Tungsten Fabric架構解析丨TF如何連接到物理網絡

Hi！這里是Tungsten Fabric架構解析內容的第九篇，介紹TF如何連接到物理網絡。
Tungsten Fabric架構解析系列文章，由TF中文社區為你呈現，旨在幫助初入TF社區的朋友答疑解惑。我們將系統介紹TF有哪些特點、如何運作、如何收集/分析/部署、如何編排、如何連接到物理網絡等話題。

在任何一個數據中心中，都需要一些VM訪問外部IP地址，并且數據中心外部的用戶，也需要通過公共IP地址訪問某些VM。為此，Tungsten Fabric提供了幾種實現方法：

• V P N 連接到啟用BGP的網關
• vRouter中的源地址NAT
• vRouter中underlay結構下的本地網關

每一種方法都適用于不同的用例，并且對外部設備和網絡的配置具有不同的依賴性。

以下分別介紹了這幾種連接外部網絡的方法。

啟用BGP的網關

實現外部連接的一種方法，是使用一系列可外部路由的IP地址創建虛擬網絡，并將網絡擴展到網關路由器。當網關路由器是Juniper MX路由器時，設備上的配置可以由Tungsten Fabric自動完成，如下圖所示。

在Tungsten Fabric中定義網絡A，包含可公開尋址的IP地址的子網。此公共虛擬網絡在Tungsten Fabric中配置為擴展到網關路由器，當使用Tungsten Fabric Device Manager時，會在網關上自動創建VRF，路由目標與虛擬網絡的路徑目標匹配（例如，標記為VR的VRF）。

Tungsten Fabric使用默認路由配置此VRF，該路由導致在主inet.0路由表（其中包含到Internet中的公共目的地的路由）中，查找從Tungsten Fabric集群到達VRF的流量的路由。通過轉發過濾器，可在Tungsten Fabric創建的VRF中查找到達網關A中目的地的流量。路由器通過VRF將默認路由通告給Tungsten Fabric控制器。

網絡A被配置為Tungsten Fabric中的floating IP地址池，并且當將這樣的地址分配給現有VM接口時，在VM的vRouter中創建一個附加的VRF（例如，用于網絡A），并且該接口除了連接到原始VRF（圖中的綠色或紅色）之外，還連接到新的公共VRF。Floating IP地址的VRF在floating IP地址和VM上配置的IP地址之間執行1:1 NAT。

VM不知道此附加連接，并繼續使用通過DHCP接收的原始虛擬網絡的地址發送和接收流量。 vRouter將floating IP地址通告到控制器的路由，并且該路由通過BGP發送到網關，并且安裝在公共VRF（例如VRF A）中。

Tungsten Fabric控制器通過物理路由器上的VRF向vRouter發送默認路由，并將其安裝在vRouter的公共VRF中。

這些操作的結果是，vRouters上的公共VRF包含通過VM的本地接口到floating IP地址的路由，以及通過路由器上的VRF的默認路由。網關上的VRF通過inet.0路由表具有默認路由（使用基于過濾器的轉發實現），并具有到每個分配的floating IP地址的主機路由。inet.0路由表具有通過相應VRF到每個floating IP網絡的路由。

當租戶擁有自己的公共IP地址范圍時，可將多個獨立的公共子網用作具有自己的VRF的獨立floating IP地址池（如圖所示），相反，一個floating IP地址池也可以在多個租戶之間共享（圖中未顯示）。

如果使用非Juniper設備，或者不允許Tungsten Fabric在網關上進行配置更改，則可以在網關上手動或通過配置工具設置BGP會話、公共網絡前綴和靜態路由。當路由器將企業V P N的提供商邊緣（PE）路由器角色與數據中心網關角色組合時，使用此方法。

通常在這種情況下，VRF將由V P N管理系統創建。當在虛擬網絡中配置匹配的路由目標時，Tungsten Fabric集群中的虛擬網絡將連接到企業V P N，并且在控制器和網關/ PE之間交換路由。

源地址 NAT

Tungsten Fabric使網絡能夠通過基于源的NAT服務進行連接，該服務允許多個VM或容器共享相同的外部IP地址。在每個vRouter中，源NAT以分布式的服務實現。

從VM發送到Internet的流量的下一跳，將是同一vRouter中的SNAT服務，它將不經封裝轉發到underlay網絡的網關，其源地址被修改為vRouter主機的地址，并且根據特定的發送VM設置源端口。vRouter使用目標端口返回數據包，以映射回原始VM。

此選項對于為工作負載提供Internet訪問非常有用，其中目標不需要知道源的實際IP地址（通常是這種情況）。

在Underlay中路由

Tungsten Fabric允許創建使用underlay連接的網絡。

在underlay是路由IP fabric的情況下，Tungsten Fabric控制器可以配置為與underlay交換機交換路由。這允許虛擬工作負載連接到可從underlay網絡訪問的任何目標，并提供比物理網關更簡單的方式，將虛擬工作負載連接到外部網絡。

必須注意的是，重疊的IP地址不要連接到IP fabric中，此功能對于將云連接到傳統資源（而不是多租戶服務提供商的企業）更加有用。

請注意，流入和流出underlay網絡的流量，都受到網絡和安全策略的約束，就像使用虛擬網絡的工作負載之間的流量一樣。

MORE
更多Tungsten Fabric解析文章

第一篇：TF主要特點和用例
第二篇：TF怎么運作
第三篇：詳解vRouter體系結構
第四篇：TF的服務鏈
第五篇：vRouter的部署選項
第六篇：TF如何收集、分析、部署？
第七篇：TF如何編排
第八篇：TF支持API一覽

關注微信：TF中文社區