《虛擬化技術與應用》 課件 13-容器網(wǎng)絡；14-深信服網(wǎng)絡虛擬化aNET應用

容器技術之容器網(wǎng)絡了解docker網(wǎng)絡架構掌握docker原生網(wǎng)絡了解docker高級網(wǎng)絡教學目標目錄docker網(wǎng)絡概述docker原生網(wǎng)絡docker高級網(wǎng)絡docker網(wǎng)絡架構dockerdaemonlibnetworkCNMsandboxendpointnetworkbridgedriverlibnetworkAPInulldriveroverlaydriverhostdriverremotedriverdriverAPIdriverAPIdriverAPIdriverAPIdriverAPICNM核心組件沙盒：一個沙盒包含了一個容器網(wǎng)絡棧的信息。沙盒可以對容器的接口、路由和DNS設置等進行管理。沙盒的實現(xiàn)可以是Linuxnetworknamespace、FreeBSDJail或者類似的機制。一個沙盒可以有多個端點和多個網(wǎng)絡。端點：一個端點可以加入一個沙盒和一個網(wǎng)絡。端點的實現(xiàn)可以是vethpair、OpenvSwitch內部端口或者相似的設備。一個端點只可以屬于一個網(wǎng)絡并且只屬于一個沙盒。網(wǎng)絡：一個網(wǎng)絡是一組可以直接互相聯(lián)通的端點。網(wǎng)絡的實現(xiàn)可以是Linuxbridge、VLAN等。一個網(wǎng)絡可以包含多個端點。libnetwork內置驅動bridge驅動。此驅動為Docker的默認設置，使用這個驅動的時候，libnetwork將創(chuàng)建出來的Docker容器連接到Docker網(wǎng)橋上。host驅動。使用這種驅動的時候，libnetwork將不為Docker容器創(chuàng)建網(wǎng)絡協(xié)議棧，即不會創(chuàng)建獨立的networknamespace。overlay驅動。此驅動采用IETF標準的VXLAN方式，并且是VXLAN中被普遍認為最適合大規(guī)模的云計算虛擬化環(huán)境的SDNcontroller模式。remote驅動。這個驅動實際上并未做真正的網(wǎng)絡服務實現(xiàn)，而是調用了用戶自行實現(xiàn)的網(wǎng)絡驅動插件，使libnetwork實現(xiàn)了驅動的可插件化，更好地滿足了用戶的多種需求。remote驅動。這個驅動實際上并未做真正的網(wǎng)絡服務實現(xiàn)，而是調用了用戶自行實現(xiàn)的網(wǎng)絡驅動插件，使libnetwork實現(xiàn)了驅動的可插件化，更好地滿足了用戶的多種需求。CNM主要組件示例container1backendnetworkfrontendnetworknetworksandboxendpointcontainer2networksandboxendpointendpointcontainer3networksandboxendpointbridge驅動實現(xiàn)機制ipv4ip_forwarddockercontainereth0docker0172.17.42.1/16eth0vethdockercontainereth0vethdockercontainereth0veth目錄docker網(wǎng)絡概述docker原生網(wǎng)絡docker高級網(wǎng)絡docker原生網(wǎng)絡介紹docker提供了幾種原生網(wǎng)絡，可以執(zhí)行如下的命令進行查看：none網(wǎng)絡host網(wǎng)絡bridge網(wǎng)絡docker原生網(wǎng)絡介紹-none網(wǎng)絡none網(wǎng)絡就是什么都沒有的網(wǎng)絡，掛在這個網(wǎng)絡下的容器除了lo，沒有其他任何網(wǎng)卡，一些對安全性要求高并且不需要聯(lián)網(wǎng)的應用可以使用none網(wǎng)絡。容器創(chuàng)建時，可以通過--network=none指定使用none網(wǎng)絡docker原生網(wǎng)絡介紹-host網(wǎng)絡連接到host網(wǎng)絡的容器共享Dockerhost的網(wǎng)絡棧，容器的網(wǎng)絡配置與host完全一樣，直接使用Dockerhost的網(wǎng)絡最大的好處就是性能，如果容器對網(wǎng)絡傳輸效率有較高要求，則可以選擇host網(wǎng)絡?？梢酝ㄟ^--network=host指定使用host網(wǎng)絡docker原生網(wǎng)絡介紹-bridge網(wǎng)絡Docker安裝時會創(chuàng)建一個命名為docker0的Linuxbridge。如果不指定--network，創(chuàng)建的容器默認都會掛到docker0上目錄docker網(wǎng)絡概述docker原生網(wǎng)絡docker高級網(wǎng)絡docker原生網(wǎng)絡介紹-user

defined網(wǎng)絡Docker提供三種user-defined網(wǎng)絡驅動：bridge、overlay和macvlan。overlay和macvlan用于創(chuàng)建跨主機的網(wǎng)絡docker原生網(wǎng)絡介紹-overlay為支持容器跨主機通信，Docker提供了overlaydriver，使用戶可以創(chuàng)建基于VxLAN的overlay網(wǎng)絡。VxLAN可將二層數(shù)據(jù)封裝到UDP進行傳輸，VxLAN提供與VLAN相同的以太網(wǎng)二層服務，但是擁有更強的擴展性和靈活性。Docerkoverlay網(wǎng)絡需要一個key-value數(shù)據(jù)庫用于保存網(wǎng)絡狀態(tài)信息，包括Network、Endpoint、IP等。Consul、Etcd和ZooKeeper都是Docker支持的key-vlaue軟件docker原生網(wǎng)絡介紹-macvlan除了overlay,docker還開發(fā)了另一個支持跨主機容器網(wǎng)絡的driver:macvlan。macvlan本身是linxukernel模塊，其功能是允許同一個物理網(wǎng)卡配置多個MAC地址，即多個interface，每個interface可以配置自己的IP。macvlan本質上是一種網(wǎng)卡虛擬化技術，Docker用macvlan實現(xiàn)容器網(wǎng)絡就不奇怪了。macvlan的最大優(yōu)點是性能極好，相比其他實現(xiàn)，macvlan不需要創(chuàng)建Linuxbridge，而是直接通過以太interface連接到物理網(wǎng)絡。docker原生網(wǎng)絡介紹-weaveweave是Weaveworks開發(fā)的容器網(wǎng)絡解決方案。weave創(chuàng)建的虛擬網(wǎng)絡可以將部署在多個主機上的容器連接起來。對容器來說，weave就像一個巨大的以太網(wǎng)交換機，所有容器都被接入這個交換機，容器可以直接通信，無須NAT和端口映射。除此之外，weave的DNS模塊使容器可以通過hostname訪問。docker原生網(wǎng)絡介紹-flannelflannel是CoreOS開發(fā)的容器網(wǎng)絡解決方案。flannel為每個host分配一個subnet，容器從此subnet中分配IP，這些IP可以在host間路由，容器間無須NAT和portmapping就可以跨主機通信。每個subnet都是從一個更大的IP池中劃分的，flannel會在每個主機上運行一個叫flanneld的agent，其職責就是從池子中分配subnet。為了在各個主機間共享信息，flannel用etcd（與consul類似的key-value分布式數(shù)據(jù)庫）存放網(wǎng)絡配置、已分配的subnet、host的IP等信息。docker原生網(wǎng)絡介紹-calicoCalico是一個純三層的虛擬網(wǎng)絡方案，Calico為每個容器分配一個IP，每個host都是router，把不同host的容器連接起來。與VxLAN不同的是，Calico不對數(shù)據(jù)包做額外封裝，不需要NAT和端口映射，擴展性和性能都很好。與其他容器網(wǎng)絡方案相比，Calico還有一大優(yōu)勢：networkpolicy。用戶可以動態(tài)定義ACL規(guī)則，控制進出容器的數(shù)據(jù)包，實現(xiàn)業(yè)務需求。docker網(wǎng)絡架構docker原生網(wǎng)絡docker高級網(wǎng)絡總結深信服虛擬化技術掌握aNET網(wǎng)絡虛擬化的基本概念及應用教學目標

aNET網(wǎng)絡虛擬化aSEC安全虛擬化目錄aNET概述服務器虛擬化層aSV虛擬機虛擬機虛擬機虛擬機分布式虛擬防火墻aFW分布式虛擬交換機aSwitch4層-7層網(wǎng)絡服務NFV虛擬路由器aRouter網(wǎng)絡虛擬化aNET所畫即所得的業(yè)務邏輯呈現(xiàn)一站式網(wǎng)絡連通性探測工具虛擬交換機VMVMVSVMVMVSVSVLAN10VLAN20？？沒有虛擬交換機的情況下，當主機1失效之后，主機1上的虛擬機移動到主機3之后，網(wǎng)絡就會中斷。主機1主機2主機3虛擬交換機所有相同網(wǎng)段的虛擬機在互相訪問的時候，直接通過分布式虛擬交換機走VXLAN網(wǎng)絡進行訪問。VMVM1VM2VMVMVM3VM分布式虛擬交換機serverserverserver接入交換機接入交換機虛擬交換機基于主機Vxlan隧道的分布式交換架構aSwitch分布式虛擬交換機Policy·ACL·VLAN·QoS·……Policy·ACL·VLAN·QoS·……Policy·ACL·VLAN·QoS·……VMVMVMVMPolicy·ACL·VLAN·QoS·……Policy·ACL·VLAN·QoS·……VMVMVMVMPolicy·ACL·VLAN·QoS·……Policy·ACL·VLAN·QoS·……Policy·ACL·VLAN·QoS·……Policy·ACL·VLAN·QoS·……VMVMVMPolicy·ACL·VLAN·QoS·……Policy·ACL·VLAN·QoS·……虛擬路由器VMA與VMC若不同網(wǎng)段互相訪問時，流量會經過serverB的虛擬路由器，再回到分布式虛擬交換機到達VMC。VMVMAVMBVMVMVMCVMserverAserverBserverC接入交換機接入交換機虛擬路由器分布式虛擬交換機分布式虛擬防火墻分布式虛擬防火墻類似于一個在分布式虛擬交換機上的ACL策略。aSwitch分布式虛擬交換機分布式防火墻NICNICNICNIC分布式虛擬防火墻快速部署，架構簡單，配置隨虛擬機遷移無須安裝任何插件，不影響平臺及業(yè)務性能?？苫谔摂M機，配置訪問控制策略，實現(xiàn)安全微隔離。虛擬機遷移運行位置，安全策略自動跟隨。簡化網(wǎng)絡結構，排障方便提供BYPASS與攔截日志顯示功能，快速確認規(guī)則有效性。與連通性探測相結合，快速排障，縮短定位問題時間。分布式防火墻可實現(xiàn)面向業(yè)務虛擬機的安全策略部署所畫即所得Sangfor

cloud

深信服企業(yè)級云管理平臺aNET網(wǎng)絡虛擬化aSEC安全虛擬化目錄aSEC組件虛擬網(wǎng)絡服務vAF虛擬下一代防火墻vNGAF虛擬化下一代防火墻名稱性能vAF-1001vCPU/2GRAM，100M吞吐vAF-2002vCPU/4GRAM，200M吞吐vAF-4004vCPU/8GRAM，400M吞吐vAF-8008vCPU/16GRAM，800M吞吐vAF-16008vCPU/16GRAM，1600M吞吐vAD虛擬應用交付vAD虛擬化應用交付名稱性能(L4/L7)vAD-1001vCPU/2GRAM，500M吞吐，不限制新建和并發(fā)vAD-2002vCPU/4GRAM，1G吞吐，不限制新建和并發(fā)vAD-4004vCPU/8GRAM，3G吞吐，不限制新建和并發(fā)vAD-8008vCPU/16GRAM，5G吞吐，不限制新建和并發(fā)aSEC虛擬機安全病