溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

細(xì)說(shuō)TF服務(wù)鏈丨如何配置服務(wù)鏈的高級(jí)功能

發(fā)布時(shí)間:2020-08-08 22:17:26 來(lái)源:ITPUB博客 閱讀:200 作者:TF中文社區(qū) 欄目:互聯(lián)網(wǎng)科技

作者:Umberto Manferdini   譯者:TF編譯組

在之前的文章中,我談到了 什么是服務(wù)鏈,以及 如何配置基本的服務(wù)鏈。讓我們回顧一下服務(wù)鏈的構(gòu)建方式:
 
細(xì)說(shuō)TF服務(wù)鏈丨如何配置服務(wù)鏈的高級(jí)功能

  • 一個(gè)網(wǎng)絡(luò)策略(在兩個(gè)虛擬網(wǎng)絡(luò)之間應(yīng)用,例如左側(cè)VN和右側(cè)VN)

  • 一個(gè)服務(wù)實(shí)例(已配置好該網(wǎng)絡(luò)策略)

  • 包含了端口元組(僅是VMI引用列表)的服務(wù)實(shí)例

  • 在這種情況下,服務(wù)實(shí)例具有兩個(gè)定義的接口(左和右),這意味著端口元組將具有兩個(gè)元素

  • 端口元組引用在OpenStack上運(yùn)行的現(xiàn)有VM的2個(gè)VMI

  • 在左右VN之間移動(dòng)的流量將通過(guò)該防火墻VM

 
在定義服務(wù)實(shí)例對(duì)象時(shí),可以配置高級(jí)功能。這些高級(jí)功能在服務(wù)實(shí)例對(duì)象中進(jìn)行配置。
我們展示了網(wǎng)絡(luò)策略如何導(dǎo)致相關(guān)虛擬網(wǎng)絡(luò)之間的路由泄漏。在這種情況下,右側(cè)VN路由將泄漏到左側(cè)VN中,此時(shí)將服務(wù)實(shí)例左側(cè)接口用作下一跳,反之亦然(右側(cè)VN中的左側(cè)VN路由,會(huì)將服務(wù)實(shí)例右側(cè)接口用作下一跳)。
可以通過(guò)配置路由策略來(lái)控制此泄漏。路由策略使用Junos語(yǔ)法,因此,如果有Junos經(jīng)驗(yàn),編寫(xiě)這些策略就會(huì)很容易!
 
細(xì)說(shuō)TF服務(wù)鏈丨如何配置服務(wù)鏈的高級(jí)功能

例如,該策略接受0/0路由,并拒絕其它任何內(nèi)容(路由更新)!
通過(guò)將策略映射到服務(wù)實(shí)例對(duì)象定義內(nèi)的左/右接口來(lái)應(yīng)用策略:
 
細(xì)說(shuō)TF服務(wù)鏈丨如何配置服務(wù)鏈的高級(jí)功能

虛擬機(jī)可以使用BGPaaS宣布/接收來(lái)自Tungsten Fabric的路由。如果虛擬機(jī)不支持BGP,則可以在VMI上定義靜態(tài)路由:
 
細(xì)說(shuō)TF服務(wù)鏈丨如何配置服務(wù)鏈的高級(jí)功能
首先,我們定義靜態(tài)路由:
細(xì)說(shuō)TF服務(wù)鏈丨如何配置服務(wù)鏈的高級(jí)功能

應(yīng)用于VMI的靜態(tài)路由定義為“接口路由表”。如您所見(jiàn),這些路由沒(méi)有配置下一跳。下一跳將自動(dòng)設(shè)置為應(yīng)用了靜態(tài)路由的VMI。
在一個(gè)服務(wù)鏈中,當(dāng)定義服務(wù)實(shí)例對(duì)象時(shí),靜態(tài)路由會(huì)應(yīng)用在接口級(jí)別:
 
細(xì)說(shuō)TF服務(wù)鏈丨如何配置服務(wù)鏈的高級(jí)功能
結(jié)果是,左側(cè)VN的路由為0/0,下一跳為服務(wù)實(shí)例左側(cè)接口,而右側(cè)VN的路由為192.168.100.3/32,下一跳為服務(wù)實(shí)例右側(cè)接口。
作為靜態(tài)路由,我們?nèi)狈ο馚GP這樣的協(xié)議所帶來(lái)的動(dòng)態(tài)性,尤其是面對(duì)故障時(shí)。
只要我們不引入“運(yùn)行狀況檢查(Health Checks)”這樣的功能,就可能帶來(lái)這樣的結(jié)果(出現(xiàn)靜態(tài)路由的故障)。
狀況檢查是我們可以應(yīng)用于VMI的功能組件——運(yùn)行狀況檢查可驗(yàn)證VMI的活動(dòng)性。
運(yùn)行狀況檢查有很多不同種類,最簡(jiǎn)單的一項(xiàng)是ICMP檢查。vRouter將ICMP echo請(qǐng)求發(fā)送到VMI,并等待echo應(yīng)答。如果丟失的回復(fù)數(shù)超過(guò)配置的閾值,則將VMI聲明為Down,并刪除指向該VMI的所有路由(包括先前定義的那些靜態(tài)路由)。
實(shí)際上,就像任何一個(gè)VNF都支持ping一樣,任何VNF都將支持ICMP運(yùn)行狀況檢查。當(dāng)然,這種運(yùn)行狀況檢查很慢并且不能提供快速收斂。為了更快地收斂,我們需要依靠BFD運(yùn)行狀況檢查。使用BFD,我們可以更快地檢測(cè)到故障,但VNF必須支持BFD。
 
細(xì)說(shuō)TF服務(wù)鏈丨如何配置服務(wù)鏈的高級(jí)功能
閾值在運(yùn)行狀況檢查對(duì)象內(nèi)進(jìn)行配置:
 
細(xì)說(shuō)TF服務(wù)鏈丨如何配置服務(wù)鏈的高級(jí)功能
在本示例中,我們使用BFD,每秒發(fā)送一個(gè)BFD數(shù)據(jù)包。如果丟失了3個(gè)以上的數(shù)據(jù)包,則BFD宣告為down。
運(yùn)行狀況檢查在服務(wù)實(shí)例對(duì)象內(nèi)進(jìn)行配置:
 
細(xì)說(shuō)TF服務(wù)鏈丨如何配置服務(wù)鏈的高級(jí)功能
綜上所述,我們可以使用路由策略來(lái)控制網(wǎng)絡(luò)之間的泄漏。
此外,我們還可以定義靜態(tài)路由,將其應(yīng)用于VMI,并依靠運(yùn)行狀況檢查(BFD)在出現(xiàn)故障時(shí)實(shí)現(xiàn)快速收斂。
下一步是什么?冗余。我們將在下篇文章中詳細(xì)介紹。


細(xì)說(shuō)TF服務(wù)鏈——

  1. 一文講透什么是服務(wù)鏈(多圖)

  2. 手把手教你配置服務(wù)鏈

  3. 服務(wù)鏈后臺(tái)的路由實(shí)現(xiàn)


  Tungsten Fabric 架構(gòu)解析 列文章 ——

  • 第一篇: TF主要特點(diǎn)和用例

  •   第二篇: TF怎么運(yùn)作

  •    第三篇:詳解vRouter體系結(jié)構(gòu)

  •    第四篇: TF的服務(wù)鏈

  •   第五篇: vRouter的部署選項(xiàng)

  •    第六篇: TF如何收集、分析、部署?

  •    第七篇: TF如何編排

  •   第八篇: TF支持API一覽

  •   第九篇: TF如何連接到物理網(wǎng)絡(luò)

  •   第十篇: TF基于應(yīng)用程序的安全策略

細(xì)說(shuō)TF服務(wù)鏈丨如何配置服務(wù)鏈的高級(jí)功能

細(xì)說(shuō)TF服務(wù)鏈丨如何配置服務(wù)鏈的高級(jí)功能

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI