再通過(guò)網(wǎng)關(guān)出去上網(wǎng)。  

也就是說(shuō)，當(dāng)我們需要在路徑上增加一些NFV 相應(yīng)的功能，比如防火墻或者檢測(cè)的設(shè)備，然后把流量引過(guò)來(lái)，就要用到服務(wù)鏈的功能。

 

  針對(duì)服務(wù)鏈引流的演示，首先在 K8s 里邊創(chuàng)建一個(gè) pod ，然后接入到一個(gè)自定義的網(wǎng)絡(luò)里邊，通過(guò) Floating IP 綁定給 pod 。

接下來(lái)，防火墻是在vCenter 環(huán)境里的一個(gè) VSRX ，有兩個(gè) VN ，通過(guò) RT ，去把 Floating IP 網(wǎng)絡(luò)和 left 網(wǎng)絡(luò)（ trust 接口）打通，將流量引到防火墻上來(lái)。

最后，再通過(guò)right 網(wǎng)絡(luò)，和 vmx 邊界打通，進(jìn)而訪問(wèn)外網(wǎng)。

QA問(wèn)答

中間有沒有碰到過(guò)比較難解決的問(wèn)題 ？跑通 的過(guò)程中踩過(guò)什么坑？

部署的過(guò)程中還好，但因?yàn)関Center 文檔比較少，我們團(tuán)隊(duì)這邊找了很多東西，遇到些麻煩。其實(shí) vCenter 這塊來(lái)說(shuō)， Tungsten Fabric 的支持不是特別好，比如防火墻導(dǎo)入文件鏡像的時(shí)候，只能選一個(gè)網(wǎng)卡，導(dǎo)入成功之后，要新添加網(wǎng)卡（需要三個(gè)接口：管理、 left 、 right ），這個(gè)時(shí)候 Tungsten Fabric 就不能識(shí)別到了，暫時(shí)只能手動(dòng)解決。比如關(guān)聯(lián)了新建的網(wǎng)絡(luò)，或者原來(lái)關(guān)聯(lián)的網(wǎng)路改了，不能同步更改，要手動(dòng)更改，才能一致互通。

Tungsten Fabric管 理 裸機(jī)的方向是什么？

Tungsten Fabric 目前不能完美地實(shí)現(xiàn)裸機(jī)的東西，我們裸機(jī)可以注冊(cè)到OpenStack 上面，然后去部署操作系統(tǒng)，完成后但就沒有辦法去切換到租戶網(wǎng)絡(luò)上去，還需要一些改進(jìn)。

在實(shí)驗(yàn)環(huán)境 中 的 underlay 是在一個(gè)局域網(wǎng) 嗎 ？ 可以在廣域網(wǎng)實(shí)現(xiàn)嗎？

廣域網(wǎng)其實(shí)有更好的方案，我們現(xiàn)在的環(huán)境，所有的出口都是通過(guò)一個(gè)VMX ，這樣的話不可能兩個(gè)數(shù)據(jù)中心通過(guò)同一個(gè)出口出去，我覺得更合理的方案是，每個(gè)數(shù)據(jù)中心都會(huì)有一個(gè)出口，然后通過(guò)出口去把兩邊實(shí)現(xiàn)互通，隧道應(yīng)該是可以互通的，我們下一階段就要測(cè)這個(gè)場(chǎng)景。

在直播過(guò)程中，王峻也提到，Tungsten Fabric 還有很多需要改進(jìn)完善的地方，但作為華勝天成下一步的網(wǎng)絡(luò)技術(shù)發(fā)展方向，團(tuán)隊(duì)會(huì)和大家一樣，做好研究開發(fā)，在社區(qū)積極交流，探索如何更好地應(yīng)用 Tungsten Fabric ，打造更高可用的異構(gòu)混合云架構(gòu)。

往期回顧

KK/建勛：多云、SDN，還有網(wǎng)工進(jìn)化論

楊雨：Tungsten Fabric如何增強(qiáng)Kubernetes的網(wǎng)絡(luò)性能

Frank Wu：當(dāng)OpenStack遇到Tungsten Fabric

分享文章：TFLive直播回放丨王峻：借助開源SDN利器打通異構(gòu)混合云
URL地址：http://muchs.cn/article42/piodhc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供靜態(tài)網(wǎng)站、網(wǎng)站維護(hù)、網(wǎng)站建設(shè)、響應(yīng)式網(wǎng)站、企業(yè)網(wǎng)站制作、小程序開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)