外网访问原理分析 - 每天5分钟玩转 OpenStack（105）

本节我们会将上节创建的 ext_net 连接到 router，并验证内外网的连通性。

更重要的，我们会分析隐藏在表象之下的原理。

将外网连接到 Neutron 的虚拟路由器，这样 instance 才能访问外网。

点击菜单 Project -> Network -> Routers 进入 router 列表。

点击 router_100_101 的 “Set Gateway” 按钮。

在 “External Network” 下拉列表中选择 ext_net，点击 “Set Gateway”。

外网设置成功。

我们需要看看 router 发生了什么变化。 点击 “router_100_101” 链接，打开 “Interfaces” 标签页

router 多了一个新的 interface，IP 为 10.10.10.2。 该 interface 用于连接外网 ext_net。

查看控制节点的网络结构，外网 bridge 上已经连接了 router 的 tap 设备 tapb8b32a88-03。

在 router 的 namespace 中查看 tapb8b32a88-03 的 veth pair 设备。

该 veth pair 命名为 qg-b8b32a88-03，上面配置了 IP 10.10.10.2。

router 的每个 interface 在 namespace 中都有对应的 veth。 如果 veth 用于连接租户网络，命名格式为 qr-xxx，比如 qr-d568ba1a-74 和 qr-e17162c5-00。 如果 veth 用于连接外部网络，命名格式为 qg-xxx，比如 qg-b8b32a88-03。

查看 router 的路由表信息。

可以看到默认网关为 10.10.10.1。 意味着对于访问 vlan100 和 vlan101 租户网络以外的所有流量，router_100_101 都将转发给 ext_net 的网关 10.10.10.1。

现在 router_100_101 已经同时连接了 vlan100, vlan101 和 ext_net 三个网络，如下图所示：

下面我们在 cirros-vm3 上测试一下。

cirros-vm3 位于计算节点，现在已经可以 Ping 到 ext_net 网关 10.10.10.1 了。 通过 traceroute 查看一下 cirros-vm3 到 10.10.10.1 的路径

数据包经过两跳到达 10.10.10.1 网关。 1. 数据包首先发送到 router_100_101 连接 vlan101 的 interface（172.16.101.1）。 2. 然后通过连接 ext_net 的 interface（10.10.10.2） 转发出去，最后到达 10.10.10.1。

当数据包从 router 连接外网的接口 qg-b8b32a88-03 发出的时候，会做一次 Source NAT，即将包的源地址修改为 router 的接口地址 10.10.10.2，这样就能够保证目的端能够将应答的包发回给 router，然后再转发回源端 instance。

可以通过 iptables 命令查看 SNAT 的规则。

当 cirros-vm3（172.16.101.3） Ping 10.10.10.1 时，可用通过 tcpdump 分别观察 router 两个 interface 的 icmp 数据包来验证 SNAT 的行为。

vlan101 interface qr-e17162c5-00 的 tcpdump 输出：

ext_net interface qg-b8b32a88-03 的 tcpdump 输出：

SNAT 让 instance 能够直接访问外网，但外网还不能直接访问 instance。
因为 instance 没有外网 IP。
这里 “直接访问 instance” 是指通信连接由外网发起，例如从外网 SSH cirros-vm3。

这个问题可以通过 floating IP 解决，下一节我们将讨论浮动 IP。