RHCA cl210 016 流表 overlay

Overlay网络是建立在Underlay网络上的逻辑网络

underlay

br-int 之间建立隧道
数据流量还是从eth1出去
只有vlan20 是geneve隧道。只有租户网络有子网,子网需要geneve隧道
拿一个大的物理交换机似乎可以代替所有br-trunk,这是假设

可以创建虚拟网卡,只是在linux内部使用,eth1做出了br-trunk,和很多接口,最后所有的子接口(虚拟网络)从eth1出去
linux内部也可也实现tag

overlay

ovn基本组键


ML2 多二层 L3路由
controller有一个管理网络的Networking Management (api)

数据库节点有
北向数据库 交换机路由,架构 如何实现 (画图)
南向数据库 实现架构 具体实现,方式方法 (汇总) 汇总信息
最终还是conmpute他们来实现操作
计算节点的ovn-controller完成 路由 安全组 交换机等等交互
计算节点也可以查本地的数据信息

网络节点定义网络,添加子网
数据的走向在计算节点解决

创建路由 添加安全组规则
lab networking-protocols setup

ps -ef | grep ovn  可以查看到向北地址

[root@controller0 ~]# export OVN_SB_DB=tcp:172.24.1.50:6642    南向
[root@controller0 ~]# export OVN_NB_DB=tcp:172.24.1.50:6641    北向

[root@controller0 ~]# ovn-nbctl show
switch b2cc3860-13f9-4eeb-b328-10dbc1f1b131 (neutron-d55f6d1e-c29e-4825-8de4-01dd95f8a220) (aka provider-storage)
    port feaf640d-9dcb-4b39-9e00-75761e6f6abd
        type: localport
        addresses: ["fa:16:3e:61:52:31 172.24.3.200"]
    port provnet-d55f6d1e-c29e-4825-8de4-01dd95f8a220
        type: localnet
        tag: 30
        addresses: ["unknown"]

创建实例观察南北数据库

openstack server create --flavor default --image rhel7 --nic net-id=finance-network1 --availability-zone nova:compute0.overcloud.example.com finance-server3


每创建一个网络就会有一个虚拟交换机
snat规则可以使你的租户地址192.168转换成172.25
绑定浮动ip后会有nat规则 192转换成172出去,进来可以通过172进来转换成192(ping百度)

192.168.1.2 为dhcp
vswitch可以实现dhcp

虚拟交换机有br-int实现的 dvs分布式虚拟交换机
路由器也是分布式路由


和osp6相反,先去dhcp获取,不用去网络节点,每个主机都有分布式交换机(获取元数据nova-metadata)

[root@compute0 ~]# ovs-vsctl list-ports br-int
ovn-028ad0-0
ovn-85c877-0
ovn-cc9fe3-0
patch-br-int-to-provnet-fc5472ee-98d9-4f6b-9bc9-544ca18aefb3
tap211b5077-96
tapae4065a5-2d
tapb356e2b4-60
tapeec7dd0c-8f
[root@compute0 ~]# virsh list --all
Id    Name                           State
----------------------------------------------------
1     instance-00000005              running

三个ovn隧道,随着节点增多而增多,patch为和br-ex连接的端口
下面就是云主机使用的dhcp,和云主机端口(多了两个没清理掉,无视)

一个节点有一个交换机,
一个交换机可以有多个云主机
但是云主机必须隔离,防止广播
需要vni

实验

同网段192.168.1 compute0 ping compute1
走建立隧道的租户网络172.24.2 (vlan20)
所以抓端口vlan20的包


发的数据包都会带有vni

不同网段得走路由且tag会不同

北向数据库 定义网络架构
南向数据库 实现网络功能 dhcp security router 流表

ovn-nbctl show 查看北向
ovn-sbctl show 查看南向数据库
ovn-sbctl lflow-list 查看流表
这个流表得过滤

可以看到流表里显示了dhcp分配的地址
北向数据库可以看到nat规则 ovs-nbctl show
南向可以过滤出nat在做什么

流表调用了防火墙模块
lsmod | grep conn
nf_conntrack

compute也可以看流表
那是具体实施
[root@compute0 ~]# ovs-ofctl dump-flows br-int

ovn-nbctl acl-list switch id
北向数据库的acl规则
安全组
防火墙
过滤&nat转换

posted @ 2022-06-16 21:19  supermao12  阅读(96)  评论(2编辑  收藏  举报