TungstenFabric架構(gòu)解析丨TF的服務(wù)鏈

Hi！這里是Tungsten Fabric架構(gòu)解析內(nèi)容的第四篇，本文將詳細(xì)介紹Tungsten Fabric的服務(wù)鏈。
Tungsten Fabric架構(gòu)解析系列文章，由TF中文社區(qū)為你呈現(xiàn)，旨在幫助初入TF社區(qū)的朋友答疑解惑。我們將系統(tǒng)介紹TF有哪些特點(diǎn)、如何運(yùn)作、如何收集/分析/部署、如何編排、如何連接到物理網(wǎng)絡(luò)等話題。

網(wǎng)站建設(shè)哪家好，找創(chuàng)新互聯(lián)建站！專注于網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、微信小程序開發(fā)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了莒南免費(fèi)建站歡迎大家使用！

當(dāng)網(wǎng)絡(luò)策略指定兩個網(wǎng)絡(luò)之間的流量，必須流經(jīng)一個或多個網(wǎng)絡(luò)服務(wù)（例如防火墻、TCP代理、負(fù)載平衡器等）時，即形成服務(wù)鏈，這些網(wǎng)絡(luò)服務(wù)也被稱為虛擬網(wǎng)絡(luò)功能（VNF）。

網(wǎng)絡(luò)服務(wù)在虛擬機(jī)（VM）中實現(xiàn)，這些虛擬機(jī)在Tungsten Fabric中被標(biāo)識為服務(wù)，然后包含在策略中。

Tungsten Fabric支持OpenStack和VMware vCenter環(huán)境中的服務(wù)鏈。

下面顯示了在兩個VM之間實現(xiàn)服務(wù)鏈的路由簡化視圖（實際的Tungsten Fabric實現(xiàn)中，特殊的“服務(wù)”VRF包含在服務(wù)鏈的路由中）。

當(dāng)在控制器中將VM配置為服務(wù)實例（VNF），并在網(wǎng)絡(luò)策略中應(yīng)用該服務(wù)實例時，控制器將在“Left”和“Right”端口所在的VRF中安裝路由，用于引導(dǎo)流量通過VNF。

當(dāng)封裝路由通過VNF vRouter發(fā)布回控制器時，路由將分發(fā)給具有Red和Green VRF的其他vRouters，最終結(jié)果是一組路由指示Red和Green網(wǎng)絡(luò)之間的流量通過該服務(wù)實例。

當(dāng)VNF啟動時，通過標(biāo)簽“Left”和“Right”標(biāo)識順序激活的接口。

VNF必須有一個配置，該配置可根據(jù)數(shù)據(jù)包到達(dá)的接口，正確地處理這些數(shù)據(jù)包。

服務(wù)（VNF）有三種類型：

• Layer 2 Transparent -以太網(wǎng)幀被發(fā)送到服務(wù)中，其目標(biāo)MAC地址是原始目的地的MAC地址。這最常用于深度包檢測服務(wù)。
• Layer 3 (In Network) - 以太網(wǎng)幀被發(fā)送到服務(wù)中，其目的地MAC設(shè)置為服務(wù)的入口接口的MAC，終止L2連接并使用出口MAC作為發(fā)送到目的地的幀的源MAC建立新的連接。這用于防火墻，負(fù)載平衡器和TCP代理。
• Layer 3 (NAT) - 類似 In Network，除了服務(wù)將源IP地址更改為可從目的地路由的地址（網(wǎng)絡(luò)地址轉(zhuǎn)換）。

下面說明了各種服務(wù)鏈的場景，并分別進(jìn)行簡要說明。

基本服務(wù)鏈

在第一個面板中，通過編輯Red和Green網(wǎng)絡(luò)之間的網(wǎng)絡(luò)策略來創(chuàng)建簡單的服務(wù)鏈，包括服務(wù)FW和DPI。這些虛擬機(jī)是先前在OpenStack或vCenter中啟動的，然后在Tungsten Fabric中配置為具有Red和Green網(wǎng)絡(luò)中的接口的服務(wù)實例。

保存策略并將其應(yīng)用于兩個網(wǎng)絡(luò)后，所有附加了Red或Green VM的vRouters中的路由都將被修改，以通過服務(wù)鏈發(fā)送流量。

例如，在修改策略之前，Red網(wǎng)絡(luò)中的每個VRF都有一條到綠色網(wǎng)絡(luò)中每個VM的路由，其中包含運(yùn)行VM的主機(jī)的下一跳，以及控制器指定了主機(jī)vRouter的標(biāo)簽。

路由被修改為具有FW服務(wù)實例的入口VRF的下一跳，以及為FW Left接口指定的標(biāo)簽。Right FW接口所在的VRF具有指向DPI Left接口的所有Green目的地的路由，并且DPI的Right VRF將包含所有Green目的地的路由以及它們運(yùn)行的主機(jī)的下一跳和原始路由標(biāo)簽。

反向流量的路由，也是類似的處理。

規(guī)模化的服務(wù)

當(dāng)單個VM沒有處理服務(wù)鏈流量要求的能力時，可以在服務(wù)中包含多個相同類型的VM，如第二個面板所示。完成此操作后，使用ECMP在兩端服務(wù)鏈的入口接口對流量進(jìn)行負(fù)載均衡，并在不同服務(wù)實例之間進(jìn)行負(fù)載均衡。

可以根據(jù)需要在Tungsten Fabric中添加新的服務(wù)實例，雖然傳統(tǒng)的ECMP哈希算法實現(xiàn)通常會在目標(biāo)數(shù)量發(fā)生變化時，將大多數(shù)會話移動到其他路徑，但在Tungsten Fabric中，這僅適用于新流，因為現(xiàn)有路徑流量是根據(jù)上一篇文章（詳解vRouters的體系結(jié)構(gòu)）中描述的流表確定的。

對于必須查看流中的所有數(shù)據(jù)包的有狀態(tài)服務(wù)，此行為至關(guān)重要，否則流將被阻止，從而導(dǎo)致用戶會話中斷。

通過相同的服務(wù)實例，流表還被反向填充，以確保數(shù)據(jù)流中反向的流量。

互聯(lián)網(wǎng)草案 https://datatracker.ietf.org/doc/draft-ietf-bess-service-chaining 上包含有關(guān)具有狀態(tài)服務(wù)的擴(kuò)展服務(wù)鏈的更多詳細(xì)信息。

基于策略指導(dǎo)

有些情況下，不同類型的流量需要傳遞到不同的服務(wù)鏈中。通過在網(wǎng)絡(luò)或安全策略中包含多條子策略，可以在Tungsten Fabric中實現(xiàn)。在圖中的示例中，端口80和8080上的流量必須通過防火墻（FW-1）和DPI，而所有其他流量僅通過防火墻（FW-2），其可能具有與防火墻FW-1不同的配置。

主-備服務(wù)鏈{#active-standby}

在某些情況下，流量通常需要通過某個特定的服務(wù)鏈，但如果檢測到該鏈存在問題，則應(yīng)將流量切換為備份。備用服務(wù)鏈位于不太有利的地理位置時，可能會出現(xiàn)這種情況。

在Tungsten Fabric中，主-備機(jī)制配置分兩步完成。

首先，將路由策略應(yīng)用于每個服務(wù)鏈的入口，為優(yōu)選的活動鏈入口指定較高的本地優(yōu)先級值。

其次，每個鏈上都附有一個運(yùn)行狀況檢查，可以測試服務(wù)實例是否可達(dá)，或是否可以到達(dá)鏈另一側(cè)的目的地。如果運(yùn)行狀況檢查失敗，則撤消到正?；顒臃?wù)鏈的路由，并且流量將流經(jīng)備用服務(wù)鏈。

更多Tungsten Fabric解析文章

第一篇：TF主要特點(diǎn)和用例
第二篇：TF怎么運(yùn)作
第三篇：詳解vRouter體系結(jié)構(gòu)

關(guān)注微信：TF中文社區(qū)

網(wǎng)頁名稱：TungstenFabric架構(gòu)解析丨TF的服務(wù)鏈
文章轉(zhuǎn)載：http://muchs.cn/article48/jpiihp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供商城網(wǎng)站、網(wǎng)頁設(shè)計公司、云服務(wù)器、網(wǎng)站改版、全網(wǎng)營銷推廣、網(wǎng)站設(shè)計公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)