Openstack Neutron DVR workflow

目前在Juno版本的trunk中已经合入了DVR相关的代码，我的理解是在Juno版本中DVR是一个experimental feature。最好需要稳定一个版本以后再上生产环境。之前写过一篇博文是DVR相关的，当时代码还没有实现，与实际的实现有一些出入。当前的DVR的实现是基于VXLAN的。关于VXLAN的优势，有时间会写一些体会，今天暂且不谈。

建议先看一下以下文档，对DVR有一些了解:

https://docs.google.com/presentation/d/1ktCLAdglpKdsC--fQ2F_c2d3X1u-lyRGGUzRu9ITuWo/edit#slide=id.g2b6a14e30_036
https://docs.google.com/presentation/d/1ktCLAdglpKdsC--fQ2F_c2d3X1u-lyRGGUzRu9ITuWo/edit#slide=id.g2b6a14e30_030

 

首先看一下，没有使用DVR的问题在哪里：

从图中可以明显看到东西向和南北向的流量会集中到网络节点，这会使网络节点成为瓶颈。

 

那如果启用的DVR，情况会变成如下：

对于东西向的流量， 流量会直接在计算节点之间传递。

对于南北向的流量，如果有floating ip，流量就直接走计算节点。如果没有floating ip，则会走网络节点。

 

 

我的实验环境如下：

然后起了两个私有网络和一个DVR 路由器，拓扑如下:

注:

可以看到每个网络与DVR连接时有两个接口，以private1为例，有10.0.1.1和10.0.1.6。

可以看到10.0.1.6是centralized_snat的网关，这个地址是在网络节点上的。

10.0.1.1是router_interface_distributed地址，它是在每一个计算节点上的。虚机获取到的默认网关就是这个IP。

 

 

虚机情况如下：

注: 

虚机privateX-computeY-VM表示，此虚机起在privateX网络，computeY节点上。在compute1节点的两台虚机拥有floating ip。

 

 

下面分析三种情况下traffic的是怎么走的：

1. 东西向流量：以private1-compute1-VM和private2-compute2-VM之间的通信为例。

2. 南北向流量：

    a) 带floating ip， 以private1-compute1-VM对外通信为例。

    b) 不带floating ip， 以private1-compute2-VM对外通信为例。

第一种情况 -- 东西向流量

首先我们看一下虚机private1-compute1-VM的IP和路由:

再看一下虚机private2-compute2-VM的IP和路由:

我们在private1-compute1-VM中ping 10.0.2.5(private2-compute2-VM的IP)。

 

当我们ping了之后，在首先会查询private1-compute1-VM的路由表，会将包发送到网关10.0.1.1。那么会首先会发送10.0.1.1的arp请求。

arp请求会发送到br-int上。

我们可以看到10.0.1.5的port id是4e843b99开头的：

 

 

最终会转发到br-int的qvo4e843b99-fb:

root@dvr-compute1:~# ovs-vsctl show
67f121bd-cca7-41c2-95ab-23ed85d1305b
    Bridge br-tun
        Port patch-int
            Interface patch-int
                type: patch
                options: {peer=patch-tun}
        Port "vxlan-0ae09f91"
            Interface "vxlan-0ae09f91"
                type: vxlan
                options: {df_default="true", in_key=flow, local_ip="10.224.159.141", out_key=flow, remote_ip="10.224.159.145"}
        Port "vxlan-0ae09f88"
            Interface "vxlan-0ae09f88"
                type: vxlan
                options: {df_default="true", in_key=flow, local_ip="10.224.159.141", out_key=flow, remote_ip="10.224.159.136"}
        Port br-tun
            Interface br-tun
                type: internal
    Bridge br-int
        fail_mode: secure
        Port "qvo111517d8-c5"
            tag: 2
            Interface "qvo111517d8-c5"
        Port patch-tun
            Interface patch-tun
                type: patch
                options: {peer=patch-int}
        Port "qr-001d0ed9-01"
            tag: 2
            Interface "qr-001d0ed9-01"
                type: internal
        Port br-int
            Interface br-int
                type: internal
        Port "qr-ddbdc784-d7"
            tag: 1
            Interface "qr-ddbdc784-d7"
                type: internal
        Port "qvo4e843b99-fb"
            tag: 1
            Interface "qvo4e843b99-fb"
    Bridge br-ex
        Port br-ex
            Interface br-ex
                type: internal
        Port "fg-081d537b-06"
            Interface "fg-081d537b-06"
                type: internal
    ovs_version: "2.0.2"

而端口qvo4e843b99-fb是属于vlan 1的，arp广播包会转发到"qr-ddbdc784-d7"和"patch-tun"。

 

首先看"qr-ddbdc784-d7"，这是interface_distributed的接口：

 

这个接口是在compute node的的DVR中的：

root@dvr-compute1:~# ip netns
fip-fbd46644-c70f-4227-a414-862a00cbd1d2
qrouter-0fbb351e-a65b-4790-a409-8fb219ce16aa
qdhcp-401f678d-4518-446c-9a33-cd2fb054c104
qdhcp-db755841-0764-4a8f-b962-8df008ce6330

 

 

 

root@dvr-compute1:~# ip netns exec qrouter-0fbb351e-a65b-4790-a409-8fb219ce16aa ifconfig
lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

qr-001d0ed9-01 Link encap:Ethernet  HWaddr fa:16:3e:69:b4:05  
          inet addr:10.0.2.1  Bcast:10.0.2.255  Mask:255.255.255.0
          inet6 addr: fe80::f816:3eff:fe69:b405/64 Scope:Link
          UP BROADCAST RUNNING  MTU:1500  Metric:1
          RX packets:35 errors:0 dropped:0 overruns:0 frame:0
          TX packets:14 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:3510 (3.5 KB)  TX bytes:1092 (1.0 KB)

qr-ddbdc784-d7 Link encap:Ethernet  HWaddr fa:16:3e:66:13:af  
          inet addr:10.0.1.1  Bcast:10.0.1.255  Mask:255.255.255.0
          inet6 addr: fe80::f816:3eff:fe66:13af/64 Scope:Link
          UP BROADCAST RUNNING  MTU:1500  Metric:1
          RX packets:401 errors:0 dropped:0 overruns:0 frame:0
          TX packets:378 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:38224 (38.2 KB)  TX bytes:36224 (36.2 KB)

rfp-0fbb351e-a Link encap:Ethernet  HWaddr ea:5c:56:9a:36:9c  
          inet addr:169.254.31.28  Bcast:0.0.0.0  Mask:255.255.255.254
          inet6 addr: fe80::e85c:56ff:fe9a:369c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:12 errors:0 dropped:0 overruns:0 frame:0
          TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:1116 (1.1 KB)  TX bytes:1116 (1.1 KB)

 

接口qr-ddbdc784-d7拥有10.0.1.1。所以他会响应ARP请求。

 

 

 

回过头来看"patch-tun", ARP请求转发到这个接口后，会转发到br-tun。看一下br-tun上的flow, 目前我们只需要看红色部分，他会将目标地址为10.0.1.1的ARP请求丢弃：

root@dvr-compute1:~# ovs-ofctl dump-flows br-tun 
NXST_FLOW reply (xid=0x4): 
。。。

cookie=0x0, duration=64720.432s, table=1, n_packets=4, n_bytes=168, idle_age=64607, priority=3,arp,dl_vlan=1,arp_tpa=10.0.1.1 actions=drop 
cookie=0x0, duration=62666.766s, table=1, n_packets=2, n_bytes=84, idle_age=62576, priority=3,arp,dl_vlan=2,arp_tpa=10.0.2.1 actions=drop 

。。。

 

回到我们虚机，当获取到了10.0.1.1的MAC地址后，会发出如下的包：

Dest IP: 10.0.2.5

Souce IP: 10.0.1.5

Dest MAC: MAC of 10.0.1.1

Source MAC: MAC of 10.0.1.5

 

之后包被转发到compute1的qrouter-0fbb351e-a65b-4790-a409-8fb219ce16aa 的namespace：

这里利用了内核的高级路由到了，首先看一下ip rule：

root@dvr-compute1:~# ip netns exec qrouter-0fbb351e-a65b-4790-a409-8fb219ce16aa ip rule 
0: from all lookup local 
32766: from all lookup main 
32767: from all lookup default 
32768: from 10.0.1.5 lookup 16 
32769: from 10.0.2.3 lookup 16 
167772417: from 10.0.1.1/24 lookup 167772417 
167772417: from 10.0.1.1/24 lookup 167772417 
167772673: from 10.0.2.1/24 lookup 167772673 

 

 

可以看到会先查找main表：  
root@dvr-compute1:~# ip netns exec qrouter-0fbb351e-a65b-4790-a409-8fb219ce16aa ip route list table main 
10.0.1.0/24 dev qr-ddbdc784-d7 proto kernel scope link src 10.0.1.1 
10.0.2.0/24 dev qr-001d0ed9-01 proto kernel scope link src 10.0.2.1 
169.254.31.28/31 dev rfp-0fbb351e-a proto kernel scope link src 169.254.31.28

 

 

在main表中满足以下路由:

10.0.2.0/24 dev qr-001d0ed9-01 proto kernel scope link src 10.0.2.1 

因此会从qr-001d0ed9-01转发出去。

 

之后需要去查询10.0.2.5的MAC地址， MAC是由neutron使用静态ARP的方式设定的：

root@dvr-compute1:~# ip netns exec qrouter-0fbb351e-a65b-4790-a409-8fb219ce16aa ip nei 
10.0.1.5 dev qr-ddbdc784-d7 lladdr fa:16:3e:da:75:6d PERMANENT 
10.0.2.3 dev qr-001d0ed9-01 lladdr fa:16:3e:a4:fc:98 PERMANENT 
10.0.1.6 dev qr-ddbdc784-d7 lladdr fa:16:3e:9f:55:67 PERMANENT 
10.0.2.2 dev qr-001d0ed9-01 lladdr fa:16:3e:13:55:66 PERMANENT 
10.0.2.5 dev qr-001d0ed9-01 lladdr fa:16:3e:51:99:b8 PERMANENT 
10.0.1.4 dev qr-ddbdc784-d7 lladdr fa:16:3e:da:e3:6e PERMANENT 
10.0.1.7 dev qr-ddbdc784-d7 lladdr fa:16:3e:14:b8:ec PERMANENT 
169.254.31.29 dev rfp-0fbb351e-a lladdr 42:0d:9f:49:63:c6 STALE

 

由于Neutron知道所有虚机的信息，因此他可以事先设定好静态ARP。

至此，我们的ICMP包会变成以下形式从qr-001d0ed9-01转发出去：

Dest IP: 10.0.2.5

Souce IP: 10.0.1.5

Dest MAC: MAC of 10.0.2.5

Source MAC: MAC of 10.0.2.1

 

 

当包转发到"br-tun"后，进开始查询openflow表。

首先我们看一下br-tun的接口状况：

root@dvr-compute1:~# ovs-ofctl show br-tun
OFPT_FEATURES_REPLY (xid=0x2): dpid:0000e2b7aa5da34a
n_tables:254, n_buffers:256
capabilities: FLOW_STATS TABLE_STATS PORT_STATS QUEUE_STATS ARP_MATCH_IP
actions: OUTPUT SET_VLAN_VID SET_VLAN_PCP STRIP_VLAN SET_DL_SRC SET_DL_DST SET_NW_SRC SET_NW_DST SET_NW_TOS SET_TP_SRC SET_TP_DST ENQUEUE
 1(patch-int): addr:76:ae:9f:b3:bf:c6
     config:     0
     state:      0
     speed: 0 Mbps now, 0 Mbps max
 3(vxlan-0ae09f88): addr:92:61:e9:43:dd:99
     config:     0
     state:      0
     speed: 0 Mbps now, 0 Mbps max
 4(vxlan-0ae09f91): addr:2e:cc:c0:4a:4e:d4
     config:     0
     state:      0
     speed: 0 Mbps now, 0 Mbps max
 LOCAL(br-tun): addr:e2:b7:aa:5d:a3:4a
     config:     0
     state:      0
     speed: 0 Mbps now, 0 Mbps max
OFPT_GET_CONFIG_REPLY (xid=0x4): frags=normal miss_send_len=0

 

 

首先我们看一下br-tun的flowtable，首先会进入table 0，由于包是从br-int发过来的，因此in_port是patch-int(1)，之后会查询表1：

 cookie=0x0, duration=66172.51s, table=0, n_packets=58, n_bytes=5731, idle_age=20810, hard_age=65534, priority=1,in_port=3 actions=resubmit(,4)

 cookie=0x0, duration=67599.526s, table=0, n_packets=273, n_bytes=24999, idle_age=1741, hard_age=65534, priority=1,in_port=1 actions=resubmit(,1)

 cookie=0x0, duration=64437.052s, table=0, n_packets=28, n_bytes=2980, idle_age=20799, priority=1,in_port=4 actions=resubmit(,4)

 cookie=0x0, duration=67601.704s, table=0, n_packets=5, n_bytes=390, idle_age=65534, hard_age=65534, priority=0 actions=drop

 

 

表1，这张表中会丢弃目标地址是interface_distributed接口的ARP和目的MAC是interface_distributed的包。以防止虚机发送给本地IR的包不会被转发到网络中。

我们的ICMP包会命中一下flow，它会把源MAC地址改为全局唯一和计算节点绑定的MAC:

 cookie=0x0, duration=66135.811s, table=1, n_packets=140, n_bytes=13720, idle_age=65534, hard_age=65534, priority=1,dl_vlan=1,dl_src=fa:16:3e:66:13:af actions=mod_dl_src:fa:16:3f:fe:49:e9,resubmit(,2)

 cookie=0x0, duration=64082.141s, table=1, n_packets=2, n_bytes=200, idle_age=64081, priority=1,dl_vlan=2,dl_src=fa:16:3e:69:b4:05 actions=mod_dl_src:fa:16:3f:fe:49:e9,resubmit(,2)

 cookie=0x0, duration=66135.962s, table=1, n_packets=1, n_bytes=98, idle_age=65301, hard_age=65534, priority=2,dl_vlan=1,dl_dst=fa:16:3e:66:13:af actions=drop 

 cookie=0x0, duration=64082.297s, table=1, n_packets=0, n_bytes=0, idle_age=64082, priority=2,dl_vlan=2,dl_dst=fa:16:3e:69:b4:05 actions=drop

 cookie=0x0, duration=66136.115s, table=1, n_packets=4, n_bytes=168, idle_age=65534, hard_age=65534, priority=3,arp,dl_vlan=1,arp_tpa=10.0.1.1 actions=drop

 cookie=0x0, duration=64082.449s, table=1, n_packets=2, n_bytes=84, idle_age=63991, priority=3,arp,dl_vlan=2,arp_tpa=10.0.2.1 actions=drop

 cookie=0x0, duration=67599.22s, table=1, n_packets=123, n_bytes=10687, idle_age=1741, hard_age=65534, priority=0 actions=resubmit(,2)

 

这个全局唯一和计算节点绑定的MAC地址，是由neutron全局分配的，数据库中可以看到这个MAC是每个host一个：

 

 

它的base MAC是可以在neutron.conf中配置的：

 

 

继续查询流表2，表2是VXLAN表，如果是广播包就会查询表22，如果是单播包就查询表20：

 cookie=0x0, duration=67601.554s, table=2, n_packets=176, n_bytes=16981, idle_age=20810, hard_age=65534, priority=0,dl_dst=00:00:00:00:00:00/01:00:00:00:00:00 actions=resubmit(,20)

 cookie=0x0, duration=67601.406s, table=2, n_packets=92, n_bytes=7876, idle_age=1741, hard_age=65534, priority=0,dl_dst=01:00:00:00:00:00/01:00:00:00:00:00 actions=resubmit(,22)

 

ICMP包是单播包，因此会查询表20，由于开启了L2 pop功能，在表20中会事先学习到应该转发到哪个VTEP。

 cookie=0x0, duration=64076.431s, table=20, n_packets=0, n_bytes=0, idle_age=64076, priority=2,dl_vlan=2,dl_dst=fa:16:3e:13:55:66 actions=strip_vlan,set_tunnel:0x3eb,output:3

 cookie=0x0, duration=66130.899s, table=20, n_packets=152, n_bytes=14728, idle_age=65534, hard_age=65534, priority=2,dl_vlan=1,dl_dst=fa:16:3e:9f:55:67 actions=strip_vlan,set_tunnel:0x3e9,output:3

 cookie=0x0, duration=66560.59s, table=20, n_packets=7, n_bytes=552, idle_age=65534, hard_age=65534, priority=2,dl_vlan=1,dl_dst=fa:16:3e:da:e3:6e actions=strip_vlan,set_tunnel:0x3e9,output:2

 cookie=0x0, duration=64436.717s, table=20, n_packets=0, n_bytes=0, idle_age=64436, priority=2,dl_vlan=1,dl_dst=fa:16:3e:14:b8:ec actions=strip_vlan,set_tunnel:0x3e9,output:4

 cookie=0x0, duration=64015.308s, table=20, n_packets=0, n_bytes=0, idle_age=64015, priority=2,dl_vlan=2,dl_dst=fa:16:3e:51:99:b8 actions=strip_vlan,set_tunnel:0x3eb,output:4

 cookie=0x0, duration=64032.699s, table=20, n_packets=9, n_bytes=917, idle_age=20810, priority=2,dl_vlan=2,dl_dst=fa:16:3e:bb:cf:66 actions=strip_vlan,set_tunnel:0x3eb,output:3

 cookie=0x0, duration=67600.802s, table=20, n_packets=8, n_bytes=784, idle_age=65534, hard_age=65534, priority=0 actions=resubmit(,22)

 

注：

由于L2 POP并不是本文的重点。因此不在此细说。如果有兴趣可以看以下blog:

http://assafmuller.com/category/overlays/

 

 

此时包会变成如下形式：

Dest IP: 10.0.2.5

Souce IP: 10.0.1.5

Dest MAC: MAC of 10.0.2.5

Source MAC: fa:16:3f:fe:49:e9

 

之后包会从port 4发出：

root@dvr-compute1:~# ovs-vsctl show 
67f121bd-cca7-41c2-95ab-23ed85d1305b
    Bridge br-tun
        Port patch-int
            Interface patch-int
                type: patch
                options: {peer=patch-tun}
        Port "vxlan-0ae09f91"
            Interface "vxlan-0ae09f91"
                type: vxlan
                options: {df_default="true", in_key=flow, local_ip="10.224.159.141", out_key=flow, remote_ip="10.224.159.145"}
        Port "vxlan-0ae09f88"
            Interface "vxlan-0ae09f88"
                type: vxlan
                options: {df_default="true", in_key=flow, local_ip="10.224.159.141", out_key=flow, remote_ip="10.224.159.136"}
        Port br-tun
            Interface br-tun
                type: internal

 

OVS会将此包进行VXLAN封装，将L2帧分装到VXLAN中，包头如下：

 

 

OVS会将此包进行VXLAN封装，将L2帧分装到VXLAN中，包头如下：

本文并不想具体讨论VXLAN是如何封装的，简单的说就是讲二层帧封到了一个UDP包中。

 

 

 

之后compute2会收到这个包，在compute2的br-tun上查询流表:

首先看一下接口情况：

root@dvr-compute2:~# ovs-ofctl show br-tun
OFPT_FEATURES_REPLY (xid=0x2): dpid:000062e9fb8b8f42
n_tables:254, n_buffers:256
capabilities: FLOW_STATS TABLE_STATS PORT_STATS QUEUE_STATS ARP_MATCH_IP
actions: OUTPUT SET_VLAN_VID SET_VLAN_PCP STRIP_VLAN SET_DL_SRC SET_DL_DST SET_NW_SRC SET_NW_DST SET_NW_TOS SET_TP_SRC SET_TP_DST ENQUEUE
 1(patch-int): addr:02:dc:f1:96:db:bd
     config:     0
     state:      0
     speed: 0 Mbps now, 0 Mbps max
 3(vxlan-0ae09f88): addr:b6:4b:d0:83:07:52
     config:     0
     state:      0
     speed: 0 Mbps now, 0 Mbps max
 4(vxlan-0ae09f8d): addr:12:e5:36:2c:1a:36
     config:     0
     state:      0
     speed: 0 Mbps now, 0 Mbps max
 LOCAL(br-tun): addr:62:e9:fb:8b:8f:42
     config:     0
     state:      0
     speed: 0 Mbps now, 0 Mbps max
OFPT_GET_CONFIG_REPLY (xid=0x4): frags=normal miss_send_len=0

 

 

在table0中可以看到，如果包是从外部发来的就会去查询表4：

 cookie=0x0, duration=66293.658s, table=0, n_packets=31, n_bytes=3936, idle_age=22651, hard_age=65534, priority=1,in_port=3 actions=resubmit(,4)

 cookie=0x0, duration=69453.368s, table=0, n_packets=103, n_bytes=9360, idle_age=22651, hard_age=65534, priority=1,in_port=1 actions=resubmit(,1)

 cookie=0x0, duration=66292.808s, table=0, n_packets=20, n_bytes=1742, idle_age=3598, hard_age=65534, priority=1,in_port=4 actions=resubmit(,4)

 cookie=0x0, duration=69455.675s, table=0, n_packets=5, n_bytes=390, idle_age=65534, hard_age=65534, priority=0 actions=drop

 

 

在表4中，会将tun_id对应的改为本地vlan id，之后查询表9:

 cookie=0x0, duration=65937.871s, table=4, n_packets=32, n_bytes=3653, idle_age=22651, hard_age=65534, priority=1,tun_id=0x3eb actions=mod_vlan_vid:3,resubmit(,9)

 cookie=0x0, duration=66294.732s, table=4, n_packets=19, n_bytes=2025, idle_age=3598, hard_age=65534, priority=1,tun_id=0x3e9 actions=mod_vlan_vid:2,resubmit(,9)

 cookie=0x0, duration=69455.115s, table=4, n_packets=0, n_bytes=0, idle_age=65534, hard_age=65534, priority=0 actions=drop

 

 

在表9中，如果发现包的源地址是全局唯一并与计算节点绑定的MAC地址，就将其转发到br-int:

 cookie=0x0, duration=69453.507s, table=9, n_packets=0, n_bytes=0, idle_age=65534, hard_age=65534, priority=1,dl_src=fa:16:3f:fe:49:e9 actions=output:1

 cookie=0x0, duration=69453.782s, table=9, n_packets=0, n_bytes=0, idle_age=65534, hard_age=65534, priority=1,dl_src=fa:16:3f:72:3f:a7 actions=output:1

 cookie=0x0, duration=69453.23s, table=9, n_packets=56, n_bytes=6028, idle_age=3598, hard_age=65534, priority=0 actions=resubmit(,10)

 

 

由于我们的源MAC为fa:16:3f:fe:49:e9，我们的ICMP包就被转发到了br-int，之后查询br-int的流表：

在表0中，如果是全局唯一并与计算节点绑定的MAC地址就查询表1，否则就正常转发：

 cookie=0x0, duration=70039.903s, table=0, n_packets=0, n_bytes=0, idle_age=65534, hard_age=65534, priority=2,in_port=6,dl_src=fa:16:3f:72:3f:a7 actions=resubmit(,1)

 cookie=0x0, duration=70039.627s, table=0, n_packets=0, n_bytes=0, idle_age=65534, hard_age=65534, priority=2,in_port=6,dl_src=fa:16:3f:fe:49:e9 actions=resubmit(,1)

 cookie=0x0, duration=70040.053s, table=0, n_packets=166, n_bytes=15954, idle_age=4184, hard_age=65534, priority=1 actions=NORMAL

 

 

在表1中，事先设定好了flow，如果目的MAC是发送给private2-compute2-VM，就将源MAC改为private2的网关MAC地址：

 cookie=0x0, duration=66458.695s, table=1, n_packets=0, n_bytes=0, idle_age=65534, hard_age=65534, priority=4,dl_vlan=3,dl_dst=fa:16:3e:51:99:b8 actions=strip_vlan,mod_dl_src:fa:16:3e:69:b4:05,output:12

 cookie=0x0, duration=66877.515s, table=1, n_packets=0, n_bytes=0, idle_age=65534, hard_age=65534, priority=4,dl_vlan=2,dl_dst=fa:16:3e:14:b8:ec actions=strip_vlan,mod_dl_src:fa:16:3e:66:13:af,output:9

 cookie=0x0, duration=66877.369s, table=1, n_packets=0, n_bytes=0, idle_age=65534, hard_age=65534, priority=2,ip,dl_vlan=2,nw_dst=10.0.1.0/24 actions=strip_vlan,mod_dl_src:fa:16:3e:66:13:af,output:9

 cookie=0x0, duration=66458.559s, table=1, n_packets=0, n_bytes=0, idle_age=65534, hard_age=65534, priority=2,ip,dl_vlan=3,nw_dst=10.0.2.0/24 actions=strip_vlan,mod_dl_src:fa:16:3e:69:b4:05,output:12

 

还可以看到下面两条rule是网段flow的rule，他们的output是一个list，会将此包转发到所有连接到此network上。

如果所有的虚机的rule都已经事先设定好的话，这两条rule应该并没有实际作用，等到代码稳定后，这两条rule应该会被删除。

 

经过br-int的流表后，包会变成如下形式：

Dest IP: 10.0.2.5

Souce IP: 10.0.1.5

Dest MAC: MAC of 10.0.2.5

Source MAC: fa:16:3e:69:b4:05(MAC of 10.0.2.1 网关地址)

 

至此，虚机private2-compute2-VM就会收到来自private1-compute1-VM的包了。从通信的过程可以看到，跨网段的东西向流量没有经过网络节点。

 

 

 

第二种情况 -- 南北向流量(虚机有floating ip)

以虚机private1-compute1-VM对外通信为例，此虚机拥有floating ip:

 

比如我们在虚机中ping 8.8.8.8 。首先在虚机中查询路由，和第一种情况一样，虚机会发送给网关。发送的包如下：

Dest IP: 8.8.8.8

Souce IP: 10.0.1.5

Dest MAC: MAC of 10.0.1.1

Source MAC: MAC of 10.0.1.5

 

查看ip rule:

root@dvr-compute1:~# ip netns exec qrouter-0fbb351e-a65b-4790-a409-8fb219ce16aa ip rule 
0: from all lookup local 
32766: from all lookup main 
32767: from all lookup default 
32768: from 10.0.1.5 lookup 16 
32769: from 10.0.2.3 lookup 16 
167772417: from 10.0.1.1/24 lookup 167772417 
167772417: from 10.0.1.1/24 lookup 167772417 
167772673: from 10.0.2.1/24 lookup 167772673

 

在main表中没有合适的路由：

root@dvr-compute1:~# ip netns exec qrouter-0fbb351e-a65b-4790-a409-8fb219ce16aa ip route list table main 
10.0.1.0/24 dev qr-ddbdc784-d7 proto kernel scope link src 10.0.1.1 
10.0.2.0/24 dev qr-001d0ed9-01 proto kernel scope link src 10.0.2.1 
169.254.31.28/31 dev rfp-0fbb351e-a proto kernel scope link src 169.254.31.28

 

 

由于包是从10.0.1.5发来的之后会查看table 16:

root@dvr-compute1:~# ip netns exec qrouter-0fbb351e-a65b-4790-a409-8fb219ce16aa ip route list table 16 
default via 169.254.31.29 dev rfp-0fbb351e-a

包会命中这条路由。

 

路由之后会通过netfilter的POSTROUTING链中进行SNAT：

root@dvr-compute1:~# ip netns exec qrouter-0fbb351e-a65b-4790-a409-8fb219ce16aa iptables -nvL -t nat

。。。

Chain neutron-l3-agent-float-snat (1 references)

 pkts bytes target prot opt in out source destination

    0 0 SNAT all -- * * 10.0.2.3 0.0.0.0/0 to:172.24.4.7

    0 0 SNAT all -- * * 10.0.1.5 0.0.0.0/0 to:172.24.4.5

。。。

 

之后就可以看到包会通过rfp-0fbb351e-a发送给169.254.31.29。

 

端口rfp-0fbb351e-a和fpr-0fbb351e-a是一对veth pair。在fip namespace中你可以看到这个接口：

root@dvr-compute1:~# ip netns exec fip-fbd46644-c70f-4227-a414-862a00cbd1d2 ifconfig
fg-081d537b-06 Link encap:Ethernet  HWaddr fa:16:3e:a4:eb:6b  
          inet addr:172.24.4.6  Bcast:172.24.4.255  Mask:255.255.255.0
          inet6 addr: fe80::f816:3eff:fea4:eb6b/64 Scope:Link
          UP BROADCAST RUNNING  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:50 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 B)  TX bytes:2512 (2.5 KB)

fpr-0fbb351e-a Link encap:Ethernet  HWaddr 42:0d:9f:49:63:c6  
          inet addr:169.254.31.29  Bcast:0.0.0.0  Mask:255.255.255.254
          inet6 addr: fe80::400d:9fff:fe49:63c6/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:12 errors:0 dropped:0 overruns:0 frame:0
          TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:1116 (1.1 KB)  TX bytes:1116 (1.1 KB)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:13 errors:0 dropped:0 overruns:0 frame:0
          TX packets:13 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:1250 (1.2 KB)  TX bytes:1250 (1.2 KB)

到了fip的namespace之后，会查询路由， 这里有通往公网的默认路由：

root@dvr-compute1:~# ip netns exec fip-fbd46644-c70f-4227-a414-862a00cbd1d2 ip route 
default via 172.24.4.1 dev fg-081d537b-06 
169.254.31.28/31 dev fpr-0fbb351e-a proto kernel scope link src 169.254.31.29 
172.24.4.0/24 dev fg-081d537b-06 proto kernel scope link src 172.24.4.6 
172.24.4.5 via 169.254.31.28 dev fpr-0fbb351e-a 
172.24.4.7 via 169.254.31.28 dev fpr-0fbb351e-a

 

通过fg-081d537b-06 发送到br-ex。这是从虚机发送到公网的过程。

 

 

反过来，从外网发起连接到虚机时，在fip的namespace会做arp代理：

root@dvr-compute1:~# ip netns exec fip-fbd46644-c70f-4227-a414-862a00cbd1d2 sysctl net.ipv4.conf.fg-081d537b-06.proxy_arp 
net.ipv4.conf.fg-081d537b-06.proxy_arp = 1

 

可以看到接口的arp代理是打开的，对于floating ip 有以下两条路由：

root@dvr-compute1:~# ip netns exec fip-fbd46644-c70f-4227-a414-862a00cbd1d2 ip route 
。。。
172.24.4.5 via 169.254.31.28 dev fpr-0fbb351e-a 
172.24.4.7 via 169.254.31.28 dev fpr-0fbb351e-a

。。。

 

 

ARP会去通过VETH Pair到IR的namespace中去查询，在IR中可以看到，接口rfp-0fbb351e-a配置了floating ip:

root@dvr-compute1:~# ip netns exec qrouter-0fbb351e-a65b-4790-a409-8fb219ce16aa ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: rfp-0fbb351e-a: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether ea:5c:56:9a:36:9c brd ff:ff:ff:ff:ff:ff
    inet 169.254.31.28/31 scope global rfp-0fbb351e-a
       valid_lft forever preferred_lft forever
    inet 172.24.4.5/32 brd 172.24.4.5 scope global rfp-0fbb351e-a
       valid_lft forever preferred_lft forever
    inet 172.24.4.7/32 brd 172.24.4.7 scope global rfp-0fbb351e-a
       valid_lft forever preferred_lft forever
    inet6 fe80::e85c:56ff:fe9a:369c/64 scope link 
       valid_lft forever preferred_lft forever
17: qr-ddbdc784-d7: <BROADCAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN group default 
    link/ether fa:16:3e:66:13:af brd ff:ff:ff:ff:ff:ff
    inet 10.0.1.1/24 brd 10.0.1.255 scope global qr-ddbdc784-d7
       valid_lft forever preferred_lft forever
    inet6 fe80::f816:3eff:fe66:13af/64 scope link 
       valid_lft forever preferred_lft forever
19: qr-001d0ed9-01: <BROADCAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN group default 
    link/ether fa:16:3e:69:b4:05 brd ff:ff:ff:ff:ff:ff
    inet 10.0.2.1/24 brd 10.0.2.255 scope global qr-001d0ed9-01
       valid_lft forever preferred_lft forever
    inet6 fe80::f816:3eff:fe69:b405/64 scope link 
       valid_lft forever preferred_lft forever

 

 

因此fip的namespace会对这两个floating ip进行ARP回应。

 

外部发起目标地址为floating ip的请求后，fip会将其转发到IR中，IR的RPOROUTING链中规则如下：

root@dvr-compute1:~# ip netns exec qrouter-0fbb351e-a65b-4790-a409-8fb219ce16aa iptables -nvL -t nat

。。。

Chain neutron-l3-agent-PREROUTING (1 references)

 pkts bytes target prot opt in out source destination

    0 0 REDIRECT tcp -- * * 0.0.0.0/0 169.254.169.254 tcp dpt:80 redir ports 9697

    0 0 DNAT all -- * * 0.0.0.0/0 172.24.4.7 to:10.0.2.3

    0 0 DNAT all -- * * 0.0.0.0/0 172.24.4.5 to:10.0.1.5

。。。

 

这条DNAT规则会将floating ip地址转换为内部地址，之后进行路由查询：

root@dvr-compute1:~# ip netns exec qrouter-0fbb351e-a65b-4790-a409-8fb219ce16aa ip route 
10.0.1.0/24 dev qr-ddbdc784-d7 proto kernel scope link src 10.0.1.1 
10.0.2.0/24 dev qr-001d0ed9-01 proto kernel scope link src 10.0.2.1 
169.254.31.28/31 dev rfp-0fbb351e-a proto kernel scope link src 169.254.31.28

 

目的地址是10.0.1.0/24网段的，因此会从qr-ddbdc784-d7转发出去。之后就会转发到br-int再到虚机。

 

 

 

第三种情况 -- 南北向流量(虚机没有floating ip)

在虚机没有floating ip的情况下，从虚机发出的包会首先到IR，IR中查询路由：

root@dvr-compute1:~# ip netns exec qrouter-0fbb351e-a65b-4790-a409-8fb219ce16aa ip rule 
0: from all lookup local 
32766: from all lookup main 
32767: from all lookup default 
32768: from 10.0.1.5 lookup 16 
32769: from 10.0.2.3 lookup 16 
167772417: from 10.0.1.1/24 lookup 167772417 
167772417: from 10.0.1.1/24 lookup 167772417 
167772673: from 10.0.2.1/24 lookup 167772673

 

会先查询main表，之后查询167772417表。

root@dvr-compute1:~# ip netns exec qrouter-0fbb351e-a65b-4790-a409-8fb219ce16aa ip route list table 167772417 
default via 10.0.1.6 dev qr-ddbdc784-d7

这个表会将其转发给10.0.1.6,而这个IP就是在network node上的router_centralized_snat接口。

 

在network node的snat namespace中，我们可以看到这个接口：

stack@dvr-controller:/root$ sudo ip netns exec snat-0fbb351e-a65b-4790-a409-8fb219ce16aa ifconfig
lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

qg-4d15b7f6-cb Link encap:Ethernet  HWaddr fa:16:3e:24:0b:6b  
          inet addr:172.24.4.4  Bcast:172.24.4.255  Mask:255.255.255.0
          inet6 addr: fe80::f816:3eff:fe24:b6b/64 Scope:Link
          UP BROADCAST RUNNING  MTU:1500  Metric:1
          RX packets:5 errors:0 dropped:0 overruns:0 frame:0
          TX packets:144 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:210 (210.0 B)  TX bytes:13320 (13.3 KB)

sg-427653e4-a3 Link encap:Ethernet  HWaddr fa:16:3e:9f:55:67  
          inet addr:10.0.1.6  Bcast:10.0.1.255  Mask:255.255.255.0
          inet6 addr: fe80::f816:3eff:fe9f:5567/64 Scope:Link
          UP BROADCAST RUNNING  MTU:1500  Metric:1
          RX packets:167 errors:0 dropped:0 overruns:0 frame:0
          TX packets:52 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:16260 (16.2 KB)  TX bytes:4460 (4.4 KB)

sg-5df1ec71-d3 Link encap:Ethernet  HWaddr fa:16:3e:13:55:66  
          inet addr:10.0.2.2  Bcast:10.0.2.255  Mask:255.255.255.0
          inet6 addr: fe80::f816:3eff:fe13:5566/64 Scope:Link
          UP BROADCAST RUNNING  MTU:1500  Metric:1
          RX packets:34 errors:0 dropped:0 overruns:0 frame:0
          TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:3412 (3.4 KB)  TX bytes:952 (952.0 B)

 

 

stack@dvr-controller:/root$ sudo ip netns exec snat-0fbb351e-a65b-4790-a409-8fb219ce16aa iptables -nvL -t nat

。。。

Chain neutron-l3-agent-snat (1 references)

 pkts bytes target prot opt in out source destination

    0 0 SNAT all -- * * 10.0.1.0/24 0.0.0.0/0 to:172.24.4.4

    0 0 SNAT all -- * * 10.0.2.0/24 0.0.0.0/0 to:172.24.4.4

。。。

 

 

这里就和以前的L3类似，会将没有floating ip的包SNAT成一个172.24.4.4(DVR的网关臂)。这个过程是和以前L3类似的，不再累述。

 

 

stack@dvr-controller:/root$ sudo ip netns exec snat-0fbb351e-a65b-4790-a409-8fb219ce16aa iptables -nvL -t nat

。。。

Chain neutron-l3-agent-snat (1 references)

 pkts bytes target prot opt in out source destination

    0 0 SNAT all -- * * 10.0.1.0/24 0.0.0.0/0 to:172.24.4.4

    0 0 SNAT all -- * * 10.0.2.0/24 0.0.0.0/0 to:172.24.4.4

。。。

 

 

这里就和以前的L3类似，会将没有floating ip的包SNAT成一个172.24.4.4(DVR的网关臂)。这个过程是和以前L3类似的，不再累述。

 

本文转自http://blog.csdn.net/matt_mao/article/details/39180135

 

作者：Liping Mao  发表于：2014-09-10
版权声明：可以任意转载，转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明