簡単な言葉でそれらの機能OpenStackの中性子とに基づいて、（A）の実施におけるクラウドネットワーク--VPCの新世代 - （a）に基づいて、クラウドネットワーク--VPCとOpenStackの中性子の実装の新しい世代でこれらの機能を転送する簡単な、簡単な用語ポート - ジェーンそして、言ったポートフォワーディング

簡単に言えば、これらの機能（A）に基づいて、クラウド・ネットワーク--VPCとOpenStackの中性子の実装の新世代 - 説明とポートフォワーディング

VPCは、非常に早い「新」が実現オーバーレイVXLANの概念に基づいて、タイトルとレガシーネットワークにおける相対的な概念です。しかし、国内メーカーの党のビジョンに本当にもっともっと前の世代のSDNネットワークとは別の、最後の、基本的なネットワークアーキテクチャの前に今年、昨年から、私は多くの顧客を経験したが、テスト後に徐々に学習した後です生産にそれを展開します。同時に、国内パブリッククラウドベンダーは、多かれ少なかれ、より強力な、より良い安全VPCのネットワークを使用するために顧客を奨励するために、教育市場のコストをかけています。

• VPCとは何ですか

VPCは、すなわち、仮想プライベートクラウド、その最大の特徴は、ネットワークなので、業界では時々、ユーザーが論理的に、クラウドにある、独自の仮想ネットワークを定義することができ、クラウドコンピューティング環境に基づいて、プライベートネットワークと呼ばれ、他の仮想ネットワークの分離、ユーザーは、サブネットがルーティングテーブルを作成および設定、ネットワークゲートウェイとセキュリティ設定をプライベートIPアドレスを選択することができます。

従来の基本的なネットワーク管理者の視点：

（ - コア - 収束 - アクセス - ユーザーのレベルの部門もちろん、実際には、以前のIT統合アーキテクチャは、複雑な外部のビジネスニーズとセキュリティ要件に基づいています）

ユーザの視点からはそれもに減少させることができます。

実際のクラウド環境、例えば脇機器を切り替える上部ACLとして脇クラウドホストセキュリティグループポリシーは、ネットワーク内の各ユーザのために同じレベルで、IP管理プラットフォームは、当然、エンドによって割り当てられます。

使用するVPCのネットワーク環境：

色の領域が他のユーザに権利色で、ユーザが領域を残しています。両方のそれぞれのネットワークブロードキャストドメインは、互いに影響を及ぼさない、IPの性質は、ユーザによって指定されてもよいです。ベースネットワークに比べて、図から見つけることは困難ではない、ルーティングVPCは、ネットワークのコアです。

那么开头所说的“功能更强大，安全性更好”具体指什么呢？功能更强大，指的是更便利、形式多样的互联互通、带宽分配等网络功能；安全性更好，指的是用户的私有网络隐藏在路由之内，不仅互不影响，还可以将访问控制的执行者，从云主机本身一直延伸到三层。

• VPC-NAT

NAT即网络地址转换，分为DNAT（目的地址转换）与SNAT（源地址转换），最直白地从常见功能目的来说， DNAT可以用于实现一个上层（路由的外层）地址的端口转发到下层（路由的内层）网络某个地址的某端口，SNAT可以用于实现多台云主机共享一个网关地址访问上层(路由的外层)网络。

第一个很好理解，4层端口转发。

有时候为了管理需要，要能在外层网络管理私网中的三台云主机，而这三台云主机仅有私网地址没有外层地址，那么可以使用端口转发，将路由外层地址 114.123.123.x 的22端口转发至第一台云主机10.1.1.3的22端口，将114.123.123.x的23端口转发至第二台云主机的22端口，将路由的24端口转发至第三台云主机的22端口。如此通过SSH一个外层地址的不同端口来连接到私网内的三台云主机。

其实和7层的转发有那么点相似之处，比如 Nginx的80端口代理后端应用服务器的8080端口，81端口代理另一台服务器的8080端口。还真别说，Nginx自从1.9版本后开始支持TCP代理了。

抛开应用层转发不谈，基于OpenStack该如何实现呢？

熟悉虚拟化与容器技术的朋友肯定熟悉linux的namespace(命名空间)，在Neutron 的L3节点上，不同用户的VPC路由正是用namespace技术实现的隔离，这一点和不同vxlan网络的隔离还是有很大区别的，本篇不谈。

netns是在Linux中提供网络虚拟化的一个项目，使用netns网络空间虚拟化可以在本地虚拟化出多个网络环境

所以，在L3节点使用ip netns 可以看到含本地所有网络命名空间的list：

可以发现，其实不同网络的dhcp服务与负载均衡服务(非Octavia)也是使用类似的方式。

qrouter后面接的uuid正是路由的uuid。通过这种方式即可进入VPC路由所在命名空间并使用iptables 执行对NAT表规则的增删。

故端口转发的功能API流程可以简单描述为：

输入数据为 VPC路由uuid 及端口，私网云主机IP及端口，生成

VPC路由IP：端口 →  云主机IP：端口

的一条 DNAT规则。

进入VPC命名空间执行规则。

执行后NAT表效果：

系列下一篇 《深入浅出新一代云网络——VPC中的那些功能与基于OpenStack Neutron的实现（二）》中将给出上文的简单API 代码，并展开另一块内容——VPC网络带宽的共享与分离。考虑篇幅， VPC网络中实现互联互通的路由技术与隧道技术可能会放在系列的第三篇。