前言

OpenStack架構中，Neutron作為虛擬網絡模塊，管理虛機的網絡。隨著容器技術的發展，越來越多的應用部署到Kubernetes等容器編排系統中，而Kubernetes也有自帶的網絡管理模塊，如Flannel，Calico等。分別維護OpenStack、Kubernetes網絡模塊，不僅增加管理成本，且無法滿足虛機和容器網絡互通等需求。為了統一管理不同編排系統的網絡模塊，簡化虛擬網絡功能的開發流程，虛擬網絡工作組實現了新的虛擬網絡架構Cable。

需求背景

目前公司的虛擬網絡架構有如下不足：

• 物理機、虛機和容器網絡分開管理，無法達到直接互聯互通。
• Neutron agent里的DHCP、metadata采用集中式服務，健壯性不足。
• vxlan實現時需要外部路由器的支持，較為復雜。

新的網絡架構需要滿足統一管理物理機、虛機和容器網絡，實現直接互聯互通；簡化Neutron agent，分布式架構實現DHCP、metadata等功能；在虛擬網絡層面實現vxlan；提供流量鏡像等新功能。

方案實現

為了滿足上訴需求，Cable架構實現了如下兩個關鍵點：

虛擬數據平面不再基于OVS，而是采用功能更為豐富虛擬路由器vrouter.ko。vrouter.ko是Juniper的虛擬網絡架構OpenContrail中的開源數據模塊。相比于OVS的簡單數據包轉發，vrouter.ko支持虛擬網絡路由、vxlan、流表配置安全組、流表配置nat/snat、流量鏡像等功能。豐富的數據平面功能，簡化了網絡功能模塊的開發難度。

重新自研開發管理平面。管理平面統一管理OpenStack和Kubernetes網絡模塊；采用Kubernetes里的watch方式，主動監控平臺資源變化情況，并執行相關操作；分布式實現DHCP；用vrouter.ko中的flow功能實現nat、安全組等。

Cable的整體框架如圖1所示。

圖1 Cable整體框架圖

Cable工作流程如圖2所示。當用戶請求到達Neutron Server后，Contrail Neutron Plugin將請求轉發至Cable的控制節點(Control Node)。控制節點的proxy轉換請求發送至API，API將接收到的請求發送至相應模塊，其中controller負責具體的計算和分配工作，IPAM模塊負責網絡地址的管理。每臺計算節點部署了Cable agent，通過Rest API監聽Control Node的資源，如監聽到資源變化，則調用vrouter.ko執行相應請求(添加/刪除/修改網絡信息)。

圖2 Cable工作流程

與OpenStack兼容

Cable需要考慮如何與現有的虛擬網絡結構兼容，使得Neutron能夠平滑過渡到新的架構上。所以在保持Neutron原有接口不變的基礎上，將Neutron的db替換為etcd，并將DHCP-agent,metadata-agent,l3-agent替換為統一的cable-agent。將Neutron用Cable替代后，OpenStack的相關命令行和Restful API都沒有變化，實現無縫切換，方便運維管理。

圖3 Cable替代Nuetron后OpenStack架構圖

總結

新的虛擬網絡架構，兼容了不同網絡平面，簡化了網絡功能模塊，使得網絡更為健壯。目前Cable的整體架構已經基本開發完成，實現了DHCP、metadata和VLAN架構網絡，后續將實現安全組、VXLAN等更多功能，并實現自動化部署，完善監控功能。

本文首發于微信公眾號“360技術“（?id: qihoo_tech）

總結

以上是生活随笔為你收集整理的Cable：360实现的新虚拟网络架构的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。