sun的博客

ovs网桥有两种转发模式，默认是standalone模式，当连接不上控制器时会使用ovs默认的转发逻辑，secure模式不使用默认的转发模式使用现有的流表来处理转发逻辑，下面两个命令可以设置ovs的转发模式在我们的拓扑中使用secure模式，使用我们自定义的流表来实现转发。

参考文章部署k8s集群和flannel网络插件。

拓扑信息：一个逻辑路由器lr1两个逻辑交换机ls1和ls2分别在两个逻辑交换机上创建了两个端口，并将端口放入了网络命名空间vm1和vm2中在ls2上创建了ovn0端口作为整个vpc的网关，并将ovn0放入了gw网络命名空间中以ens38物理网卡创建了macvlan模式的网卡ens38.100并将创建的虚拟网卡放入了gw网络命名空间中ovn0作为整个vpc的网关内部网卡，ens38.100作为网关的外部网卡，从而实现了网关功能。

创建一个自定义vpc，每创建一个vpc，kube-ovn会创建一个ovn逻辑路由器，在vpc中定义的staticRoutes会被添加到ovn逻辑路由器上，下面vpc定义的静态路由是将所有的报文的nexthop到10.0.1.254，10.0.1.254是vpc内部子网的一个ip，是vpc的网关ipkind: Vpcmetadata:spec:- ns1在自定义vpc下创建了一个子网和一个podmetadata:name: net1spec:- ns1---kind: Pod。

上面说明了netfilter的五个hook点在linux内核协议栈的处理位置，通过说明内核协议栈的三条流量处理路径和经过的hook点在源码中的位置来更好的理解。

在对应节点和子网上创建的端口会添加到对应的端口组，并且添加了ovn的路由策略通过匹配报文的源ip地址所在的端口组来决定将报文发送到哪个节点的ovn0网卡，通过这种方式实现了分布式网关。join子网是默认vpc下用来管理node的子网，kube-ovn会在k8s的每个集群的节点上的br-int上创建一个ovn0网卡，用来实现默认vpc下pod与节点之间的互通，并且实现默认vpc下的网关功能。ovn-default是ovn-cluster下的默认子网，在创建pod时没有指定子网时会使用这个默认子网的ip。

host1:192.168.10.102 central节点host2:192.168.10.101 host节点host3:192.168.10.103 host节点。