項(xiàng)目4-構(gòu)建小型虛擬化網(wǎng)絡(luò)

項(xiàng)目四構(gòu)建小型虛擬化網(wǎng)絡(luò)《云網(wǎng)絡(luò)技術(shù)項(xiàng)目教程》目錄/Contents(1)(2)構(gòu)建雙機(jī)互聯(lián)虛擬化網(wǎng)絡(luò)構(gòu)建Flat扁平虛擬化網(wǎng)絡(luò)項(xiàng)目描述為提升IT基礎(chǔ)設(shè)施的運(yùn)行效率，學(xué)習(xí)在物理服務(wù)器上部署虛擬機(jī)，在虛擬機(jī)上部署各類(lèi)業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫(kù)。虛擬機(jī)之間需要相互訪問(wèn)，同時(shí)需要與外部網(wǎng)絡(luò)互訪。使用名稱(chēng)空間和Veth虛擬網(wǎng)卡構(gòu)建雙機(jī)互聯(lián)網(wǎng)絡(luò)、使用虛擬網(wǎng)橋構(gòu)建Flat扁平網(wǎng)絡(luò)，熟悉各種虛擬網(wǎng)絡(luò)設(shè)備的功能和應(yīng)用。

項(xiàng)目4任務(wù)思維導(dǎo)圖如圖4-1所示圖4-1

項(xiàng)目4任務(wù)思維導(dǎo)圖構(gòu)建雙機(jī)互聯(lián)虛擬化網(wǎng)絡(luò)【知識(shí)目標(biāo)】（1）掌握網(wǎng)絡(luò)虛擬化的定義。（1）掌握tap/tun與veth虛擬網(wǎng)卡的區(qū)別。（2）掌握網(wǎng)絡(luò)名稱(chēng)空間的作用和配置方法。（1）能夠運(yùn)維tap/tun/veth虛擬網(wǎng)卡。（2）能夠使用網(wǎng)絡(luò)名稱(chēng)空間和veth虛擬網(wǎng)卡模擬雙機(jī)互聯(lián)。【技能目標(biāo)】【網(wǎng)絡(luò)拓?fù)洹咳蝿?wù)4-1的網(wǎng)絡(luò)拓?fù)淙鐖D4-2所示。圖4-2

任務(wù)4-1網(wǎng)絡(luò)拓?fù)浔貍渲R(shí)1.網(wǎng)絡(luò)虛擬化網(wǎng)絡(luò)虛擬化是一種將物理網(wǎng)絡(luò)資源劃分為多個(gè)虛擬網(wǎng)絡(luò)的技術(shù)。它允許多個(gè)虛擬網(wǎng)絡(luò)在同一物理網(wǎng)絡(luò)上并行運(yùn)行，每個(gè)虛擬網(wǎng)絡(luò)都具有自己獨(dú)立的網(wǎng)絡(luò)拓?fù)?、策略和服?wù)，實(shí)現(xiàn)以下功能。（1）資源隔離通過(guò)網(wǎng)絡(luò)虛擬化，可以將物理網(wǎng)絡(luò)資源劃分為多個(gè)虛擬網(wǎng)絡(luò)，從而實(shí)現(xiàn)資源的隔離。不同的虛擬網(wǎng)絡(luò)可以獨(dú)立配置和管理，互相之間不會(huì)產(chǎn)生干擾或影響。（2）多租戶支持網(wǎng)絡(luò)虛擬化后，可以為多個(gè)租戶提供獨(dú)立的虛擬網(wǎng)絡(luò)。每個(gè)租戶可以有自己的網(wǎng)絡(luò)拓?fù)?、IP地址空間、安全策略等，從而實(shí)現(xiàn)多租戶的隔離和定制化。（3）靈活性和敏捷性通過(guò)網(wǎng)絡(luò)虛擬化，可以快速創(chuàng)建、配置和管理虛擬網(wǎng)絡(luò)。對(duì)于企業(yè)來(lái)說(shuō)，可以根據(jù)需要?jiǎng)討B(tài)調(diào)整虛擬網(wǎng)絡(luò)的規(guī)模和配置，適應(yīng)業(yè)務(wù)需求的變化。（4）增強(qiáng)安全性網(wǎng)絡(luò)虛擬化可以提供更精細(xì)的安全控制和隔離。通過(guò)在虛擬網(wǎng)絡(luò)中實(shí)施安全策略、訪問(wèn)控制和流量監(jiān)測(cè)，增強(qiáng)網(wǎng)絡(luò)的安全性。（5）高性能和可靠性網(wǎng)絡(luò)虛擬化技術(shù)通過(guò)物理網(wǎng)絡(luò)資源的合理利用提供高性能和可靠性。虛擬網(wǎng)絡(luò)可以動(dòng)態(tài)分配帶寬、負(fù)載均衡，并支持流量工程和故障恢復(fù)等功能，滿足不同應(yīng)用場(chǎng)景的需求。必備知識(shí)2.Tap/tun/veth虛擬網(wǎng)卡目前主流的虛擬網(wǎng)卡方案有tun/tap和veth兩種，在時(shí)間上tun/tap出現(xiàn)得更早，在LinuxKernel2.4版之后發(fā)布的內(nèi)核都會(huì)默認(rèn)編譯tun/tap的驅(qū)動(dòng)。veth是另一種主流的虛擬網(wǎng)卡方案，在LinuxKernel2.6版本，Linux開(kāi)始支持網(wǎng)絡(luò)名稱(chēng)空間隔離的同時(shí)，也提供了專(zhuān)門(mén)的虛擬以太網(wǎng)（VirtualEthernet，習(xí)慣簡(jiǎn)寫(xiě)做veth）讓兩個(gè)隔離的網(wǎng)絡(luò)名稱(chēng)空間之間可以互相通信。veth實(shí)際是一對(duì)設(shè)備，因而也常被稱(chēng)作Veth-Pair，被廣泛的應(yīng)用在虛擬化網(wǎng)絡(luò)中。tap虛擬網(wǎng)卡工作在數(shù)據(jù)鏈路層，不配置IP地址，一般應(yīng)用在虛擬機(jī)與外界的網(wǎng)絡(luò)互聯(lián)上。虛擬機(jī)是宿主機(jī)上的一個(gè)應(yīng)用程序，可以理解成宿主機(jī)上的一個(gè)應(yīng)用軟件，所以工作在用戶態(tài)。當(dāng)虛擬機(jī)與外界通信時(shí)，首先利用tap虛擬網(wǎng)卡提供的字符文件設(shè)備進(jìn)行IO讀寫(xiě)操作。如圖4-3所示，虛擬機(jī)中的每個(gè)網(wǎng)卡都與宿主機(jī)的一個(gè)虛擬tap網(wǎng)卡相連。當(dāng)一個(gè)tap虛擬網(wǎng)卡被創(chuàng)建時(shí)，在Linux設(shè)備文件目錄下生會(huì)生成一個(gè)對(duì)應(yīng)的字符設(shè)備文件，用戶程序可以打開(kāi)普通文件一樣打開(kāi)這個(gè)文件進(jìn)行讀寫(xiě)。①tap虛擬網(wǎng)卡圖4-3任務(wù)4-1Tap虛擬網(wǎng)卡當(dāng)虛擬機(jī)對(duì)外發(fā)送數(shù)據(jù)時(shí)，對(duì)這個(gè)tap設(shè)備文件執(zhí)行寫(xiě)操作，tap虛擬網(wǎng)卡收到了數(shù)據(jù)，Linux內(nèi)核收到此數(shù)據(jù)后將根據(jù)TCP/IP配置進(jìn)行網(wǎng)絡(luò)處理，處理過(guò)程類(lèi)似于普通的物理網(wǎng)卡從外界收到數(shù)據(jù)。當(dāng)虛擬機(jī)從外界接收數(shù)據(jù)時(shí)，對(duì)這個(gè)tap設(shè)備文件執(zhí)行讀操作，向內(nèi)核查詢(xún)tap設(shè)備上是否有數(shù)據(jù)需要被發(fā)送，有的話則取出。tun虛擬網(wǎng)卡工作在網(wǎng)絡(luò)層，配置IP地址，一般應(yīng)用來(lái)建立網(wǎng)絡(luò)安全隧道，如圖4-4所示，當(dāng)本機(jī)與遠(yuǎn)端主機(jī)建立隧道后，瀏覽器訪問(wèn)遠(yuǎn)端的地址時(shí)，發(fā)送的數(shù)據(jù)首先到達(dá)tun虛擬網(wǎng)卡，然后OpenVPN(OpenVirtualPrivateNET，開(kāi)放虛擬私有網(wǎng)絡(luò))軟件讀取tun虛擬網(wǎng)卡數(shù)據(jù)，再將數(shù)據(jù)發(fā)送給內(nèi)核TCP/IP協(xié)議，最后由內(nèi)核發(fā)送給物理網(wǎng)卡。②tun虛擬網(wǎng)卡圖4-4

任務(wù)4-1隧道發(fā)送數(shù)據(jù)流程遠(yuǎn)端主機(jī)接收到數(shù)據(jù)后的處理過(guò)程如圖4-5所示，首先物理網(wǎng)卡將數(shù)據(jù)發(fā)送給內(nèi)核，內(nèi)核將數(shù)據(jù)交給OpenVPN處理，OpenVPN向tun虛擬網(wǎng)卡寫(xiě)入數(shù)據(jù)，虛擬網(wǎng)卡再將數(shù)據(jù)發(fā)送給內(nèi)核，內(nèi)核再發(fā)送給瀏覽器。圖4-5

任務(wù)4-1隧道接收數(shù)據(jù)流程veth-pair是一對(duì)虛擬設(shè)備接口一端連著協(xié)議棧，一端彼此相連著，在veth設(shè)備的其中一端輸入數(shù)據(jù)，這些數(shù)據(jù)就會(huì)從設(shè)備的另外一端原樣不變地流出，veth虛擬網(wǎng)卡最大的作用就是將不同名稱(chēng)空間的網(wǎng)絡(luò)設(shè)備連接通信，將不同的網(wǎng)絡(luò)設(shè)備加入不同的名稱(chēng)空間是非常必要的。③Veth虛擬網(wǎng)卡在二層網(wǎng)絡(luò)上，VLAN可以將一個(gè)物理交換機(jī)分割成幾個(gè)獨(dú)立的虛擬交換機(jī)。類(lèi)似地，在三層網(wǎng)絡(luò)上，網(wǎng)絡(luò)名稱(chēng)空間(namespace)可以將一個(gè)物理三層網(wǎng)絡(luò)分割成幾個(gè)獨(dú)立的虛擬三層網(wǎng)絡(luò)。每個(gè)namespace都有自己獨(dú)立的網(wǎng)絡(luò)棧，包括網(wǎng)絡(luò)接口、交換路由設(shè)備、路由表，防火墻規(guī)則等。從而允許用戶創(chuàng)建重疊的網(wǎng)絡(luò)。如圖4-6所示，Linux默認(rèn)的名稱(chēng)空間叫根空間，物理網(wǎng)卡位于根空間，各名稱(chēng)空間之間可以通過(guò)veth成對(duì)設(shè)備直接通信，其中名稱(chēng)空間1和根空間通過(guò)veth0和veth1成對(duì)設(shè)備通信，名稱(chēng)空間1和名稱(chēng)空間2通過(guò)veth2和veth3成對(duì)設(shè)備直接通信。圖4-6任務(wù)4-1veth虛擬網(wǎng)卡必備知識(shí)3.名稱(chēng)空間Linux提供了多種類(lèi)型的名稱(chēng)空間（Namespace），用于隔離不同的系統(tǒng)資源，使得每個(gè)命名空間中的進(jìn)程具有獨(dú)立的資源視圖。以下是一些常見(jiàn)的Linux名稱(chēng)空間類(lèi)型。①進(jìn)程ID命名空間（PIDNamespace）每個(gè)PID命名空間都有獨(dú)立的進(jìn)程ID號(hào)碼空間，使得在不同的命名空間中運(yùn)行的進(jìn)程可以具有相同的進(jìn)程ID。②掛載命名空間（MountNamespace）每個(gè)掛載命名空間都有獨(dú)立的掛載點(diǎn)層次結(jié)構(gòu)，使得不同命名空間中的進(jìn)程可以擁有不同的文件系統(tǒng)視圖。③UTS命名空間（UTSNamespace）UTS命名空間用于隔離主機(jī)名和域名，使得不同命名空間中的進(jìn)程可以擁有不同的主機(jī)名。④IPC命名空間（IPCNamespace）IPC命名空間用于隔離SystemVIPC和POSIX消息隊(duì)列等進(jìn)程間通信機(jī)制，使得不同命名空間中的進(jìn)程無(wú)法直接通信。⑤網(wǎng)絡(luò)命名空間（NetworkNamespace）每個(gè)網(wǎng)絡(luò)命名空間都有獨(dú)立的網(wǎng)絡(luò)設(shè)備、IP地址、路由表和防火墻規(guī)則等，使得不同命名空間中的進(jìn)程可以擁有獨(dú)立的網(wǎng)絡(luò)棧。⑥用戶命名空間（UserNamespace）用戶命名空間用于隔離用戶和用戶組標(biāo)識(shí)符，使得不同命名空間中的進(jìn)程可以擁有不同的用戶視圖。⑦控制組命名空間（CgroupNamespace）Cgroup命名空間用于隔離控制組層次結(jié)構(gòu)，使得不同命名空間中的進(jìn)程可以擁有獨(dú)立的資源控制。不同類(lèi)型的名稱(chēng)空間可以單獨(dú)或組合使用，以實(shí)現(xiàn)更細(xì)粒度的隔離和資源管理。它們對(duì)于容器技術(shù)和虛擬化等場(chǎng)景非常有用，可以提供更高級(jí)別的隔離和資源控制，增強(qiáng)系統(tǒng)的安全性、可擴(kuò)展性和性能隔離能力。運(yùn)維Tap/Tun虛擬網(wǎng)卡1.查看tun內(nèi)核模塊使用CentOS8模板機(jī)創(chuàng)建一臺(tái)Linux服務(wù)器，修改名稱(chēng)為node1，Linux使用tun模塊創(chuàng)建管理tap/tun虛擬網(wǎng)卡，所以首先查看是否已經(jīng)安裝了tun模塊，命令如下。[root@node1~]#lsmod|greptun圖4-7任務(wù)4-1查看默認(rèn)是否加載了tun模塊運(yùn)維Tap/Tun虛擬網(wǎng)卡2.管理tap/tun虛擬網(wǎng)卡（1）創(chuàng)建tap/tun虛擬網(wǎng)卡使用iptuntap命令可以創(chuàng)建tap/tun虛擬網(wǎng)卡，創(chuàng)建tap虛擬網(wǎng)卡的命令如下。[root@node1~]#iptuntapadddevtap0modetap#創(chuàng)建tap0虛擬網(wǎng)卡[root@node1~]#iptuntapadddevtun0modetun#創(chuàng)建tun0虛擬網(wǎng)卡（2）啟動(dòng)tap/tun虛擬網(wǎng)卡使用iplinkset啟動(dòng)網(wǎng)卡，命令如下。[root@node1~]#iplinksettap0up#啟動(dòng)tap0虛擬網(wǎng)卡[root@node1~]#iplinksettun0up#啟動(dòng)tun0虛擬網(wǎng)卡添加并啟動(dòng)完成后，使用iplink查看系統(tǒng)所有網(wǎng)卡信息，如圖4-8所示。圖4-8任務(wù)4-1查看默認(rèn)是否加載了tun模塊從圖中發(fā)現(xiàn)tap0和tun0兩塊虛擬網(wǎng)卡被創(chuàng)建出來(lái)了，雖然使用命令啟動(dòng)了網(wǎng)卡，但網(wǎng)卡的狀態(tài)都是DOWN狀態(tài)，這是因?yàn)閠ap/tun設(shè)備的兩端分別是應(yīng)用程序和TCP/IP內(nèi)核，由于虛擬網(wǎng)卡對(duì)應(yīng)的應(yīng)用程序端沒(méi)有應(yīng)用程序，自然就無(wú)法打開(kāi)網(wǎng)卡對(duì)應(yīng)的文件描述符，所以tun/tap虛擬網(wǎng)卡的狀態(tài)一直是DOWN，在后面構(gòu)建KVM虛擬化網(wǎng)絡(luò)項(xiàng)目中，使用tap網(wǎng)卡和虛擬機(jī)網(wǎng)卡配對(duì)，就可以啟動(dòng)虛擬tap虛擬網(wǎng)卡了。（3）為tun虛擬網(wǎng)卡配置IP地址tap類(lèi)型的虛擬網(wǎng)卡工作在數(shù)據(jù)鏈路層，不配置IP地址，tun類(lèi)型的虛擬網(wǎng)卡需要配置IP地址。為tun0配置IP地址的命令如下所示。[root@node1~]#ipaddradd192.168.1.1/24devtun0刪除地址的命令如下。[root@node1~]#ipaddrdel192.168.2.1/24devtun0（4）刪除虛擬網(wǎng)卡刪除網(wǎng)卡的命令如下。[root@node1~]#iplinkdeldevtap0#刪除tap0虛擬網(wǎng)卡[root@node1~]#iplinkdeldevtun0#刪除tun0虛擬網(wǎng)卡以上創(chuàng)建虛擬網(wǎng)卡的命令iptuntap、添加刪除IP地址命令ipaddr、刪除網(wǎng)卡命令iplink都可以在后面加上help查看命令的幫助信息。使用網(wǎng)絡(luò)名稱(chēng)空間和Veth網(wǎng)卡模擬雙機(jī)互聯(lián)1.運(yùn)維veth虛擬網(wǎng)卡（1）創(chuàng)建veth虛擬網(wǎng)卡veth虛擬網(wǎng)卡是成對(duì)出現(xiàn)的，所以在添加一個(gè)虛擬網(wǎng)卡的時(shí)候，需要指明對(duì)端的虛擬網(wǎng)卡名稱(chēng)。[root@node1~]#iplinkaddveth1typevethpeernameveth2以上命令添加了一對(duì)虛擬網(wǎng)卡，名稱(chēng)分別是veth1和veth2，使用iplink查看網(wǎng)卡，結(jié)果如圖4-9所示。圖4-9任務(wù)4-1查看添加的veth1和veth2網(wǎng)卡從結(jié)果中看到已經(jīng)添加了一對(duì)網(wǎng)卡veth1和veth2，每個(gè)網(wǎng)卡的后邊使用@veth2或者@veth1表示自己的對(duì)端，這時(shí)網(wǎng)卡狀態(tài)還是DOWN的。（2）啟動(dòng)veth虛擬網(wǎng)卡[root@node1~]#iplinksetveth1up[root@node1~]#iplinksetveth2up使用iplinkset命令啟動(dòng)了虛擬網(wǎng)卡veth1和對(duì)端的虛擬網(wǎng)卡veth2，再次查看虛擬網(wǎng)卡，如圖4-10所示。圖4-10任務(wù)4-1啟動(dòng)網(wǎng)卡后查看狀態(tài)發(fā)現(xiàn)兩塊網(wǎng)卡已經(jīng)成功UP啟動(dòng)了，因?yàn)閮蓧K網(wǎng)卡是成對(duì)出現(xiàn)的，所以可以將它們啟動(dòng)起來(lái)。(3)配置網(wǎng)卡IP地址[root@node1~]#ipaddradd192.168.1.1/24devveth1[root@node1~]#ipaddradd192.168.1.2/24devveth2為兩塊網(wǎng)卡添加IP地址后，再次查看網(wǎng)卡IP地址信息，如圖4-11所示。圖4-11任務(wù)4-1查看veth1和veth2虛擬網(wǎng)卡IP地址使用網(wǎng)絡(luò)名稱(chēng)空間和Veth網(wǎng)卡模擬雙機(jī)互聯(lián)2.運(yùn)維網(wǎng)絡(luò)名稱(chēng)空間在LinuxKernel2.6版本，Linux開(kāi)始支持網(wǎng)絡(luò)名稱(chēng)空間，不同網(wǎng)絡(luò)名稱(chēng)空間共享主機(jī)的內(nèi)核，但相互隔離，每個(gè)網(wǎng)絡(luò)名稱(chēng)空間具備自己獨(dú)立的網(wǎng)絡(luò)接口、路由表，防火墻規(guī)則。核心的功能在于網(wǎng)絡(luò)隔離，不同用戶可以利用自己的名稱(chēng)空間創(chuàng)建網(wǎng)絡(luò)，從而實(shí)現(xiàn)網(wǎng)絡(luò)的重疊，主機(jī)默認(rèn)的名稱(chēng)空間是rootspace，使用veth虛擬網(wǎng)卡的兩端連接到不同的名稱(chēng)空間，實(shí)現(xiàn)名稱(chēng)空間的網(wǎng)絡(luò)通信。（1）創(chuàng)建網(wǎng)絡(luò)名稱(chēng)空間使用ipnetns命令進(jìn)行名稱(chēng)空間的操作，創(chuàng)建名稱(chēng)空間的命令如下。[root@localhost~]#ipnetnsaddns1#創(chuàng)建名稱(chēng)空間，名稱(chēng)為ns1[root@localhost~]#ipnetnsaddns2#創(chuàng)建名稱(chēng)空間，名稱(chēng)為ns2（2）查看名稱(chēng)空間可以使用ipnetnslist查看本機(jī)的名稱(chēng)空間列表，如圖4-12所示。[root@node1~]#ipnetnslist圖4-12任務(wù)4-1查看名稱(chēng)空間（3）進(jìn)入網(wǎng)絡(luò)名稱(chēng)空間執(zhí)行操作使用ipnetnsexec進(jìn)入網(wǎng)絡(luò)名稱(chēng)空間，命令如下。[root@node1~]#ipnetnsexecns1bash進(jìn)入后可以執(zhí)行相關(guān)網(wǎng)絡(luò)命令，如圖查看網(wǎng)卡信息，結(jié)果如圖4-13所示。圖4-13任務(wù)4-1進(jìn)入ns1網(wǎng)絡(luò)名稱(chēng)空間退出ns1網(wǎng)絡(luò)命令空間，進(jìn)入根名稱(chēng)空間使用exit，命令如下。[root@node1~]#exit也可以在不改變當(dāng)前名稱(chēng)空間直接操作其它名稱(chēng)空間，方法是使用ipnetnsexec命令后接上要執(zhí)行的相關(guān)操作，如查看ns1名稱(chēng)空間的網(wǎng)卡信息、IP地址信息、路由表的命令如下。[root@node1~]#ipnetnsexecns1iplink#查看ns1名稱(chēng)空間的網(wǎng)卡信息[root@node1~]#ipnetnsexecns1ipa#查看ns1名稱(chēng)空間的IP地址信息[root@node1~]#ipnetnsexecns1route-n#查看ns1名稱(chēng)空間的路由表以上3條命令結(jié)果如圖4-14所示。圖4-14任務(wù)4-1不改變當(dāng)前名稱(chēng)空間狀態(tài)進(jìn)入ns1名稱(chēng)空間執(zhí)行相關(guān)操作（4）驗(yàn)證不同網(wǎng)絡(luò)名稱(chēng)空間的網(wǎng)絡(luò)隔離性首先在ns1名稱(chēng)空間下添加veth11和veth12一對(duì)虛擬網(wǎng)卡，命令如下。[root@node1~]#ipnetnsexecns1iplinkaddveth11typevethpeernameveth12查看ns1名稱(chēng)空間下的查看網(wǎng)卡信息，如圖4-15所示。圖4-15任務(wù)4-1查看ns1名稱(chēng)空間添加的veth虛擬網(wǎng)卡圖4-16任務(wù)4-1查看ns2名稱(chēng)空間查看網(wǎng)卡信息從結(jié)果中看出，在ns1中添加的虛擬網(wǎng)卡veth11和veth12沒(méi)有出現(xiàn)在ns2名稱(chēng)空間下，說(shuō)明兩個(gè)名稱(chēng)空間的網(wǎng)絡(luò)是相互隔離開(kāi)的。然后在ns2名稱(chēng)空間下的查看網(wǎng)卡信息，命令如下。[root@node1~]#ipnetnsexecns2iplink結(jié)果如圖4-16所示。使用網(wǎng)絡(luò)名稱(chēng)空間和Veth網(wǎng)卡模擬雙機(jī)互聯(lián)3.模擬雙機(jī)互聯(lián)由于每個(gè)網(wǎng)絡(luò)名稱(chēng)空間的網(wǎng)絡(luò)協(xié)議棧都是隔離的，所以可以將一個(gè)名稱(chēng)空間模擬成具有獨(dú)立網(wǎng)絡(luò)配置的虛擬機(jī)，將veth成對(duì)網(wǎng)卡配置在不同的網(wǎng)絡(luò)空間下，為veth配置IP地址后，可以模擬不同虛擬機(jī)之間的通信。（1）移動(dòng)veth12到ns2名稱(chēng)空間首先將在ns1中創(chuàng)建的veth12移動(dòng)到ns2網(wǎng)絡(luò)名稱(chēng)空間下，命令如下。[root@node1~]#ipnetnsexecns1iplinksetveth12netnsns2配置完成后，在ns2網(wǎng)絡(luò)空間下查看網(wǎng)卡信息，如圖4-17所示。圖4-17任務(wù)4-1查看ns2的網(wǎng)卡信息從結(jié)果中發(fā)現(xiàn)，veth12已經(jīng)移動(dòng)到ns2名稱(chēng)空間下，連接到ns1名稱(chēng)空間，但網(wǎng)卡還是DOWN狀態(tài)。（2）配置IP地址首先啟動(dòng)ns1網(wǎng)絡(luò)命令空間的veth11和ns2網(wǎng)絡(luò)命名空間的veth12網(wǎng)卡，命令如下。[root@node1~]#ipnetnsexecns1iplinksetveth11up[root@node1~]#ipnetnsexecns2iplinksetveth12up然后配置ns1中的veth11虛擬網(wǎng)卡地址為192.168.1.1/24，配置ns2中的veth12虛擬網(wǎng)卡地址為192.168.1.2/24，命令如下。[root@node1~]#ipnetnsexecns1ipaddradd192.168.1.1/24devveth11[root@node1~]#ipnetnsexecns2ipaddradd192.168.1.2/24devveth12配置完成后，查看ns1名稱(chēng)空間和ns2名稱(chēng)空間的網(wǎng)卡IP地址，如圖4-18所示。圖4-18任務(wù)4-1查看ns1與ns2的網(wǎng)卡IP地址從結(jié)果中發(fā)現(xiàn)網(wǎng)卡都處于啟動(dòng)狀態(tài)，而且配置了相應(yīng)的IP地址。（3）測(cè)試名稱(chēng)空間ns1與ns2的網(wǎng)絡(luò)連通性在網(wǎng)絡(luò)名稱(chēng)空間ns1上測(cè)試與ns2網(wǎng)絡(luò)名稱(chēng)空間的連通性，結(jié)果如圖4-19所示。圖4-19任務(wù)4-1在ns1名稱(chēng)空間測(cè)試與ns2名稱(chēng)空間的連通性在網(wǎng)絡(luò)名稱(chēng)空間ns2上測(cè)試與ns1網(wǎng)絡(luò)名稱(chēng)空間的連通性，結(jié)果如圖4-20所示。圖4-20任務(wù)4-1在ns2名稱(chēng)空間測(cè)試與ns1名稱(chēng)空間的連通性從結(jié)果中發(fā)現(xiàn)，兩個(gè)名稱(chēng)空間的網(wǎng)絡(luò)是可以正常通信的?？梢詫⒚Q(chēng)空間ns1理解成一臺(tái)虛擬機(jī)，將名稱(chēng)空間ns2理解成另一臺(tái)虛擬機(jī)，兩臺(tái)虛擬機(jī)配置了各自的網(wǎng)絡(luò)。在項(xiàng)目4和項(xiàng)目5的任務(wù)中，采用此方法來(lái)模擬虛擬機(jī)，幫助讀者理解虛擬設(shè)備與虛擬網(wǎng)絡(luò)配置，在虛擬網(wǎng)絡(luò)設(shè)備和配置方面，與實(shí)際生產(chǎn)中網(wǎng)絡(luò)虛擬化是完全一致的。使用網(wǎng)絡(luò)名稱(chēng)空間和Veth網(wǎng)卡模擬雙機(jī)互聯(lián)4.持久化配置創(chuàng)建的名稱(chēng)空間和虛擬網(wǎng)卡在重啟后就會(huì)消失，在大型的云平臺(tái)項(xiàng)目中，會(huì)使用相關(guān)程序和數(shù)據(jù)庫(kù)管理虛擬網(wǎng)絡(luò)設(shè)備，比如Openstack云平臺(tái)使用Neutron和Mysql數(shù)據(jù)庫(kù)管理虛擬化設(shè)備，當(dāng)系統(tǒng)重啟后，加載相關(guān)的虛擬化設(shè)備配置。為方便管理，我們可以將配置虛擬化設(shè)備的命令寫(xiě)到Shell腳本中，將腳本放在/etc/profile.d目錄下，當(dāng)系統(tǒng)重啟時(shí)，就會(huì)讀取命令腳本，創(chuàng)建好虛擬化網(wǎng)絡(luò)設(shè)備，步驟如下。[root@node2~]#cd/etc/profile.d/#進(jìn)入系統(tǒng)啟動(dòng)讀取腳本目錄[root@node2profile.d]#touchstart.sh#創(chuàng)建腳本文件start.sh[root@node2profile.d]#chmod+xstart.sh#增加腳本的可執(zhí)行權(quán)限然后將以下配置加入到文件中。#/bin/bashipnetnsaddns1ipnetnsaddns2ipnetnsexecns1iplinkaddveth11typevethpeernameveth12ipnetnsexecns1iplinksetveth12netnsns2ipnetnsexecns1iplinksetveth11upipnetnsexecns2iplinksetveth12upipnetnsexecns1ipaddradd192.168.1.1/24devveth11ipnetnsexecns2ipaddradd192.168.1.2/24devveth12當(dāng)系統(tǒng)重新啟動(dòng)后，就會(huì)默認(rèn)讀取start.sh腳本，創(chuàng)建配置相關(guān)的虛擬網(wǎng)絡(luò)設(shè)備了。構(gòu)建Flat扁平虛擬化網(wǎng)絡(luò)【知識(shí)目標(biāo)】（1）掌握虛擬網(wǎng)橋的功能。（2）掌握LinuxBridge虛擬網(wǎng)橋的運(yùn)維方法。（3）掌握虛擬化扁平網(wǎng)絡(luò)的特點(diǎn)。（1）能夠使用LinuxBridge構(gòu)建扁平虛擬化網(wǎng)絡(luò)。（2）能夠使用虛擬網(wǎng)橋綁定宿主機(jī)網(wǎng)卡實(shí)現(xiàn)外部網(wǎng)絡(luò)訪問(wèn)虛擬機(jī)。【技能目標(biāo)】圖4-21任務(wù)4-2網(wǎng)絡(luò)拓?fù)洹揪W(wǎng)絡(luò)拓?fù)洹咳蝿?wù)4-2的網(wǎng)絡(luò)拓?fù)淙鐖D4-21所示。必備知識(shí)1.LinuxBridge虛擬網(wǎng)橋Linux網(wǎng)橋（LinuxBridge）是一個(gè)在Linux操作系統(tǒng)上實(shí)現(xiàn)的虛擬網(wǎng)橋技術(shù)，用于連接和轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)包。它可以將多個(gè)網(wǎng)絡(luò)接口（物理或虛擬）連接在一起，形成一個(gè)邏輯上的局域網(wǎng)，并提供基本的二層網(wǎng)絡(luò)交換功能。LinuxBridge工作在數(shù)據(jù)鏈路層，通過(guò)學(xué)習(xí)和轉(zhuǎn)發(fā)MAC地址來(lái)實(shí)現(xiàn)數(shù)據(jù)包的轉(zhuǎn)發(fā)。它采用透明的方式工作，不需要對(duì)連接到網(wǎng)橋上的設(shè)備進(jìn)行任何特殊配置，就像連接到物理交換機(jī)一樣。LinuxBridge的主要特點(diǎn)和功能包括：（1）虛擬化LinuxBridge可以連接不同虛擬機(jī)之間的虛擬網(wǎng)絡(luò)接口，實(shí)現(xiàn)虛擬機(jī)之間的通信和互連。（2）廣播域隔離通過(guò)創(chuàng)建多個(gè)虛擬網(wǎng)橋，可以將不同的網(wǎng)絡(luò)接口隔離到不同的廣播域中，實(shí)現(xiàn)邏輯上的網(wǎng)絡(luò)隔離。（3）網(wǎng)絡(luò)擴(kuò)展LinuxBridge支持添加更多的網(wǎng)絡(luò)接口到網(wǎng)橋上，以擴(kuò)展網(wǎng)絡(luò)規(guī)模。（4）STP支持LinuxBridge支持SpanningTreeProtocol（STP），用于防止網(wǎng)絡(luò)環(huán)路，提高網(wǎng)絡(luò)穩(wěn)定性。（5）VLAN支持LinuxBridge可以配置虛擬局域網(wǎng)（VLAN）接口，實(shí)現(xiàn)不同VLAN之間的隔離和通信。（6）網(wǎng)橋監(jiān)控LinuxBridge提供監(jiān)控和管理網(wǎng)橋的工具，可以查看網(wǎng)橋狀態(tài)、端口信息等。必備知識(shí)2.Flat扁平網(wǎng)絡(luò)在計(jì)算機(jī)網(wǎng)絡(luò)中，F(xiàn)lat（扁平）網(wǎng)絡(luò)是指沒(méi)有分層結(jié)構(gòu)的網(wǎng)絡(luò)，所有設(shè)備都處于同一層級(jí)。具體來(lái)說(shuō)，F(xiàn)lat網(wǎng)絡(luò)有以下特點(diǎn)。（1）所有設(shè)備都可以直接相互通信，無(wú)需通過(guò)任何中間設(shè)備。（2）所有設(shè)備都有唯一的IP地址，這些地址可以通過(guò)簡(jiǎn)單的子網(wǎng)掩碼進(jìn)行劃分。（3）所有設(shè)備都可以與任何其他設(shè)備直接通信，網(wǎng)絡(luò)中沒(méi)有任何障礙或限制。（4）扁平網(wǎng)絡(luò)通常用于小型局域網(wǎng)或測(cè)試環(huán)境中，因?yàn)樗鼈兛梢蕴峁┖?jiǎn)單、快速和低成本的網(wǎng)絡(luò)連接方式。但在大型企業(yè)網(wǎng)絡(luò)環(huán)境中，使用Flat網(wǎng)絡(luò)可能會(huì)導(dǎo)致網(wǎng)絡(luò)管理和安全性方面的挑戰(zhàn)。由于Flat網(wǎng)絡(luò)中所有設(shè)備都處于同一層級(jí)，因此較難對(duì)網(wǎng)絡(luò)流量進(jìn)行管理和監(jiān)控。此外，由于所有設(shè)備都可以直接通信，安全風(fēng)險(xiǎn)也會(huì)增加。在大型企業(yè)網(wǎng)絡(luò)中，通常采用分層結(jié)構(gòu)來(lái)提高管理和安全性，并對(duì)不同層級(jí)的設(shè)備實(shí)施不同的訪問(wèn)控制策略。運(yùn)維LinuxBridge虛擬網(wǎng)橋1.創(chuàng)建管理LinuxBridge使用brctl命令運(yùn)維LinuxBridge，包括添加查看刪除網(wǎng)橋、在網(wǎng)橋上添加網(wǎng)卡、刪除網(wǎng)卡等操作，使用brctl--help可以查看運(yùn)維網(wǎng)橋的相關(guān)命令，如圖4-23所示。圖4-23任務(wù)4-2上傳虛擬網(wǎng)橋安裝包到系統(tǒng)上（1）創(chuàng)建虛擬網(wǎng)橋在系統(tǒng)中添加一個(gè)虛擬網(wǎng)橋的命令如下。[root@node1~]#brctladdbrbr0（2）查看虛擬網(wǎng)橋查看虛擬網(wǎng)橋的命令如下。[root@node1~]#brctlshow，結(jié)果如圖4-24所示，添加了名稱(chēng)為br0的網(wǎng)橋。圖4-24查看虛擬網(wǎng)橋（3）添加網(wǎng)絡(luò)接口到網(wǎng)橋上將ens192網(wǎng)卡綁定到網(wǎng)橋上的命令如下。[root@node1~]#brctladdifbr0ens192配置完成后，再次查看網(wǎng)橋，如圖4-25所示，在接口字段顯示了ens192網(wǎng)卡。圖4-25任務(wù)4-2添加網(wǎng)卡到網(wǎng)橋（4）刪除網(wǎng)絡(luò)接口將網(wǎng)橋上的ens192接口刪除的命令如下。[root@node1~]#brctldelifbr0ens192再次查看網(wǎng)橋，ens192就已經(jīng)被刪除了。（5）刪除網(wǎng)橋首先將網(wǎng)橋的模式設(shè)置成DOWN關(guān)閉狀態(tài)。[root@node1~]#iplinksetbr0down然后刪除網(wǎng)橋，命令如下。[root@node1~]#brctldelbrbr0運(yùn)維LinuxBridge虛擬網(wǎng)橋2.LinuxBridge網(wǎng)橋持久化配置使用命令創(chuàng)建的網(wǎng)橋在系統(tǒng)重啟后會(huì)消失，創(chuàng)建持久化網(wǎng)橋br0的步驟如下。（1）進(jìn)入網(wǎng)卡配置文件目錄[root@node4~]#cd/etc/sysconfig/network-scripts/（2）創(chuàng)建ifcfg-br0文件在創(chuàng)建的文件中輸入以下配置。TYPE=BridgeNAME=br0DEVICE=br0ONBOOT=yes配置完成后，重啟網(wǎng)絡(luò)管理后，br0網(wǎng)橋就出現(xiàn)在系統(tǒng)中了，重啟后也不會(huì)消失。（3）配置網(wǎng)卡連接到網(wǎng)橋在原有網(wǎng)卡配置文件內(nèi)容的基礎(chǔ)上，在最后增加一行BRIDGE=br0，重啟網(wǎng)絡(luò)管理和網(wǎng)卡后，就可以通過(guò)配置文件方式將網(wǎng)卡加入到網(wǎng)橋了。使用虛擬網(wǎng)橋構(gòu)建Flat網(wǎng)絡(luò)1.創(chuàng)建Flat主機(jī)首先使用CentOS8.ova模板機(jī)創(chuàng)建一個(gè)名稱(chēng)為Flat的服務(wù)器，服務(wù)器的第一張網(wǎng)卡連接到vmnet1上，虛擬機(jī)的第2張網(wǎng)卡連接到vmnet8上，使用nat模式，網(wǎng)絡(luò)地址規(guī)劃如表4-1所示。表4-1網(wǎng)卡地址及所示網(wǎng)絡(luò)網(wǎng)卡名稱(chēng)連接到交換機(jī)IP地址網(wǎng)絡(luò)模式nat網(wǎng)關(guān)ens160vmnet1192.168.10.2/24僅主機(jī)

ens192vmnet8不啟動(dòng)nat192.168.200.2按照4-1表格創(chuàng)建虛擬，登陸后，查看IP如圖4-26所示圖4-26任務(wù)4-2flat主機(jī)初始狀態(tài)其中ens160用來(lái)登陸管理主機(jī)，ens192用來(lái)連接外部網(wǎng)絡(luò)。使用虛擬網(wǎng)橋構(gòu)建Flat網(wǎng)絡(luò)2.構(gòu)建Flat扁平化網(wǎng)絡(luò)（1）創(chuàng)建3臺(tái)虛擬機(jī)在系統(tǒng)中創(chuàng)建3個(gè)網(wǎng)絡(luò)名稱(chēng)空間，名稱(chēng)分別為vm1、vm2、vm3，命令如下。[root@flat~]#ipnetnsaddvm1[root@flat~]#ipnetnsaddvm2[root@flat~]#ipnetnsaddvm3（2）添加veth虛擬網(wǎng)卡，配置IP地址。①添加veth虛擬網(wǎng)卡在根空間添加3對(duì)虛擬網(wǎng)卡，分別是veth1和veth11、veth2和veth12、veth3和veth13，命令如下。[root@flat~]#iplinkaddveth1typevethpeernameveth11[root@flat~]#iplinkaddveth2typevethpeernameveth12[root@flat~]#iplinkaddveth3typevethpeernameveth13②移動(dòng)veth網(wǎng)卡到指定網(wǎng)絡(luò)名稱(chēng)空間將veth1移動(dòng)到vm1網(wǎng)絡(luò)名稱(chēng)空間下，veth2移動(dòng)到vm2網(wǎng)絡(luò)名稱(chēng)空間下，veth3移動(dòng)到vm3網(wǎng)絡(luò)名稱(chēng)空間下，命令如下。[root@flat~]#iplinksetveth1netnsvm1[root@flat~]#iplinksetveth2netnsvm2[root@flat~]#iplinksetveth3netnsvm3③啟動(dòng)虛擬網(wǎng)卡，配置IP配置veth1網(wǎng)卡IP地址和子網(wǎng)掩碼為192.168.200.10/24，配置veth2網(wǎng)卡IP地址和子網(wǎng)掩碼為192.168.200.20/24，配置veth3網(wǎng)卡IP地址和子網(wǎng)掩碼為192.168.200.30/24，命令如下。[root@flat~]#ipnetnsexecvm1ipaddradd192.168.200.10/24devveth1[root@flat~]#ipnetnsexecvm2ipaddradd192.168.200.20/24devveth2[root@flat~]#ipnetnsexecvm3ipaddradd192.168.200.30/24devveth3配置IP地址后，啟動(dòng)6塊虛擬網(wǎng)卡，命令如下。[root@flat~]#ipnetnsexecvm1iplinksetveth1up[root@flat~]#ipnetnsexecvm2iplinksetveth2up[root@flat~]#ipnetnsexecvm3iplinksetveth3up[root@flat~]#iplinksetveth11up[root@flat~]#iplinksetveth12up[root@flat~]#iplinksetveth13up（3）添加LinuxBridge虛擬網(wǎng)橋，綁定veth11、veth12、veth13①添加虛擬網(wǎng)橋安裝網(wǎng)橋工具后，使用brctl命令添加虛擬網(wǎng)橋br0，啟動(dòng)網(wǎng)橋，命令如下。[root@flat~]#br