TF Live直播回放丨王峻：藉助開源SDN利器打通異構混合雲

在多雲時代的企業雲服務中，經常遇到混合雲和異構資源問題，作為開源SDN 的代表， Tungsten Fabric 能夠很好實現 SDN 互通，在網路層面打通異構資源池。

7 月 9 日，在 TF 中文社群線上直播活動【  TF Live  】中，華勝天成網路架構師王峻與大家進行了線上交流，演示了基於 Tungsten Fabric 開源 SDN 功能，如何實現 vCenter 、 OpenStack 、 K8s 之間的異構資源池互通，以及服務鏈的引流功能。

本期活動，由TF 中文社群和 SDNLAB 聯合舉辦。

【pdf文件下載】

【直播影片回放】 https://v.qq.com/x/page/m31138leucf.html

 

 

王峻，華勝天成網路架構師。擁有 10 多年網路行業經驗，曾參與設計建設大型銀行骨幹網、網際網路政務雲等專案。在 7 月 9 日的 TF Live 直播和問答環節，王峻也分享了自己的實踐心得，以及 Tungsten Fabric 在企業雲端計算應用中的作用和表現。

基於 Tungsten Fabric 實現資源池互通

作為老牌雲端計算綜合服務商和雲端計算運營商，華勝天成在服務客戶雲端計算業務的過程中，開發了適應多雲異構資源的統一管理平臺，透過統一的雲管平臺，去對接OpenStack 、 K8s 、 vCenter 、 PowerVC 、 Ironic/xCAT 、裸機、公有云等各自不同的資源池。  

不過，在網路層面上，每類資源池其實都有各自的一套網路體系和外掛。這對於雲管平臺來說，網路層就變得比較複雜，需要尋找統一網路管理解決方案，應對客戶支援異構資源池的需求。同時，許多客戶並不希望被廠商繫結，希望構建一個解耦的架構。

 

王峻介紹，華勝天成的雲開發團隊經過大量調研比較，在多雲環境覆蓋、混合資源池網路應用編排、 SDN 功能、裝置支援友好度、開源架構、專業網路支援等方面綜合考量，最終選擇了 Tungsten Fabric 作為未來統一網路管理的技術方向。  

從Tungsten Fabric 的整體架構來看，不管是 OpenStack 的資源池，還是 k8s 的資源，或者 VMware 的資源池，都透過 Tungsten Fabric 計算節點裡邊的 vRouter 來實現。

QA問答

在 實際應用使用中， 一般 什麼場景 會出現這種多個異構資源 ？

從現在很多專案上來看，客戶本身一直透過 VMWARE 使用虛擬化，後來又上了 OpenStack ，這種情況很多，但兩邊管理是割裂的。對於客戶來說，一方面想要解耦，不希望繫結廠商；另一方面，比如網際網路出口有內外兩層防火牆，也需要做成異構的，在金融行業都是比較常見的。

原來用 某廠 的 OpenStack 方案，想用Tungsten Fabric的話是不是改動太大了？

改動應該比較大，我不知道您用的是他們SDN 哪個版本？像廠商這種的，都是基於硬體下發相應配置，然後在邊界上去做一個 VLAN 到 VXLAN 的一個轉換。而  Tungsten Fabric 主要是開源軟體，可以看到，我們所有的 vRouter 全都是在宿主機上去裝的，然後跟 underlay 的網路其實沒什麼關係，只要保證互通就行。

V r outer替換了OVS，架構變化還是挺大的。

對。變化確實比較大，vRouter 相當於都是路由的東西。比如說我在 vCenter 裡面建立了一個虛機，然後接到了分散式交換機上，就算我們用的是相同的網路， Tungsten Fabric 也會分配不同的 VLAN tag ，這就會導致所有的流量都會上到 vRouter 上去，不會在這個 vSwitch 上去做轉發。  

三個資源池的互通演示

接下來王峻進行了細緻的演示，基於Tungsten Fabric 在 vmware 中的實現（ Tungsten Fabric 和 vCenter 的整合），來進一步說明 Tungsten Fabric 的功能。  

l  Tungsten Fabric 透過監控 VM 的建立的 event ，部署網路和安全策略；

l  Tungsten Fabric 會為每個 VM 分配 vlan id ，每一個 VM 都有一個獨立的 vlan id ；

l  vRouter 一個口透過 trunk 連線到 vCenter 的分散式交換機，所有 VM 流量到交換機上打上相應 tag ，透過 trunk 發給 vRouter ，進入相應 vrf ，接下來處理方式和 openstack 和 k8s 就都一樣了；

l  vRouter 另一個口透過標準埠組連線物理網路卡，和其他的 ESXi 和 KVM 資源池建立 MPLSoverUDP 的隧道；

l  實際執行中，會在vRouter 裝一個 vCenter 的 manager ，去管理 VLAN 的 tag 。

   

  在直播的演示環境中，包含了 OpenStack ， K8s 和 vCenter 三個資源池。透過在 vCenter 上部署兩臺機器：一臺為 TF 的 Controller ，一臺為部署了 vRouter 的 ESXi ，後者建立一個虛機，然後去和 K8s 和 OpenStack 上虛機的互通。  

在三個資源池互通演示完成後，王峻還演示了資料流追蹤，在vRouter 上透過命令追蹤資料流，檢視了中間的轉發過程和互通的實現。

QA問答

每個資源池都有一個 vRouter ，這個是誰提供的？

比如說我們在OpenStack 有兩個計算節點，這兩個節點宿主機上面都會有相應的 vRouter ，去負責它的宿主機的轉發。再看 K8s 裡面的 Pod ，兩個 node 上都有 vRouter 。對於 vCenter 來說，每個 ESXi 上都有 vRouter 。

剛才這些 演示的 操作，都在一臺 宿主 機上完成的嗎？

不是的，我們的OpenStack 和 K8s 是巢狀虛擬化，在現有的虛擬化平臺上又搭建了環境， vCenter 這塊也是用一個工作站去搭的，還有 v Center 的環境， VMX 出口的路由器是在一個 vCenter 的環境上。

Tungsten Fabric 只能用於 二層的網路 ，來 連線幾個資源池 ，是這樣嗎？

它其實本質上是三層的，你的每一個虛機上來，它都在vRouter 上面，剛才我們也看了追蹤路由，虛擬機器接上來之後會給它分配相應的虛擬介面，劃到相應的 VRF 裡邊，剛才看到 VRF 裡面的路由表，會生成一個 32 位的路由，本質上我覺得還是路由，但它是一個 32 位的路由。

服務鏈的功能及引流

除了異構資源池互通，王峻還分享了服務鏈的引流功能。 

虛機一般是透過vRouter 到閘道器，然後出去訪問網際網路，但為了保護虛機安全，可能還要在路徑上增加一個防火牆。此時防火牆有可能是在 OpenStack 、 KVM 資源池裡邊，那就需要把流量引到防火牆，再從防火牆出來，然後再透過閘道器出去上網。  

也就是說，當我們需要在路徑上增加一些NFV 相應的功能，比如防火牆或者檢測的裝置，然後把流量引過來，就要用到服務鏈的功能。

 

  針對服務鏈引流的演示，首先在 K8s 裡邊建立一個 pod ，然後接入到一個自定義的網路裡邊，透過 Floating IP 繫結給 pod 。

接下來，防火牆是在vCenter 環境裡的一個 VSRX ，有兩個 VN ，透過 RT ，去把 Floating IP 網路和 left 網路（ trust 介面）打通，將流量引到防火牆上來。

最後，再透過right 網路，和 vmx 邊界打通，進而訪問外網。

QA問答

中間有沒有碰到過比較難解決的問題 ？跑通 的過程中踩過什麼坑？

部署的過程中還好，但因為vCenter 文件比較少，我們團隊這邊找了很多東西，遇到些麻煩。其實 vCenter 這塊來說， Tungsten Fabric 的支援不是特別好，比如防火牆匯入檔案映象的時候，只能選一個網路卡，匯入成功之後，要新新增網路卡（需要三個介面：管理、 left 、 right ），這個時候 Tungsten Fabric 就不能識別到了，暫時只能手動解決。比如關聯了新建的網路，或者原來關聯的網路改了，不能同步更改，要手動更改，才能一致互通。

Tungsten Fabric管 理 裸機的方向是什麼？

Tungsten Fabric 目前不能完美地實現裸機的東西，我們裸機可以註冊到OpenStack 上面，然後去部署作業系統，完成後但就沒有辦法去切換到租戶網路上去，還需要一些改進。

在實驗環境 中 的 underlay 是在一個區域網 嗎 ？ 可以在廣域網實現嗎？

廣域網其實有更好的方案，我們現在的環境，所有的出口都是透過一個VMX ，這樣的話不可能兩個資料中心透過同一個出口出去，我覺得更合理的方案是，每個資料中心都會有一個出口，然後透過出口去把兩邊實現互通，隧道應該是可以互通的，我們下一階段就要測這個場景。

在直播過程中，王峻也提到，Tungsten Fabric 還有很多需要改進完善的地方，但作為華勝天成下一步的網路技術發展方向，團隊會和大家一樣，做好研究開發，在社群積極交流，探索如何更好地應用 Tungsten Fabric ，打造更高可用的異構混合雲架構。