Tungsten Fabric架構(gòu)解析丨TF如何連接到物理網(wǎng)絡(luò)

Hi！這里是Tungsten Fabric架構(gòu)解析內(nèi)容的第九篇，介紹TF如何連接到物理網(wǎng)絡(luò)。
Tungsten Fabric架構(gòu)解析系列文章，由TF中文社區(qū)為你呈現(xiàn)，旨在幫助初入TF社區(qū)的朋友答疑解惑。我們將系統(tǒng)介紹TF有哪些特點、如何運作、如何收集/分析/部署、如何編排、如何連接到物理網(wǎng)絡(luò)等話題。

在任何一個數(shù)據(jù)中心中，都需要一些VM訪問外部IP地址，并且數(shù)據(jù)中心外部的用戶，也需要通過公共IP地址訪問某些VM。為此，Tungsten Fabric提供了幾種實現(xiàn)方法：

• V P N 連接到啟用BGP的網(wǎng)關(guān)
• vRouter中的源地址NAT
• vRouter中underlay結(jié)構(gòu)下的本地網(wǎng)關(guān)

每一種方法都適用于不同的用例，并且對外部設(shè)備和網(wǎng)絡(luò)的配置具有不同的依賴性。

以下分別介紹了這幾種連接外部網(wǎng)絡(luò)的方法。

啟用BGP的網(wǎng)關(guān)

實現(xiàn)外部連接的一種方法，是使用一系列可外部路由的IP地址創(chuàng)建虛擬網(wǎng)絡(luò)，并將網(wǎng)絡(luò)擴展到網(wǎng)關(guān)路由器。當(dāng)網(wǎng)關(guān)路由器是Juniper MX路由器時，設(shè)備上的配置可以由Tungsten Fabric自動完成，如下圖所示。

在Tungsten Fabric中定義網(wǎng)絡(luò)A，包含可公開尋址的IP地址的子網(wǎng)。此公共虛擬網(wǎng)絡(luò)在Tungsten Fabric中配置為擴展到網(wǎng)關(guān)路由器，當(dāng)使用Tungsten Fabric Device Manager時，會在網(wǎng)關(guān)上自動創(chuàng)建VRF，路由目標(biāo)與虛擬網(wǎng)絡(luò)的路徑目標(biāo)匹配（例如，標(biāo)記為VR的VRF）。

Tungsten Fabric使用默認(rèn)路由配置此VRF，該路由導(dǎo)致在主inet.0路由表（其中包含到Internet中的公共目的地的路由）中，查找從Tungsten Fabric集群到達VRF的流量的路由。通過轉(zhuǎn)發(fā)過濾器，可在Tungsten Fabric創(chuàng)建的VRF中查找到達網(wǎng)關(guān)A中目的地的流量。路由器通過VRF將默認(rèn)路由通告給Tungsten Fabric控制器。

網(wǎng)絡(luò)A被配置為Tungsten Fabric中的floating IP地址池，并且當(dāng)將這樣的地址分配給現(xiàn)有VM接口時，在VM的vRouter中創(chuàng)建一個附加的VRF（例如，用于網(wǎng)絡(luò)A），并且該接口除了連接到原始VRF（圖中的綠色或紅色）之外，還連接到新的公共VRF。Floating IP地址的VRF在floating IP地址和VM上配置的IP地址之間執(zhí)行1:1 NAT。

VM不知道此附加連接，并繼續(xù)使用通過DHCP接收的原始虛擬網(wǎng)絡(luò)的地址發(fā)送和接收流量。 vRouter將floating IP地址通告到控制器的路由，并且該路由通過BGP發(fā)送到網(wǎng)關(guān)，并且安裝在公共VRF（例如VRF A）中。

Tungsten Fabric控制器通過物理路由器上的VRF向vRouter發(fā)送默認(rèn)路由，并將其安裝在vRouter的公共VRF中。

這些操作的結(jié)果是，vRouters上的公共VRF包含通過VM的本地接口到floating IP地址的路由，以及通過路由器上的VRF的默認(rèn)路由。網(wǎng)關(guān)上的VRF通過inet.0路由表具有默認(rèn)路由（使用基于過濾器的轉(zhuǎn)發(fā)實現(xiàn)），并具有到每個分配的floating IP地址的主機路由。inet.0路由表具有通過相應(yīng)VRF到每個floating IP網(wǎng)絡(luò)的路由。

當(dāng)租戶擁有自己的公共IP地址范圍時，可將多個獨立的公共子網(wǎng)用作具有自己的VRF的獨立floating IP地址池（如圖所示），相反，一個floating IP地址池也可以在多個租戶之間共享（圖中未顯示）。

如果使用非Juniper設(shè)備，或者不允許Tungsten Fabric在網(wǎng)關(guān)上進行配置更改，則可以在網(wǎng)關(guān)上手動或通過配置工具設(shè)置BGP會話、公共網(wǎng)絡(luò)前綴和靜態(tài)路由。當(dāng)路由器將企業(yè)V P N的提供商邊緣（PE）路由器角色與數(shù)據(jù)中心網(wǎng)關(guān)角色組合時，使用此方法。

通常在這種情況下，VRF將由V P N管理系統(tǒng)創(chuàng)建。當(dāng)在虛擬網(wǎng)絡(luò)中配置匹配的路由目標(biāo)時，Tungsten Fabric集群中的虛擬網(wǎng)絡(luò)將連接到企業(yè)V P N，并且在控制器和網(wǎng)關(guān)/ PE之間交換路由。

源地址 NAT

Tungsten Fabric使網(wǎng)絡(luò)能夠通過基于源的NAT服務(wù)進行連接，該服務(wù)允許多個VM或容器共享相同的外部IP地址。在每個vRouter中，源NAT以分布式的服務(wù)實現(xiàn)。

從VM發(fā)送到Internet的流量的下一跳，將是同一vRouter中的SNAT服務(wù)，它將不經(jīng)封裝轉(zhuǎn)發(fā)到underlay網(wǎng)絡(luò)的網(wǎng)關(guān)，其源地址被修改為vRouter主機的地址，并且根據(jù)特定的發(fā)送VM設(shè)置源端口。vRouter使用目標(biāo)端口返回數(shù)據(jù)包，以映射回原始VM。

此選項對于為工作負(fù)載提供Internet訪問非常有用，其中目標(biāo)不需要知道源的實際IP地址（通常是這種情況）。

在Underlay中路由

Tungsten Fabric允許創(chuàng)建使用underlay連接的網(wǎng)絡(luò)。

在underlay是路由IP fabric的情況下，Tungsten Fabric控制器可以配置為與underlay交換機交換路由。這允許虛擬工作負(fù)載連接到可從underlay網(wǎng)絡(luò)訪問的任何目標(biāo)，并提供比物理網(wǎng)關(guān)更簡單的方式，將虛擬工作負(fù)載連接到外部網(wǎng)絡(luò)。

必須注意的是，重疊的IP地址不要連接到IP fabric中，此功能對于將云連接到傳統(tǒng)資源（而不是多租戶服務(wù)提供商的企業(yè)）更加有用。

請注意，流入和流出underlay網(wǎng)絡(luò)的流量，都受到網(wǎng)絡(luò)和安全策略的約束，就像使用虛擬網(wǎng)絡(luò)的工作負(fù)載之間的流量一樣。

MORE
更多Tungsten Fabric解析文章

第一篇：TF主要特點和用例
第二篇：TF怎么運作
第三篇：詳解vRouter體系結(jié)構(gòu)
第四篇：TF的服務(wù)鏈
第五篇：vRouter的部署選項
第六篇：TF如何收集、分析、部署？
第七篇：TF如何編排
第八篇：TF支持API一覽

關(guān)注微信：TF中文社區(qū)