开始吧
因为要为公司云产品做OVS类型虚拟化网络方案参考了Openstack和OVN的实现做了些笔记,之前虽然做过OVS的网络方案,但都是在骨干网上,相对逻辑比较简单。OVS方案在业界普遍使用,也有很多较为成熟的开源方案,如Openstack和OVN。
Openstack倒是整理了一份更为细致和准确的调研文档,但是网上资料太多没必要贴出来,后面会把流表设计相关内容放出来,还有一篇流表设计通用方案。
OVN的基本功能、架构、流表设计也做了些记录,这里贴出来供复习使用。
OVN 简介
OVN (Open Virtual Network) 是OVS提供的原生虚拟化网络方案,旨在解决传统SDN架构(比如Neutron DVR)的性能问题。
OVN是OVS的控制平面的一种结构实现,早期版本ovn就是放在ovs的代码里的,后面才分开的,但编译ovn是也必须指定ovs的源码目录,可见OVN实际上是OVS的亲儿子。
其主要功能包括
- L2/L3虚拟网络以及逻辑交换机(logical switch)
- L2/L3/L4 ACL
- IPv4/IPv6分布式L3路由
- ARP and IPv6 Neighbor Discovery suppression for known IP-MAC bindings
- Native support for NAT and load balancing using OVS connection tracking
- Native fully distributed support for DHCP
- Works with any OVS datapath (such as the default Linux kernel datapath, DPDK, or Hyper-V) that supports all required features (namely Geneve tunnels and OVS connection tracking)
- Supports L3 gateways from logical to physical networks
- Supports software-based L2 gateways
- Supports TOR (Top of Rack) based L2 gateways that implement the hardware_vtep schema
- Can provide networking for both VMs and containers running inside of those VMs, without a second layer of overlay networking
OVN架构
OVN由以下组件构成:
- northbound database:存储逻辑交换机、路由器、ACL、端口等的信息,目前基于ovsdb-server,未来可能会支持etcd v3
- ovn-northd: 集中式控制器,负责把northbound database数据分发到各个ovn-controller
- ovn-controller: 运行在每台机器上的本地SDN控制器
- southbound database:基于ovsdb-server(未来可能会支持etcd v3),包含三类数据
- 物理网络数据,比如VM的IP地址和隧道封装格式
- 逻辑网络数据,比如报文转发方式
-
物理网络和逻辑网络的绑定关系
image
补充说明
- Data Path:OVN的实现简单有效,都是基于OVS原生的功能特性来做的(由于OVN的实现不依赖于内核特性,这些功能在OVS+DPDK上也完全支持),比如
- security policies 基于 OVS+conntrack 实现
- 分布式L3路由基于OVS flow实现
- Logical Flows:逻辑流表,会由ovn-northd分发给每台机器的ovn-controller,然后ovn-controller再把它们转换为物理流表;
- 后面经常会用到 ovn-nbctl 和 ovn-sbctl 命令,是分别查看 Northbound DB 和 Southbound DB 数据,ovs-vsctl 用来查看本地ovs db的数据,着三个命令依次会越来越抽象。
如果实现OVS的虚拟交换机方案,有两个难点:
- 一是控制面设计,如果将网络业务逻辑转化为物理网络拓扑和转发逻辑,以及如何控制可能的大量的ovs虚拟交换机和流表;
- 二是数据面流表设计,好的流表设计可以有效减少流表数量,很好的扩展功能,方便维护和排障。
通过学习OVN可以:
- 参考其各项功能的流表设计;
- 参考其控制面设计,ovn控制面使用ovsdb协议,只有在计算节点上才会使用openflow协议,避免了openflow协议的性能问题;
使用OVN的问题记录:
- OVN实现比较复杂,后期学习和维护成本较高,不支持插件,自研需求需要修改源代码;
- 不支持跨主机的underlay方案,如vlan,但kube-ovn都已经支持;
- 对一些网络服务的管理,如LB(OVN自带最基本的三四层LB)、动态路由协议、动态DHCP等,未集成在系统内,需要额外实现;
- OVN的方案和我司目前使用Linux Bridge的方案差别较大,直接使用在软件上改动较大。
网友评论