redwingz的博客

此代理使用“Open vSwitch”虚拟交换机为实例创建L2层连通性，以及与OpenStack Nova一起创建的网桥执行过滤。ovs-neutron-agent可以配置为使用不同的网络技术，创建project隔离。这些技术被实现为ML2 type驱动程序，与Open vSwitch mechanism驱动程序一起使用。VLAN 标签 TagsOpen vSwitch: http://o...

容器之间的隔离比虚拟机之间的隔离弱，因此在一些环境下，将不同租户的容器部署到单独的虚拟机中，以作为额外的安全措施。本文档描述虚拟机中容器的创建，以及如何将它们安全地作为逻辑网络的一部分。这个创建的逻辑网络可以包括虚拟机、容器和作为端点的物理机。为了更好地理解容器与OVN和OpenStack的整合，本文档描述了一个从开头到结尾的任务流的例子。OpenStack租户创建一个具有单个网络接口的VM...

firewalld是一个允许轻松管理防火墙的服务。OVN提供了一组服务文件，可与firewalld一起使用以允许用于到北向和南向数据库的远程连接。本指南将介绍如何在防火墙设置中使用这些文件。firewalld的设置和管理超出本文档讨论范围。安装如果你已经从RPM安装了OVN，那么有关firewalld的服务文件将自动安装在/usr/lib/firewalld/services中。RPM安装包...

ML2插件的Macvtap mechanism驱动程序通常会提高实例的网络性能。考虑此mechanism驱动程序的以下属性以确定在你的环境中的实用性：仅支持实例端口。用于DHCP和第3层（路由）服务的端口必须使用其它的mechanism驱动程序，如Linux网桥或Open vSwitch（OVS）。仅支持无标签（flat）和标签（VLAN）网络。缺乏对安全组的支持，包括基本（正...

本文讨论使能三层功能的Neutron使用.Neutron 逻辑网络建立 logical network setup vagrant@precise64:~/devstack$ openstack network list +--------------------------------------+---------+------------------------------...

Open vSwitch (OVS)是一种可编程的软件交换机，可以在每个报文级别执行操作。本文档介绍如何使用跟踪工具了解数据包在通过数据平面时发生了哪些处理。ovs-vswitchd(8)手册页描述了ofproto/trace命令，在Open vSwitch中跟踪的基本用法。对于能够在OVN 逻辑交换机中跟踪数据包，类似于ofproto/trace的工具，请参见ovn-trace(8)_。报文...

在Linux系统上Open vSwitch具有网络命名空间的基本支持。允许ovs-vswitchd守护进程，在端口移动到另外的网络命名空间后，仍可继续跟踪其状态和统计信息。如何工作守护进程ovs-vswitchd运行在所谓的父辈网络命名空间中。它侦听来自所有网络命名空间（netns）的netlink事件消息，这些网络命名空间需要在父被命名空间中有标识符。每个netlink消息都包含网络命名空间...

本文档介绍如何将Open vSwitch与Libvirt 0.9.11或更高版本一起使用。本文档假定你遵循文档：/intro/install/general或从发行版软件包（如.deb或.rpm）安装了Open vSwitch。Libvirt 0.9.11版本默认增加了对Open vSwitch的支持。咨询www.libvirt.org获取有关如何编译更新Libvirt的说明，如果默认情况下，L...

LISP是一个三层隧道机制，这意味着封装的报文不会携带二层的以太网头部，并且不应该通过隧道发送ARP请求报文。因此，在Open vSwitch中设置LISP隧道需要一些额外的步骤，直到L3隧道的支持得到改进。本指南假设LISP隧道位于两个VM虚拟机之间，这两个虚拟机连接在不同hypervisor的OVS网桥上，它们之间通过IPv4地址可达。当然，可能不止一个虚拟机连接到任意hypervisor，...

OVS驱动程序与当前的iptables防火墙驱动程序具有相同的API接口，将安全组和端口的状态保留在防火墙内。创建类“SGPortMap”以保持防火墙状态的一致，并负责从端口映射到安全组，或者相反。每个端口和安全组都通过其封装必要信息的自身对象所表示。注:Open vSwitch防火墙驱动程序使用register 5标识与流关联的端口，使用register 6标识特别应用于conntrack ...

本文档解释如何使用Open vSwitch实现将VM的流量控制在1 Mbps或者10 Mbps。建立本指南假定环境如下面的配置.一个物理网络数据网络用于虚拟机数据通信的以太网络。此网络用于发送到/接收自外部主机的流量，此主机用于测量VM的发送速率。对于实验，这个物理网络是可选的；你可以将所有虚拟机连接一个网桥，但此网桥没有连接到任何的物理接口，使用一台虚拟机作为测量主机。可能...

隧道是一种使在不兼容的传送网络上传输载荷变得可行的机制。它允许网络用户获得访问被拒绝或不安全的网络的权限。可以使用数据加密来传输有效负载，确保封装的用户网络数据显示为公共数据即使它是私有的，而且很容易通过不安全的网络。Generic routing encapsulation (GRE)通用路由封装（Generic routing encapsulation - GRE）是一种在IP上运行的协...

Bonding允许两个或多个接口（“slaves”）共享网络流量。从高层的角度来看，Bonded的接口就像一个单一接口，但是它们具有多个网络接口的带宽，例如两个1 GB物理接口就像一个2 GB的接口。Bond也增加了稳健性：只要至少有一个slave是UP的，Bond接口就不会Down。在vswitchd中，Bond总是至少有两个slaves（并且可能有更多）。如果配置等的错误导致Bond只有一个...

Quality of ServiceQuality of Service高级服务设计为一个服务插件。此服务在多个层级上与其与的Neutron代码解耦（见下文）。QoS在没有使用继承自插件的mixins的情况下，通过使用ml2 extension 驱动程序，扩展了核心资源（ports，networks）。关于DB models, API extension, and use cases的详细信...

本文档描述如何使用Open Virtual Networking与Docker 1.9.0版本或更新版本。重要:要求Docker 1.9.0或之后版本。仅Docker 1.9.0+以上版本支持多宿主机网络。咨询 www.docker.com 关于如何安装Docker的指南。注:你必须编译并安装Open vSwitch，在继续以下的指南之前。参考Open vSwitch官方文档/intro/...

本文描述了如何将Open vSwitch 集成到新平台上，并开放现交换机的状态，及连接设备以进行集中控制。（如果你在寻找将Open vSwitch的组件移植到新的平台的信息，请参阅OVS官方文档porting）。本指南的重点是Hypervisor，但许多接口对硬件交换机也很有用。XenServer集成是最成熟的实现，因此多数的例子有它而来。此集成的外部可见的接口是不分平台的。我们鼓励集成Open...

使能 FWaaS v2版本在文件/etc/neutron/neutron.conf中使能FWaaS插件:service_plugins = firewall_v2[service_providers]# ...service_provider = FIREWALL:Iptables:neutron.agent.linux.iptables_firewall.OVSHybridIpt...

OpenStack Networking允许n你创建和管理网络对象，例如网络、子网和端口，其它OpenStack服务可以使用它们。插件可以实现为服务不同的网络设备和软件，为OpenStack架构和部署提供灵活性。名称为Neutron的Networking服务提供了一个API，可以让你在云中定义网络连接和地址。Networking服务使运营者能够利用不同的网络技术为他们的云网络提供动力。Netwo...

本体系结构示例用于提供实例与物理网络基础设施之间使用VLAN(802.1q)实现的二层连接。它支持一个无标签（flat）网络和最多4095个带标签（VLAN）的网络。VLAN网络的实际数量取决于物理网络基础设施。有关provider网络的详细信息，请参阅OpenStack官方文档：intro os networking provider。警告:Linux发行版通常会打包较旧版本的Open v...

本文作为指南，解释如何使用带有DPDK数据路径功能的OVS虚拟交换机，作为Mitaka发布版中的网络服务部分的功能。基础Open vSwitch (OVS) 在2.2版本后，开始支持Data Plane Development Kit (DPDK)数据路径，并在2.4版本后，支持DPDK提供的vhost-user虚拟接口。DPDK数据路径相较标准内核的OVS数据路径可提供低延迟，高性能，DPD...

轮询模式驱动程序（Poll Mode Driver，PMD）线程负责处理DPDK数据路径上的大部分工作，并执行诸如输入端口的连续轮询等任务。一旦接收到数据包及对其进行分类，分类完成后进行处理动作。PMD线程使用接收（RX）和发送（TX）队列，通常称为rxqs和txqs。TX队列的配置自动产生，RX队列可以由用户进行配置。这可以通过以下两种方式之一实现：对于物理接口，配置通过工具ovs-ap...

netdev数据路径允许关联DPDK支持的物理端口，以便为主机提供高性能的入口/出口流量。重要:要使用任何支持DPDK的接口，必须确保网桥已正确地配置。有关网桥的详细信息，请参阅：DPDP 网桥。Open vSwitch 2.7.0之前，端口名称需要一个dpdk前缀，从2.7.0版本开始，不在要求。快速示例此示例演示如何绑定两个dpdk端口到一个已有的网桥br0上，绑定的物理端口由硬件I...

OVS可与内核的连接跟踪系统（Connection tracking system）一同使用，借助Conntrack的功能，OpenFlow流可用于匹配TCP、UDP、ICMP等连接的状态。（连接跟踪系统支持跟踪有状态和无状态协议）。本教程演示OVS如何使用连接跟踪系统。以匹配从连接建立到连接拆除的TCP报文段。将OVS与Linux内核模块一同作为此演示的数据路径。（在Linux内核中利用ope...

DPDK 虚拟设备DPDK为物理和虚拟设备提供驱动程序。物理DPDK设备通过在"dpdk-devargs"参数中指定有效的PCI地址，添加到OVS中。没有PCI地址的虚拟DPDK设备也使用"dpdk devargs"命名参数，但是格式有所不同。重要:要使用任何DPDK支持的接口，你必须确保网桥已正确地配置。更多详细信息，请参阅：doc:bridge。注意:并非所有的DPDK虚拟PMD驱动...

默认情况下，DPDK端口配置标准以太网MTU值（1500字节）。为DPDK端口启用巨型帧支持，更改接口mtu_request属性到足够大的值。例如，在添加DPDK physical port <phy> 端口时指定MTU值为9000，运行如下命令：$ ovs-vsctl add-port br0 dpdk-p0 -- set Interface dpdk-p0 type=dpdk \...

警告:DPDK ring端口不能用于客户机通信，其存在主要是为了向后兼容。几乎所有情况下，都应当使用vhost user ports<vhost user>，其是更好的选择。DPDK数据路径提供DPDK支持的ring端口，其通过DPDK的librte-ring库实现。有关此库的详细信息，请参阅DPDK 官方文档。重要:要使用任何DPDK支持的端口，你必须确保网桥已正确地配置。更...

DPDK数据路径需要特殊配置的网桥才能使用DPDK支持的physical <phy>端口和virtual <vhost-user>端口。入门示例此示例演示如何使用为DPDP数据路径添加网桥：$ ovs-vsctl add-br br0 -- set bridge br0 datapath_type=netdev这假设Open vSwitch是带有DPDK支持选项编...

此代理agent使用Linux网桥为运行在计算节点上的VM实例提供L2级到public网络的连通性。部署的图示如下所示：在最常见的部署中，有一个计算节点和一个网络节点。在这两个节点上，Linux网桥代理将管理虚拟交换机、它们之间的连接以及通过虚拟端口与其它网络组件的交互，如命名空间和底层接口。此外，在计算节点上，Linux Bridge代理将管理安全组。三个用例及它们的报文流程描述在以下三个...

本文档介绍如何使用ovs-vtep，VXLAN隧道端点模拟器（VXLAN Tunnel EndPoint，VTEP），其使用Open vSwitch进行数据转发。VTEPs是指在网络中处理VXLAN帧封装和去封装的实体。要求VTEP模拟器是一个Python脚本，它触发对相关工具的调用，如vtep-ctl和 ovs-vsctl。只有在安装和启用了Open vSwitch守护进程（如ovsdb-...

本文档介绍如何使用Open vSwitch允许两个位于不同宿主机的虚拟机通过基于端口的GRE隧道进行通信。注意:本指南介绍配置GRE隧道所需的步骤。相同的方法可用于配置Open vSwitch支持的任何其它隧道协议。建立本指南假设环境配置如下所述。两个物理网络传输网络以太网网络，用于运行OVS的主机之间的隧道通信。取决于正在使用的隧道协议（本文使用GRE），可能需要修改物理交换...

客户端到OVS数据库的连接中使用SSL提供认证服务，基于角色访问控制（role based access control， RBAC）服务为连接到OVS数据库的客户端提供授权操作。RBAC允许管理员限制客户端可能执行的数据库操作，从而进一步增强已由SSL提供的安全性。理论上，任何OVS数据库都可以定义RBAC角色和权限，但是目前仅OVN南向数据库中具有合适的表支持RBAC。机制RBAC旨在补...

本文档提供了一个步骤指南，描述在Open Virtual Network (OVN)中使用IPSec加密隧道流量。OVN隧道流量由物理路由器和交换机传输。这些物理设备可能不受信任（公共网络中的设备）或可能受到危害。为隧道流量启用IPSec加密可以阻止流量数据被监控和操纵。有关OVN IPsec设计的更多详细信息，请参见ovn-architecture（7）手册页。本文档假设OVN安装在你的系统中...

Quality of Service (QoS)使用DPDK数据路径时，可以同时应用入口和出口限制。数据路径。它们分别称为QoS和速率限制.QoS (出口策略)假设你有一个vhost-user port <vhost-user>接口传输大小为64字节的数据包流量，下面的命令将限制此接口的出口传输速率为每秒约1 000 000个数据包:$ ovs-vsctl set port ...

pdump允许你监听DPDK端口并查看正在通过的流量。要使用此工具，必须在系统上安装libpcap库。此外，DPDK必须在编译时打开选项config-rte-librte-pdump=y和CONFIG_RTE_LIBRTE_PMD_PCAP=y。警告:使用如DPDK pdump的监控程序将导致性能的下降.要使用pdump，只需像往常一样启动OVS，然后导航到DPDK目录app/pdump中...

在损失性能的条件下，Open vSwitch可完全的运行在用户空间，无需内核模块的协助。本文解释如何安装工作在此模式的Open vSwitch.此版本的Open vSwitch应当手动使用configure 和 make进行编译。Debian的Open vSwitch软件包虽然也支持此功能，但是近期未进行测试，所有在使用Open vSwitch的此功能时不建议通过Debian软件包安装。警告:...

本文档描述如何与Kernel-based Virtual（KVM）一同使用Open vSwitch.注意:本文假设你在一个Linux系统上配置好了Open vSwitch.建立KVM使用tunctl工具处理各种网桥模式，你可通过Debian/Ubuntu 数据包 uml-utilities安装此工具:$ apt-get install uml-utilities之后，你需要修改或创建...

本文描述如何使用Open vSwitch的VLAN隔离VM流量。Setup 建立本指南假设如下的配置环境两个物理网络数据网络VM数据流量的以太网络，用于承载VM之间的VLAN流量。你的物理交换机必须支持转发带有VLAN标签的流量，并且物理交换机接口应工作在VLAN Trunk模式。（通常情况下，这是默认的行为。配置物理交换机硬件超出了本文的讨论范围）。管理网络严格意义上来说...

在OVS DPDK中，DPDK设备内存可以两种方式之一分配，共享内存或每端口内存。以下详述两者的具体情况。共享内存默认情况下，OVS DPDK使用共享内存模型。这意味着多个端口可以共享相同的内存池mempool。例如，当添加端口时，它将具有与之关联的给定MTU和Socket ID。如果之前已经为一个具有相同MTU值和Socket ID的已有端口创建过内存池mempool，该内存池将用于这两个端...

Open vSwitch结合DPDK的使用本文档描述Open vSwitch结合DPDK数据路径的使用。重点:要使用DPDK数据路径功能需要在OVS编译时开启DPDK支持选项。OVS与DPDK的版本对应关系可能随发布版本不同而变化。版本对应信息可参考OVS文档releases FAQ。编译指令可参考/intro/install/dpdk。接口和网桥ovs-vsctl工具可用来创建网桥和...

sonic-buildimage编译SONiC交换机镜像描述以下是关于如何为网络交换机构建(ONIE)兼容网络操作系统（NOS）安装程序镜像的说明，以及如何构建在NOS内运行的Docker镜像。请注意，SONiC镜像是根据每个ASIC平台来构建的。使用相同ASIC平台的交换机共享一个通用镜像。有关支持的交换机和ASIC的列表，请参阅此列表。硬件任何服务器都可作为构建映像的服务器。我们使用...