Tungsten Fabric架構(gòu)解析丨TF的服務(wù)鏈

Hi！這里是Tungsten Fabric架構(gòu)解析內(nèi)容的第四篇，本文將詳細(xì)介紹Tungsten Fabric的服務(wù)鏈。
Tungsten Fabric架構(gòu)解析系列文章，由TF中文社區(qū)為你呈現(xiàn)，旨在幫助初入TF社區(qū)的朋友答疑解惑。我們將系統(tǒng)介紹TF有哪些特點(diǎn)、如何運(yùn)作、如何收集/分析/部署、如何編排、如何連接到物理網(wǎng)絡(luò)等話題。

當(dāng)網(wǎng)絡(luò)策略指定兩個(gè)網(wǎng)絡(luò)之間的流量，必須流經(jīng)一個(gè)或多個(gè)網(wǎng)絡(luò)服務(wù)（例如防火墻、TCP代理、負(fù)載平衡器等）時(shí)，即形成服務(wù)鏈，這些網(wǎng)絡(luò)服務(wù)也被稱為虛擬網(wǎng)絡(luò)功能（VNF）。

網(wǎng)絡(luò)服務(wù)在虛擬機(jī)（VM）中實(shí)現(xiàn)，這些虛擬機(jī)在Tungsten Fabric中被標(biāo)識(shí)為服務(wù)，然后包含在策略中。

Tungsten Fabric支持OpenStack和VMware vCenter環(huán)境中的服務(wù)鏈。

下面顯示了在兩個(gè)VM之間實(shí)現(xiàn)服務(wù)鏈的路由簡(jiǎn)化視圖（實(shí)際的Tungsten Fabric實(shí)現(xiàn)中，特殊的“服務(wù)”VRF包含在服務(wù)鏈的路由中）。

當(dāng)在控制器中將VM配置為服務(wù)實(shí)例（VNF），并在網(wǎng)絡(luò)策略中應(yīng)用該服務(wù)實(shí)例時(shí)，控制器將在“Left”和“Right”端口所在的VRF中安裝路由，用于引導(dǎo)流量通過(guò)VNF。

當(dāng)封裝路由通過(guò)VNF vRouter發(fā)布回控制器時(shí)，路由將分發(fā)給具有Red和Green VRF的其他vRouters，最終結(jié)果是一組路由指示Red和Green網(wǎng)絡(luò)之間的流量通過(guò)該服務(wù)實(shí)例。

當(dāng)VNF啟動(dòng)時(shí)，通過(guò)標(biāo)簽“Left”和“Right”標(biāo)識(shí)順序激活的接口。

VNF必須有一個(gè)配置，該配置可根據(jù)數(shù)據(jù)包到達(dá)的接口，正確地處理這些數(shù)據(jù)包。

服務(wù)（VNF）有三種類型：

• Layer 2 Transparent -以太網(wǎng)幀被發(fā)送到服務(wù)中，其目標(biāo)MAC地址是原始目的地的MAC地址。這最常用于深度包檢測(cè)服務(wù)。
• Layer 3 (In Network) - 以太網(wǎng)幀被發(fā)送到服務(wù)中，其目的地MAC設(shè)置為服務(wù)的入口接口的MAC，終止L2連接并使用出口MAC作為發(fā)送到目的地的幀的源MAC建立新的連接。這用于防火墻，負(fù)載平衡器和TCP代理。
• Layer 3 (NAT) - 類似 In Network，除了服務(wù)將源IP地址更改為可從目的地路由的地址（網(wǎng)絡(luò)地址轉(zhuǎn)換）。

下面說(shuō)明了各種服務(wù)鏈的場(chǎng)景，并分別進(jìn)行簡(jiǎn)要說(shuō)明。

基本服務(wù)鏈

在第一個(gè)面板中，通過(guò)編輯Red和Green網(wǎng)絡(luò)之間的網(wǎng)絡(luò)策略來(lái)創(chuàng)建簡(jiǎn)單的服務(wù)鏈，包括服務(wù)FW和DPI。這些虛擬機(jī)是先前在OpenStack或vCenter中啟動(dòng)的，然后在Tungsten Fabric中配置為具有Red和Green網(wǎng)絡(luò)中的接口的服務(wù)實(shí)例。

保存策略并將其應(yīng)用于兩個(gè)網(wǎng)絡(luò)后，所有附加了Red或Green VM的vRouters中的路由都將被修改，以通過(guò)服務(wù)鏈發(fā)送流量。

例如，在修改策略之前，Red網(wǎng)絡(luò)中的每個(gè)VRF都有一條到綠色網(wǎng)絡(luò)中每個(gè)VM的路由，其中包含運(yùn)行VM的主機(jī)的下一跳，以及控制器指定了主機(jī)vRouter的標(biāo)簽。

路由被修改為具有FW服務(wù)實(shí)例的入口VRF的下一跳，以及為FW Left接口指定的標(biāo)簽。Right FW接口所在的VRF具有指向DPI Left接口的所有Green目的地的路由，并且DPI的Right VRF將包含所有Green目的地的路由以及它們運(yùn)行的主機(jī)的下一跳和原始路由標(biāo)簽。

反向流量的路由，也是類似的處理。

規(guī)?；姆?wù)

當(dāng)單個(gè)VM沒(méi)有處理服務(wù)鏈流量要求的能力時(shí)，可以在服務(wù)中包含多個(gè)相同類型的VM，如第二個(gè)面板所示。完成此操作后，使用ECMP在兩端服務(wù)鏈的入口接口對(duì)流量進(jìn)行負(fù)載均衡，并在不同服務(wù)實(shí)例之間進(jìn)行負(fù)載均衡。

可以根據(jù)需要在Tungsten Fabric中添加新的服務(wù)實(shí)例，雖然傳統(tǒng)的ECMP哈希算法實(shí)現(xiàn)通常會(huì)在目標(biāo)數(shù)量發(fā)生變化時(shí)，將大多數(shù)會(huì)話移動(dòng)到其他路徑，但在Tungsten Fabric中，這僅適用于新流，因?yàn)楝F(xiàn)有路徑流量是根據(jù)上一篇文章（詳解vRouters的體系結(jié)構(gòu)）中描述的流表確定的。

對(duì)于必須查看流中的所有數(shù)據(jù)包的有狀態(tài)服務(wù)，此行為至關(guān)重要，否則流將被阻止，從而導(dǎo)致用戶會(huì)話中斷。

通過(guò)相同的服務(wù)實(shí)例，流表還被反向填充，以確保數(shù)據(jù)流中反向的流量。

互聯(lián)網(wǎng)草案 https://datatracker.ietf.org/doc/draft-ietf-bess-service-chaining 上包含有關(guān)具有狀態(tài)服務(wù)的擴(kuò)展服務(wù)鏈的更多詳細(xì)信息。

基于策略指導(dǎo)

有些情況下，不同類型的流量需要傳遞到不同的服務(wù)鏈中。通過(guò)在網(wǎng)絡(luò)或安全策略中包含多條子策略，可以在Tungsten Fabric中實(shí)現(xiàn)。在圖中的示例中，端口80和8080上的流量必須通過(guò)防火墻（FW-1）和DPI，而所有其他流量?jī)H通過(guò)防火墻（FW-2），其可能具有與防火墻FW-1不同的配置。

主-備服務(wù)鏈{#active-standby}

在某些情況下，流量通常需要通過(guò)某個(gè)特定的服務(wù)鏈，但如果檢測(cè)到該鏈存在問(wèn)題，則應(yīng)將流量切換為備份。備用服務(wù)鏈位于不太有利的地理位置時(shí)，可能會(huì)出現(xiàn)這種情況。

在Tungsten Fabric中，主-備機(jī)制配置分兩步完成。

首先，將路由策略應(yīng)用于每個(gè)服務(wù)鏈的入口，為優(yōu)選的活動(dòng)鏈入口指定較高的本地優(yōu)先級(jí)值。

其次，每個(gè)鏈上都附有一個(gè)運(yùn)行狀況檢查，可以測(cè)試服務(wù)實(shí)例是否可達(dá)，或是否可以到達(dá)鏈另一側(cè)的目的地。如果運(yùn)行狀況檢查失敗，則撤消到正?；顒?dòng)服務(wù)鏈的路由，并且流量將流經(jīng)備用服務(wù)鏈。

更多Tungsten Fabric解析文章

第一篇：TF主要特點(diǎn)和用例
第二篇：TF怎么運(yùn)作
第三篇：詳解vRouter體系結(jié)構(gòu)

關(guān)注微信：TF中文社區(qū)