嗨!这里是钨结构架构解析内容的第七篇,介绍TF如何为OpenStack, Kubernetes, VMware vCenter等各种编排器提供虚拟网络。
钨结构架构解析系列文章,由特遣部队中文社区为你呈现,旨在帮助初入TF社区的朋友答疑解惑。我们将系统介绍特遣部队有哪些特点,如何运作,如何收集/分析/部署,如何编排,如何连接到物理网络等话题。OpenStack和TF集成
OpenStack是虚拟机和容器的领先的开源编排系统.Tungsten织物提供了中子网络服务的实现,并提供了许多附加功能。
在OpenStack中,用户组被分配到“项目”,其中诸如VM和网络之类的资源是私有的,并且其他项目中的用户无法看到(除非特别启用)。
在vRouters中使用多联机且每个网络都有路由表,可以直接在网络层中实施项目隔离,因为只有到允许目的地的路由才会分发到计算节点上的vRouters中的多联机,并且不会发生泛洪vRouter执行的代理服务。
网络服务是中子,计算代理是新星(OpenStack计算服务)。
当两者都部署在OpenStack环境中时,钨织物可以在VM和码头工人容器之间提供无缝网络。
在下图中,可以看到OpenStack的钨织物插件提供了从中子网络API到钨织物API调用的映射,后者在钨织物控制器中执行。
钨纤维支持网络和子网的策略,以及OpenStack网络策略和安全组。可以在OpenStack或钨织物中创建这些实体,并且在两个系统之间同步任何更改。
此外,钨织物还支持OpenStack LBaaS v2 API。
但是,由于钨织物通过OpenStack提供了丰富的网络功能超集,因此许多网络功能仅通过钨织物API或GUI提供。这些包括指定路线目标以实现与外部路由器的连接,服务链,配置东方路由策略和应用程序策略。
当OpenStack使用钨织物网络时,完全支持应用程序安全性。可以在项目,网络,主机,VM或接口级别应用钨纤维标记,并应用于标记对象中包含的所有实体。
此外,钨织物还支持用于网络和安全性的资源,可以使用OpenStack热模板进行控制。
Kubernetes容器和TF集成
容器允许多个进程在同一操作系统内核上运行,但每个进程都可以访问自己的工具,库和配置文件。
与每个VM运行其自己的完整客户机操作系统的虚拟机相比,容器需要更少的计算开销。在容器中运行的应用程序通常启动速度更快,并且比在VM中运行的相同应用程序执行得更好,这也是为什么人们越来越关注在数据中心和NFV中使用容器的原因之一。
码头工人是一个软件层,它使容器可以跨操作系统版本移植,并且Kubernetes作为部署容器的典型接口、管理服务器上容器的创建和销毁。
如上图所示,Kubernetes管理容器组,它们共同执行某些功能,称为_pods。豆荚中的容器在同一服务器上运行并共享IP地址。
一组相同的pod(通常在不同的服务器上运行)形成 服务,并且必须将指向服务的网络流量定向到服务中的特定舱。在Kubernetes网络实现中,特定舱的选择是由应用程序本身使用发送舱中的本机Kubernetes API来执行的。对于非本机应用程序,是由负载平衡代理使用中实现的虚拟IP地址,来执行发送服务器上的Linux iptables。
大多数应用程序都是非本机的,因为它们是在未考虑Kubernetes的情况下开发的现有代码的端口,因此使用了负载平衡代理。
Kubernetes环境中的标准网络实际上是扁平的,任何豆荚都可以与任何其他进仓行通信。如果目标pod的名称或其IP地址是已知的,则不会阻止从一个命名空间(类似于_project _in OpenStack)中的吊舱到另一个命名空间中的圆荚体之间的通信。
虽然此模型适用于属于单个公司的超大规模数据中心,但它不适合数据中心在许多最终客户之间共享的服务提供商,也不适合必须将不同组的流量彼此隔离的企业。
钨织物虚拟网络可以集成在Kubernetes环境中,以与OpenStack类似的方式提供一系列多租户网络功能。
带有Kubernetes的钨纤维配置如下图所示。
使用Kubernetes编排和码头工人容器的钨结构架构类似于OpenStack和KVM/QEMU,其vRouter在主机Linux操作系统中运行,并包含带有虚拟网络转发表的多联机。
钨纤维架构解析丨钨F
