Tungsten Fabric架構解析丨TF的服務鏈

TF中文社群發表於2019-12-27
架構
Hi!這裡是Tungsten Fabric架構解析內容的第四篇,本文將詳細介紹Tungsten Fabric的服務鏈。
Tungsten Fabric架構解析系列文章,由TF中文社群為你呈現,旨在幫助初入TF社群的朋友答疑解惑。我們將系統介紹TF有哪些特點、如何運作、如何收集/分析/部署、如何編排、如何連線到物理網路等話題。


當網路策略指定兩個網路之間的流量,必須流經一個或多個網路服務(例如防火牆、TCP代理、負載平衡器等)時,即形成服務鏈,這些網路服務也被稱為虛擬網路功能(VNF)。
 
網路服務在虛擬機器(VM)中實現,這些虛擬機器在Tungsten Fabric中被標識為服務,然後包含在策略中。
 
Tungsten Fabric支援OpenStack和VMware vCenter環境中的服務鏈。
 
下面顯示了在兩個VM之間實現服務鏈的路由簡化檢視(實際的Tungsten Fabric實現中,特殊的“服務”VRF包含在服務鏈的路由中)。
 

當在控制器中將VM配置為服務例項(VNF),並在網路策略中應用該服務例項時,控制器將在“Left”和“Right”埠所在的VRF中安裝路由,用於引導流量透過VNF。
 
當封裝路由透過VNF vRouter釋出回控制器時,路由將分發給具有Red和Green VRF的其他vRouters,最終結果是一組路由指示Red和Green網路之間的流量透過該服務例項。
 
當VNF啟動時,透過標籤“Left”和“Right”標識順序啟用的介面。
 
VNF必須有一個配置,該配置可根據資料包到達的介面,正確地處理這些資料包。
 
服務(VNF)有三種型別:
 

  • Layer 2 Transparent -乙太網幀被髮送到服務中,其目標MAC地址是原始目的地的MAC地址。 這最常用於深度包檢測服務。
  • Layer 3 (In Network)  - 乙太網幀被髮送到服務中,其目的地MAC設定為服務的入口介面的MAC,終止L2連線並使用出口MAC作為傳送到目的地的幀的源MAC建立新的連線。 這用於防火牆,負載平衡器和TCP代理。
  • Layer 3 (NAT)  - 類似 In Network,除了服務將源IP地址更改為可從目的地路由的地址(網路地址轉換)。

 
下面說明了各種服務鏈的場景,並分別進行簡要說明。
 


基本服務鏈


在第一個皮膚中,透過編輯Red和Green網路之間的網路策略來建立簡單的服務鏈,包括服務FW和DPI。 這些虛擬機器是先前在OpenStack或vCenter中啟動的,然後在Tungsten Fabric中配置為具有Red和Green網路中的介面的服務例項。
 
儲存策略並將其應用於兩個網路後,所有附加了Red或Green VM的vRouters中的路由都將被修改,以透過服務鏈傳送流量。
 
例如,在修改策略之前,Red網路中的每個VRF都有一條到綠色 網路中每個VM的路由,其中包含執行VM的主機的下一跳,以及控制器指定了主機vRouter的標籤。
 
路由被修改為具有FW服務例項的入口VRF的下一跳,以及為FW Left介面指定的標籤。 Right FW介面所在的VRF具有指向DPI Left介面的所有Green目的地的路由,並且DPI的Right VRF將包含所有Green目的地的路由以及它們執行的主機的下一跳和原始路由標籤。
 
反向流量的路由,也是類似的處理。

規模化的服務


當單個VM沒有處理服務鏈流量要求的能力時,可以在服務中包含多個相同型別的VM,如第二個皮膚所示。 完成此操作後,使用ECMP在兩端服務鏈的入口介面對流量進行負載均衡,並在不同服務例項之間進行負載均衡。
 
可以根據需要在Tungsten Fabric中新增新的服務例項,雖然傳統的ECMP雜湊演算法實現通常會在目標數量發生變化時,將大多數會話移動到其他路徑,但在Tungsten Fabric中,這僅適用於新流,因為現有路徑流量是根據上一篇文章(詳解vRouters的體系結構)中描述的流表確定的。
 
對於必須檢視流中的所有資料包的有狀態服務,此行為至關重要,否則流將被阻止,從而導致使用者會話中斷。
 
透過相同的服務例項,流表還被反向填充,以確保資料流中反向的流量。
 
網際網路草案 上包含有關具有狀態服務的擴充套件服務鏈的更多詳細資訊。


基於策略指導


有些情況下,不同型別的流量需要傳遞到不同的服務鏈中。 透過在網路或安全策略中包含多條子策略,可以在Tungsten Fabric中實現。 在圖中的示例中,埠80和8080上的流量必須透過防火牆(FW-1)和DPI,而所有其他流量僅透過防火牆(FW-2),其可能具有與防火牆FW-1不同的配置。

主-備服務鏈{#active-standby}


在某些情況下,流量通常需要透過某個特定的服務鏈,但如果檢測到該鏈存在問題,則應將流量切換為備份。 備用服務鏈位於不太有利的地理位置時,可能會出現這種情況。
 
在Tungsten Fabric中,主-備機制配置分兩步完成。
 
首先,將路由策略應用於每個服務鏈的入口,為優選的活動鏈入口指定較高的本地優先順序值。
 
其次,每個鏈上都附有一個執行狀況檢查,可以測試服務例項是否可達,或是否可以到達鏈另一側的目的地。 如果執行狀況檢查失敗,則撤消到正常活動服務鏈的路由,並且流量將流經備用服務鏈。


更多Tungsten Fabric解析文章
第一篇: TF主要特點和用例
第二篇: TF怎麼運作

第三篇: 詳解vRouter體系結構

關注微信:TF中文社群
郵箱:tfzw001@163.com


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69957171/viewspace-2670945/,如需轉載,請註明出處,否則將追究法律責任。

相關文章