标签： 技术实现

关注星融元

OpenStack简介

OpenStack是一个云操作系统，它控制整个数据中心的大型计算、存储和网络资源池，所有这些资源都通过一个仪表板进行管理，该仪表板赋予管理员控制权，同时允许用户通过web界面提供资源。

它为私有云和公有云提供可扩展的弹性的云计算服务，提供实施简单、可大规模扩展、丰富、标准统一的云计算管理平台。

Kolla-Ansible简介

Kolla旨在为运行OpenStack提供生产就绪的容器和部署工具。

Kolla-Ansible是Kolla的子项目，该项目使用Ansible部署Kolla容器映像。

Kolla-Ansible是开箱即用的工具，即使你是个新手也可以快速部署OpenStack，也允许你根据需求定制化的部署。

目标

在容器中部署OpenStack最大的特点就是升级，用户基本是无感知的状态下完成。同时可以实现本地与云端一致，一次开发随处运行，通过迁移到不同的设备，快速的完成部署和升级操作。

本文将以详细操作指导的方式，给出一种在Docker容器环境中部署OpenStack的指导方法。

环境准备

两台server，一台作为controller，另一台作为compute节点，操作系统CentOS 7.6.1810 镜像CentOS-7-x86_64-DVD-1810.iso。服务器具体配置要求如下：

• 2个千兆网口
• 至少8G内存
• 磁盘至少40G
• 计算节点的BISO中开启CPU嵌套虚拟化(INTEL叫VT-x，AMD的叫AMD-V)

Kolla-Ansible部署过程

关闭SELinux 【控制节点、计算节点】

SELinux不关闭的情况下无法实现，会限制ssh免密码登录

关闭防火墙【控制节点、计算节点】

防止安装时出现各个组件的端口不能访问的问题

禁用宿主机的 Libvirt 服务

大多数操作系统会默认启动 Libvirt，但使用 Kolla 来部署 OpenStack 的话，Libvirt 应该在容器中运行并管理虚拟机。所以宿主机的 Libvirt 需要被关闭，以免造成冲突。

设置主机名，hosts文件【控制节点、计算节点】

控制节点

计算节点根据节点名称修改

修改网卡名称【控制节点、计算节点】

说明：网卡名字不是必须改，保持各服务器使用的网卡名称一样。

网卡1:

网卡2:

修改网卡文件名称:

修改net配置文件

ATTR和服务器两网口MAC地址保持一致

重启服务器

重启网络服务

安装【控制节点、计算节点】

安装编译环境【控制节点】

安装ansible【控制节点】

l  安装docker【控制节点、计算节点】

• 问题1 安装docker失败，提示与其他安装包冲突Error: docker-engine-selinux conflicts with 2:container-selinux-2.107-3.el7.noarch

解决方法如下：

设置Docker【控制节点、计算节点】

重启相关服务【控制节点、计算节点】

安装模块【控制节点、计算节点】

安装【控制节点】

安装kolla-ansible【控制节点】

如果报如下错误

Cannot uninstall ‘PyYAML’. It is a distutils installed project and thus we

cannot accurately determine which files belong to it which would lead to only a

partial uninstall.

拷贝配置文件【控制节点】

配置免密登录【控制节点】

存储节点配置【计算节点】

(演示版本可以跳过此步骤)

• 要启动cinder存储服务，需先添加一块新的硬盘，然后创建pv、vg

• 问题1 如果出现创建不了pv

解决方法如下：

解决：

重启服务【计算节点】

修改【控制节点】

获取docker镜像【控制节点、计算节点】

• 使用kolla官方镜像源

• 下载镜像包

修改全局配置文件globals.yml【控制节点】

管理网口eno1,外网网口eno2

如果采用cinder磁盘存储

如果采用外部ceph存储：

生成密码文件passwords.yml【控制节点】

这个密码文件可以使用工具自动生成，也可以手动输入但是手动输入需要注意格式，在：后需要空一格

再输入；而且ssh_key也比较麻烦所以推荐使用工具自动生成但是直接输入

修改dashboard登录密码

修改部署文件multinode【控制节点】

检查配置【控制节点】

配置SchedNova主机基础环境【控制节点】

部署OpenStack【控制节点】

验证OpenStack安装【控制节点】

OpenStack更新【控制节点】

### 修改镜像版本（此处不用更新,以后想更新版本再更新）

重启所有应用【控制节点】

环境还原【控制节点】

#如果安装有错误，想重新安装，可以选择如下操作

##将删除所有容器和卷

生成 admin-openrc.sh【控制节点】

初始demo【控制节点】

执行后会自动下载cirros镜像, 创建网络, 并创建一批测试虚拟机.

查询登录密码【控制节点】

安装OpenStack命令行客户端【控制节点】

创建实例到指定计算节点

• 查看有效区域

• 查看有效主机列表

• 查看有效计算节点列表

• 查询网络id

• 查看安全组

• 创建flavor

• 创建实例

–flavor 实例类型

–image 镜像

–nic 网络 net-id网络id 第4步查得

 –availability-zone nova:compute1:compute1 前三步查得

compute1为指定计算节点。

结论

从上面的安装过程我们发现Kolla-Ansible来完成OpenStack安装过程非常的简洁，不需要过多修改OpenStack的配置文件，从而可以很轻松的完成部署和升级等操作。

参考资料

1. OpenStack官网： openstack.org
2. Kolla-Ansible项目官网：https://wiki.openstack.org/wiki/Kolla#Kolla
3. Kolla-Ansible官网安装：https://docs.openstack.org/kolla-ansible/latest/

关注星融元

VXLAN全称Virtual eXtensible Local Area Network即虚拟扩展局域网，是由IETF定义的NVO3（Network Virtualization over Layer 3）标准技术之一，是对传统VLAN协议的一种扩展。VXLAN的特点是将L2的以太帧封装到UDP报文（即L2 over L4）中，并在L3网络中传输。

VXLAN的产生背景

数据中心规模的壮大，虚拟机数量的快速增长与虚拟机迁移业务的日趋频繁，给传统的“二层+三层”数据中心网络带来了新的挑战：

 虚拟机规模受网络设备表项规格的限制

对于同网段主机的通信而言，报文通过查询MAC表进行二层转发。服务器虚拟化后，数据中心中VM的数量比原有的物理机发生了数量级的增长，伴随而来的便是虚拟机网卡MAC地址数量的空前增加。一般而言，接入侧二层设备的规格较小，MAC地址表项规模已经无法满足快速增长的VM数量。

传统网络的隔离能力有限

VLAN作为当前主流的网络隔离技术，在标准定义中只有12比特，也就是说可用的VLAN数量只有4096。对于公有云或其它大型虚拟化云计算服务这种动辄上万甚至更多租户的场景而言，VLAN的隔离能力显然已经力不从心。

虚拟机迁移范围受限

虚拟机迁移，顾名思义，就是将虚拟机从一个物理机迁移到另一个物理机，但是要求在迁移过程中业务不能中断。要做到这一点，需要保证虚拟机迁移前后，其IP地址、MAC地址等参数维持不变。这就决定了，虚拟机迁移必须发生在一个二层域中。而传统数据中心网络的二层域，将虚拟机迁移限制在了一个较小的局部范围内。值得一提的是，通过堆叠、SVF、TRILL等技术构建物理上的大二层网络，可以将虚拟机迁移的范围扩大。但是，构建物理上的大二层，难免需要对原来的网络做大的改动，并且物理大二层网络的范围依然会受到种种条件的限制。

VXLAN采用L2 over L4（MAC-in-UDP）的报文封装模式，将二层报文用三层协议进行封装，可实现二层网络在三层范围内进行扩展，同时满足数据中心大二层虚拟迁移和多租户的需求。

VXLAN的发展历程

协议最早由VMware、Arisa网络、Cisco提出，后期加入华为、博科、Red Hat、Intel等公司支持，IETF于2012年8月发布第一个RFC Internet Draft版本，最新的标准是2014年8月RFC 7348。

VXLAN的相关概念

• NVO3（Network Virtualization Over Layer3 3层之上的网络虚拟化）

基于IP Overlay的虚拟局域网络技术统称为NVO3。

• NVE(Network Virtrualization Edge网络虚拟边缘节点）

是实现网络虚拟化的功能实体，VM里的报文经过NVE封装后，NVE之间就可以在基于L3的网络基础上建立起L2虚拟网络。网络设备实体以及服务器实体上的VSwitch都可以作为NVE。

• VTEP（VXLAN Tunnel Endpoints，VXLAN隧道端点）

VXLAN网络的边缘设备，是VXLAN隧道的起点和终点，VXLAN报文的相关处理均在这上面进行。VTEP既可以是一个独立的网络设备，也可以是虚拟机所在的服务器。

• VNI（VXLAN Network Identifier，VXLAN 网络标识符）

VNI类似VLAN ID，用于区分VXLAN段，不同VXLAN段的虚拟机不能直接二层相互通信。一个VNI表示一个租户，即使多个终端用户属于同一个VNI，也表示一个租户。VNI由24比特组成，支持多达16M（(2^24-1)/1024^2）的租户。

• VXLAN隧道

“隧道”是一个逻辑上的概念，它并不新鲜，比如大家熟悉的GRE。说白了就是将原始报文“变身”下，加以“包装”，好让它可以在承载网络（比如IP网络）上传输。从主机的角度看，就好像原始报文的起点和终点之间，有一条直通的链路一样。而这个看起来直通的链路，就是“隧道”。顾名思义，“VXLAN隧道”便是用来传输经过VXLAN封装的报文的，它是建立在两个VTEP之间的一条虚拟通道。

• BD（bridge domain）,vxlan转发二层数据报文的广播域，是承载vxlan数据报文的实体。类似于传统网络中VLAN的概念，只不过在VXLAN网络中，它有另外一个名字BD。不同的VLAN是通过VLAN ID来进行区分的，那不同的BD是通过VNI来区分的。
• VXLAN报文格式

图1： VXLAN报文格式

图2：VXLAN标准报文格式

VXLAN的工作原理

VXLAN网络中的通信过程

结合如下示例简要说明VXLAN网络中的通信过程：

图3：VXLAN通信过程

图3中 Host-A 和 Host-B 位于 VNI 10 的 VXLAN，通过 VTEP-1 和 VTEP-2 之间建立的 VXLAN 隧道通信。

数据传输过程如下：

• Host-A 向 Host-B 发送数据时，Host-B 的 MAC 和 IP 作为数据包的目标 MAC 和 IP，Host-A 的 MAC 作为数据包的源 MAC 和 IP，然后通过 VTEP-1 将数据发送出去。
• VTEP-1 从自己维护的映射表中找到 MAC-B 对应的 VTEP-2，然后执行 VXLAN 封装，加上 VXLAN 头，UDP 头，以及外层 IP 和 MAC 头。此时的外层 IP 头，目标地址为 VTEP-2 的 IP，源地址为 VTEP-1 的 IP。同时由于下一跳是 Router-1，所以外层 MAC 头中目标地址为 Router-1 的 MAC。
• 数据包从 VTEP-1 发送出去后，外部网络的路由器会依据外层 IP 头进行包路由，最后到达与 VTEP-2 连接的路由器 Router-2。
• Router-2 将数据包发送给 VTEP-2。VTEP-2 负责解封数据包，依次去掉外层 MAC 头，外层 IP 头，UDP 头 和 VXLAN 头。
• VTEP-2 依据目标 MAC 地址将数据包发送给 Host-B。

上面的流程我们看到 VTEP 是 VXLAN 的最核心组件，负责数据的封装和解封。

隧道也是建立在 VTEP 之间的，VTEP 负责数据的传送。

VTEP节点工作机制

通过以上通信步骤的描述可以看到，VTEP节点在VXLAN网络通信中起到了至关重要的作用。在VXLAN网络通信中，VTEP节的职责主要有3项：

• 将虚拟网络通信的数据帧添加VXLAN头部和外部UDP和IP首部。
• 将封装好的数据包转发给正确的VTEP节点。
• 收到其他VTEP发来的VXLAN报文时，拆除外部IP、UDP以及VXLAN首部，然后将内部数据包交付给正确的终端。

对于功能2)的实现，即VXLAN数据包的转发过程。当VTEP节点收到一个VXLAN数据包时，需要根据内部以太网帧的目的MAC地址找到与拥有该目的地址的终端直接相连的VTEP地址，因此，这里需要一个目的MAC地址和VTEP节点IP地址的映射关系，VTEP节点利用一个转发表来存储此映射关系。转发表的格式为：<VNI, Inner Dst MAC,VTEP IP>，即给定VNI和目的MAC地址后映射到一个VTEP IP地址。

需要说明的是，映射VTEP节点IP地址时，之所以需要VNI的信息，是因为当存在多租户的情况下，各个租户将会独立组网，此时，多个租户设定的MAC地址有一定的概率会出现重叠，此时我们必须保证每个租户的网络都能独立地正常通信，因此，在为每个租户配置唯一的一个VNI的情况下，给定VNI和目的MAC地址，唯一确定一个VTEP地址。

下图4是一个样例，对于下图中的网络拓扑，分别给出了两个VTEP节点的转发表：

图4：VTEP节点工作过程

上图中给出了6个终端，分别属于2个租户，其中，终端T1、T2和T4属于租户1，分配VNI为1，终端T3、T5和T6属于租户2，分配VNI为2，两个VTEP节点的转发表已在图中给出。

每一个VTEP节点都必须拥有完整的转发表才可以正确地进行转发的功能，转发表的学习过程可以基于这样一种简单的策略：通过ARP报文学习，当收到终端发送的数据帧时，首先根据收到数据的端口判定数据发送方的VNI值，根据VNI和数据帧中的目的MAC查找对应的VTEP节点，如果查找成功，则转发，否则，在当前VXLAN网络中广播ARP请求报文，这样，连接目的MAC终端的VTEP节点就会发送ARP回答报文，这样就学习到了新的转发表项。

需要说明的是，在多租户的环境下，基于信息安全等因素，各个租户的流量必须实现隔离，因此在发送广播ARP请求报文时，不可以直接在多租户的环境中广播，必须保证只有当前VXLAN网络的终端可以收到广播报文，因此，和物理网络中的ARP广播请求的实现有所不同，这里需要通过IP组播机制来模拟广播。

因此，VTEP节点还需要保存对应于每个租户的VNI值的组播域，即对于每一个VNI值，存储包含当前VXLAN网络中终端的所有VTEP节点的IP，用于ARP广播时的组播操作。

 VXLAN二层网关与三层网关

• VXLAN二层网关：用于终端接入VXLAN网络，也可用于同一VXLAN网络的子网通信。
• VXLAN三层网关：用于VXLAN网络中跨子网通信以及访问外部网络。

VXLAN集中式网关与分布式网关

根据三层网关部署方式的不同，VXLAN三层网关又可以分为集中式网关和分布式网关。

• VXLAN集中式网关

集中式网关是指将三层网关集中部署在一台设备上，如下图所示，所有跨子网的流量都经过这个三层网关转发，实现流量的集中管理。

图5：

部署集中式网关的优点和缺点如下：

• 优点：对跨子网流量进行集中管理，网关的部署和管理比较简单。
• 缺点：转发路径不是最优：同一二层网关下跨子网的数据中心三层流量都需要经过集中三层网关绕行转发（如图中橙色虚线所示）。
• ARP表项规格瓶颈：由于采用集中三层网关，通过三层网关转发的终端的ARP表项都需要在三层网关上生成，而三层网关上的ARP表项规格有限，这不利于数据中心网络的扩展。
• VXLAN分布式网关

VXLAN分布式网关是指在典型的“Spine-Leaf”组网结构下，将Leaf节点作为VXLAN隧道端点VTEP，每个Leaf节点都可作为VXLAN三层网关（同时也是VXLAN二层网关），Spine节点不感知VXLAN隧道，只作为VXLAN报文的转发节点。如下图所示，Server1和Server2不在同一个网段，但是都连接到一个Leaf节点。Server1和Server2通信时，流量只需要在Leaf1节点进行转发，不再需要经过Spine节点。

部署分布式网关时：

• Spine节点：关注于高速IP转发，强调的是设备的高速转发能力。
• Leaf节点：作为VXLAN网络中的二层网关设备，与物理服务器或VM对接，用于解决终端租户接入VXLAN虚拟网络的问题。作为VXLAN网络中的三层网关设备，进行VXLAN报文封装/解封装，实现跨子网的终端租户通信，以及外部网络的访问。

图6：VXLAN分布式网关

VXLAN分布式网关具有如下特点：

同一个Leaf节点既可以做VXLAN二层网关，也可以做VXLAN三层网关，部署灵活。

Leaf节点只需要学习自身连接服务器的ARP表项，而不必像集中三层网关一样，需要学习所有服务器的ARP表项，解决了集中式三层网关带来的ARP表项瓶颈问题，网络规模扩展能力强。

VXLAN在星融元交换机上的配置实例

下面实例中星融元的两台CX306交换机通过配置BGP EVPN来实现VXLAN网络的建立。

全文请注册/登录后获取：https://asterfusion.com/d-20220617/

关注星融元

本文主要描述如何在Asterfusion CX306P-48S（以下简称CX306P）搭建的模拟网络上部署如下解决方案：

• RoCEv2：在模拟网络上承载RDMA应用，通过CX306P的PFC和ECN功能，为所承载的RDMA应用构建无损的RoCEv2环境。

• BGP EVPN和VXLAN：在模拟网络上承载VXLAN网络，将原本在Open vSwitch上进行的封装、去封装全部从Server端卸载到CX306P内的VTEP上，并且在模拟网络上启动BGP EVPN，自动化地创建VXLAN隧道、传递虚拟网络路由。

• MC-LAG：在模拟网络上为服务器创建一个高可靠环境，确保每台服务器都能通过标准LAG双上联到两台CX306P上，这两台CX306P通过MC-LAG被虚拟化成一台高可靠的交换节点。

如上解决方案共用一个物理拓扑，如图1所示：

部署过程中所涉及到的设备、接口及管理网口的IP地址如下表所示：

RoCEv2 / EVPN-VXLAN / MC-LAG部署的硬件与软件环境

部署环境中涉及到的硬件和软件如下表所示：

RoCEv2的配置部署

逻辑组网与配置思路

配置思路：

• 为交换机A和交换机B配置IP和路由
• 分别为Server1、Server2、Server3配置IP和路由网关
• 配置Server1的PFC功能
• 配置交换机A的ACL打标DSCP功能
• 使能交换机A和交换机B的QOS功能
• 先在Server1发送IB流量，观察队列流量
• 停掉Server1上的流量发送，在Server2发送普通TCP背景流量，观察队列流量
• 观察ACL规则匹配情况
• 将Server1和Server2的流量都打起来，观察交换机B的出口拥塞情况
• 配置交换机A和交换机B的PFC功能
• 观察测试PFC功能
• 关闭交换机A和交换机B的PFC功能，配置交换机B的ECN功能
• 配置服务器ECN相关设置
• 测试ECN功能

BGP EVPN和VXLAN配置部署

逻辑组网与配置思路

配置思路：

• 配置交换机A和交换机B的HOSTNAME
• 配置交换机A的EVPN
• 配置交换机B的EVPN
• Server1上创建虚机和VLAN
• Server3上创建虚机和VLAN
• 测试Server1和Server3的连通性
• 查看交换机A的路由信息
• 查看交换机B的路由信息

MC-LAG的配置部署思路

逻辑组网与配置思路

配置思路：

• 分别为Server1、Server3配置LAG
• 交换机A创建PortChannel，并添加接口
• 交换机A创建VLAN，并添加成员
• 交换B创建PortChannel，并添加接口
• 交换机B创建VLAN，并添加成员
• 交换机A配置MC-LAG
• 交换机B配置MC-LAG
• 测试链路故障
• 测试设备故障

全文请注册/登录后获取：https://asterfusion.com/d-20220617/

关注星融元

BGP全称BorderGatewayProtocol，也叫边界网关协议，是一种路径矢量路由协议，最新版本是BGPv4。BGP是互联网上一个核心的去中心化自治路由协议。BGP是最复杂的路由协议，属于应用层协议，其传输层使用TCP，默认端口号是179。BGP是唯一使用TCP作为传输层的路由协议。

BGP的分类介绍

BGP按照运行方式分为eBGP（External/Exterior BGP）和iBGP（Internal/Interior BGP）。

• eBGP：运行于不同AS之间的BGP称为eBGP。为了防止AS间产生环路，当BGP设备接收eBGP对等体发送的路由时，会将带有本地AS号的路由丢弃。
• iBGP：运行于同一AS内部的BGP称为iBGP。为了防止AS内产生环路，BGP设备不将从iBGP对等体学到的路由通告给其他iBGP对等体，并与所有iBGP对等体建立全连接。为了解决iBGP对等体的连接数量太多的问题，BGP设计了路由反射器和BGP联盟。

应该注意的是，使用内部 BGP 不是使用外部 BGP 的前提条件。自治系统可以从多种内部协议中进行选择，以连接其内部网络上的路由器。

BGP的相关概念

AS(Autonomous sydstem)

自治系统，指在一个（有时是多个）组织管辖下的所有IP网络和路由器的全体，它们对互联网执行共同的路由策略。一个AS是一个独立的整体网络。每个AS有自己唯一的编号。通常一个自治系统将会分配一个全局的唯一的16位号码， ASN范围：1-65535；其中1-64511属于公有ASN，64512-65535属于私有ASN。

AS_Path

路由每通过一个AS范围都会产生一个记录。

BGP报文交互中的角色

BGP报文交互中分为Speaker和Peer两种角色。

• Speaker：发送BGP报文的设备称为BGP发言者（Speaker），它接收或产生新的报文信息，并发布（Advertise）给其它BGP Speadker。
• Peer：相互交换报文的Speaker之间互称对等体（Peer）。若干相关的对等体可以构成对等体组（Peer Group）。

BGP的路由器号（Router ID）

• BGP的Router ID是一个用于标识BGP设备的32位值，通常是IPv4地址的形式，在BGP会话建立时发送的Open报文中携带。对等体之间建立BGP会话时，每个BGP设备都必须有唯一的Router ID，否则对等体之间不能建立BGP连接。
• BGP的Router ID在BGP网络中必须是唯一的，可以采用手工配置，也可以让设备自动选取。缺省情况下，BGP选择设备上的Loopback接口的IPv4地址作为BGP的Router ID。如果设备上没有配置Loopback接口，系统会选择接口中最大的IPv4地址作为BGP的Router ID。一旦选出Router ID，除非发生接口地址删除等事件，否则即使配置了更大的地址，也保持原来的Router ID。

BGP的报文

• BGP对等体间通过以下5种报文进行交互，其中Keepalive报文为周期性发送，其余报文为触发式发送：
• Open报文：用于协商BGP参数，包括版本，AS号，hold time等，然后建立BGP对等体连接。
• Update报文：用于在对等体之间交换路由信息。
• Notification报文：用于中断BGP连接。
• Keepalive报文：用于保持BGP连接。
• Route-refresh报文：用于在改变路由策略后请求对等体重新发送路由信息。只有支持路由刷新（Route-refresh）能力的BGP设备会发送和响应此报文。

BGP的3张表

• 邻居表(adjancy table):保存所有的BGP邻居信息。
• BGP表(forwarding database):保存从每一个邻居学到的路由信息。
• 路由表(routing table):BGP默认不做负载均衡，会从BGP表中选出一条到达各个目标网络最优的路由，放入路由表保存。路由器只需按路由表保存的路由条目转发数据即可。

全文请注册登录后获取：https://asterfusion.com/d-20230427/