传统的网络设备是散布式和去中心化的,每台设备可以经过自主学习和人工性能,可以知道如何转发数据包,而不须要一个集中式的控制设备。
软件定义网络(Software Defined Network), 在虚构网络里,vSwitch和vRouter这些设备,通常都不用登录下来敲命令(虽然也可以这么做),而是经过云平台性能。云平台经过API和SDN控制器交互,SDN控制器计算并下发转宣布到vSwitch和vRouter,成功性能。
SDN原理表示
所谓Overlay,是在传统的物理网络(Underlay)基础之上,构建出一个虚构的逻辑网络。 从技术上讲,Overlay的二层数据包封装在物理网络的三层报文中传输,抵达目标地之后再解封装获取Overlay的二层报文。实践上,这就是一种“L2 over L3”的隧道封装技术。这方面的协定比拟多,关键有(L2 over UDP)、(L2 over GRE)、(L2 over TCP)等。
(Virtual eXtensible Local Area Network,虚构可裁减局域网)是成功网络的干流技术,正是经过VxLAN,才成功了VPC(包含子网)的完美隔离。
大体而言,就是VM之间交互的数据包,在分开vSwitch时会加上封装,构成隧道,
不同子网带有不同的隧道号标识
。解隧道封装的时刻,看到隧道号不对,就会放弃,这样不同子网内的虚构机不可启动间接通讯(除非做了路由),这就成功了隔离。
VxLAN不只处置了隔离的疑问,还处置了传统二层技术(如VLAN)难以处置的大规模二层互连的疑问,由于经过三层传输,虚机的部署和迁徙就不受二层物理网络限度了。 VxLAN是怎样将L2 over在L3之上呢,答案是:将以太网帧封装在UDP包中。
VxLAN的包结构
如上图所示,Overlay的二层数据帧被封装在三层的IP包中(准确的说,是四层的UDP报文中), 封装的头部是VxLAN Header,外面的关键内容就是24bit的VNI(VxLAN ID),每个子网都有一个VNI, 这样即使是同一台主机上的两台VM,即使处于同一IP段,只需他们在不同的子网,就不可通讯,由于子网的OVS看见不同的VNI就会放弃掉。
做封装和解封装的端点被称为VTEP ,它同时也就是VxLAN隧道的终点和终点。VTEP通常是由OVS成功的,子网中VM向外收回的二层报文,会由OVS启动封装,做成UDP包收回;同时OVS会在UDP特定端口监听,收到VxLAN报文后,假设VNI正确,则去掉封装,将封装前的二层报文转发给相应的VM。
关于裸金属(云治理的物理机)而言,由于它没有OVS,它的Overlay通讯要经过VxLAN网关(承当VTEP性能)成功,或许可以在物理机上插一块智能网卡,由智能网卡做VTEP。
VTEP有软件和配件两种,前面讲的OVS就是软件VTEP,也有用配件替换机做VTEP的。 假设VTEP由软件成功,这种Overlay就叫Host Overlay;假设由配件设备成功,就叫Network Overlay;假设都有,就叫混合Overlay。
关于Host Overlay而言,物理替换机网络中的Leaf和Spine仅启动IP报文的高速转发,不处置VxLAN报文。
Overlay和Underlay表示
上图中,VM1和VM2要通讯的话(无论能否在同一子网),由OVS封装成VxLAN报文,由leaf和spine替换机启生物理传输;关于在同一台宿主机上的VM3和VM4,假设它们在同一VPC的同一子网,OVS就间接转发了(不走VxLAN);假设是同一VPC的不同子网,也不用走VxLAN,由vRouter和OVS转发;但假设在不同VPC,就也要走VxLAN,由于不同VPC的隔离就是靠VxLAN成功的。