Hi!这里是Tungsten Fabric架构解析内容的第四篇,本文将详细介绍Tungsten Fabric的服务链。
Tungsten Fabric架构解析系列文章,由TF中文社区为你呈现,旨在帮助初入TF社区的朋友答疑解惑。我们将系统介绍TF有哪些特点、如何运作、如何收集/分析/部署、如何编排、如何连接到物理网络等话题。2つのネットワーク間のネットワークポリシーを指定トラフィックは、(例えば、ファイアウォール、TCPプロキシ、ロードバランサ等のような)1つまたは複数のネットワーク・サービスを介して流れなければならない場合、すなわち、サービス鎖が形成されている、これらのネットワークサービスは、仮想ネットワーク機能と呼ばれ(VNF)。
仮想マシン(VM)のインターネットサービスが実装され、これらの仮想マシンは、タングステンファブリックで奉仕として特定し、ポリシーに含まれています。
タングステンファブリック・サポート・サービスは、OpenStackのとVMwareのvCenter環境をチェーン。
以下に示したサービス鎖簡易ビュールートの実装(経路タングステンファブリック実際の実装では、特別な「サービス」VRFサービス鎖が含むで)は、2つのVM間。
サービスインスタンス(VNF)にVMにコントローラを設定し、サービスインスタンスにネットワークポリシーを適用すると、コントローラ意志経路が通る流れを案内するために、ポートにVRF「左」と「右」が配置されて取り付けられましたVNF。
ルートVNFたvrouter、分散vRoutersグリーンVRF赤および他を有する経路を介してコントローラへときにパッケージバック、最終結果は、サービスインスタンスを介してネットワークを示す赤と緑の間のトラフィックのルーティングのセットです。
VNFを起動すると、ラベル「左」と「右」配列同一インターフェースによって活性化されます。
VNFは、パケットに応じてインターフェースすることができた構成が正しくデータパケットを処理到着している必要があります。
サービス(VNF)3つのタイプがあります。
- レイヤ2トランスペアレント - イーサネットフレームは、宛先MACアドレスが元の宛先のMACアドレスであるサービスに送信されます。これは、最も一般的にディープパケットインスペクションサービスに使用されます。
- 層3(中ネットワーク) - イーサネットフレームは、MACフレームが新たな接続先のソースに送信された宛先MACは、MACサービス・インターフェース入口、出口接続に設定され、L2 MACを終了していることをサービスに送信されます。これは、ファイアウォール、ロードバランサとTCPプロキシのために使用されています。
- 層3(NAT) - 送信元IPアドレスとして機能することに加えて同様にネットワークは、宛先のルーティングアドレスから(ネットワークアドレス変換)を変更することができます。
以下は、様々なサービスチェーンのシーンを説明し、簡単に説明されています。
基本的なサービスチェーン
在第一个面板中,通过编辑Red和Green网络之间的网络策略来创建简单的服务链,包括服务FW和DPI。这些虚拟机是先前在OpenStack或vCenter中启动的,然后在Tungsten Fabric中配置为具有Red和Green网络中的接口的服务实例。
保存策略并将其应用于两个网络后,所有附加了Red或Green VM的vRouters中的路由都将被修改,以通过服务链发送流量。
例如,在修改策略之前,Red网络中的每个VRF都有一条到绿色网络中每个VM的路由,其中包含运行VM的主机的下一跳,以及控制器指定了主机vRouter的标签。
路由被修改为具有FW服务实例的入口VRF的下一跳,以及为FW Left接口指定的标签。Right FW接口所在的VRF具有指向DPI Left接口的所有Green目的地的路由,并且DPI的Right VRF将包含所有Green目的地的路由以及它们运行的主机的下一跳和原始路由标签。
反向流量的路由,也是类似的处理。
规模化的服务
当单个VM没有处理服务链流量要求的能力时,可以在服务中包含多个相同类型的VM,如第二个面板所示。完成此操作后,使用ECMP在两端服务链的入口接口对流量进行负载均衡,并在不同服务实例之间进行负载均衡。
可以根据需要在Tungsten Fabric中添加新的服务实例,虽然传统的ECMP哈希算法实现通常会在目标数量发生变化时,将大多数会话移动到其他路径,但在Tungsten Fabric中,这仅适用于新流,因为现有路径流量是根据上一篇文章(详解vRouters的体系结构)中描述的流表确定的。
对于必须查看流中的所有数据包的有状态服务,此行为至关重要,否则流将被阻止,从而导致用户会话中断。
通过相同的服务实例,流表还被反向填充,以确保数据流中反向的流量。
インターネットドラフトhttps://datatracker.ietf.org/doc/draft-ietf-bess-service-chaining拡張サービス・チェーンに関する詳細な情報が含まれているサービスのステータスを持っています。
ポリシーベースのガイダンス
いくつかのケースでは、異なるタイプのトラフィックは、異なるサービスチェーンに渡す必要があります。それは、サブネットワークの戦略やセキュリティポリシーのタングステンファブリック片に含めることによって達成することができます。図面の例では、808080のポートのトラフィックのみFW-1ファイアウォール異なる構成を有していてもよい、ファイアウォール(FW-2)を介して他のすべてのトラフィックが、ファイアウォール(FW-1)およびDPIを通過しなければなりません。
メイン - サービス連鎖の調製{#アクティブ - スタンバイ}
いくつかのケースでは、トラフィックは通常、特定のサービス・チェーンで必要とされていますが、チェーンの問題を検出した場合は、バックアップにトラフィックを切り替える必要があります。バックアップサービスチェーンが不利な地理的位置に位置する場合、このような状況が発生することがあります。
二段階のスタンバイ設定メカニズム - タングステンファブリック、主に。
まず、サービスルーティングポリシーは、より高いローカルプリファレンス値チェーン活動が好ましい入口割り当てるために、各鎖の入口に印加されます。
第二に、各リンクのヘルスチェックを伴っている、あなたはサービスインスタンスが稼働している、またはあなたがチェーンの反対側の宛先に到達できるかどうかをテストすることができます。ヘルスチェックが失敗した場合は、サービスチェーンの通常の活動へのルートの撤退、およびトラフィックが代替サービスチェーンを通じて流れます。
もっとタングステンファブリックの分析記事
第一章:TF主な特徴と使用例
二:それはどのように動作するかTF
パートIIIを:詳細なアーキテクチャたvrouter
マイクロ手紙に焦点:TF中国のコミュニティ 