Tungsten Fabric架構(gòu)解析丨TF怎么運作？

Hi！這里是TF中文社區(qū)關(guān)于Tungsten Fabric架構(gòu)解析內(nèi)容的第二篇，解讀TF如何運作。本文介紹TF控制器和vRouter的軟件體系結(jié)構(gòu)，以及在虛擬機或容器啟動時，vRouters與Tungsten Fabric控制器之間的交互。
Tungsten Fabric架構(gòu)解析系列文章，旨在幫助初入TF社區(qū)的朋友答疑解惑，我們將系統(tǒng)介紹TF有哪些特點、如何運作、如何收集/分析/部署、如何編排、如何連接到物理網(wǎng)絡等話題。

Tungsten Fabric支持Orchestrator（編排器）

Tungsten Fabric控制器集成了OpenStack或Kubernetes等云管理系統(tǒng)，其功能是確保在創(chuàng)建虛擬機（VM）或容器時，根據(jù)控制器或協(xié)調(diào)器中指定的網(wǎng)絡和安全策略為其提供網(wǎng)絡連接。

Tungsten Fabric由兩個主要軟件組成：
? Tungsten Fabric 控制器– 一組維護網(wǎng)絡和網(wǎng)絡策略模型的軟件服務，為實現(xiàn)高可用性，通常在多個服務器上運行。
? Tungsten Fabric vRouter– 安裝在運行工作負載（虛擬機或容器）的每個主機上，vRouter執(zhí)行封包轉(zhuǎn)發(fā)，并實施網(wǎng)絡和安全策略。

Tungsten Fabric的典型部署如下圖所示：

Tungsten Fabric控制器通過軟件插件與協(xié)調(diào)器集成在一起，該插件實現(xiàn)了協(xié)調(diào)器的網(wǎng)絡服務。

例如，OpenStack的Tungsten Fabric插件實現(xiàn)了Neutron API，kube-network-manager_和_CNI（容器網(wǎng)絡接口）組件使用Kubernetes k8s API監(jiān)聽網(wǎng)絡相關(guān)事件。

Tungsten Fabric vRouter取代Linux橋接器和IP表，或計算主機上的Open vSwitch網(wǎng)絡，控制器配置vRouters以實現(xiàn)所需的網(wǎng)絡和安全策略。

VM的封包如果要轉(zhuǎn)發(fā)到不同主機上，vRouter會加MPLS over UDP / GRE或VXLAN封裝，其中外部標頭的目標是運行目標VM的主機的IP地址?？刂破髫撠熢诿總€實現(xiàn)網(wǎng)絡策略的vRouter的每個VRF中安裝路由集。

例如：默認情況下，同一網(wǎng)絡中的虛擬機可以相互通信，但不能與不同網(wǎng)絡中的虛擬機進行通信，除非在網(wǎng)絡策略中特別允許?？刂破骱蛌Routers之間的通信是通過一種廣泛使用且靈活的消息傳遞協(xié)議XMPP實現(xiàn)的。

云自動化的一個關(guān)鍵特性，是用戶可以為其應用程序請求資源，而無需了解如何或在何處提供資源的詳細信息。

這通常是通過一個門戶網(wǎng)站完成的，該門戶網(wǎng)站提供了一組服務產(chǎn)品，用戶可以從中選擇，并將其轉(zhuǎn)換為API調(diào)用到底層系統(tǒng)，包括云協(xié)調(diào)器，以啟動具有必要內(nèi)存、磁盤和CPU的虛擬機或容器，滿足用戶要求的能力。

服務產(chǎn)品可以像具有特定內(nèi)存、分配給它的磁盤和CPU的虛擬機一樣簡單，也可以包括由多個預配置軟件實例組成的整個應用程序堆棧。

和Orchestrator的互動

Tungsten Fabric控制器和vRouter的架構(gòu)，以及與協(xié)調(diào)器的交互，如下圖所示：

該圖顯示了一個協(xié)調(diào)器工作虛擬機管理程序和虛擬機，這和容器協(xié)調(diào)器的信息流類似，例如Kubernetes（帶有Tungsten Fabric的Kubernetes容器）。

主機上運行的工作負載的每個接口都連接到VRF，包含相應網(wǎng)絡的L2和L3轉(zhuǎn)發(fā)表，其中包含該接口的IP地址。

vRouter實現(xiàn)物理路由器執(zhí)行的集成橋接和路由（IRB）功能。vRouter僅具有位于該主機上有網(wǎng)絡接口的VRF，包括連接到主機物理接口的Fabric VRF。使用VRF可以使不同的虛擬網(wǎng)絡具有重疊的IP和MAC地址，不會定義任何網(wǎng)絡策略來允許它們之間的流量。

Tungsten Fabric虛擬化網(wǎng)絡使用封裝隧道在不同主機上的VM之間傳輸封包，而封裝和解封裝在Fabric VRF和VM VRF之間發(fā)生。

創(chuàng)建新的虛擬工作負載時，會在特定于orchestrator的插件中看到一個事件并將其發(fā)送到控制器，然后控制器會向代理發(fā)送請求，以便在虛擬網(wǎng)絡的VRF中安裝路由，然后代理將其配置在轉(zhuǎn)發(fā)器里。

使用單個接口在新VM上配置網(wǎng)絡的邏輯流程如下：

1. 使用UI、CLI或北向REST API在Orchestrator或Tungsten Fabric中定義網(wǎng)絡和網(wǎng)絡策略。網(wǎng)絡主要定義為IP地址池，在創(chuàng)建VM時將分配給接口。
2. 用戶請求由協(xié)調(diào)器啟動VM，包括其接口所在的網(wǎng)絡。
3. 協(xié)調(diào)器選擇要運行的新VM的主機，并指示該主機上的計算代理程序獲取其映像并啟動VM。
4. Tungsten Fabric插件從協(xié)調(diào)器的網(wǎng)絡服務接收事件或API調(diào)用，指示它為將要啟動的新VM的接口設置網(wǎng)絡。這些指令將轉(zhuǎn)換為Tungsten Fabric REST調(diào)用并發(fā)送到Tungsten Fabric控制器。
5. Tungsten Fabric控制器向vRouter代理發(fā)送請求，以便將新VM虛擬接口連接到指定的虛擬網(wǎng)絡。vRouter代理指示vRouter轉(zhuǎn)發(fā)器將VM接口連接到虛擬網(wǎng)絡的VRF。如果不存在，則創(chuàng)建VRF，并且接口連接到它。
6. 計算代理啟動VM，通常將其配置為使用DHCP為其每個接口請求IP地址。vRouter代理DHCP請求，然后對接口IP地址，默認網(wǎng)關(guān)和DNS服務器地址進行響應。
7. 一旦接口啟動且具有來自DHCP的IP地址，vRouter安裝到VM的IP和MAC地址路由，并將下一跳設為VM虛擬接口。
8. vRouter為接口分配標簽，并在MPLS表中安裝標簽路由。vRouter向控制器發(fā)送XMPP消息，該消息包含到新VM的路由。該路由具有運行vRouter的服務器的IP地址的下一跳，并使用剛剛分配的標簽指定封裝協(xié)議。
9. 在網(wǎng)絡策略所允許下，控制器將新VM路由分發(fā)到其他vRouters，包含VM位于同一網(wǎng)絡和其他網(wǎng)絡。
10. 在網(wǎng)絡策略所允許下，控制器將其他VM的路由發(fā)送到新VM的vRouter。

在此過程結(jié)束時，已更新數(shù)據(jù)中心中所有vRouter的VRF中的路由已經(jīng)有新VM的信息。

Tungsten Fabric架構(gòu)解析文章第一篇：TF主要特點和用例

關(guān)注微信：TF中文社區(qū)