Tungsten Fabric架构解析丨TF如何连接到物理网络

Hi!这里是Tungsten Fabric架构解析内容的第九篇,介绍TF如何连接到物理网络。Tungsten Fabric架构解析系列文章,由TF中文社区为你呈现,旨在帮助初入TF社区的朋友答疑解惑。我们将系统介绍TF有哪些特点、如何运作、如何收集/分析/部署、如何编排、如何连接到物理网络等话题。

在任何一个数据中心中,都需要一些VM访问外部IP地址,并且数据中心外部的用户,也需要通过公共IP地址访问某些VM。为此,Tungsten Fabric提供了几种实现方法:

  • V P N 连接到启用BGP的网关
  • vRouter中的源地址NAT
  • vRouter中underlay结构下的本地网关

每一种方法都适用于不同的用例,并且对外部设备和网络的配置具有不同的依赖性。

以下分别介绍了这几种连接外部网络的方法。

启用BGP的网关

实现外部连接的一种方法,是使用一系列可外部路由的IP地址创建虚拟网络,并将网络扩展到网关路由器。当网关路由器是Juniper MX路由器时,设备上的配置可以由Tungsten Fabric自动完成,如下图所示。

在Tungsten Fabric中定义网络A,包含可公开寻址的IP地址的子网。此公共虚拟网络在Tungsten Fabric中配置为扩展到网关路由器,当使用Tungsten Fabric Device Manager时,会在网关上自动创建VRF,路由目标与虚拟网络的路径目标匹配(例如,标记为VR的VRF)。

Tungsten Fabric使用默认路由配置此VRF,该路由导致在主inet.0路由表(其中包含到Internet中的公共目的地的路由)中,查找从Tungsten Fabric集群到达VRF的流量的路由。通过转发过滤器,可在Tungsten Fabric创建的VRF中查找到达网关A中目的地的流量。路由器通过VRF将默认路由通告给Tungsten Fabric控制器。

网络A被配置为Tungsten Fabric中的floating IP地址池,并且当将这样的地址分配给现有VM接口时,在VM的vRouter中创建一个附加的VRF(例如,用于网络A),并且该接口除了连接到原始VRF(图中的绿色或红色)之外,还连接到新的公共VRF。Floating IP地址的VRF在floating IP地址和VM上配置的IP地址之间执行1:1 NAT。

VM不知道此附加连接,并继续使用通过DHCP接收的原始虚拟网络的地址发送和接收流量。 vRouter将floating IP地址通告到控制器的路由,并且该路由通过BGP发送到网关,并且安装在公共VRF(例如VRF A)中。

Tungsten Fabric控制器通过物理路由器上的VRF向vRouter发送默认路由,并将其安装在vRouter的公共VRF中。

这些操作的结果是,vRouters上的公共VRF包含通过VM的本地接口到floating IP地址的路由,以及通过路由器上的VRF的默认路由。网关上的VRF通过inet.0路由表具有默认路由(使用基于过滤器的转发实现),并具有到每个分配的floating IP地址的主机路由。inet.0路由表具有通过相应VRF到每个floating IP网络的路由。

当租户拥有自己的公共IP地址范围时,可将多个独立的公共子网用作具有自己的VRF的独立floating IP地址池(如图所示),相反,一个floating IP地址池也可以在多个租户之间共享(图中未显示)。

如果使用非Juniper设备,或者不允许Tungsten Fabric在网关上进行配置更改,则可以在网关上手动或通过配置工具设置BGP会话、公共网络前缀和静态路由。当路由器将企业V P N的提供商边缘(PE)路由器角色与数据中心网关角色组合时,使用此方法。

通常在这种情况下,VRF将由V P N管理系统创建。当在虚拟网络中配置匹配的路由目标时,Tungsten Fabric集群中的虚拟网络将连接到企业V P N,并且在控制器和网关/ PE之间交换路由。

源地址 NAT

Tungsten Fabric使网络能够通过基于源的NAT服务进行连接,该服务允许多个VM或容器共享相同的外部IP地址。在每个vRouter中,源NAT以分布式的服务实现。

从VM发送到Internet的流量的下一跳,将是同一vRouter中的SNAT服务,它将不经封装转发到underlay网络的网关,其源地址被修改为vRouter主机的地址,并且根据特定的发送VM设置源端口。vRouter使用目标端口返回数据包,以映射回原始VM。

此选项对于为工作负载提供Internet访问非常有用,其中目标不需要知道源的实际IP地址(通常是这种情况)。

在Underlay中路由

Tungsten Fabric允许创建使用underlay连接的网络。

在underlay是路由IP fabric的情况下,Tungsten Fabric控制器可以配置为与underlay交换机交换路由。这允许虚拟工作负载连接到可从underlay网络访问的任何目标,并提供比物理网关更简单的方式,将虚拟工作负载连接到外部网络。

必须注意的是,重叠的IP地址不要连接到IP fabric中,此功能对于将云连接到传统资源(而不是多租户服务提供商的企业)更加有用。

请注意,流入和流出underlay网络的流量,都受到网络和安全策略的约束,就像使用虚拟网络的工作负载之间的流量一样。


MORE
更多Tungsten Fabric解析文章

第一篇:TF主要特点和用例
第二篇:TF怎么运作
第三篇:详解vRouter体系结构
第四篇:TF的服务链
第五篇:vRouter的部署选项
第六篇:TF如何收集、分析、部署?
第七篇:TF如何编排
第八篇:TF支持API一览


关注微信:TF中文社区

原文地址:https://blog.51cto.com/14638699/2466860

时间: 2024-10-08 02:35:11

Tungsten Fabric架构解析丨TF如何连接到物理网络的相关文章

Tungsten Fabric架构解析丨TF如何收集、分析、部署?

Hi!这里是Tungsten Fabric架构解析内容的第六篇,介绍TF的收集和分析,以及部署. Tungsten Fabric架构解析系列文章,由TF中文社区为你呈现,旨在帮助初入TF社区的朋友答疑解惑.我们将系统介绍TF有哪些特点.如何运作.如何收集/分析/部署.如何编排.如何连接到物理网络等话题. Tungsten Fabric的收集和分析 Tungsten Fabric从云基础架构(计算.网络和存储)及其上运行的工作负载收集信息,以便于运营监控.故障排除和容量规划. 数据以多种格式收集,

Tungsten Fabric架构解析丨TF支持API一览

Tungsten Fabric支持以下API:? ?用于控制器配置的REST API ?映射到REST配置API的Python绑定 ?用于访问分析数据的REST API 下面我们逐一进行描述. 用于控制器配置的REST API 通过在Tungsten Fabric外部虚拟IP地址的端口8082上访问的REST API,可以获得Tungsten Fabric群集的所有配置. 用户可以使用HTTP GET调用来检索资源列表或其属性的详细信息. 数据作为JSON对象返回.?可以通过发送包含新对象属性的

Tungsten Fabric架构解析丨vRouter的部署选项

Hi!这里是Tungsten Fabric架构解析内容的第五篇,介绍vRouter的部署选项. Tungsten Fabric架构解析系列文章,由TF中文社区为你呈现,旨在帮助初入TF社区的朋友答疑解惑.我们将系统介绍TF有哪些特点.如何运作.如何收集/分析/部署.如何编排.如何连接到物理网络等话题. vRouter有多种部署选项,可提供不同的好处和易用性: Kernel Module(内核模块)--默认部署模式 DPDK--使用英特尔库提供转发加速 SR-IOV--提供从VM直接访问NIC S

Tungsten Fabric架构解析|TF主要特点和用例

Tungsten Fabric有哪些特点?如何运作?如何部署?如何编排?--这是很多初入TF社区的技术朋友的困惑. 为统一答疑,我们将整理出Tungsten Fabric架构有关的内容,陆续在公众号发布,感谢关注,也可以后台留言给我们,把你最希望了解的问题告诉我们,小编去帮你寻找答案. 随着虚拟化成为提供公共云和私有云服务的关键技术,迄今为止广泛使用的虚拟化技术(例如,使用L2网络的VMware,以及OpenStack的Nova,Neutron或ML2网络),网络规模问题日益明显. Tungst

Tungsten Fabric入门宝典丨TF组件的七种“武器”

Tungsten Fabric入门宝典系列文章,来自技术大牛倾囊相授的实践经验,由TF中文社区为您编译呈现,旨在帮助新手深入理解TF的运行.安装.集成.调试等全流程.如果您有相关经验或疑问,欢迎与我们互动,并与社区极客们进一步交流.更多TF技术文章,请点击公号底部按钮>学习>文章合集. 作者:Tatsuya Naganawa 译者:TF编译组 Tungsten Fabric中有很多不同的组件.接下来我简要描述它们的用法. 概览 总体而言,Tungsten Fabric中包含7种角色和(多达)3

Tungsten Fabric架构和最新技术进展丨TF成立大会演讲实录

本文整理自瞻博网络杰出工程师Sukhdev Kapur在"TF中文社区成立暨第一次全员大会"上的演讲,增加了对于TF功能的描述,pdf点击下载.https://tungstenfabric.org.cn/assets/uploads/files/powering-edge-cloud-and-multi-cloud-with-tungsten-fabric-sukhdev-kapur.pdf 更多会议资料,请在"TF中文社区"公众号后台回复"成立大会&qu

OpenStack与Tungsten Fabirc如何集成丨TF成立大会演讲实录

本文整理自CodiLime工程总监Krzysztof Kajkowski在"TF中文社区成立暨第一次全员大会"上的演讲,点击下载PDF文档 https://tungstenfabric.org.cn/assets/uploads/files/openstack-powered-by-tf.pdf 更多会议资料,请在"TF中文社区"公众号后台回复"成立大会"获取.CodiLime工程总监Krzysztof Kajkowski 大家好,我是来自Cod

Tungsten Fabric与K8s集成指南丨创建虚拟网络

作者:吴明秘 Hi!欢迎来到Tungsten Fabric与Kubernetes集成指南系列,本文介绍通常创建虚拟网络的五个步骤.Tungsten Fabric与K8s集成指南系列文章,由TF中文社区为您呈现,旨在帮助大家了解Tungsten Fabric与K8s集成的基础知识.大家在相关部署中有什么经验,或者遇到的问题,欢迎与我们联系. 在做好架构部署,并确认Tungsten Fabric和Kubernetes(K8s)集群的初始状态没有问题后,就可以开始尝试创建虚拟网络了. 第1步:新建命名

Tungsten Fabric如何编排

OpenStack和TF集成 OpenStack是虚拟机和容器的领先的开源编排系统.Tungsten Fabric提供了Neutron网络服务的实现,并提供了许多附加功能. 在OpenStack中,用户组被分配到"项目",其中诸如VM和网络之类的资源是私有的,并且其他项目中的用户无法看到(除非特别启用). 在vRouters中使用VRF且每个网络都有路由表,可以直接在网络层中实施项目隔离,因为只有到允许目的地的路由才会分发到计算节点上的vRouters中的VRF,并且不会发生泛洪vRo