In der Fortsetzung der Artikelserie über das Cloud-Orchester möchte Flexiant darüber sprechen, wie die Organisation des Netzwerks für virtuelle Maschinen und Container unter diesem Orchester verwaltet wird.Flexiant identifiziert vier Arten von Netzwerken, auf die der Client in seiner virtuellen Maschine zugreifen kann.PVIP ist ein Netzwerk, in dem einem Client eine einzelne / 32-Adresse zugewiesen wird. Das Routing zu dieser IP-Adresse erfolgt auf dem Hostcomputer, auf dem sich die virtuelleöffentliche IP- Maschine befindet - dem Netzwerk, in dem der Client ein separates VLAN- und / 29-Subnetz empfängt. Dies ist das Hauptnetzwerk, das wir verwenden. Das Routing dafür wird auf speziellen Routerknoten durchgeführt, die von Flexiant Cloud Orchestrator verwaltet werden.Privates IP - Netzwerk, Organisation ähnlich der vorherigen, außer dass es auf Routerknoten nicht extern angezeigt wird. Ein Client kann damit interne Netzwerke zwischen seinen virtuellen Maschinen erstellen. IP-Adressen können sowohl über die Schnittstelle als auch auf dem Gerät selbst zugewiesen werden.Interworking VLAN - ist wiederum Private IP sehr ähnlich, außer dass es dem Client ohne die Teilnahme des Anbieters nicht direkt zur Verfügung steht. Wir geben dieses Netzwerk an den Kunden weiter, wenn er die vorhandene L2-Infrastruktur mit der Flexiant Cloud Orchestrator-Infrastruktur verbinden muss.Alle Netzwerke außer dem ersten arbeiten in einem separaten isolierten VLAN. Dementsprechend stehen dem Client alle L2-Protokolle zur Verfügung: arp, dhcp, lldp usw. Das PVIP-Netzwerk läuft auf L3 und wir verwenden es für Clients, die Schutz vor DDoS erhalten möchten. Wenn sie IP-Adressen schützen möchten, müssen sie diese verwenden.Jedes Netzwerk ist einem Adapter für virtuelle Maschinen zugeordnet. Somit können in einer virtuellen Maschine mehrere Arten von Netzwerken gleichzeitig vorhanden sein.IP-Adressen für Private IP und Interworking VLAN können von Clients beliebig ausgewählt werden. IP-Adressen für Public IP und PVIP werden aus der Liste in der Systemsteuerung ausgewählt.
Sobald der Adapter das Netzwerk und optional eine IP-Adresse empfängt, werden Informationen dazu in die Datenbank des Orchesters eingegeben und die entsprechenden Einstellungen werden auf den Routing-Knoten (für das öffentliche IP-Netzwerk), den Rechenknoten (für PVIP) sowie auf dem DHCP-Server eingegeben auf dem Verwaltungsknoten, falls eine IP-Adresse festgelegt wurde. Die Korrespondenztabelle zwischen der virtuellen Mac-Adresse der Karte und der ausgewählten IP-Adresse wird in die PgSQL-Datenbank eingegeben, von wo aus sie vom DHCP-Server weiter übernommen wird.Auf jedem Knoten, unabhängig davon, ob es sich um einen Routerknoten oder einen Rechenknoten handelt, ist der Flexiant-Agent installiert, der Befehle vom Orchester empfängt. Innerhalb der Knoten selbst wird ein virtueller Router in einem separaten Netzwerk-Namespace ausgelöst. Somit sind der Linux-Netzwerkstapel auf den Knoten und der Netzwerkstapel des virtuellen Routers unabhängig voneinander.Router-Knoten, die das Funktionieren von Public IP sicherstellen, duplizieren sich gegenseitig mithilfe des VRRP-Protokolls bei der Implementierung von Karpfen. Wenn einer der Knoten ausfällt, wird der Datenverkehr durch den anderen geleitet.Hier ist ein Beispiel für das Routing auf dem Routenknoten für einen:Router0# ip a l
…
766: VLAN367: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default
link/ether 00:1e:67:d3:67:5c brd ff:ff:ff:ff:ff:ff
inet6 fe80::e0fe:25ff:fef9:7304/64 scope link
valid_lft forever preferred_lft forever
…
Router0# brctl show VLAN367
bridge name bridge id STP enabled interfaces
VLAN367 8000.001e67d3675c no bond0.367
evrl-000190
# , shell screen,
Router0# evrs
Router0# ip a l evrr-000190
768: evrr-000190: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether e6:52:0f:21:83:b0 brd ff:ff:ff:ff:ff:ff
inet 217.23.xxx.xxx/29 scope global evrr-000190
valid_lft forever preferred_lft forever
inet6 fe80::e452:fff:fe21:83b0/64 scope link
valid_lft forever preferred_lft forever
Router0# ip r l 217.23.xxx.xxx
217.23.xxx.xxx/29 dev evrr-000190 proto kernel scope link src 217.23.xxx.xxx
Router#0 ip r l ip r l 0.0.0.0/0
default via 10.158.192.3 dev evrr-000000 proto bird
Ein Paar von evrr / evrl-Schnittstellen sind unter Linux reguläre veths, die zwei Netzwerk-Namespaces miteinander verbinden. Somit ist ersichtlich, wie eingehender Verkehr, der in den virtuellen Router gelangt, dort zu einer bestimmten Schnittstelle geleitet wird.Die Firewall-Verwaltung findet auch in einem virtuellen Router statt. Es werden separate Tabellen und Ketten erstellt, die Datenverkehr zu einer bestimmten Netzwerkschnittstelle zulassen oder nicht zulassen.Router0# iptables -nvL evrr-000190-4i
Chain evrr-000190-4i (1 references)
pkts bytes target prot opt in out source destination
435M 124G RETURN all -- * * 217.23.xxx.xxx 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Router0# iptables -nvL evrr-000190-4o
Chain evrr-000190-4o (1 references)
pkts bytes target prot opt in out source destination
587M 782G ACCEPT all -- * * 0.0.0.0/0 217.23.xxx.xxx
6038K 350M DROP all -- * * 0.0.0.0/0 0.0.0.0/0
Wir verwenden OSPF als Routing-Protokoll, die Konfiguration mit Compute und der Router-Knoten gelangen zum Kern des Netzwerks und von dort zu den Core-Routern. Als Software auf den Knoten wird Bird verwendet, der von Flexiant gesteuert wird. Wir nehmen auch Änderungen an Konfigurationsvorlagen vor, da Flexiant dies ermöglicht. Mit Flexiant können Sie auch Statik und BGP als Routing-Protokolle verwenden.In Bezug auf die Zahlung sind alle Netzwerke kostenlos. Die Zahlung erfolgt nur für IP-Adressen für PVIP- und öffentliche IP-Netzwerke. IP-Adressen für PVIP sind jedoch teurer, da sie vor DDoS-Angriffen geschützt sind.