作者：Tatsuya Naganawa 译者：TF编译组

Tungsten Fabric入门宝典系列文章，来自技术大牛倾囊相授的实践经验，由TF中文社区为您编译呈现，旨在帮助新手深入理解TF的运行、安装、集成、调试等全流程。如果您有相关经验或疑问，欢迎与我们互动，并与社区极客们进一步交流。更多TF技术文章，请点击公号底部按钮＞学习＞文章合集。

Tungsten Fabric中有很多不同的组件。接下来我简要描述它们的用法。

概览

总体而言，Tungsten Fabric中包含7种角色和（多达）30个微服务，其中角色部分如下：

• vRouter
• control
• config
• config-database
• analytics（从TF 5.1开始，可被进一步分为analytics、analytics-snmp和analytics-alarm）
• analytics-database
• webui

尽管组件很多，但在简单的用例中，只需要4种角色：vRouter，control，config，config-database。当然在大多数情况下，webui也是需要的。

如果你只对Tungsten Fabric的控制平面/数据平面部分感兴趣，也可以省略analytics。只是在这种情况下，某些功能（如v1服务链，haproxy负载均衡器及k8s ingress，SNAT等）将无法正常工作。

control, vRouter

Control和vRouter构成了Tungsten Fabric的控制平面和数据平面，因此可以说，这是Tungsten Fabric系统最重要的部分。

由于control和vRouter都在内部使用MPLS-VPN，因此我建议至少在深入研究它们的细节之前，先略读一下这些材料：

• https://www.juniper.net/uk/en/training/certification/certification-tracks/sp-routing-switching-track?tab=jncis-sp
• https://www.juniper.net/uk/en/training/certification/certification-tracks/sp-routing-switching-track?tab=jncip-sp

由于大多数高级功能都在control当中，而vRouter是MPLS所固有的，因此这些资料将有助于弄清它们正在尝试做些什么。

由于control和vrouter-agent都在内部使用VPNV4 BGP，因此vRouter及其内部VRF将根据extended community属性（也称为路由目标route-target）装载所需的前缀。因此，在vRouter上创建容器或虚拟机时，它可以将VPNV4路由的信号发送给control，并将所有路由映射到其它的vRouter，从而数据平面可以知道自动将报文发送到何处。

有趣的是，vRouter的虚拟网络可能具有多个默认网关，并且具有相同的IP和相同的MAC！（用Junos的术语来说，与virtual-gateway-address的行为类似。）

由于不需要VRRP来为每个虚拟网络提供默认网关，因此它消除了瓶颈，并使一切变得完全分布式。

vRouter还可以为某些功能（例如基于状态的防火墙、NAT、基于流的ECMP等）进行基于流的处理。这是一个重要的区别，因为这种行为会引入一些调整点，例如每秒的连接数和最大流数。（在基于包的系统中，PPS（每秒数据包）和吞吐量（以及某些情况下的延迟）是关键。）如果这些参数对你的系统非常重要，也许你还需要检查这些参数。

注意：可以选择在“ports”配置中使用“packet-mode”参数禁用此行为。

config

Config同样包含几个组件。Config-api为Tungsten Fabric的配置提供了一个API端点，该端点使用了许多组件，例如control、analytics等。

vRouter不会直接使用它，因为只有需要的数据才会（通过XMPP）由control传递。

其中，schema-transformer和svc-monitor这两个进程做的事情都很重要，所以让我对其进行详细描述。

schema-transformer

这个进程将logical-router、network-policy、service-chain等一些抽象的config参数转换为L3 VPN的语言。它是Tungsten Fabric的核心组件之一，完成了MPLS-VPN不能简单解释的大部分工作。

例如，logical-router在内部创建一个新的route-target ID，该ID将具有虚拟网络的所有前缀。因此，如果将虚拟网络连接到logical-router，它将接收logical-router所具有的所有路由。该行为在内部使用MPLS-VPN，但route-target配置由schema-transformer控制。

因此，配置以下面的方式传送到数据平面：

edit config -> (rabbitmq) -> schema-transformer, which creates new route-target -> (internally edit config) -> (rabbitmq) -> control -> (xmpp) -> vrouter-agent -> (netlink) -> vrouter.ko

Schema-transformer还负责与服务链（service-chain）相关的所有事情。我不会深入研究服务链的所有细节，因为这并没有简单的DC用例（即使AWS VPC当前也不提供类似的服务）。尽管，从内心来说，这是对VRF收到的所有前缀的有趣处理，并且我个人认为值得一读。

注意：你可以在书中获得所有详细信息。https://mplsinthesdnera.net/

svc-monitor

这个进程提供了一些服务，这些服务必须在内部使用外部进程，例如haproxy负载均衡器，基于nova API的v1服务链实例，用于SNAT的iptables MASQUERADE等。

在内部，vrouter-agent具有一些逻辑来启动haproxy或设置iptables MASQUERADE，当相关服务被定义的时候，svc-monitor将启动这些逻辑。

Svc-monitor选择一些vRouter来创建这些服务，实例化一些网络功能并对这些元素进行流量处理。在使用analytics-api的输出（analytics/uves/vrouter）中选择一个，然后选点击“Functional”。

• https://github.com/Juniper/contrail-controller/blob/master/src/config/svc-monitor/svc_monitor/scheduler/vrouter_scheduler.py#L149

尽管将来的版本可能会改变，但是目前这样的行为是Tungsten Fabric安装时需要analytics的原因之一。

config-database

Tungsten Fabric使用多个数据库。大部分数据都保存在Cassandra中，如果发生了更改，将通知RabbitMQ更改的内容以传递到其它组件，例如control、schema-transformer、svc-monitor等。

ZooKeeper仅用于需要锁定以保持一致性的操作。例如，创建一个端口需要分配一个IP地址，其一致性由ZooKeeper来管理，因此IP地址分配始终是一对一的。

nodemgr

我认为到目前为止，大多数重要组件都已涵盖，因此我将介绍其它部分。首先来看一下nodemgr是什么。

Nodemgr基本上是每个节点状态的源头，因此它检查使用情况、docker ps或CPU的使用情况，并发送analytics UVE NodeStatus。

• https://github.com/Juniper/contrail-controller/blob/master/src/nodemgr/common/linux_sys_data.py

该值可能是contrail-status以及其它逻辑（例如analytics-alarm或svc-monitor）的来源，它们在选择vRouter时会检查此值是否为Functional。保持这些Functional的状态，对确保Tungsten Fabric正常运行非常重要。

如果分配了不同的角色，则此组件的行为会有所不同。因此，它会以不同的行为安装在每个节点上。

另外，它还会对每个节点进行第一次配置（provision），这意味着要通知config-api该IP已分配了xxx角色。因此，即使不需要analytics功能，该模块也必须存在，至少在第一次启动节点时。

device-manager

此过程用于配置physical-router（基于config-database中的对象）。

在内部，它使用与schema-transformer和svc-monitor相同的逻辑，它们订阅RabbitMQ以查看config是否被更改，当发生更改时，AMQP客户端会启动一些逻辑：

• 对于schema-transformer，它将更新更多config；
• 对于svc-monitor，它将在vRouters中添加一些逻辑；
• 对于device-manager，它将更新physical-router的配置。

此行为由reaction_map控制，它定义了某些config对象上的某些更改会怎样传递到其它的配置上进行更改。

• https://github.com/Juniper/contrail-controller/blob/master/src/config/device-manager/device_manager/device_manager.py#L59

例如，当更新bgp-router时，

'bgp_router': {
           'self': ['bgp_router', 'physical_router'],
           'bgp_router': ['physical_router'],
           'physical_router': [],
          },

基于“self”的定义，它将通过对原始bgp-router对象的引用，传递到bgp-router和physical-router。

• 对于bgp-router，表示与原始bgp-router所对等（peer）的bgp-router对象

之后，更新的bgp-router会将其传递到bgp-router对象所在的physical-router。

'bgp_router': {
           (snip)
           'bgp_router': ['physical_router'],
           (snip)
          },

由于从bgp-router传递事件时，physical-router不会更新任何内容，因此事件在那里停止，并且具有原始bgp-router的physical-router config以及对等（peer）的bgp-router将被更新。

'physical_router': {
          (snip)
          'bgp_router': [],
          (snip)
},

当physical-router收到更新的事件时，它将从插件中调用push_conf函数，基于config-database中的对象创建路由config。

• 当前，只有MX/QFX具有开源插件：https://github.com/Juniper/contrail-controller/tree/master/src/config/device-manager/device_manager/plugins/juniper

要启用此功能，需要在/etc/contrail/common_config.env中配置此旋钮：DEVICE_MANAGER__DEFAULTS__push_mode = 0。

以下链接描述了配置过程：
https://www.juniper.net/documentation/en_US/contrail5.0/topics/concept/using-device-manager-netconf-contrail.html

analytics

Tungsten Fabric analytics具有很多功能，但大部分功能都是可选的，因此我会跳过大多数的组件。如果有兴趣，请查阅以下链接以获取SNMP、LLDP、警报等的信息：

• https://tungsten.io/sandesh-a-sdn-analytics-interface/
• https://tungsten.io/operational-state-in-the-opencontrail-system-uve-user-visible-entities-through-analytics-api/
• https://tungsten.io/contrail-alerts/
• https://tungsten.io/overlay-to-physical-network-correlation/

Analytics本身具有有趣的架构，其中涵盖了logs、flows和stats。

• 据我所知，它们通常涉及不同的系统，例如用于logs/flows的EFK和用于stats的Prometheus。

如果你需要一个工具，方便地使用所有系统，Tungsten Fabric analytics将是一个很好的选择。

大多数重要的指标和分析服务都被标记为UVE（用户可见实体），并具有一个URL以提供JSON格式的数据。

• http://(analytics-ip):8081/analytics/uves 提供了所有可提供的数值。

如果你需要将Tungsten Fabric与其它监视系统集成在一起，那可能是一个很好的起点。

analytics-database

Analytics还使用了多个数据库，例如Redis、Cassandra、Kafka（在内部，它还使用ZooKeeper进行HA选件的部署）。

如果仅使用analytics，则仅需要Redis数据库，即使在此设置中，大多数webui功能都是可用的。

• 大多数可视化的功能都使用UVE，因此即使未安装Cassandra也是可用的。

如果你需要webui的“Query”功能，则需要使用Cassandra，该功能可检索Cassndra数据库中的logs/flows或stats信息。

Kafka用于将UVE传递到analytics-alarms，因此，如果要使用警报功能，Kafka是必要的。

webui

最后，我们来说说webui。基本上，这就只是一个简单的webui，用于查看组件的状态，并配置Tungsten Fabric的参数。

它使用AJAX行为来更新一些需要对analytics-api进行长时间查询的图形（例如Monitor > Dashboard access），同时由webui-job进程涵盖了异步作业，这一点还挺有趣的。

Tungsten Fabric入门宝典系列文章——

1.首次启动和运行指南

Tungsten Fabric 架构解析系列文章——

第一篇：TF主要特点和用例
第二篇：TF怎么运作
第三篇：详解vRouter体系结构
第四篇：TF的服务链
第五篇：vRouter的部署选项
第六篇：TF如何收集、分析、部署？
第七篇：TF如何编排
第八篇：TF支持API一览
第九篇：TF如何连接到物理网络？
第十篇：TF基于应用程序的安全策略

作者：Maxfield Stewart（文章来源：Riot Games）译者：TF编译组

欢迎来到Tungsten Fabric用户案例系列文章，一起发现TF的更多应用场景。“揭秘LOL”系列的主人公是Tungsten Fabric用户Riot Games游戏公司，作为LOL《英雄联盟》的开发和运营商，Riot Games面临全球范围复杂部署的挑战，让我们一起揭秘LOL背后的“英雄们”，看他们是如何运行在线服务的吧。

在上一篇文章中，我们讨论了支持服务的生态系统，使我们能够在生产环境中运行微服务。如果说微服务是我们的“核心”，那些工具是“辅助”，那我们的“打野”呢？这就要介绍我们用于集群管理的开发者生态系统了。在过去的文章中，我们已经讨论了一些工具，例如build farm和使用容器来构建容器的策略，这里就不再过多介绍细节了。

还记得上篇文章那个Web小部件吗？它可以辅助引导工程师们使用工具生态系统：

我们已经介绍了其中的一些应用程序：JFrog的Artifactory，用于图像存储和全局复制；Discovery用于发现服务；Metrics和Jenkins用于自动化和连续交付需求。当然，里面还有更多应用程序可以探索！

我没时间去覆盖所有内容，但是这个小部件是个不错的起点。现在，我们来看看在生态系统管理的其他关键领域提供帮助的工具。这些工具使我们能够：

1.检查和可视化全局容器集群上正在运行的内容（Toolbox）
2.轻松处理复杂的软件网络规则（network.rcluster）
3.在全球范围内查询我们的服务来弄清楚什么在哪里（Service Discovery）
4.跟踪构建和部署（Buildtracker）

这些工具使我们能够处理数十个全球容器集群，并帮助我们管理Riot的规模感。要了解这一点，最好的起点是使用Toolbox。

可视化管理集群

下面是我们的容器可视化工具Toolbox的截图。之前我们讨论过Admiral的调度程序。下图是来自调度程序的API数据的直观结果。可以看到我们的全球集群，数一下，有16个集群，以它们的部署区域命名。Riot的集群遍布全球，分布在中国台北、雅加达、迈阿密、阿姆斯特丹，韩国和日本等地。

你可以一目了然地看到，我们正在运行超过2,400个各种应用程序的实例，我们称这些为“打包”。这在全球范围内转化为超过5,000个Docker容器。这些打包在过去一两年中都变得很活跃，正如我在Riot开发大量软件之前所说的那样。上面这些甚至不代表Riot运行的所有服务，而只是我们选择在容器中运行的服务。

Toolbox不仅提供全局视图，我们还可以深入研究任何一个数据中心并查看其中正在运行的数据。

我无法在一个屏幕快照中向你展示所有内容，但是通过在阿姆斯特丹的系统的简单视图，我们可以看到正在运行的应用程序数量。在这里，我们可以查看underlay和overlay服务，这些服务旨在简化将计算节点与调度程序和生态系统相集成起来。我们还可以轻松地查看诸如节点分配、打包状况的状态灯，以及哪些应用程序正在向Discovery报告的信息。开发人员和运营人员可以使用它轻松访问全局视图，了解其服务的运行方式。

可以通过深入研究基本服务，来找到更多的详细信息。让我们看一看我自己拥有和运营的一项服务：Summoner服务。这有助于处理Riot服务（就像Chat和Developer API门户一样的第三方开放的API）的Summoner API流量。

命名空间和作用域系统决定着我们如何处理应用程序。下图演示了这一点，其中Toolbox按单个应用程序和作用域进行筛选。在这种情况下，我们可以查看应用程序作用域“platform.summonercore”。可以看到该应用程序是如何分发的，包括它如何在AMS1中使用多个部署作用域。比如你可以看到“lolriot.ams1.rusummoner”和“lolriot.ams1.tr1summoner”正在分别支持俄罗斯和土耳其地区的部署。

右边栏包含一些其它信息，例如打包中的容器数量、IP地址、基本状态、日期信息，以及其它详细的信息。用户甚至可以检查容器日志。

在这张图片中可以看到我最喜欢的功能之一。在加载日志的同时，出现了跳舞的卡特琳娜的gif图。是的伙计们，跳舞的卡特琳娜是我们内部的一个梗，她出现在各种内部工具的加载屏幕中。

我们在Toolbox中的指标度量系统是一站式的，可提供诸如服务状态和位置的核心服务信息。如果出现问题，此系统使我们能够立即开始分流。用户还可以获取快照，如下图所示：

管理复杂的网络规则

在本系列第一篇文章中，我们讨论了如何使用Tungsten Fabric和JSON配置文件对网络进行基于软件的控制。JSON很酷，但是凝视它足够长的时间，也会使你的眼睛流血。为了帮助我们的工程师，我们构建了一个可视化工具，并选择了非常原始的名称“network.rcluster”。

当你登录时，会看到一排排的小部件，表示我们已在整个集群中全局应用的网络规则。其中的每一个都由JSON配置blob作为支撑。让我们仔细看一下前面提到的Summonercore应用。

乍一看，这并不是什么令人兴奋的东西，只是部署作用域的列表而已。实际上，它是该应用程序作用域的框架。我们可以看到Summoner具有适用于广泛部署作用域的网络规则。考虑到Summoner运行在我们拥有《英雄联盟》的任何一个地方，这是很有道理的。

我们选择其中一个，就应该能够看到Summoner的访问权限。

这里有很多条路由。使用这个工具，我们可以检查正在使用中的端口，并查看所有入站和出站连接。再说一遍，这有我们最喜欢的应用程序作用域的框架。如果你有敏锐的眼光，你会发现Summoner被允许与我们的“rtp.collector”通信，该调用会返回到我之前提到的指标。另一个连接是“infrastructurous.discoverous”，这是我们的发现服务。这个特定的屏幕截图来自于QA环境，因此你可以看到一些测试应用程序。

在全球范围内查询

运行如此多的软件，其中一个挑战是，有时你无法掌握部署的位置。我们可以使用诸如Toolbox之类的工具，来手动遍历每个集群并筛选应用名称，但是Toolbox仅向我们显示正在运行的打包和容器。许多传统的Riot软件都已部署到物理机上（多么传统），我们也希望能够搜索到那些应用程序。

这就是查询服务或信息聚合器能派上用场的地方。我们拥有一个创造性的工具，命名为“services.rcluster”，该工具使我们可以指定各种基于上下文的搜索。这是我使用此工具查找刚才看到的所有全球Summoner服务的截图。

查询服务与服务发现工具是不同的。相反，它使用基于上下文的搜索来查询没有被发现的服务。例如，当你只记得“platform.summonercore”中的字符串“summoner”时，它可以抓取我们的Admiral调度程序的部署，来匹配字符串并返回到相关命令中。它是以人为本的搜索工具，可以适应人为的缺陷。

在这里，你也可以看到“位置”列，该列引用了我们命名作用域的部署部分。列中的服务名称是应用程序作用域。

跟踪构建

到目前为止，我们已经研究了如何管理生产环境中运行的东西。但大多数软件的生命周期，在它们投入生产之前就已经开始了。当你每年使用超过一百万种软件构建时，如果没有根据时间查看事件的能力，就会遇到麻烦。

来介绍Buildtracker——这个工具是另一个由API/网络驱动的工具，团队可以选择自动或手动的方式发布和查询数据。当软件从代码转换为服务时，这使他们可以跟踪这个软件。

这是我们第一次公开讨论这个工具，但是使用它已经有大约三、四年的时间了，甚至比我们转向微服务还要早。

我们构建和扩展了大量的软件，真心不希望团队为跟踪这些构建，去抓取数千行的构建和管道日志。Buildtracker为持续集成系统（或任何自动化/部署系统）提供了一个干净的API，用于添加、标记和查询任何内部版本的变更列表和工件。

当团队决定构建一个服务时，可以生成微服务构建管道。团队还可以创建自己的构建管道，并使用此API进行跟踪。然后，他们可以在其构建中搜索如下结果：

上图是在Buildtracker工具中我们的配置服务条目的截图。我们为很多个筛选器构建了不同的风格，例如给定的变更列表，构建时间，使用的版本号以及各种标签。这些标记跟踪几种行为，包括构建工件所部署的环境（红色），以及通过的QA事件（灰色）。团队可以使用Buildtracker标签，将各种版本的构建标记为“QA Passed”。然后，他们可以标记仅检索QA Passed构建的步骤，例如部署作业。通过这个过程，团队可以创建受信任的持续交付管道，以确保它们仅部署已通过质量检查的项目。

即使团队没有完全采用此过程，他们仍然可以通过一目了然的参考信息，来访问有关构建的宝贵历史。

该页面包含到工件存储的路径，到构建作业的链接，以及发生的各种事件的时间表。Buildtracker中的“发布管理”视图使我们能够查看使用此类元数据为团队提供的全部功能：

这张图只是发行团队中用于管理《英雄联盟》发行版本的其中一个存储桶的快照。客户端、游戏服务器、音频包和服务都可以包含在这些列表中。你还可以看到许多标签，它们反映了补丁程序、环境、QA流程等。

当你构建数百个服务和应用程序时，这样的数据聚合器确实可以帮助你理解流程，并提供一些版本管理控制。

结论

我们在文章中介绍的很多生态系统工具，都是自动地为团队工作，另外一些是选择加入的技术，团队可以选择使用它们，或者自己来做。我们的总体策略是，如果工具和技术足够有用，那么团队将使用它们，而不是构建自己的解决方案。这营造了一种灵活、敏捷的氛围，使我们能够专注于为真正渴望或需要它们的团队创建并支持最有价值的工具。例如，一个团队可能使用Service Discovery，但选择在构建时静态配置其应用程序，或者从不存储机密信息，或者使用我们提供的几乎所有内容但构建自己的解决方案来跟踪构建。

最终，这些工具使每个服务创建者和产品团队都能够充分利用他们所需的功能，将其功能尽快交付给玩家，同时又能保持很高的质量。

更多“揭秘LOL”系列文章
揭秘LOL背后的IT基础架构丨踏上部署多样性的征程
揭秘LOL背后的IT基础设施丨关键角色“调度”
揭秘LOL背后的IT基础架构丨SDN解锁新基础架构
揭秘LOL背后的IT基础架构丨基础设施即代码
揭秘LOL背后的IT基础架构丨微服务生态系统

作者：Tatsuya Naganawa 译者：TF编译组

Tungsten Fabric入门宝典系列文章，来自技术大牛倾囊相授的实践经验，由TF中文社区为您编译呈现，旨在帮助新手深入理解TF的运行、安装、集成、调试等全流程。如果您有相关经验或疑问，欢迎与我们互动，并与社区极客们进一步交流。更多TF技术文章，请点击TF中文社区公众号底部按钮＞学习＞文章合集。

两年来，我在Tungsten Fabric的旅程中学到了不少知识，接下来，我会用几篇文章来简要介绍一下。

1为什么要用Tungsten Fabric？

首先，让我们来看一个重要的问题，SDN/Neutron/CNI都有很多不错的实现案例，为什么还要再尝试另一个呢？据我所知，Tungsten Fabric具有两个关键的差异化特征，这使它变得如此与众不同。

I. 与ASIC的互操作性

尽管有很多技术使Linux软件成为生产路由器/交换机的理想选择，但ASIC仍然是这一行业的重要组成部分。为了与它们进行互操作，SDN平台需要使用路由协议，例如BGP或OVSDB。

许多服务提供商和云服务商使用VRF来终结和分离每个客户的网络连接，这使得路由器和SDN之间的连接变得很复杂。

• 通常，它们之间可以使用VLAN，但是SDN平台上的终结点可能会成为瓶颈

• 此外，每个SDN终结点（类似于OpenStack中的网络节点）需要为每个客户进行单独的配置，这使配置更加复杂

借助MP-BGP这个已经成熟实现的协议，Tungsten Fabric解决了上述问题，该协议允许路由器上的每个VRF将报文直接发送到vRouter，这些vRouter服务于每个客户的应用程序。此功能允许基于控制平面（而不是数据平面），对具有每个客户独立网络的计算节点进行水平扩展，并使其更加直观。

II. 可扩展性

由于报文是从路由器直接发送到vRouter的，因此不需要网络节点，这使得Tungsten Fabric在数据平面上具有更大的可扩展性。

另外，从控制平面的角度来看，Tungsten Fabric具有一个名为“路由目标过滤器（route target filtering）”（https://tools.ietf.org/html/rfc4684）的有意思的功能。

• 此功能在MP-BGP中很常见，其他路由器也具有这个功能
• 这个功能意味着，如果vRouter没有该路由目标（route target）的前缀，那么控制平面接收到它时会丢弃前缀

在云服务中，客户只使用云服务商的数据中心的有限功能，并且不同客户使用不同的路由目标，因此vRouter和控制器不需要知道所有前缀。路由目标过滤功能使这种行为成为可能，并大大减少了每个vRouter以及每个控制器（如果在它们之间使用RR的话）需要考虑的前缀数量，这使得该控制平面更具可扩展性。

对于私有云或托管云来说，将其与安全策略、网络策略/逻辑路由器（与AWS中的VPC peerling或transit-gateway类似）等其它功能结合在一起，这将是VPC基础架构（类似于AWS/Azure/GCP VPC/vnet）的一个不错的选择，并且使其成为一个非常值得一试的有趣平台。

2Tungsten Fabric，启动并运行

在第一次尝试使用Tungsten Fabric时，即使你已经熟悉其他CNI的部署，还是建议使用ansible-deployer（https://github.com/Juniper/contrail-ansible-deployer），因为Tungsten Fabric使用了很多种没有集成在Vanilla Linux中的工具。因此，建议首先尝试可以良好运行的设置，以查看新功能，然后再集成其它系统。

不幸的是，许多Tungsten Fabric的repos都与rawhide类似，并且在某些情况下已经失去了依赖性。

因此，我选择了一种组合，是我认为通常都能正常工作并且足够稳定，可以用来尝试大多数功能。

要尝试此操作，你需要两台服务器，一台用于K8s主服务器，另一台用于K8s节点。K8s主服务器需要至少有2个vCPU、8GB内存和8GB磁盘空间。K8s节点服务器需要1个vCPU、4GB内存和8GB磁盘空间。

• 我个人通常在AWS的ap-northeast-1区域中使用ami-3185744e（CentOS7.5, login-id: centos），t2.large的规格
• 由于在我看来，与Tungsten Fabric进行OpenStack和vCenter集成比使用Kubernetes进行集成要复杂得多，因此即使你不需要容器支持，我还是建议首先尝试此设置
• 安装过程，需要有互联网连接

##all the commands are typed at k8s master node
sudo yum -y remove PyYAML python-requests
sudo yum -y install git
sudo easy_install pip
sudo pip install PyYAML requests ansible==2.7.15
ssh-keygen
cd .ssh/
cat id_rsa.pub >> authorized_keys
ssh-copy-id root@(k8s node's ip) ## or manually register id_rsa.pub to authorized_keys
cd
git clone -b R5.1 http://github.com/Juniper/contrail-ansible-deployer
cd contrail-ansible-deployer
vi config/instances.yaml
(replace contents with this)
provider_config:
  bms:
   ssh_user: root
   ssh_public_key: /root/.ssh/id_rsa.pub
   ssh_private_key: /root/.ssh/id_rsa
   domainsuffix: local
   ntpserver: 0.centos.pool.ntp.org
instances:
  bms1:
   provider: bms
   roles:
      config_database:
      config:
      control:
      analytics:
      analytics_database:
      webui:
      k8s_master:
      kubemanager:
   ip: 172.31.14.47 ## k8s master's ip
  bms2:
   provider: bms
   roles:
     vrouter:
     k8s_node:
   ip: 172.31.41.236 ## k8s node's ip
contrail_configuration:
  CONTRAIL_CONTAINER_TAG: r5.1
  KUBERNETES_CLUSTER_PROJECT: {}
  JVM_EXTRA_OPTS: "-Xms128m -Xmx1g"
global_configuration:
  CONTAINER_REGISTRY: tungstenfabric

ansible-playbook -e orchestrator=kubernetes -i inventory/ playbooks/configure_instances.yml
 - it takes about 10 minutes
ansible-playbook -e orchestrator=kubernetes -i inventory/ playbooks/install_k8s.yml
 - it takes about 5 minutes
ansible-playbook -e orchestrator=kubernetes -i inventory/ playbooks/install_contrail.yml
 - it takes about 20 minutes

需要注意的一点是，使用受支持的内核版本是一项相当严格的要求，因为Tungsten Fabric将自己的内核模块（vrouter.ko）用于其数据平面。我尝试了CentOS7.5、7.6，Ubuntu Xenial，并发现它也运行良好（对于Ubuntu Bionic，需要进行一些修改），但如果是第一次尝试，我建议使用特定的AMI ID，因为由于不能正常工作而进行调试和排错不是一件容易的事。

如果所有“剧本”（playbooks）都运行良好，可以先输入内容，

contrail-status

它负责检查一切是否正常。

[root@ip-172-31-14-47 contrail-ansible-deployer]# contrail-status 
Pod              Service         Original Name                          State    Status             
                 redis           contrail-external-redis                running  Up 5 minutes       
analytics        alarm-gen       contrail-analytics-alarm-gen           running  Up 2 minutes       
analytics        api             contrail-analytics-api                 running  Up 2 minutes       
analytics        collector       contrail-analytics-collector           running  Up 2 minutes       
analytics        nodemgr         contrail-nodemgr                       running  Up 2 minutes       
analytics        query-engine    contrail-analytics-query-engine        running  Up 2 minutes       
analytics        snmp-collector  contrail-analytics-snmp-collector      running  Up 2 minutes       
analytics        topology        contrail-analytics-topology            running  Up 2 minutes       
config           api             contrail-controller-config-api         running  Up 4 minutes       
config           device-manager  contrail-controller-config-devicemgr   running  Up 3 minutes       
config           nodemgr         contrail-nodemgr                       running  Up 4 minutes       
config           schema          contrail-controller-config-schema      running  Up 4 minutes       
config           svc-monitor     contrail-controller-config-svcmonitor  running  Up 4 minutes       
config-database  cassandra       contrail-external-cassandra            running  Up 4 minutes       
config-database  nodemgr         contrail-nodemgr                       running  Up 4 minutes       
config-database  rabbitmq        contrail-external-rabbitmq             running  Up 4 minutes       
config-database  zookeeper       contrail-external-zookeeper            running  Up 4 minutes       
control          control         contrail-controller-control-control    running  Up 3 minutes       
control          dns             contrail-controller-control-dns        running  Up 3 minutes       
control          named           contrail-controller-control-named      running  Up 3 minutes       
control          nodemgr         contrail-nodemgr                       running  Up 3 minutes       
database         cassandra       contrail-external-cassandra            running  Up 2 minutes       
database         kafka           contrail-external-kafka                running  Up 2 minutes       
database         nodemgr         contrail-nodemgr                       running  Up 2 minutes       
database         zookeeper       contrail-external-zookeeper            running  Up 2 minutes       
kubernetes       kube-manager    contrail-kubernetes-kube-manager       running  Up About a minute  
webui            job             contrail-controller-webui-job          running  Up 3 minutes       
webui            web             contrail-controller-webui-web          running  Up 3 minutes       

WARNING: container with original name 'contrail-external-redis' have Pod or Service empty. Pod: '' / Service: 'redis'. Please pass NODE_TYPE with pod name to container's env

== Contrail control ==
control: active
nodemgr: active
named: active
dns: active

== Contrail config-database ==
nodemgr: initializing (Disk for DB is too low. )
zookeeper: active
rabbitmq: active
cassandra: active

== Contrail kubernetes ==
kube-manager: active

== Contrail database ==
kafka: active
nodemgr: initializing (Disk for DB is too low. )
zookeeper: active
cassandra: active

== Contrail analytics ==
snmp-collector: active
query-engine: active
api: active
alarm-gen: active
nodemgr: active
collector: active
topology: active

== Contrail webui ==
web: active
job: active

== Contrail config ==
svc-monitor: active
nodemgr: active
device-manager: active
api: active
schema: active

[root@ip-172-31-14-47 contrail-ansible-deployer]# 

[root@ip-172-31-41-236 ~]# contrail-status 
Pod      Service  Original Name           State    Status         
vrouter  agent    contrail-vrouter-agent  running  Up 52 seconds  
vrouter  nodemgr  contrail-nodemgr        running  Up 52 seconds  

vrouter kernel module is PRESENT
== Contrail vrouter ==
nodemgr: active
agent: active

[root@ip-172-31-41-236 ~]#

这应该表明大多数组件都处于“active”状态，除了以下的：

nodemgr: initializing (Disk for DB is too low.)

这是可以在demo设置中安全地忽略的问题。

注意：这基本上表明使用率超过50％，对于Cassandra来说这是一个很重要的问题。

如果一切正常，则可以尝试使用此命令查看Tungsten Fabric路由表的状态。

pip install lxml prettytable
git clone https://github.com/vcheny/contrail-introspect-cli.git
##or curl -O https://raw.githubusercontent.com/vcheny/contrail-introspect-cli/master/ist.py
./contrail-introspect-cli/ist.py ctr status
./contrail-introspect-cli/ist.py ctr nei ## similar to 'show bgp summary'
./contrail-introspect-cli/ist.py ctr route summary ## similar to 'show route summary'
./contrail-introspect-cli/ist.py ctr route tables ## show routing-tables
./contrail-introspect-cli/ist.py ctr route show ## similar to 'show route'


[root@ip-172-31-14-47 contrail-ansible-deployer]# ./contrail-introspect-cli/ist.py ctr status
module_id: contrail-control
state: Functional
description
+-----------+-----------+---------------------+--------+----------------------------------+
| type      | name      | server_addrs        | status | description                      |
+-----------+-----------+---------------------+--------+----------------------------------+
| Collector | n/a       |   172.31.14.47:8086 | Up     | Established                      |
| Database  | Cassandra |   172.31.14.47:9041 | Up     | Established Cassandra connection |
| Database  | RabbitMQ  |   172.31.14.47:5673 | Up     | RabbitMQ connection established  |
+-----------+-----------+---------------------+--------+----------------------------------+

[root@ip-172-31-14-47 contrail-ansible-deployer]# ./contrail-introspect-cli/ist.py ctr nei
+--------------------------------------+---------------+----------+----------+-----------+-------------+------------+------------+-----------+
| peer                                 | peer_address  | peer_asn | encoding | peer_type | state       | send_state | flap_count | flap_time |
+--------------------------------------+---------------+----------+----------+-----------+-------------+------------+------------+-----------+
| ip-172-31-41-236.ap-                 | 172.31.41.236 | 0        | XMPP     | internal  | Established | in sync    | 0          | n/a       |
| northeast-1.compute.internal         |               |          |          |           |             |            |            |           |
+--------------------------------------+---------------+----------+----------+-----------+-------------+------------+------------+-----------+

[root@ip-172-31-14-47 contrail-ansible-deployer]# ./contrail-introspect-cli/ist.py ctr route summary
+----------------------------------------------------+----------+-------+---------------+-----------------+------------------+
| name                                               | prefixes | paths | primary_paths | secondary_paths | infeasible_paths |
+----------------------------------------------------+----------+-------+---------------+-----------------+------------------+
| default-domain:default-                            | 0        | 0     | 0             | 0               | 0                |
| project:__link_local__:__link_local__.inet.0       |          |       |               |                 |                  |
| default-domain:default-project:default-virtual-    | 0        | 0     | 0             | 0               | 0                |
| network:default-virtual-network.inet.0             |          |       |               |                 |                  |
| inet.0                                             | 0        | 0     | 0             | 0               | 0                |
| default-domain:default-project:ip-fabric:ip-       | 3        | 3     | 1             | 2               | 0                |
| fabric.inet.0                                      |          |       |               |                 |                  |
| default-domain:k8s-default:k8s-default-pod-network | 3        | 3     | 1             | 2               | 0                |
| :k8s-default-pod-network.inet.0                    |          |       |               |                 |                  |
| default-domain:k8s-default:k8s-default-service-    | 3        | 3     | 1             | 2               | 0                |
| network:k8s-default-service-network.inet.0         |          |       |               |                 |                  |
+----------------------------------------------------+----------+-------+---------------+-----------------+------------------+

[root@ip-172-31-14-47 contrail-ansible-deployer]# ./contrail-introspect-cli/ist.py ctr route tables
name: default-domain:default-project:__link_local__:__link_local__.inet.0
name: default-domain:default-project:default-virtual-network:default-virtual-network.inet.0
name: inet.0
name: default-domain:default-project:ip-fabric:ip-fabric.inet.0
name: default-domain:k8s-default:k8s-default-pod-network:k8s-default-pod-network.inet.0
name: default-domain:k8s-default:k8s-default-service-network:k8s-default-service-network.inet.0

[root@ip-172-31-14-47 contrail-ansible-deployer]# ./contrail-introspect-cli/ist.py ctr route show

bgp.ermvpn.0: 6 destinations, 6 routes (0 primary, 6 secondary, 0 infeasible)

1-172.31.41.236:1-172.31.14.47,255.255.255.255,0.0.0.0, age: 0:02:26.545449, last_modified: 2019-Apr-13 01:41:18.023211
    [Local|None] age: 0:02:26.548569, localpref: 100, nh: 172.31.14.47, encap: [], label: 0, AS path: None

1-172.31.41.236:2-172.31.14.47,255.255.255.255,0.0.0.0, age: 0:01:09.096721, last_modified: 2019-Apr-13 01:42:35.471939
    [Local|None] age: 0:01:09.100272, localpref: 100, nh: 172.31.14.47, encap: [], label: 0, AS path: None

1-172.31.41.236:3-172.31.14.47,255.255.255.255,0.0.0.0, age: 0:00:41.812247, last_modified: 2019-Apr-13 01:43:02.756413
    [Local|None] age: 0:00:41.816037, localpref: 100, nh: 172.31.14.47, encap: [], label: 0, AS path: None

2-172.31.41.236:1-172.31.14.47,255.255.255.255,0.0.0.0, age: 0:02:26.544851, last_modified: 2019-Apr-13 01:41:18.023809
    [Local|None] age: 0:02:26.548875, localpref: 100, nh: 172.31.14.47, encap: [], label: 0, AS path: None

2-172.31.41.236:2-172.31.14.47,255.255.255.255,0.0.0.0, age: 0:01:09.096567, last_modified: 2019-Apr-13 01:42:35.472093
    [Local|None] age: 0:01:09.100828, localpref: 100, nh: 172.31.14.47, encap: [], label: 0, AS path: None

2-172.31.41.236:3-172.31.14.47,255.255.255.255,0.0.0.0, age: 0:00:41.812032, last_modified: 2019-Apr-13 01:43:02.756628
    [Local|None] age: 0:00:41.816542, localpref: 100, nh: 172.31.14.47, encap: [], label: 0, AS path: None

bgp.evpn.0: 3 destinations, 3 routes (0 primary, 3 secondary, 0 infeasible)

2-172.31.41.236:1-0-0e:92:cc:bd:aa:08,0.0.0.0, age: 0:02:26.545224, last_modified: 2019-Apr-13 01:41:18.023436
    [XMPP|ip-172-31-41-236.ap-northeast-1.compute.internal] age: 0:02:26.550028, localpref: 200, nh: 172.31.41.236, encap: ['gre', 'mpls-o-gre', 'udp'], label: 20, AS path: None

2-172.31.41.236:1-0-0e:92:cc:bd:aa:08,172.31.41.236, age: 0:02:26.545271, last_modified: 2019-Apr-13 01:41:18.023389
    [XMPP|ip-172-31-41-236.ap-northeast-1.compute.internal] age: 0:02:26.550313, localpref: 200, nh: 172.31.41.236, encap: ['gre', 'mpls-o-gre', 'udp'], label: 20, AS path: None

3-172.31.41.236:1-2-172.31.41.236, age: 0:02:26.545365, last_modified: 2019-Apr-13 01:41:18.023295
    [Local|None] age: 0:02:26.550656, localpref: 100, nh: 172.31.41.236, encap: ['vxlan'], label: 2, AS path: None

bgp.l3vpn.0: 3 destinations, 3 routes (0 primary, 3 secondary, 0 infeasible)

172.31.41.236:1:172.31.41.236/32, age: 0:02:26.545019, last_modified: 2019-Apr-13 01:41:18.023641
    [XMPP (interface)|ip-172-31-41-236.ap-northeast-1.compute.internal] age: 0:02:26.550608, localpref: 200, nh: 172.31.41.236, encap: ['gre', 'udp', 'native'], label: 16, AS path: None

172.31.41.236:2:10.47.255.252/32, age: 0:00:41.733374, last_modified: 2019-Apr-13 01:43:02.835286
    [XMPP (interface)|ip-172-31-41-236.ap-northeast-1.compute.internal] age: 0:00:41.739187, localpref: 200, nh: 172.31.41.236, encap: ['gre', 'udp'], label: 25, AS path: None

172.31.41.236:3:10.96.0.10/32, age: 0:00:41.732905, last_modified: 2019-Apr-13 01:43:02.835755
    [XMPP (interface)|ip-172-31-41-236.ap-northeast-1.compute.internal] age: 0:00:41.738945, localpref: 200, nh: 172.31.41.236, encap: ['gre', 'udp'], label: 25, AS path: None

bgp.rtarget.0: 7 destinations, 7 routes (7 primary, 0 secondary, 0 infeasible)

64512:target:64512:8000001, age: 0:02:26.592101, last_modified: 2019-Apr-13 01:41:17.976559
    [XMPP|ip-172-31-41-236.ap-northeast-1.compute.internal] age: 0:02:26.598445, localpref: 100, nh: 172.31.14.47, encap: [], label: 0, AS path: None

64512:target:64512:8000002, age: 0:02:26.592073, last_modified: 2019-Apr-13 01:41:17.976587
    [XMPP|ip-172-31-41-236.ap-northeast-1.compute.internal] age: 0:02:26.598626, localpref: 100, nh: 172.31.14.47, encap: [], label: 0, AS path: None

64512:target:64512:8000003, age: 0:02:26.592051, last_modified: 2019-Apr-13 01:41:17.976609
    [XMPP|ip-172-31-41-236.ap-northeast-1.compute.internal] age: 0:02:26.598800, localpref: 100, nh: 172.31.14.47, encap: [], label: 0, AS path: None

64512:target:172.31.14.47:0, age: 0:05:09.194543, last_modified: 2019-Apr-13 01:38:35.374117
    [Local|None] age: 0:05:09.201488, localpref: 100, nh: 172.31.14.47, encap: [], label: 0, AS path: None

64512:target:172.31.14.47:1, age: 0:02:26.592028, last_modified: 2019-Apr-13 01:41:17.976632
    [XMPP|ip-172-31-41-236.ap-northeast-1.compute.internal] age: 0:02:26.599168, localpref: 100, nh: 172.31.14.47, encap: [], label: 0, AS path: None

64512:target:172.31.14.47:4, age: 0:01:09.099898, last_modified: 2019-Apr-13 01:42:35.468762
    [XMPP|ip-172-31-41-236.ap-northeast-1.compute.internal] age: 0:01:09.107253, localpref: 100, nh: 172.31.14.47, encap: [], label: 0, AS path: None

64512:target:172.31.14.47:5, age: 0:00:41.824049, last_modified: 2019-Apr-13 01:43:02.744611
    [XMPP|ip-172-31-41-236.ap-northeast-1.compute.internal] age: 0:00:41.831612, localpref: 100, nh: 172.31.14.47, encap: [], label: 0, AS path: None

default-domain:default-project:ip-fabric:ip-fabric.ermvpn.0: 3 destinations, 3 routes (3 primary, 0 secondary, 0 infeasible)

0-172.31.41.236:1-0.0.0.0,255.255.255.255,0.0.0.0, age: 0:02:26.544896, last_modified: 2019-Apr-13 01:41:18.023764
    [XMPP|ip-172-31-41-236.ap-northeast-1.compute.internal] age: 0:02:26.552710, localpref: 100, nh: 172.31.41.236, encap: ['gre', 'udp'], label: 0, AS path: None

1-0:0-172.31.14.47,255.255.255.255,0.0.0.0, age: 0:02:26.545544, last_modified: 2019-Apr-13 01:41:18.023116
    [Local|None] age: 0:02:26.553571, localpref: 100, nh: 172.31.14.47, encap: [], label: 0, AS path: None

2-0:0-172.31.14.47,255.255.255.255,0.0.0.0, age: 0:02:26.544992, last_modified: 2019-Apr-13 01:41:18.023668
    [Local|None] age: 0:02:26.553215, localpref: 100, nh: 172.31.14.47, encap: [], label: 0, AS path: None

default-domain:default-project:ip-fabric:ip-fabric.evpn.0: 4 destinations, 4 routes (4 primary, 0 secondary, 0 infeasible)

2-0:0-0-0e:92:cc:bd:aa:08,0.0.0.0, age: 0:02:26.545298, last_modified: 2019-Apr-13 01:41:18.023362
    [XMPP|ip-172-31-41-236.ap-northeast-1.compute.internal] age: 0:02:26.553810, localpref: 200, nh: 172.31.41.236, encap: ['gre', 'mpls-o-gre', 'udp'], label: 20, AS path: None

2-0:0-0-0e:92:cc:bd:aa:08,172.31.41.236, age: 0:02:26.545318, last_modified: 2019-Apr-13 01:41:18.023342
    [XMPP|ip-172-31-41-236.ap-northeast-1.compute.internal] age: 0:02:26.554076, localpref: 200, nh: 172.31.41.236, encap: ['gre', 'mpls-o-gre', 'udp'], label: 20, AS path: None

2-172.31.41.236:1-2-ff:ff:ff:ff:ff:ff,0.0.0.0, age: 0:02:26.545486, last_modified: 2019-Apr-13 01:41:18.023174
    [XMPP|ip-172-31-41-236.ap-northeast-1.compute.internal] age: 0:02:26.554476, localpref: 100, nh: 172.31.41.236, encap: ['vxlan'], label: 2, AS path: None

3-172.31.41.236:1-2-172.31.41.236, age: 0:02:26.545411, last_modified: 2019-Apr-13 01:41:18.023249
    [Local|None] age: 0:02:26.554614, localpref: 100, nh: 172.31.41.236, encap: ['vxlan'], label: 2, AS path: None

default-domain:default-project:ip-fabric:ip-fabric.inet.0: 3 destinations, 3 routes (1 primary, 2 secondary, 0 infeasible)

10.47.255.252/32, age: 0:00:41.733312, last_modified: 2019-Apr-13 01:43:02.835348
    [XMPP (interface)|ip-172-31-41-236.ap-northeast-1.compute.internal] age: 0:00:41.742801, localpref: 200, nh: 172.31.41.236, encap: ['gre', 'udp'], label: 25, AS path: None

10.96.0.10/32, age: 0:00:41.732847, last_modified: 2019-Apr-13 01:43:02.835813
    [XMPP (interface)|ip-172-31-41-236.ap-northeast-1.compute.internal] age: 0:00:41.742561, localpref: 200, nh: 172.31.41.236, encap: ['gre', 'udp'], label: 25, AS path: None

172.31.41.236/32, age: 0:02:26.545051, last_modified: 2019-Apr-13 01:41:18.023609
    [XMPP (interface)|ip-172-31-41-236.ap-northeast-1.compute.internal] age: 0:02:26.554985, localpref: 200, nh: 172.31.41.236, encap: ['gre', 'udp', 'native'], label: 16, AS path: None

default-domain:k8s-default:k8s-default-pod-network:k8s-default-pod-network.ermvpn.0: 3 destinations, 3 routes (3 primary, 0 secondary, 0 infeasible)

0-172.31.41.236:2-0.0.0.0,255.255.255.255,0.0.0.0, age: 0:01:09.096823, last_modified: 2019-Apr-13 01:42:35.471837
    [XMPP|ip-172-31-41-236.ap-northeast-1.compute.internal] age: 0:01:09.107020, localpref: 100, nh: 172.31.41.236, encap: ['gre', 'udp'], label: 0, AS path: None

1-0:0-172.31.14.47,255.255.255.255,0.0.0.0, age: 0:01:09.096765, last_modified: 2019-Apr-13 01:42:35.471895
    [Local|None] age: 0:01:09.107383, localpref: 100, nh: 172.31.14.47, encap: [], label: 0, AS path: None

2-0:0-172.31.14.47,255.255.255.255,0.0.0.0, age: 0:01:09.096621, last_modified: 2019-Apr-13 01:42:35.472039
    [Local|None] age: 0:01:09.107473, localpref: 100, nh: 172.31.14.47, encap: [], label: 0, AS path: None

default-domain:k8s-default:k8s-default-pod-network:k8s-default-pod-network.inet.0: 3 destinations, 3 routes (1 primary, 2 secondary, 0 infeasible)

10.47.255.252/32, age: 0:00:41.733411, last_modified: 2019-Apr-13 01:43:02.835249
    [XMPP (interface)|ip-172-31-41-236.ap-northeast-1.compute.internal] age: 0:00:41.744526, localpref: 200, nh: 172.31.41.236, encap: ['gre', 'udp'], label: 25, AS path: None

10.96.0.10/32, age: 0:00:41.732872, last_modified: 2019-Apr-13 01:43:02.835788
    [XMPP (interface)|ip-172-31-41-236.ap-northeast-1.compute.internal] age: 0:00:41.744256, localpref: 200, nh: 172.31.41.236, encap: ['gre', 'udp'], label: 25, AS path: None

172.31.41.236/32, age: 0:02:26.544986, last_modified: 2019-Apr-13 01:41:18.023674
    [XMPP (interface)|ip-172-31-41-236.ap-northeast-1.compute.internal] age: 0:02:26.556602, localpref: 200, nh: 172.31.41.236, encap: ['gre', 'udp', 'native'], label: 16, AS path: None

default-domain:k8s-default:k8s-default-service-network:k8s-default-service-network.ermvpn.0: 3 destinations, 3 routes (3 primary, 0 secondary, 0 infeasible)

0-172.31.41.236:3-0.0.0.0,255.255.255.255,0.0.0.0, age: 0:00:41.812457, last_modified: 2019-Apr-13 01:43:02.756203
    [XMPP|ip-172-31-41-236.ap-northeast-1.compute.internal] age: 0:00:41.824352, localpref: 100, nh: 172.31.41.236, encap: ['gre', 'udp'], label: 0, AS path: None

1-0:0-172.31.14.47,255.255.255.255,0.0.0.0, age: 0:00:41.812393, last_modified: 2019-Apr-13 01:43:02.756267
    [Local|None] age: 0:00:41.824504, localpref: 100, nh: 172.31.14.47, encap: [], label: 0, AS path: None

2-0:0-172.31.14.47,255.255.255.255,0.0.0.0, age: 0:00:41.812099, last_modified: 2019-Apr-13 01:43:02.756561
    [Local|None] age: 0:00:41.824428, localpref: 100, nh: 172.31.14.47, encap: [], label: 0, AS path: None

default-domain:k8s-default:k8s-default-service-network:k8s-default-service-network.inet.0: 3 destinations, 3 routes (1 primary, 2 secondary, 0 infeasible)

10.47.255.252/32, age: 0:00:41.733337, last_modified: 2019-Apr-13 01:43:02.835323
    [XMPP (interface)|ip-172-31-41-236.ap-northeast-1.compute.internal] age: 0:00:41.745932, localpref: 200, nh: 172.31.41.236, encap: ['gre', 'udp'], label: 25, AS path: None

10.96.0.10/32, age: 0:00:41.732935, last_modified: 2019-Apr-13 01:43:02.835725
    [XMPP (interface)|ip-172-31-41-236.ap-northeast-1.compute.internal] age: 0:00:41.745758, localpref: 200, nh: 172.31.41.236, encap: ['gre', 'udp'], label: 25, AS path: None

172.31.41.236/32, age: 0:02:26.544959, last_modified: 2019-Apr-13 01:41:18.023701
    [XMPP (interface)|ip-172-31-41-236.ap-northeast-1.compute.internal] age: 0:02:26.558031, localpref: 200, nh: 172.31.41.236, encap: ['gre', 'udp', 'native'], label: 16, AS path: None
[root@ip-172-31-14-47 contrail-ansible-deployer]#

如果显示类似信息，则说明一切正常，你可以基于K8s yaml创建容器了。

vi first-containers.yaml
apiVersion: apps/v1beta1
kind: Deployment
metadata:
  name: cirros-deployment
  labels:
    app: cirros-deployment
spec:
  replicas: 2
  selector:
    matchLabels:
      app: cirros-deployment
  template:
    metadata:
      labels:
        app: cirros-deployment
    spec:
      containers:
      - name: cirros
        image: cirros
        ports:
        - containerPort: 22

kubectl create -f first-containers.yaml
kubectl get pod -o wide ## check pod name and ip
kubectl exec -it cirros-deployment-xxxx sh
ping (another pod's ip)


[root@ip-172-31-14-47 ~]# kubectl create -f first-containers.yaml
deployment "cirros-deployment" created
[root@ip-172-31-14-47 ~]# 
[root@ip-172-31-14-47 ~]# kubectl get pod -o wide
NAME                                 READY     STATUS    RESTARTS   AGE       IP              NODE
cirros-deployment-54b65ccf48-cr9dd   1/1       Running   0          34s       10.47.255.250   ip-172-31-41-236.ap-northeast-1.compute.internal
cirros-deployment-54b65ccf48-z9dds   1/1       Running   0          34s       10.47.255.251   ip-172-31-41-236.ap-northeast-1.compute.internal
[root@ip-172-31-14-47 ~]#

[root@ip-172-31-14-47 ~]# kubectl exec -it cirros-deployment-54b65ccf48-cr9dd sh
/ # 
/ # 
/ # ping 10.47.255.251
PING 10.47.255.251 (10.47.255.251): 56 data bytes
64 bytes from 10.47.255.251: seq=0 ttl=63 time=0.572 ms
64 bytes from 10.47.255.251: seq=1 ttl=63 time=0.086 ms
^C
--- 10.47.255.251 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 0.086/0.329/0.572 ms
/ #

太棒了！这是通过Tungsten Fabric vRouter传输的第一个报文。

如果运行有问题，也请不要介意。Tungten Fabric的Slack站点可以为你提供帮助。在以下的地址提交你的日志，并尝试寻求帮助来解决该问题。地址：https://tungstenfabric.slack.com
(编者按：国内用户请关注微信TF中文社区，中文官网：https://tungstenfabric.org.cn/ )

再次输入“ist.py ctr route show”，你将看到k8s-pod-network包含了来自两个pod以及每个pod的下一跳，与K8s节点的IP相同。

./contrail-introspect-cli/ist.py ctr route show (pod ip) ## similar to 'show route (some ip)'


[root@ip-172-31-14-47 contrail-ansible-deployer]# ./contrail-introspect-cli/ist.py ctr route show 10.47.255.250

default-domain:default-project:ip-fabric:ip-fabric.inet.0: 5 destinations, 5 routes (1 primary, 4 secondary, 0 infeasible)

10.47.255.250/32, age: 0:03:10.553628, last_modified: 2019-Apr-13 01:46:13.217388
    [XMPP (interface)|ip-172-31-41-236.ap-northeast-1.compute.internal] age: 0:03:10.556716, localpref: 200, nh: 172.31.41.236, encap: ['gre', 'udp'], label: 37, AS path: None

default-domain:k8s-default:k8s-default-pod-network:k8s-default-pod-network.inet.0: 5 destinations, 5 routes (3 primary, 2 secondary, 0 infeasible)

10.47.255.250/32, age: 0:03:10.553734, last_modified: 2019-Apr-13 01:46:13.217282
    [XMPP (interface)|ip-172-31-41-236.ap-northeast-1.compute.internal] age: 0:03:10.557251, localpref: 200, nh: 172.31.41.236, encap: ['gre', 'udp'], label: 37, AS path: None

default-domain:k8s-default:k8s-default-service-network:k8s-default-service-network.inet.0: 5 destinations, 5 routes (1 primary, 4 secondary, 0 infeasible)

10.47.255.250/32, age: 0:03:10.553654, last_modified: 2019-Apr-13 01:46:13.217362
    [XMPP (interface)|ip-172-31-41-236.ap-northeast-1.compute.internal] age: 0:03:10.557453, localpref: 200, nh: 172.31.41.236, encap: ['gre', 'udp'], label: 37, AS path: None
[root@ip-172-31-14-47 contrail-ansible-deployer]#

请注意，ip-fabric VN和k8s-default-service-network也具有该前缀，因为k8s-pod-network的路由已“泄漏”到那些网络。想要具有某个特定路由表的路由，可以使用-t选项。

[root@ip-172-31-14-47 contrail-ansible-deployer]# ./contrail-introspect-cli/ist.py ctr route show -t default-domain:k8s-default:k8s-default-pod-network:k8s-default-pod-network.inet.0 10.47.255.251

default-domain:k8s-default:k8s-default-pod-network:k8s-default-pod-network.inet.0: 5 destinations, 5 routes (3 primary, 2 secondary, 0 infeasible)

10.47.255.251/32, age: 0:05:44.533377, last_modified: 2019-Apr-13 01:46:09.193202
    [XMPP (interface)|ip-172-31-41-236.ap-northeast-1.compute.internal] age: 0:05:44.536291, localpref: 200, nh: 172.31.41.236, encap: ['gre', 'udp'], label: 32, AS path: None
[root@ip-172-31-14-47 contrail-ansible-deployer]#

附录：外部访问

有人说Tungsten Fabric总是需要好的路由器才能实现外部访问，我认为这里有些误解。

实际上这是不对的，因为从v4.1开始，Tungsten Fabric开始支持一项称为无网关（gatewayless）的功能，该功能允许容器直接与外界通信（对于带有Calico的类似用例也很有用）。

要启用此功能，你可以登录Tungsten Fabric WebUI（https://(k8s masters's ip):8143，admin:contrail123）并进入Configure > Networks > k8s-default-pod-network，以切换Advanced Options > IP Fabric Forwarding。

• 你还需要在该VN和default-domain:default-project:ip-fabric之间设置网络策略，因为如果没有此策略，RPF check将丢弃该报文

如果ping一下从容器到K8s master的IP，你会发现K8s master从容器接收到一个报文，并向K8s master添加静态路由，ping的运行效果良好。

• 请注意，如果你使用的是AWS，则需要进行K8s节点的接口设置（EC2 > Network Interfaces > Change Source/Dest Check > Disabled）

因此，它允许对基于外部访问的网络节点进行类似的设置，该访问基于路由器上的静态路由。

你还可以选择将IPv4 BGP与无网关（gatewayless）结合使用，因为它可以动态更新每个容器的下一跳，并将报文直接发送到正确的vRouter，从而消除了瓶颈。

注意：此虚拟网络（virtual-network）也可以用作浮动IP（floating-ip）的来源。

1.此虚拟网络上设置“Advanced Options”>“External”（ 浮动IP池将使用“default”作为名称来创建）

2.从Kubernetes或OpenStack分配浮动IP（floating-ip）

• 对于Kubernetes，它将是外部IP的来源，并且需要将此参数指定给kube-manager: KUBERNETES_PUBLIC_FIP_POOL。例如：KUBERNETES_PUBLIC_FIP_POOL={'domain': 'default-domain', 'project': 'default', 'network': 'public-network1', 'name': 'default' }
• 对于OpenStack，horizon或cli可用于为虚拟机分配浮动IP

3.你也可以从Tungsten Fabric WebUI直接将浮动IP分配给特定端口（Configure > Ports > edit > floating-ip）

3接下来的行动

这可能是你第一次接触Tungsten Fabric，关于看完这篇文章后要怎么做，这里有一些建议。其实，有很多事情可以做，例如高可用性、监视，与其它编排器或路由器/交换机的集成等。

网络上有很多资源，但是你需要做好选择，我将首先推荐Contrail软件包和教育材料中的一些资源，即便你只会使用开源版本。

• https://www.juniper.net/documentation/product/en_US/contrail-networking
• https://www.juniper.net/uk/en/training/certification/certification-tracks/cloud-track?tab=jncia-cloud

Tungsten Fabric是一个功能强大的平台，具有很多功能，例如安全策略、分析、l3dsr负载平衡器、服务链、BGPaaS等，其中许多功能对于解决现实世界中的问题都是非常棒的。这些链接将包含很多内容以及到其他资源的链接。

编者按：这里有几个沟通的渠道，如果需要帮助，请尝试使用它们：
官网社区：https://tungsten.io/community/
中文官网：https://tungstenfabric.org.cn/
微信公众号：TF中文社区

Tungsten Fabric 架构解析系列文章——

第一篇：TF主要特点和用例
第二篇：TF怎么运作
第三篇：详解vRouter体系结构
第四篇：TF的服务链
第五篇：vRouter的部署选项
第六篇：TF如何收集、分析、部署？
第七篇：TF如何编排
第八篇：TF支持API一览
第九篇：TF如何连接到物理网络？
第十篇：TF基于应用程序的安全策略

作者：Maxfield Stewart（文章来源：Riot Games）译者：TF编译组

欢迎来到Tungsten Fabric用户案例系列文章，一起发现TF的更多应用场景。“揭秘LOL”系列的主人公是Tungsten Fabric用户Riot Games游戏公司，作为LOL《英雄联盟》的开发和运营商，Riot Games面临全球范围复杂部署的挑战，让我们一起揭秘LOL背后的“英雄们”，看他们是如何运行在线服务的吧。

欢迎阅读本系列文章，我叫Maxfield Stewart。本文将深入探讨微服务成为Riot容器平台上实时运行的应用程序的五个关键需求。Riot的每项微服务都必须：

• 高度便携
• 在运行时配置
• 可发现
• 可知
• 可检索

要满足所有这些要求，就需要支持其他服务和工具。有些工具是为“开发人员”构建的，而有些则是为“运营人员”构建的。在Riot，这些职位不只是职务，而是工程师可以在其中进行切换的角色。一个工程师可能会在今天开发一项服务，然后在明天部署它，以推出新的功能。我将深入研究这五个需求以及支持它们的工具，并概述我们的方法。

如果你准备研究我们的微服务秘密“调味料”的制作方法，请继续阅读！

高度便携

Riot在全球范围内拥有庞大的部署范围。我们将服务部署到全球数十个数据中心，每个数据中心都可以托管多个区域。我们希望“一次构建，随地迁移”，这意味着微服务必须具有高度的便携性。

为了使我们的服务具有便携性，首先要决定对其进行容器化。我们已经详细讨论了容器及其无数的用例，以及诸如Docker之类的有价值的技术，但是将东西放到容器中并不能解决所有的问题。我们仍然必须将这些打包的容器交付到全球的数据中心。

我们通过利用JFrog的Artifactory的强大功能，托管我们自己的全局复制的Docker注册库来实现此目标。下图显示了构建的容器映像的生产生命周期：

我们之前在技术博客中讨论过在Riot构建软件。我们每年的构建次数超过125万。其中一部分，是作为旨在用于生产的Docker映像而构建的微服务。一旦从我们的持续交付过程中发出，它们便被停在内部Docker注册库中。而一旦准备好进行生产，便将其标记为“已升级”并移至复制存储库，复制存储库立即开始将Docker映像散播到我们的数据中心。

由于这些Docker映像基于可重用的层构建，因此它们可以在几分钟内在世界范围内复制。它们本身很小，变化的范围就像一个bit。你可以从以下链接阅读更多：
https://docs.docker.com/storage/storagedriver/

在运行时配置

目前，在Riot生产环境中运行的容器超过10,000个。任何一项微服务都可能包含多个容器。所有这些运行中的容器，都非常像刚出生的婴儿应用程序，沐浴在它们生产环境的光辉中。它们需要根据这些信息，快速确定自己的位置，以及学习如何进行自我配置。

在传统的部署系统中，你可能会在应用程序中包含配置有效负载，并使用诸如Chef或Puppet之类的工具，来随着时间的推移保持该配置的收敛性。但是要保持便携性，我们的应用程序必须做到可部署，并且具备在运行时在任何环境中可运行的能力，一切都有条不紊。

这就是“配置即服务”的用武之地。我们想使用自己的应用程序作用域方案，并且在分析了许多开源解决方案之后，我们意识到，编写自己的配置服务给了我们最大的灵活性。

事实证明，解决命名方案相对简单。当我们的应用程序启动时，它们知道它们是谁，以及它们在哪里，因为调度程序会通过简单的环境变量注入通知它们。

让我们看一下我们的作用域方案，它分为两个宏部分：

环境作用域分为三部分，应用程序作用域分为两部分，如下所示：

我将使用一个绰号为“MyApp”的简单小工具进行演示。MyApp已部署为可用于第二个Vegas数据中心内的所有Riot服务。它仅由服务器组件组成，可能看起来像这样：

称为“myappprod1”的环境组件很重要。我可能还会将应用程序的QA版本（myappqa1）或开发版本（myappdev1）部署到同一集群中。我甚至还可能运行两个生产版本。作用域方案使我们能够在集群内部创建环境。

为了使它能够用作配置查找方案，我们必须使用作用域将数据推送到配置服务。例如，如果我想将适用于已部署到“globalriot.las2.myappprod1”的所有应用程序进行数据推送，则可以将配置数据推送到：

当“Myapp”运转起来并标识自己时，它与作用域的前三个部分匹配，并获取通配符的配置数据。如果我想将特定配置应用于特定实例，则可以将该数据推送至：

任何以这个完整作用域来标识自己的东西，都将获取数据。数据本身实际上只是一组属性，仅仅是简单的“键/值对”就可以了。这是针对目标作用域的一些数据的示例：

http.ProxyType=http
http.ListenPort=80
http.DomainNames=myapp.somedomain.io

配置数据也可以实时更新。想象一个速率限制属性是怎样的：

ratelimit.txsec=1000

我可以推送新的ratelimit.txsec值，应用程序将在实时检查配置后进行动态调整。这为我们提供了影响live服务的强大功能。曾经有一段时间，修复《英雄联盟》冠军数据，需要重新部署游戏。现在，我们可以将这些数据推送到“服务即配置”中，我们的游戏服务器会在游戏开始时将其提取，并自动应用调整来解决均衡问题、启用/禁用冠军问题等等，所有这些都不会令玩家失望。

可发现

如果我们有一个配置服务，它本身仅仅是一个微服务，那么应用程序启动时如何知道在哪里可以找到它？如果一个微服务需要与其它微服务通信，如何找到它们？这就是发现的“先有鸡还是先有蛋的问题”。

我们的微服务不需要域名。实际上，它们可以任何时间、在集群中的任何位置启动时获得随机IP。我们选择通过发现服务或“单一服务统治所有人”来解决此问题。发现服务位于一个已知的域名中，新服务知道在哪里寻找它。

当我们第一次踏上这一旅程时，受到了Netflix的Eureka解决方案的启发。实际上，我们的第一个部署就是新的Eureka实例。Eureka非常出色，但是随着时间的流逝，我们开始感到需要一些工具，可以让我们的操作环境具备更加原生的理解。

新的应用程序启动后，它将查找发现服务，以找出配置服务所在的位置，下面将详细介绍这个过程。在执行下一步之前，应用必须进行自我配置，这一点很重要：在Discovery中注册自己。这使其他服务可以查找和查询新服务，以及了解其服务的合约。这里有一个示例，说明一项指标服务是如何针对QA环境进行报告的：

一旦应用程序找到发现服务，找到配置服务，并报告了自身，它也就可以继续使用发现服务来查找需要与之通信的其它服务。

这听起来很简单，但是我们需要牢记一些复杂的情况。例如，如果某个服务关闭，则我们必须注销该服务，否则将冒请求服务的风险（即哪个服务正在侦听什么IP和端口）。如果服务的IP发生更改，我们必须对其进行更新，否则就有将流量路由到错误位置的风险。

我们通过简单的心跳模式来处理这些情况。在指定的时间内无法回叫的服务被视为M.I.A，将被从发现服务中删除。

但是，在生产环境中事情可能并没有那么简单。如果数据中心出现严重错误，则系统需要具备基本的意识才能做出适当的反应。如果发现服务注意到其大量注册客户端停止了心跳，则可以断言存在某种大规模的网络或通信故障，并陷入“保留”模式。在保留模式下，发现服务会保留其数据，并立即向运营人员呼叫，从而有助于保护我们免受各种注册风暴或日益流行的“网络故障”的影响。

可知

Riot的所有微服务都会在已知端点上发出运行状况报告，类似于“健康”，“降级”，“失败”等。即使是简单的报告，也允许我们使用基本的REST调用查询发现服务，并检查所有服务的运行状况。

但这还不够。如果服务注册失败了怎么办？或者服务因崩溃而注销了该怎么办？如果不在发现服务中，我们如何知道它应该是什么状态（up or down）？

这就是我们的告警和指标度量系统的来源。

指标度量系统可以查询应用程序的指标有效负载，然后将数据吸收到指标通道中进行检索，再将指标推送到位于每个数据中心的数据收集器。接下来，数据被转发到Elasticsearch存储引擎，在该引擎中注册的watcher协助触发警报。

应用程序维护出现相关报警的端点。告警服务将其注册，然后通过监视服务监视其指标的状态变更。如果应用程序的状态从“健康”变更为“降级”，并且该应用程序已针对这个状态注册了警报，则告警服务将通知注册的联系点（通过呼叫、电子邮件等方式）。

指标度量系统如何知道收集器在哪里？通过发现服务！有创造力的开发人员甚至可以通过配置服务，来设置服务发出的度量质保，它们的间隔，或者是服务的警报配置，从而实时更改指标和警报。报警声太吵了吗？你是否注意到总是引起虚假报警的特定警报？将配置更改推送到你的应用程序作用域，并告诉它取消注册警报。

然后，可以将汇总的指标合并到数据仓库中。在Riot，我们正在将数据移动到一个“实时数据管道”当中，该管道由Elasticsearch支持，并由Riot的数据产品和解决方案团队托管。一旦数据进入管道，我们就可以轻松构建仪表盘了。请记住，所有的应用程序都报告其命名作用域和指标数据，因此我们可以轻松地从特定区域或特定名称的数据中心中，查询某个特定的应用程序的指标。

这是我们配置服务中指标的捕获情况。不是每个指标都有，但它是一个很好的示例。你可以看到它的CPU负载（真的很轻），并且每分钟收到大约20,000个请求。这个特定的实例来自我们的阿姆斯特丹数据中心，它的“集群”是“lolriot.ams1.configurous1”（部署作用域），而应用程序是“infrastructurous.configurous”（应用作用域）。

如果需要，我们可以根据这些指标构建报警。例如，使用“已启用实例计数”，当我们看到实例数量少于预期的“3”个时，可以创建一个报警来呼叫相关人员。

在发现服务和配置服务中正确注册其应用程序，前期成本是很小的，Riot开发人员可以免费获得这种报告。

可检索

到目前为止，我们避开了一个关键问题没谈：安全性。安全地进行通信，是任何高度便携、可动态配置的微服务系统的必要条件。必须锁定用于HTTPS流量或API身份验证令牌的SSL证书。我们希望将这些数据保存在配置服务中，以便可以轻松访问，但是以纯文本格式存储数据肯定不会给自己带来任何好处。那么我们该怎么办？

如果我们将数据加密并存储在配置服务中，会怎么样？那么一旦找到它，我们将需要一种解密的方法，并且还需要一种方法来确保，检索它的应用程序是唯一具有解密密钥的应用程序。这就进入到我们可操作难题的最后一部分：秘密管理。

https://xkcd.com/538/

为此，我们选择围绕HashiCorps出色的Vault服务创建服务包装。Vault实际上完成的工作远远超出我们的需求，因为我们实际上只想存储解密的密钥，以便我们的服务可以检索它并解密其数据。因此，我们的服务包装为此基本上只启用了REST端点。

从理论上讲，使用它是很简单的，开发人员使用应用程序命名作用域，将特定服务的解密密钥放入秘密服务中。我们的容器调度程序Admiral在启动时将密钥注入到应用程序容器中（通过命名作用域查找它们）。一旦应用程序容器具有其解密密钥，它就可以解密从配置服务中检索到的配置属性。服务配置的所有者需要使用加密密钥来加密数据，然后再将其推送到配置存储。

该流程的详细信息及其工作方式，不在本文的讨论范围之内，但是工作流程至关重要。有了这个系统，服务现在可以实现高度便携、动态配置、自我感知、可知、可发现，同时在必要时还可以处理安全数据位。

下一步：开发者生态系统

至此，我们已经讨论了所有服务，就像对生产集群中运行的服务的bot-lane支持一样，但是我们的生态系统还有很多其他服务。毕竟，如果我们的开发人员不能有效地使用它，那么这一切有什么用呢？为了帮助大家利用此系统，我们创建了许多Web和CLI工具。如果刚才谈论的是生产环境的生态系统，那么我们仍然需要讨论开发者生态系统。但这是下一篇文章的故事！现在先留下一些预告。这是来自我们的一个Web应用程序部件的屏幕截图，我们使用它来访问生态系统中的工具，并查看刚刚提供给你的那些数据：

如果你想知道其中一些工具是什么，敬请期待下一篇文章！

更多“揭秘LOL”系列文章
揭秘LOL背后的IT基础架构丨踏上部署多样性的征程
揭秘LOL背后的IT基础设施丨关键角色“调度”
揭秘LOL背后的IT基础架构丨SDN解锁新基础架构
揭秘LOL背后的IT基础架构丨基础设施即代码

一场疫情，改变了所有人的生产与生活，在时代的不确定性面前，我们应该怎么做？

昨晚，第一场【TF Live】如约而至，活动持续了两个多小时，在线人数将近1000人，互动讨论热闹十足。TF中文社区技术代表、瞻博网络全国合作伙伴技术经理张建勋（江湖人称KK），与大家聊了多云网络演变、SDN开放、Tungsten Fabric创新和网工转型等话题，关键词就是一个“变”字，在当下的特殊时期，尤其值得每个人认真思考。

直播活动由SDNLAB和TF中文社区联合举办。

点击下载文档 https://tungstenfabric.org.cn/assets/uploads/files/tf中文社区演讲-sdnlabv1.pdf 查看本文所有相关资料。

【直播活动视频回放】https://v.qq.com/x/page/z0936fbc8fo.html

云卷云舒，SDN应时而变

时代在变，单一混合云，逐渐演变成了多云的环境。多云是混合云的进步。

任何企业的IT发展，都不是革命性推倒重来的，而是逐渐累积，就像给你一笔钱理财，你会分散投资一样，IT也是根据自身的能力，根据技术适应场景去做选择。问题来了，不同厂家都有自己的理念、思路和方法，挑战是什么？

人们发现，SDN不是万能的，很多问题不是SDN能解决的，SDN不要增加问题就不错了。而在硬件SDN上，存在三方面的问题：SDN功能和设备锁定；功能扩展上受制于厂家设备；做NFV和服务链集成时，安全设备引流只能局限在同一厂家。

换一个思路如何？将虚拟网络层统一，由上层控制器统一管理，下发网络的时候，使用统一的策略，下发到每一个对应服务器的虚拟网络设备上。这里存在一个情况，裸机服务器怎么办？需要由物理交换机承担虚拟交换机的工作。

如果将每一个服务器上的kernel层，都安装一个虚拟交换机，下面的网络，通过核心层设备+底层设备，跨越了硬件的交换机，underlay承载的工作就会非常简单，只负责物理设备，只负责IP Fabric服务器之间IP流量的互传，而不用去关心硬件的交换机究竟是什么产品。这种设计思路，在目前主流厂家中很常见，尤其是在公有云环境中。

无论是国外的主流公有云，还是国内的几家，他们的SDN和硬件交换机都是解耦的。SDN应该要做的事情，就是让虚拟机能够在不同的平台运行，业务之间自动的打通。不关心上层是什么平台，K8s也好，Openstack或VMware也好，就单纯为业务创建网络。

我理解现在的SDN就是tradeoff，其实就是平衡，而平衡就是混合，软件SDN的方式，目前在性能上是可以满足需求的，如果一定要追求更高性能，也可以在裸机上实现。

未来将会如何？

首先，未来SDN一定是开放解耦的架构，从全部硬件SDN，变为部分硬件+部分软件。SDN的功能，应该像真正的公有云环境中SDN的功能一样，和硬件交换机是一个松散的关系，解耦的逻辑。

第二，硬件交换机本身，也会有硬件和软件的解耦，也就是白盒化的进一步升级。

第三，在企业云的设计中，最重要的还是IT管理，可能催生出来的机会就是CMP，统一的云化管理，而这个平台一定是定制化的，是和业务紧密挂钩的。无论是集成业务商，还是企业自己建设平台，定制化云管平台都是实现IT转型的很好方式。

[QA环节]

Q:内部云平台可以统一管理，但是多云呢？怎么管理到阿里云、腾讯云和内部统一，怎么统一下发策略？

A:以AWS为例，私有云和公有云在设计的时候，地址的管理是很难统一的，针对地址或网段的管理，我们在K8s环境下和AWS有个互联互通的测试。我们可以把阿里云的平台，理解成自留地资源，安装了相应的环境和平台，把其中网络的部分理解成underlay，虚拟网络的部分交给Tungsten Fabric来做，其实就是overlay的方式。在AWS、Azure上，都可以采用这样的方式。K8s的集群是可以跨越不同点的。

（演示Tungsten Fabric的多平台访问demo）
可以看到，在K8s、OpenStack、BMS多个平台上，是可以通过开源的软件，实现统一网络管理的，不管虚拟机也好，docker也好，它们可以在一个网里面，也可以在不同的网，根据你自己的需求而定，我们的策略是基于标签tag的，做了一个网络访问策略，是SDN overlay的网络策略，不用去考虑在什么平台下，一旦部署策略，策略就是基于逻辑，基于归属的。

简单策略，跨越复杂部署

Tungsten Fabric就是一个面向未来的SDN解决方案，想要实现的是：多云的部署方式+统一的策略。

Tungsten Fabric是一个SDN产品，支持统一策略、服务链管理、安全策略等。原来的名字是OpenContrail，2013年正式开源，2017年加入到Linux Foundation，2018年更名为Tungsten Fabric。

在Tungsten Fabric的体系架构里，下层就是IP Fabric，由虚拟交换机对应下层每一个虚机之间的通讯，上层有一对儿TF控制器，对上层是汇合对接不同的云平台/编排系统，同时将网络信息以虚拟化的方式下发。至于裸机服务器，则通过Netconf的方式实现TOR的配置。

Tungsten Fabric是一个非常成熟的开源产品，是一个“共生”的开源——它是商业化产品开源出来的，而不是开源产品商业化，在成熟度上是经过验证的。

通过这几年版本的迭代，Tungsten Fabric已经比较成熟了，很多硬件SDN没有的功能，也能支持得很好，集成度也比较高，特别适合技术创新，拿来作为自己云平台的网络管理部分，解决云网里面“网”的逻辑，使用起来也是统一的，并且可以解除一些产品的锁定。

我们有自己的TF中文社区，希望降低大家学习网络新知的难度，了解并熟悉Tungsten Fabric这个开源SDN的产品，能够很快上手，真正运用起来，帮助到自己的企业和行业。

对于公有云的连接和管理，我的想法是这样的，还是从需求出发。因为公有云本身有自己的网络环境和地址管理，因此这种管理本身和私有云平台可能就会产生兼容性的问题，所以如果从统一管理的角度来说，统一成同一个网络并不是特别的现实，至少我目前没有合适的想法。

真是要实现可能有如下几个模式：

第一个，就是做一个打通和互联，不存在“大二层”的需求，那么就是老样子，IPSec 网关和路由打通，这是现在比较普遍的方式。当然，你买了公有云的专线，另当别论。

第二个，在网络中先把地址规划做好，比如VPC的网络地址分配不冲突，不可能统一分配，但是至少做好管理，然后安装一个支持大二层比如EVPN功能的GW，假定是Juniper的VMX，那么这时可以实现VMX和Contrail（同Tungsten Fabric）的EVPN互通，用EVPN对的方式打通所谓的“二层”，某种程度上来说，相当于两个二层的缝合，而这时公有云的虚机的网关不再是VPC原有的网关，而是我们做的VMX，这个也是可能实现的。

第三个，还有一个是CEM里面的multicloud gw，这个只能在K8s平台下是OK的。

Multicloud gateway (MC-GW) node interconnects different Virtual Private Cloud (VPC)/Virtual Networks (VNets) in cloud. Additionally, MC-GW extends on-premise resources to cloud.

链接如下：
https://www.juniper.net/documentation/en_US/contrail19/topics/task/installation/deploy-multicloud-contrail-command.html

[QA环节]

Q:Tungsten Fabric与NSX到底有啥区别？
A:在技术实现的理念上完全一样，都是使用server overlay的方式。在实现的方式上，除了一个花钱一个不花钱以外，NSX实现一定是在VMware平台，Tungsten Fabric实现是多平台的。在和VMware的互通上方式，需要有技术选择，第一个是全网使用VMware只做IP Fabric，但是可以和vCenter建立关系；第二个是将vRouter安装到每一个虚拟机下面做网关。实际上，对于VMware客户其实已经是选择了私有化方案，不会选择其他平台。不同的实现场景，解决不同的问题。

Q:大量BGP路由收敛的话，收敛时间是否会成为一个问题？
A:从实践和测试的角度来说，为什么会选择BGP或者说EVPN，就是因为它整个的效率是一个平衡的效率，这是协议的设计上决定的，不管是量大还是量小，选择的都是比较成熟的协议。BGP是行业里收敛和变化最稳定的一个，和传统的IGP路由协议不一样（附注：旨在说明不存在路由算法），跟OpenFlow方式也不一样，它是一个比较朴素的分布式部署的方式，通过RR的方式，每个vRouter看到的邻居其实是两个RR，，采用按需更新的方式，在这种情况下，收敛性方面不是问题。

Q:vRouter万一挂了怎么办？
A:是否足够稳定，要看运行环境是什么样的。目前的实践来看，vRouter挂的情况比较少。问题在于，当做到生产环境的时候，需要考虑整个服务器的硬件匹配，操作系统的匹配，包括KVM版本、kernel版本、K8s版本等的匹配。同时，TF本身也会有vRouter的检测，会去看它的状态，在troubleshooting的时候，也会做相应检查，另外我们可以通过控制器对它进行重启和重置。在这一点上，我对Juniper自身路由协议和路由处理方面的代码还是有信心的。

IT快跑，网工如何转型？

从多云的角度来说，还是面临着各种情况，做云的过程中难免面临技术争议，包括技术选择的问题和困境。企业IT有两种模式或形态——稳态和敏态，本身是由由稳态走向敏态，不断更新，不断变化的。

用户为什么选择云，其实也是市场的原因，市场对他们的要求提高了，比如制造业、餐饮、服装等行业，他们在进行业务变革的时候，速度会很快，倒逼着IT变化也很快。

这里就有一个值得大家思考的问题，我们网络从业者、网工，在这个不断变化的时代，应该怎么做？

两年前，我就听到说，网工已经成立了落后生产力的代表。因为我们总是在满足业务的需求，而不是积极的响应，很有可能业务会因为网络的原因不能实现敏捷，需要我们反思的是，负责服务器的，负责数据库的，负责网络的，当我们真正去做IT的时候，最好的方式是大家坐下来，确定统一的业务目标，统一的技术方向，这样才能把IT做得更稳妥，任何一个冒尖或者落后，都会带来问题。

未来，我们要更多了解业务，了解云是怎么设计的，让网络发挥最大的能力。我们要去看企业进行数据中心管理时的样子，要了解他们选择了什么云平台，为什么选择这个平台，还要看在做什么业务，为什么做这个业务，以及数据库、应用结构等。一旦有了云的设计，业务和IT的挂钩，就会越来越紧密，应用研发和网络的关系也越来越紧密。

云肯定是未来方向，但在选择上有不少困境。Tungsten Fabric是可以帮助企业实现技术把控的一种很好的手段，在熟悉了这个工具之后，在网络的自主可控上，可以进行各种扩展，使用起来更加方便。

疫情期间，这段时间每个人都在思考，IT的发展怎么样？我相信，没有冬天不会过去，没有春天不会到来。

[QA环节]

Q:传统网工该如何转型？要学习的好多好复杂，不知如何学起？
A:网工是不是被边缘化了？传统知识不能满足现在的需求，这是必然的。IT行业是不断变化的行业，门槛不断降低，网络设备价格不断降低，每个10G端口的成本不断下降，但并没有降低人的要求和素质。网络是IT必不可少的部分，如果不了解生成树、VLAN、基础知识，没办法更深的内容，EVPN，VXLAN，Segment Routing，都是要学习的内容。技术基础的持续学习是第一位的。

第二，与其说转型，不如叫升级，增加一些看问题的视角。云对网络的变化有很多要求，但不同企业和行业对云的认识差异还非常大，这里有很多内容网工可以投入进去，一些技术因为时间精力背景的原因不能深入，但至少要有全局的认识。

第三，提高自己自动化的水平，如果仅仅做CLI的，只是一个工人，要让自己通过一些手段方法，把数据可视化，把经验的东西程式化，转化成工具。看Google或Facebook，他们的网工，每个人手里都有几把武器，检测网络的时候，人家编个脚本就上去了，但这种自动化编程，不是搞数据库，就是先学现卖，拿来主义。如果你想有一些进步的话，看看其他老网工在做些什么。

第四，网络安全是未来的一个趋势，针对安全的服务大有可为。

大家可能知道，疫情期间能看到很多行业受到影响，但是我发现疫情期间打印机卖的特别火，因为很多“神兽”在家，有打印的需求，因此我猜再开学的时候，学校周边的打印店就不好开了。所以说，真正“搞垮”你的不一定是同行。同样道理，我们为什么要去学自动化？传统企业服务可能永远用不到这个知识，就是要应对不确定性的变化，做好充分的准备，不拘泥一个厂商，而是根据看待行业本身的需要去寻找自身的优势和劣势，迎接变革的到来。

彩蛋

Tungsten Fabric最新版本v2003版，将于近期发布！敬请关注TF中文社区，并加入我们的社群，与行业大牛一起讨论学习，未来社区还将探索更多在线活动玩法，敬请期待。

来了来了！TF中文社区线上直播活动“TF Live”即刻启动~ TF中文社区技术代表、瞻博网络中国区合作伙伴技术经理张建勋，将在首次直播活动中，和您一起聊聊如何面对这个多云架构时代。本期活动，由TF中文社区与SDNLAB合作举办——

参与方式：长按识别图片二维码，添加SDNLAB君为好友，回复“直播”即可。

如果你对本次直播内容有一些想要深入了解的或者想要沟通交流的部分，欢迎与我们联系，我们的嘉宾将在直播过程中挑选部分问题进行解答~

来了来了！TF中文社区线上直播活动“TF Live”即刻启动~ TF中文社区技术代表、瞻博网络中国区合作伙伴技术经理张建勋，将在首次直播活动中，和您一起聊聊如何面对这个多云架构时代。本期活动，由TF中文社区与SDNLAB合作举办——

在企业未来的数字化转型过程中，如何利用开源架构产品，帮助客户实现在多云环境下的SDN网络架构设计，实现异构云平台网络的统一调度和自动化管理。我们将讨论以下问题：

• 为什么SDN变得越来越不灵活了？

• 网络硬件设备到底该怎么选？硬件SDN行不行？

• 我的云管平台为什么不好用？

• 在OpenStack环境下部署的策略，能否在其他的环境下同时生效？

• 行业有自主可控的要求，怎么实现？二次开发如何不跑偏？

• Tungsten Fabric架构是什么样？解析最新技术细节。

参与方式：长按识别图片二维码，添加SDNLAB君为好友，回复“直播”即可。

如果你对本次直播内容有一些想要深入了解的或者想要沟通交流的部分，欢迎与我们联系，我们的嘉宾将在直播过程中挑选部分问题进行解答~

作者：吴明秘

Hi！欢迎来到Tungsten Fabric与Kubernetes集成指南系列，本文介绍如何创建隔离的命令空间，并对其网络连通性进行验证。
Tungsten Fabric与K8s集成指南系列文章，由TF中文社区为您呈现，旨在帮助大家了解Tungsten Fabric与K8s集成的基础知识。大家在相关部署中有什么经验，或者遇到的问题，欢迎与我们联系。

K8s与Tungsten Fabric集成后有四种配置模式，分别为：默认模式、自定义隔离模式、命名空间隔离模式、嵌套模式。

默认模式：Tungsten Fabric创建一个由所有命名空间共享的虚拟网络，并从中分配service和pod的IP地址，在Kubernetes集群中产生的所有命名空间中的所有pod都能够彼此通信。

自定义隔离模式：管理员和应用程序开发人员可以添加注释（"opencontrail.org/network: "）来指定虚拟网络。在这个虚拟网络中，一个命令空间中的一个或所有pod将在这个虚拟网络中被启动。如果该注释是在pod上配置的，那么pod将在该网络中启动；如果注释是在命名空间中配置的，那么命名空间中的所有pod都将在该网络中启动。

命名空间隔离模式：集群管理员可以在创建新的命令空间时，添加注释（"opencontrail.org/isolation : true"）以启用命令空间隔离。因此，该命名空间中的服务不能从其他命名空间访问，除非明确定义了安全组或网络策略以允许访问，或者启动注释（"opencontrail.org/isolation.service : false"）单独允许该命名空间的service可以被其他命令空间的pod访问。

嵌套模式：Tungsten Fabric支持与基于OpenStack虚拟机部署的Kubernetes集群集成。Tungsten Fabric提供了一个可折叠的控制和数据平面，一个TF控制平面和一个网络堆栈管理和服务同时在OpenStack和Kubernetes两个集群中。有了统一的控制和数据平面，可以无缝地交互和配置这些集群，不需要单独为每个集群部署TF。

在本系列的第二篇文章中，创建的命名空间为默认模式，而创建的网络是自定义模式的虚拟网络，在本章节中将会创建隔离的命令空间，并验证其网络连通性。

创建隔离命名空间

在此将会创建一个隔离的命名空间，名为isolated-ns，具体配置文件如下：

执行kubectl的创建命令之后，对应的命名空间随即被创建。

而在TF上也会有对应的policy和虚拟网络被创建出来，分别为：

TF policy: k8s-isolated-ns-pod-service-np

这条TF policy的作用，是允许附加了该条策略的虚拟网络能够访问命令空间isolated-ns中的service clusterip。

TF network: k8s-isolated-ns-pod-network , k8s-isolated-ns-service-network

这两个网络分别使用了命名空间default里面的IPAM，所以在这个命令空间isolated-ns中默认创建出来的pod和service所分配的IP所属的IP池，与命名空间default中的一样，即pod（10.32.0.0/12）和service（10.96.0.0/12）。

验证与非隔离命令空间的网络连通性

接下来在隔离的命令空间isolated-ns中创建pod和service，验证isolated-ns与其他命令空间的连通性。

首先在default和isolated-ns两个命令空间中分别创建两个pod和一个service。

所以目前的资源为：

2个命名空间：default，isolated-ns

2个service：nginx-default (10.105.147.31)，nginx-isolated (10.97.162.157)

4个pod：
nginx-default-test01 (10.47.255.251)
nginx-default-test02 (10.47.255.250)
nginx-isolated-test01 (10.47.255.249)
nginx-isolated-test02 (10.47.255.247)

网络连通性验证流程：

1、从命名空间default中的pod nginx-default-test01去ping其他三个pod，结果是pod nginx-default-test01只能连通同一命名空间中pod，而无法连通隔离命名空间中的pod。

2、 从命名空间isolated-ns中的pod nginx-isolated-test01去ping其他三个pod，结果是pod nginx-isolated-test01只能连通同一命名空间中pod，而无法连通其他命名空间中的pod。

3、从命名空间default中的pod nginx-default-test01去curl分别在两个命令空间中的service，结果是pod nginx-default-test01只能请求default和kube-system这些非隔离命名空间中的service，而无法请求隔离命名空间中的service。

4、从命名空间isolated-ns中的pod nginx-isolated-test01去curl分别在两个命令空间中的service，结果是pod nginx-isolated-test01只能请求default和kube-system这些非隔离命名空间中的service，而无法请求隔离命名空间中的service，即便该service在自己所在的命名空间。

所有验证结果综合起来就是，非隔离命名空间和隔离命名空间之后建的pod默认无法互访——即便在相同的IPAM中，并且非隔离命名的service可以被任何pod访问，而隔离命名空间的service默认无法被访问。

现在需要添加TF policy让pod之间，pod和service之间能够连通。

对于pod之间的访问，需要添加如下TF policy，该条policy是连接两个网络，k8s-default-pod-network与k8s-isolated-ns-pod-network。

创建完成，分别将这条Policy附加到隔离命名空间和非隔离命令空间的pod网络上，k8s-default-pod-network与k8s-isolated-ns-pod-network。

此时再进行pod之间的网络连接验证，结果是两个命名空间的pod之间已经能够通信。

对于pod与service之间的访问，需要添加如下TF policy，该条policy是允许指定网络能够访问isolated-ns的service。

创建完成后，再将这条Policy附加到隔离命名空间和非隔离命令空间的pod网络上，k8s-default-pod-network与k8s-isolated-ns-pod-network，以及隔离命名空间的service网络k8s-isolated-ns-service-network上。

此时再进行pod与service之间的网络连接验证，结果是两个命名空间的pod都可以访问到隔离命名空间中的service。

在隔离命名空间和非隔离命名空间的流量全通之后，还可以通过安全策略去做进一步的流量控制。

（作者来自深圳市天源景云科技有限公司）

“Tungsten Fabric+K8s集成指南”系列文章——

第一篇：部署准备与初始状态
第二篇：创建虚拟网络
第三篇：创建安全策略

“Tungsten Fabric+K8s轻松上手”系列文章——
第一篇：TF Carbide 评估指南--准备篇
第二篇：通过Kubernetes的服务进行基本应用程序连接
第三篇：通过Kubernetes Ingress进行高级外部应用程序连接
第四篇：通过Kubernetes命名空间实现初步的应用程序隔离
第五篇：通过Kubernetes网络策略进行应用程序微分段

我们将召开第五次线上会议。

为了大家更好地参与到技术委员会会议，我们对开会时间做了线上投票，现调整为每两周周三下午15：00-16：00。

因本次分享内容需要一些时间准备，开会推迟一天。我们将于3月12日（星期四）下午15：00 - 16：00召开第五次线上会议。

参与方式：https://zoom.com.cn/j/5486946411
（进入ZOOM会议室需要下载安装包，请提前下载）

本次会议的主要议题是：
杨雨分享--K8S与TF集成之Ingress实现

会议制度说明：频率为每两周一次（每两周周三下午15：00 - 16：00）

Tungsten Fabric项目是一个开源项目协议，它基于标准协议开发，并且提供网络虚拟化和网络安全所必需的所有组件。项目的组件包括：SDN控制器，虚拟路由器，分析引擎，北向API的发布，硬件集成功能，云编排软件和广泛的REST API。

作者：Doug Lardo和David Press（文章来源：Riot Games）译者：TF编译组

欢迎来到Tungsten Fabric用户案例系列文章，一起发现TF的更多应用场景。“揭秘LOL”系列的主人公是Tungsten Fabric用户Riot Games游戏公司，作为LOL《英雄联盟》的开发和运营商，Riot Games面临全球范围复杂部署的挑战，让我们一起揭秘LOL背后的“英雄们”，看他们是如何运行在线服务的吧。

在上一篇文章中，我们讨论了Riot针对全球应用程序部署的解决方案rCluster所涉及的网络的一些内容。具体来说，我们讨论了overlay网络的概念，OpenContrail（编者按：已更名为Tungsten Fabric，下文中出现OpenContrail之处，均以Tungsten Fabric代替）的实现，以及Tungsten Fabric解决方案如何与Docker配合使用。

本文将在此基础上深入探讨其他主题：基础架构即代码、负载均衡和故障转移测试。如果你对如何以及为什么建立这些工具、基础架构和流程感到好奇，那么本文正适合你。

基础架构即代码

通过Tungsten Fabric提供用于配置网络的API，我们现在有机会自动化应用程序的网络需求。在Riot，我们将持续交付作为发布应用程序的最佳实践。这意味着每一次提交给master的代码都是潜在可释放的。

为了达到这个状态，应用程序必须经过严格的测试自动化，并具有完全自动化的构建和部署流程。一旦出现问题，这些部署也应该是可重复且可逆的。这种方法的复杂性之一，是应用程序的功能性不仅在于其代码上，还在于环境方面，包括它所依赖的网络功能。

为了使构建和部署具有可重复性，应对应用程序及其环境的每个部分进行版本控制和审核，以便知道谁更改了内容。这意味着不仅要在源代码管理中拥有应用程序代码的每个版本，并且还描述了其环境并将其版本化。

为启用此工作流，我们构建了一个系统，以简单的JSON数据模型（我们称为网络蓝图）描述应用程序的网络功能。然后，我们创建了一个周期性工作，从源代码管理中提取这些蓝图文件，然后将其转换为Tungsten Fabric上的API调用以实施适当的策略。使用此数据模型，应用程序开发人员可以定义需求，例如一个应用程序与其它应用程序进行交谈的能力。开发人员不必担心IP寻址或通常只有网络工程师才能真正理解的任何细节。

应用程序开发人员拥有自己的网络蓝图。现在，更改它们就像给其蓝图文件发出pull请求，并使对方将其合并到master一样容易。通过启用这样的自主服务工作流，我们的网络更改不再受限于少数专业网络工程师。现在，唯一的瓶颈是工程师编辑JSON文件并单击“提交”的速度。

该系统使我们能够快速、轻松地打开必要的网络访问权限，这是安全策略的关键要素所在。在Riot，玩家的安全性至关重要，因此我们将安全性融入到了基础架构当中。我们安全策略的两个主要支柱是最低特权和纵深防御。

最低特权，意味着Riot网络上的任何参与者都只能访问完成其工作所需的最少资源集。参与者可能是人，也可能是后端服务。通过执行此原则，我们极大地限制了潜在入侵的影响范围。

深度防御，意味着我们在基础架构的多个位置执行安全策略。如果攻击者破坏或绕过我们的执行点之一，他们将始终碰到更多可抗衡的东西。例如，公共Web服务器被禁止从网络访问支付系统，并且该系统还维护自己的一组防御措施，比如第7层防火墙和入侵检测系统。

Tungsten Fabric通过其vRouter在每个主机上添加一个执行点来帮助我们。通过基础设施即代码JSON描述文件来使用其API ，我们始终可以为应用程序之间的通信提供最新的、版本化的，并且易于审核的网络策略。我们创建了可以扫描网络规则的工具，以发现违反政策和访问权限过大的情况。速度、最佳安全实践，以及审核能力的结合，构成了一个强大的安全系统，这并不会妨碍开发人员，相反，它使开发人员能够快速、轻松地做正确的事情。

负载均衡

为了满足应用程序不断增长的需求，我们将DNS、等价多路径（ECMP）和传统的基于TCP的负载均衡器（例如HAProxy或NGINX）相结合，以提供功能丰富且高度可用的负载均衡解决方案。

在Internet上，我们使用DNS将负载分散到多个全局IP地址上。玩家可以查找“riotplzmoarkatskins.riotgames.com”这样的记录（不是真实的，但也许应该是真实的），并且我们的服务器可以使用多个IP地址进行答复，这些IP地址将响应DNS查询。一半的玩家可能会收到一个列表，其中服务器A的位置位于顶部，而另一半玩家将看到服务器B的位置位于顶部。如果其中一台服务器关闭，客户端将自动尝试另一台服务器，因此没有人会看到服务的中断。

在网络内部，我们有许多服务器都配置为应答服务器A的IP地址。通过应答这个地址的能力，每个服务器都向网络发布通告，同时网络将每个服务器视为可能的目的地。收到新的玩家连接后，我们将在交换机中执行哈希计算，以确定性地计算出哪个服务器接收了流量。哈希基于数据包头中的IP地址和TCP端口值的组合。

如果其中一台服务器“休假”了，我们将尝试使用一种称为“一致性哈希”的技术，最大程度地减少影响，以确保只有使用故障服务器的玩家受到影响。大多数情况下，客户会通过自动重新启动新连接来无缝处理此问题，受影响的玩家甚至不会注意到。收到新的连接后，我们已经检测到并删除了发生故障的服务器，因此不会浪费时间尝试向其发送流量。

对于我们的大多数系统，我们会自动启动一个新实例，一旦它准备好接收流量，系统就会将其重新添加到循环中。我们认为它非常“漂亮”。负载均衡的最后一层，是通过传统的基于TCP或HTTP的负载均衡器（例如HAproxy或NGINX）执行的。

当请求来自ECMP层时，它们可能会遇到许多负载均衡的实例。这些负载均衡实例监视每个真实的Web服务器，并确保服务器运行状况良好，在适当的时间内做出响应，准备接收新的连接等。如果满足所有这些条件，则服务器会收到请求，并且答复将一直返回到玩家。

这一层通常是我们进行blue-green部署和智能运行状况检查的地方，例如“/index.html加载的响应代码为200吗？”

（编者按：Bule-green部署是一种负载均衡健康检查的部署方法，请见链接：https://blog.christianposta.com/deploy/blue-green-deployments-a-b-testing-and-canary-releases/）

此外，我们可以执行诸如“canary部署”，每10台服务器中的一台获得最新版本的网页，而其他9台服务器仍使用旧版本。我们会密切监视新版本，以确保不会出现任何问题，如果进展顺利，我们会将10台服务器中的两台移至新版本，依此类推。如果情况不佳，就回退到上一个已知的稳定版本，并找出解决问题的方法。我们随后将添加测试以更早地发现这些问题，以便不会两次犯相同的错误。这使我们能够不断改进服务，同时最大程度地降低生产风险。

通过所有层的协同工作（DNS、ECMP和传统的TCP或第7层负载均衡），我们为开发人员和玩家提供了功能丰富、性能稳定，且具有可扩展性的解决方案，使我们能够尽可能快地将服务器安装在机架中。

故障切换测试

高可用系统最重要的部分之一，就是当发生故障时，该系统能够进行故障转移。当我们刚开始构建数据中心时，通过让工程师拉出一些电缆，并在这里和那里重新启动一些服务器，来模拟这些问题。但是，一旦数据中心启动并为玩家提供服务，这个过程将变得很困难，前后不一致，并且根本无法接受。这鼓励我们构建一些东西，然后再也不要碰它。我们绝对发现了重要问题，并避免了此过程的中断，但是还需要认真改进。

首先，我们在过渡环境中构建了按比例缩小版本的数据中心。它足够完整，可以准确无误。例如，在过渡环境中，我们有两个机架，每个机架有五台服务器。而生产系统在两个维度上都大得多，不过我们的问题可以通过更小、更便宜的设置来解决。

在这种过渡环境中，我们将测试所有更改，然后再将其交付生产。我们的自动化部署将在这里变更，对于每一个变更，我们都会对其执行快速的基本测试，以防止我们做完全愚蠢的事情。这消除了我们对于自动化系统变得有知觉，进行了上千次失控改变并最终融化了整个星球的一份担忧（编者按：本句的原文特别文艺——This removes the fear of our automated systems becoming sentient, making a thousand runaway changes, and eventually melting the whole planet，实际上就是想表达，我们不会过度的依赖自动化系统，因为担心自动化系统会放大细微的错误而将业务毁于一旦）。相对于生产环境，我们更喜欢在过渡环境中捕获这些类型的错误。

除了基本检查之外，我们还进行了更为复杂和破坏性的测试，这些测试破坏了重要组件并迫使系统在降级状态下运行。尽管四个子系统中只有三个子系统可以运行，但我们知道可以忍受这种损失，并且我们有时间在不影响玩家的情况下修复系统。

全套测试更加耗时，更具破坏性（我们宁愿中断系统并立即开始学习，而不是在生产中学习），并且比基本测试还要复杂，因此我们运行全套故障转移测试的频率并不高。

我们让每个链接都失效，重新启动内核，重新启动TOR交换机，禁用SDN控制器，以及我们能想到的其他任何方法。然后，我们测量系统进行故障转移所需的时间，并确保一切仍在平稳运行。

如果事情发生了变化，我们可以查看自上次运行代码以来对代码所做的更改，并在将更改交付生产之前，弄清楚我们可能已更改的内容。如果我们在生产中遇到无法预见的问题，而故障切换测试中没有发现该问题，我们会将该测试快速添加到套件中，以确保不再发生类似情况。我们的目标始终是尽早发现问题，越早发现问题，就可以越快地解决它。当我们以这种方式工作时，不仅可以快速前进，而且更加自信。

结论

在上一篇文章中，介绍了数据中心网络的核心概念和实现，这次我们介绍了如何实现基础架构即代码，以及安全策略、负载均衡和故障转移测试。“变化是唯一不变的东西”，可能是将这些问题结合在一起的最好主题。基础设施是活着的、有呼吸的，并且在不断进化的“动物”。我们需要在它生长的时候提供资源，需要在它生病时做出反应，需要在全球范围内尽快完成所有工作。拥抱这一现实，意味着确保我们的工具、流程和范例能够对动态环境做出反应。所有这些使我们相信，现在是开发生产基础架构的绝佳时机。

和往常一样，非常欢迎与我们取得联系，说出你的问题和评论。

更多“揭秘LOL”系列文章
揭秘LOL背后的IT基础架构丨踏上部署多样性的征程
揭秘LOL背后的IT基础设施丨关键角色“调度”
揭秘LOL背后的IT基础架构丨SDN解锁新基础架构

作者：吴明秘

Hi！欢迎来到Tungsten Fabric与Kubernetes集成指南系列，本文介绍如何创建安全策略。
Tungsten Fabric与K8s集成指南系列文章，由TF中文社区为您呈现，旨在帮助大家了解Tungsten Fabric与K8s集成的基础知识。大家在相关部署中有什么经验，或者遇到的问题，欢迎与我们联系。

安全策略可以通过限制端口、网络协议等方式控制任意pod之间的访问，以及pod与service之间的访问。在K8s集群中安全策略对应的是Network Policy，在Tungsten Fabric中安全策略对应的Firewall Rule，两者是会实时同步的。

pod之间的访问控制

安全策略的控制是全局的，跨命名空间，跨network，所以创建策略的时候要尽可能详细地指定此端到彼端的一些参数，包括端口、命名空间、IP地址段等等。

根据第二章节的信息，可以知道目前有——

两个命名空间：test-ns1 test-ns2

三个network：k8s-ns1-pod-net01 k8s-ns1-pod-net02 k8s-ns2-pod-net01

四个pod：
nginx01-ns1-net01
nginx01-ns1-net02
nginx01-ns2-net01
nginx02-ns2-net01

而k8s-ns1-pod-net01与k8s-ns1-pod-net02已经互通（通过新建TF router连通），k8s-ns1-pod-net01 与k8s-ns2-pod-net01已经互通（通过TF Network Policy连通）。

首先，新增一条默认禁止访问策略，禁止任何流量访问test-ns1的pod，配置如下：

#pod选择器设置为空，表示选择所有pod，即控制整个命名空间。
#只写了ingress生效，又把podSelector设置为空，表示拒绝其它命名空间访问，拒绝所有入站请求。
#没有加egress，所以默认egress是允许本命名空间所有pod出站。

创建策略后，验证从test-ns2的k8s-ns2-pod-net01网络是否能访问到test-ns1的k8s-ns1-pod-net01网络。

验证过程如下图所示，首先从test-ns2的pod去ping test-ns1的pod是可以通的，但是在创建了Network Policy之后，就无法ping通了，说明Network Policy限制了从其他地方的流量去访问test-ns1的pod，而即使是test-ns1内部的pod都无法相互访问。

而再Tungsten Fabric的管理界面上，会看到一条新的Firewall Rule：

然后，再新增一条安全策略，允许子网20.10.10.0/24里的pod访问test-ns1中有标签为nginx-ns1的pod的80端口（test-ns1中的两个pod均带有此标签），除了IP为20.10.10.3的pod，具体配置如下：

创建策略后，验证从test-ns2的pod是否能访问到test-ns1的pod的80端口。

验证过程如下图所示，首先从test-ns2的两个pod（20.10.10.1和20.10.10.3）用curl去请求test-ns1 pod（10.10.10.1）的80端口，未新建安全策略前，curl请求均失败了。

创建安全策略之后，只有pod（20.10.10.1）能成功请求pod（10.10.10.1），而pod（20.10.10.3）无法成功请求对应的80端口，说明新建的策略是正常生效的。

Tungsten Fabric上新建了三条对应的Firewall Rule，分别为：

1.允许网段10.10.0/24的pod问test-ns1中带标签app=nginx-ns1的pod；
2.禁止ip为10.10.3/32的pod访问test-ns1中带标签app=nginx-ns1的pod；
3.禁止所有的pod访问test-ns1中带标签app=nginx-ns1的pod。

三条规则组合后，就能实现我们预期的pod隔离效果。

pod与service之间的访问控制

K8s的service是一个抽象概念，定义了一个服务的多个pod逻辑合集和访问pod的策略，一般把service称为微服务。

在此，首先在test-ns1和test-ns2中都各自新建一个service，配置如下：

执行kubectl创建命令，两个service分别在test-ns1和test-ns2中被创建了出来，对应的在Tungsten Fabric的load balancing列表也会生成这两个service的信息。

通过test-ns1的pod（10.10.10.1），可以使用curl直接请求service的域名。

现在通过新建一条K8s的Network Policy，去禁止test-ns1的pod（10.10.10.1）去访问test-ns2的service（nginx-ns2）。

禁止test-ns1的pod（10.10.10.1）请求test-ns2的service（nginx-ns2）的ClusterIP（10.96.0.12），具体配置如下：

验证流程：

1.test-ns1的pod（10.10.1）在未创建网络策略deny-service-ip之前，能够通过curl成功请求test-ns2的service（nginx-ns2），能够通过nslookup成功请求到kube-system的service（kube-dns）；

2.在test-ns1命名空间中创建K8s的网络策略deny-service-ip；

3.test-ns1的pod（10.10.1）在已创建deny-service-ip网络策略之后，不能够通过curl成功请求test-ns2的service（nginx-ns2），能够通过nslookup成功请求到kube-system的service（kube-dns）。

所以网络策略deny-service-ip确实是禁止了test-ns1的pod（10.10.10.1），而不会影响它访问其他的service clusterip。

（作者来自深圳市天源景云科技有限公司）

“Tungsten Fabric+K8s集成指南”系列文章——

第一篇：部署准备与初始状态
第二篇：创建虚拟网络

“Tungsten Fabric+K8s轻松上手”系列文章——

第一篇：TF Carbide 评估指南--准备篇
第二篇：通过Kubernetes的服务进行基本应用程序连接
第三篇：通过Kubernetes Ingress进行高级外部应用程序连接
第四篇：通过Kubernetes命名空间实现初步的应用程序隔离
第五篇：通过Kubernetes网络策略进行应用程序微分段

作者：Doug Lardo和David Press（文章来源：Riot Games）译者：TF编译组

欢迎来到Tungsten Fabric用户案例系列文章，一起发现TF的更多应用场景。“揭秘LOL”系列的主人公是Tungsten Fabric用户Riot Games游戏公司，作为LOL《英雄联盟》的开发和运营商，Riot Games面临全球范围复杂部署的挑战，让我们一起揭秘LOL背后的“英雄们”，看他们是如何运行在线服务的吧。

本文作者David Press和Doug Lardo是Riot的两名工程师，他们致力于改善数据中心网络，以支撑Riot的在线服务。本文是关于该主题的系列文章第三部分，将讨论我们的SDN（软件定义网络）方法，如何将SDN与Docker集成，以及该组合为我们解锁的新基础架构范例。如果你对SDN如何转换基础架构，如何使开发人员能够通过API获得并保护网络资源，或者如何摆脱购买越来越大的专用网络设备感到好奇，请参阅本文。

在第一篇文章中，Jonathan提到了为支持《英雄联盟》的新功能，在推出服务时面临的一些网络挑战。事实证明，（网络上面的部署）这并不像在服务器上安装代码并按回车那样容易。

新功能需要网络基础架构的所提供的功能，包括：

• 连接性：对玩家和内部服务的低延迟和高吞吐量访问
• 安全性：防止未经授权的访问和DoS攻击，并在需要时进行通信，以最大程度地减少发生漏洞时的影响
• 数据包服务：负载均衡，网络地址转换（NAT），虚拟专用网（VPN），连接性和组播转发

传统上，设置这些网络服务，一直是超级专业的网络工程师的工作领域，他们登录单个网络设备，并输入那些我敢保证就是“纯巫术”一样的命令。配置这些内容通常需要对网络、相关配置，以及出现问题时的响应有深入的了解。

但是，因为不断地扩建，数据中心之间的差异越来越大，使得情况变得更加复杂。对于两个不同数据中心的两个网络工程师来说，相同的目标可能看起来完全不同的动作和任务。

所有这些都意味着，数据中心网络基础架构的更改，通常都会成为推出新服务的瓶颈。幸运的是，在Riot，任何阻碍向玩家提供新奇特效的因素都会立即受到严重关注。rCluster平台旨在解决这一瓶颈，在以下各节中，我们将深入研究它的关键组件：overlay网络概念，OpenContrail（编者按：已更名为Tungsten Fabric，下文中出现OpenContrail之处，均以Tungsten Fabric代替）实施，以及与Docker的集成。在本系列的下一篇文章中，我们将介绍一些细节，例如安全性、负载均衡和系统扩展。

SDN和overlay网络

SDN变成了一个流行语，对不同的人意味着不同的事情：对于某些人来说，这意味着网络配置应由软件定义；但是在Riot，这意味着我们的网络功能应通过一致的API进行编程。

通过使网络可编程化，我们可以编写自动化程序，从而极大地扩展了我们的能力，能够快速将更改部署到网络。我们只需要运行一个命令，而不必将其封装到众多的设备中进行更改（附注：封装的概念是，将网络的功能要求变成不同的的网络设备命令）。我们将全球网络变更的时间从天变成了分钟级，并且这样，还能在空闲时间里去做其它很酷的事情。

网络设备的可编程已经有一段时间了，不过在整个行业中，对这些设备进行编程的接口在不断变化和发展，并且不存在适用于所有类型设备和所有供应商的统一标准。因此，编写能够与多个供应商的每个接口通信的强大自动化程序，是一项非常艰巨的任务。我们也知道，在硬件上方拥有一致的API作为抽象层，是Riot有效扩展其网络配置管理和操作的关键要求。于是，我们转向了overlay网络。（编者按：特意在overlay前面解释网络设备可编程的原因是，网络为应用服务，因为应用的不断变化，因此网络的配置也需要不断变化，尽管网络设备具有可编程性，可以实现业务和网络的编排，但是也面临挑战，供应商不同，配置不同，API不同，很难统一。）

毫无疑问，overlay网络位于现有网络之上。在overlay网络内部的应用程序并不知道网络的存在，因为它在感觉上完全类似于物理网络。如果你熟悉虚拟机，则相同的“物理内部的虚拟”范例也适用于虚拟网络。一个物理网络可以承载许多虚拟网络。在一个虚拟机中，应用程序认为它们拥有一整台物理机，但实际上，它们仅拥有一小部分虚拟机。Overlay网络也是类似的概念，一种内部创建的有虚拟网络的物理基础架构（称为underlay网络）。

这种方法使我们能够将Riot工程师无需担心的各种物理网络细节隐藏起来。工程师不再需要问“有多少端口”，“我们有哪些供应商”，“安全策略应该放在那里”这样的问题。相反，我们可以提供一个一致的API程序，让工程师专注在自己想做的事情上。

在Riot运营的每个数据中心中使用相同的API，使得我们编写的自动化可以在任何地方、任何时间有效工作，无论是使用在过去的第一个数据中心，还是更现代化的设计。此外，我们还可以寻找其他云服务商，例如Amazon、Rackspace、Google Compute等，并且我们的API仍然可以使用。

这样设计，我们的底层物理硬件可能是Cisco、Juniper、Arista、Dell、D-Link、白盒、灰盒、一堆有10GE端口的Linux盒子，这都没关系。但是Underlay网络必须使用特定的方法来构建，例如自动配置模板（更多信息，参见下一篇系列文章），但这使我们能够将物理构建和配置，与应用程序所需的服务配置解耦。当我们将underlay和软件服务接口，保持underlay网络的稳定还有更多好处，我们可以让underlay可以专注于提供高可用性的数据包转发，并允许我们升级物理网络，而不必担心会破坏以前与物理基础架构紧密耦合的应用程序。它还简化了我们的运营，允许服务在任何一个数据中心迁入和移出，并消除了供应商锁定的风险。

总之，我们认为overlay网络非常棒。

Tungsten Fabric

在我们刚开始评估SDN时，研究了整个行业的各种SDN项目。有些通过中央控制器配置物理网络，还有一些则提供了抽象层，将API调用转换为特定于某个供应商的指令。有些解决方案需要新的硬件，还有一些则可以在现有基础架构上运行。有些是由大型公司开发的，还有一些是开源项目，或者由初创公司提供。

简而言之，我们花了很多时间来做功课，这并不是一个容易的决定。我们需要满足的要求包括：

• 在我们的数据中心（无论老的还是新的）、裸机和云中提供功能性
• 是开源的项目，但是也不要在一夜之间消失
• 能够对我们的部署征程提供专业辅助

最终，我们的视线落在了Juniper Networks的Tungsten Fabric项目上。Tungsten Fabric从一开始就被设计为开源的、与供应商无关的解决方案，可与任何一个现有网络一起使用。其核心是BGP和MPLS——两者都是已被证明可以规模化扩展到整个Internet的协议。Juniper Networks肯定不会很快消失，并且在我们设计和安装第一套集群时，提供了很多帮助。（点击“TF架构系列”文章，查看这个控制器的全部细节）

Tungsten Fabric包含三个主要组件：集中控制器（“大脑”），vRouter（虚拟路由器）和外部网关。每个组件都是高可用性集群的成员，因此任何单个设备故障都不会破坏整个系统。与控制器进行API交互，会立即触发其将所有必要的更改,并推送到vRouter和网关，然后由它们物理转发网络上的流量。

Overlay网络由vRouter之间的一系列隧道组成，可供选择的协议包括GRE w / MPLS、UDP w / MPLS或VXLAN。当一个容器想要与另一个容器通信时，vRouter首先在控制器先前向其推送的策略列表中查找该容器所在的位置，然后形成从一个计算节点到另一个计算节点的隧道。隧道接收端的vRouter会检查内部流量以查看其是否与策略相匹配，然后将其传递到预期的目的地。

如果容器希望与Internet或非重叠（non-overlay）目的地通信，流量将被发送到其中一个外部网关。该网关将移除隧道，并将流量发送到Internet，从而保持容器的唯一IP地址完整不变。这使得与遗留应用程序和网络的集成变得容易，因为集群外的任何人都无法分辨出流量是否来自overlay网络。

Docker整合

如果我们不能在overlay网络上让容器运转起来，为玩家做一些实际的工作，那么所有这些都不过是一个有趣的思想实验。

Tungsten Fabric是与虚拟化无关的SDN产品，因此需要与编排器集成，以将调度的计算实例与Tungsten Fabric提供的网络功能相关联。Tungsten Fabric通过Neutron API驱动程序与OpenStack进行了强大的集成，不过由于我们有自己的协调器Admiral，还需要编写我们自己的自定义集成。

此外，Tungsten Fabric与OpenStack的集成最初是为虚拟机设计的，我们希望将其应用于Docker容器。这需要与Juniper Networks合作，以提供一种我们称为“Ensign”的服务，可以在每台主机上运行并处理Admiral、Docker和Tungsten Fabric之间的集成。

为了解释我们如何将Docker与Tungsten Fabric集成在一起，需要先来了解一点Linux网络。Docker使用Linux内核中被称为“网络命名空间（network namespace）”的功能来隔离容器，并防止它们相互访问。网络命名空间本质上是网络接口、路由表和iptables规则的单独堆栈。网络命名空间中的那些元素，仅应用于在命名空间中启动的进程。它与文件系统中使用的chroot很相似，但不同的是它应用于网络。

当我们开始使用Docker时，有四种方法来配置容器，将其附加到的网络命名空间：

• Host network 主机网络模式：Docker将进程放置在主机网络命名空间中，从而有效地使其完全不隔离。
• Bridge network桥接网络模式：Docker创建一个Linux桥接器，该桥接器连接主机上所有容器的网络命名空间，并管理iptables规则以将NAT流量从主机外部传输到容器。
• From network 从网络模式：Docker使用另一个容器的网络命名空间。
• None network 无网络模式：Docker设置了没有接口的网络命名空间，这意味着其中的进程无法连接到命名空间外部的任何内容。

“无网络模式”专为第三方网络整合而创建，这对我们尝试要做的事情很有帮助。在启动容器后，第三方可以将该容器连接到网络所需的所有组件，全部插入网络命名空间。

但是，这也带来了一个问题：容器已经启动，并且在一段时间内没有网络连接。对于应用程序而言，这是一种糟糕的体验，因为许多人想知道在启动时分配了哪些IP地址。尽管Riot开发人员可能已经实现了重试逻辑，但我们不想给他们增加负担。此外，许多第三方容器无法处理此问题，我们对此也无能为力。需要一个更全面的解决方案。

为了克服这个问题，我们在Kubernetes上找到了一个“网络”容器，该容器在主应用程序容器之前启动。我们先在“无网络模式”下启动网络容器（因为它不需要连接或IP地址，所以没有问题），在使用Tungsten Fabric完成网络设置并分配IP之后，再启动主应用程序容器，并使用“从网络模式”将其附加到网络容器的网络命名空间。通过此设置，应用程序在启动时便具有完全可操作的网络堆栈。

当我们在物理计算节点（或主机）内部启动一个新容器时，vRouter会为该容器提供一个虚拟NIC，一个全局唯一IP地址，以及与该容器关联的任何路由或安全策略。

这与默认的Docker网络配置大不相同，在默认配置中，服务器上的每个容器都共享相同的IP地址，并且一台机器上的所有容器都可以自由地相互通信。此行为违背了我们的安全策略，在默认情况下，两个应用程序原本永远都不能执行此操作。在一个安全的、功能丰富的虚拟网络中为每个容器提供自己的IP地址，使得我们能够为容器提供一致的、“一流的”网络体验。它简化了我们的配置、安全策略，并使我们避免了许多Docker容器与主机共享相同IP地址所带来的复杂性。

结论

我们通往SDN和基础设施自动化的道路还很漫长。我们已经学习了很多有关如何建立自主网络的最佳实践，如何调试overlay网络上的连接问题，以及如何处理新的故障模式的知识。此外，我们还必须在集群本身的两代网络架构中部署此SDN，并将其与六个“传统”的数据中心架构相集成。包括在自动化方面进行投资，并学习如何确保我们的系统值得信赖，确保测试能够保持良好的平衡。

话虽如此，我们现在每天都能看到这项工作的成果，Riot的工程师们现在可以通过自服务工作流程，在全球范围内开发、测试和部署其服务，使得网络从持续的延迟和挫折中转变出来，成为增值服务以及每个开发人员工具箱中的一个强大工具。

在rCluster的下一篇文章中，我们将讨论安全性、网络蓝图和ACL，包括系统如何扩展，以及我们为提升正常运行时间所做的一些工作。

如果你有任何想法或疑问，非常欢迎与我们取得联系。

更多“揭秘LOL”系列文章

揭秘LOL背后的IT基础架构丨踏上部署多样性的征程
揭秘LOL背后的IT基础设施丨关键角色“调度”

@yanwl 您点击这个链接 https://tungstenfabric.org.cn/assets/uploads/files/openstack-powerd-by-tf.pdf

作者：吴明秘

Hi！欢迎来到Tungsten Fabric与Kubernetes集成指南系列，本文介绍通常创建虚拟网络的五个步骤。
Tungsten Fabric与K8s集成指南系列文章，由TF中文社区为您呈现，旨在帮助大家了解Tungsten Fabric与K8s集成的基础知识。大家在相关部署中有什么经验，或者遇到的问题，欢迎与我们联系。

在做好架构部署，并确认Tungsten Fabric和Kubernetes（K8s）集群的初始状态没有问题后，就可以开始尝试创建虚拟网络了。

第1步：新建命名空间

在K8s中，大部分的资源都隶属于一个命名空间，所以需要首先新建命名空间，然后再创建对应的pod，service，以及虚拟网络。在此新建两个命名空间，分别为 test-ns1 和 test-ns2，登录K8s的master节点执行以下命令：

创建成功后，在Tungsten Fabric管理界面可以看到对应的project被创建出来，k8s-test-ns1与k8s-test-ns2。

第2步：新建IPAM

你需要为你的项目创建一个IP地址管理（IPAM），基于此来创建一个虚拟网络。

在Tungsten Fabric管理界面选择“Configure > Networking > IP Address Management”，并选择project - k8s-test-ns1，然后单击“创建”按钮。

其中Name和Subnet Method为必填项，Subnet Method有两种方式，User Defined 是在绑定网络的时候再去手工指定子网网段，Flat 是直接创建子网网段，两者不同的是，User Defined可以指定IP池的范围，Flat则是直接使用整个子网网段，默认是使用Flat。

第3步：新建虚拟网络

在Tungsten Fabric管理界面选择“Configure > Networking > Networks”，并选择 k8s-test-ns1，然后单击“创建”按钮。

如上图所示，就是完成了一个虚拟网络的创建，为了方便测试，再以相同的方式创建另一个网络 k8s-ns1-pod-net2 (10.10.20.0/24)。

第4步：创建pod

首先在名为test-ns1的命名空间上创建一个pod，指定网络为 k8s-ns1-pod-net01，配置如下：

然后再创建一个基于虚拟网络k8s-ns1-pod-net02的pod，配置如下：

执行kubectl的创建命令之后，两个pod都创建成功，并且容器的IP地址分别为：
属于虚拟网络 k8s-ns1-pod-net01 (10.10.10.0/24)的pod 10.10.10.1
属于虚拟网络 k8s-ns1-pod-net02 (10.10.20.0/24)的pod 10.10.20.1

第5步：网络连通性验证

1、验证同一命名空间不通网络pod之间网络连通性

首先进行互ping，验证连通性。测试结果如下截图，同一命名空间下，默认情况两个网络无法通信。

需要通信则必须在Tungsten Fabric上添加一个路由器来连接网络 k8s-ns1-pod-net01 和 k8s-ns1-pod-net02，如下所示：

路由器创建完成后再验证两个网络的连通性，结果是两个pod能够互相通信。

2、验证同一命名空间下pod到service之间的网络连通性

默认情况下，除了 k8s-default-pod-network 之外，其他的虚拟网络是无法连接到K8s的service网络的，通过请求kube-system中的coredns服务来验证，命令为 nslookup kube-dns.kube-system，因为是跨命名空间去解析域名，所以需要在域名中添加命名空间名称后缀（如果pod是在kube-system中，那么执行nslookup kube-dns即可），具体验证情况如下：

若需要让k8s-ns1-pod-net01 网段的pod可以访问到K8s的service网络，那么就需要添加一条TF policy，k8s-default项目下的Policies -- k8s-default-service-np，具体策略规则如下图所示，意味着所有添加了此条规则的网络都可以无限制的访问到k8s的service网络的所有端口。

现在需要给网络 k8s-ns1-pod-net01添加 k8s-default-service-np 这条策略，让它可以访问k8s的service网络。

Configure --> Networking --> Networks, 选择k8s-test-ns1项目，编辑network k8s-ns1-pod-net01, 附加一条Network Policy -- k8s-default-service-np，具体操作如下：

再次验证pod到service之间的网络连通性，此时处在网络k8s-ns1-pod-net01的pod nginx01-ns1-net01 (10.10.10.1) 是可以直接通过请求service的ClusterIP:PORT（coredns服务）来解析域名，而k8s-ns1-pod-net02 没有附加k8s-default-service-np，所以pod nginx01-ns1-net02 (10.10.20.1) 是仍然无法访问service里面的coredns服务。

3、验证不同命名空间下pod之间的网络连通性

同一命名空间下的两个网络之间的通信，跟不同命名空间下的两个网络之间的通信是有一些区别的，因为不同命名空间的情况下，无法通过新建TF Router来连接两个网络，所以必须通过TF Policy 来实现不同命名空间下的两个网络之间的互通。

之前的步骤中已经创建了两个命名空间 （test-ns1与test-ns2），并且test-ns1里面已经有了两个网络，所以需要在test-ns2中去新建一个网络。新建的网络为 k8s-ns2-pod-net01 (20.10.10.0/24)。

默认情况下，k8s-ns2-pod-net01 (20.10.10.0/24) 与 k8s-ns1-pod-net01 (10.10.10.0/24)，k8s-ns1-pod-net02 (10.10.20.0/24) 都是无法通信的，现在需要在网络k8s-ns2-pod-net01 (20.10.10.0/24)中新建两个pod。

在此验证pod nginx01-ns1-net01 与 nginx01-ns2-net01的网络连通性，两者在不同的命名空间，不同的network，验证结果是无法通信，具体见下面截图：

若需要让这两个不同命名空间不同network的pod能够互相通信，则需要添加如下的TF Policies：

Contrial Network Policy 创建好之后，再分别将它附加到网络 k8s-ns1-pod-net01和k8s-ns2-pod-net01。

再次验证，此时两个不同命名空间不同network的pod已经能够互相通信。

（作者来自深圳市天源景云科技有限公司）

Tungsten Fabric+K8s集成指南系列文章——

第一篇：部署准备与初始状态

Tungsten Fabric+K8s轻松上手系列文章
第一篇：TF Carbide 评估指南--准备篇
第二篇：通过Kubernetes的服务进行基本应用程序连接
第三篇：通过Kubernetes Ingress进行高级外部应用程序连接
第四篇：通过Kubernetes命名空间实现初步的应用程序隔离
第五篇：通过Kubernetes网络策略进行应用程序微分段

• 目前加入者67人，已开过四次线上会议
• 参与方式：https://zoom.com.cn/j/5486946411（进入ZOOM会议室需要下载安装包，请提前下载）
• 会议制度说明：频率为每两周一次（每两周周三下午18：00 - 19：00）

• TF中文社区技术委员会第一次线上会议
  时间：12月25日
  主题：技术委员会启动会，包括报名情况说明、工作组说明、会议制度说明、文档贡献指导
  会议记录：https://tungstenfabric.org.cn/wiki/pages/viewpage.action?pageId=1703991

• TF中文社区技术委员会第二次线上会议
  时间：1月8日
  主题：工作内容回顾,深圳天源景云架构-吴明秘分享TF与K8S部署实践
  会议记录：https://tungstenfabric.org.cn/wiki/pages/viewpage.action?pageId=2687074

• TF中文社区技术委员会第三次线上会议
  时间：2月12日
  主题：杨雨分享--TF与K8S集成之External IP实现演示
  会议记录：https://tungstenfabric.org.cn/wiki/pages/viewpage.action?pageId=4423681

• TF中文社区技术委员会第四次线上会议
  时间：2月26日
  主题：杨雨分享--TF与K8S集成之External IP实现演示（上次会议未讲完部分，继续分享）
  会议记录：https://tungstenfabric.org.cn/wiki/pages/viewpage.action?pageId=4423690

我们将召开第四次线上会议。

时间：2月26日（星期三）下午6：00 - 7：00

参与方式：https://zoom.com.cn/j/5486946411
（进入ZOOM会议室需要下载安装包，请提前下载）

本次会议的主要议题是：
杨雨分享--TF与K8S集成之External IP实现演示（上次会议内容未讲完部分，继续分享）

会议制度说明：频率为每两周一次（每两周周三下午6：00 - 7：00）

Tungsten Fabric项目是一个开源项目协议，它基于标准协议开发，并且提供网络虚拟化和网络安全所必需的所有组件。项目的组件包括：SDN控制器，虚拟路由器，分析引擎，北向API的发布，硬件集成功能，云编排软件和广泛的REST API。

作者：Kyle Allan和Carl Quinn（文章来源：Riot Games）译者：TF编译组

欢迎来到Tungsten Fabric用户案例系列文章，一起发现TF的更多应用场景。“揭秘LOL”系列的主人公是Tungsten Fabric用户Riot Games游戏公司，作为LOL《英雄联盟》的开发和运营商，Riot Games面临全球范围复杂部署的挑战，让我们一起揭秘LOL背后的“英雄们”，看他们是如何运行在线服务的吧。

我们是Kyle Allan和Carl Quinn，在Riot的基础架构团队工作。欢迎阅读这个系列的第二篇文章，详细介绍我们如何在全球范围内部署和操作后端功能。在本文中，我们将深入探讨部署生态系统的第一个核心组件：容器调度。

在Jonathan的第一篇系列文章中，讨论了Riot的部署历史和我们面临的挑战。特别是，他概述了当我们为《英雄联盟》不断添加基础架构设施时，尤其是面对“为每个应用程序手动配置服务器”这样的场景下，我们软件部署难度不断加剧。后来，出现了一个名为Docker的工具，改变了我们的服务器部署方法——进一步在我们内部就迭代出来Admiral，它是我们用于集群调度和管理的内部工具。

重要的是，应用程序部署的旅程还远远没有结束，它还在不断发展，我们正在为下一个阶段做准备（可能采用DC/OS，稍后讨论）。本文介绍了如何到达这一步，以及为什么做出这样的决定，希望其他人也可以从这个故事中有所收益。

什么是调度（Scheduling），为什么要调度

当Docker横空出世，并且Linux容器化成为一种更广为人知的技术时，我们意识到，可以通过容器化基础架构的实施而受益。Docker容器映像提供了一个不变的、可部署的“神器”，它可以一次构建并部署在开发、测试和生产中。此外，它还保证生产环境中运行的映像的依赖性，与测试期间的依赖性完全相同。

另一个好处尤其重要：Docker允许将部署单元（容器）与计算单元（主机）解耦，它通过利用调度程序将容器分配给主机（希望以一种智能的方式），从而消除了服务器与应用程序之间的耦合——给定的容器可以在任意数量的可能的服务器上运行。

通过将后端服务打包成Docker映像，并且可以随时将其部署并扩展到服务器集群，我们应该能够迅速适应变化。我们可以添加新的玩家功能，当流量增加时进行扩容，并快速推出更新和修复程序。在考虑将容器内的服务部署到生产环境时，需要解决三个主要问题：

1. 给定一个主机集群，如何选择一组特定的主机来接收一组容器？
2. 这些容器实际上是如何在远程主机上启动的？
3. 容器“死机（或者关机）”时会发生什么？

这三个问题的答案是，我们需要一个调度程序——一种在服务集群层面运行并执行我们的容器策略的服务。调度程序是维护集群、确保容器在正确的位置运行，以及在容器退出时重新启动它们的关键组件。

例如，我们可能要启动诸如Hextech Crafting之类的服务，该服务需要六个容器实例来处理其负载。调度程序负责查找具有足够内存和CPU资源以支持这些容器的主机，并执行使这些容器运行所需的任何操作。如果这些服务器之一发生故障，调度程序还负责为受影响的容器查找替换主机。

当我们决定使用调度程序时，就快速进行原型设计，以便了解容器化服务在生产中是否适合我们。此外，我们需要确保现有的开放源代码选项可以在目前的环境中运行，或者确保维护人员愿意接受我们的调整。

为什么要自己写

在开始编写Admiral调度程序之前，我们调查了现有集群管理器和调度程序的状况。都有谁在Docker主机集群之间调度容器，它们是如何做到的？它们的技术还能解决我们的问题吗？

在最初的研究中，我们调研了一些项目：

Mesos + Marathon

• 这些技术已经相当成熟并且可以大规模使用，但是安装起来却复杂且棘手，这使得它们难以进行尝试和评估。
• 当时，它们对容器的支持还非常有限，没有跟踪Docker的快速发展，并且在Docker生态系统中表现不佳。
• 它们不支持容器组（pods）——我们认为需要将sidecar容器与许多服务捆绑在一起（附注：sidecar是容器日志的一种模式）。

LMCTFY => Kubernetes

• Kubernetes刚刚从LMCTFY演变而来，尽管它看起来很有希望，但尚不清楚它的未来发展是否能满足我们的需求。
• Kubernetes还没有一个约束系统可以像我们需要的那样进行容器放置。

Fleet

• Fleet是后来开放源代码的，当时还不够成熟。
• Fleet似乎更专注于系统服务的部署，而不是常规应用程序服务。

我们还原型化了一个小型命令行工具，该工具可通过REST与Docker API进行通信，并且成功演示了如何使用此工具来协调部署。然后，我们决定继续编写自己的调度程序。

我们借鉴了研究过的系统的一些最佳功能，包括Kubernetes的Pods和Marathon的约束系统背后的核心思想。我们的愿景是跟踪这些系统的体系结构和功能，在可能的情况下影响它们，并最终尝试在将来与其中之一融合。

Admiral概述

在创建了一个基于JSON的基础部署元数据语言（我们称为CUDL，ClUster描述语言）之后，我们开始编写Admiral。CUDL成为Admiral在其REST API中使用的语言，两个主要组成部分如下：

• 集群——一组Docker主机。
• 打包（Packs）——启动一组一个或多个容器所需的元数据。类似于Kubernetes Pod加Replication控制器。

集群和打包具有两个不同的方面：spec和live。每个方面都代表对容器生命周期不同阶段的描述。

Spec，表示元素所需的状态

• 从某些外部事实来源（如来源控制）发布到Admiral
• 一经交付给Admiral便一成不变
• Spec集群和主机描述了集群中可用的资源
• Spec打包描述了运行服务所需的资源、约束和元数据

Live，表示元素已实现的状态

• 镜像实际的运行对象
  • Live集群和主机镜像正在运行的Docker守护程序
  • Live打包镜像正在运行的Docker容器组
• 通过与Docker守护进程通信，实现可恢复性

Admiral用Go编写，并且在生产数据中心中运行时，被编译并打包到Docker容器中。Admiral有几个内部子系统，其中大部分如下图所示。

从用户的角度来看，与Admiral的交互是通过其提供的admiralctl命令行工具进行的，该工具通过REST API与Admiral进行通信。借助admiralctl，用户可以通过标准指令访问Admiral的所有功能：POST新的Spec打包以进行调度，DELETE旧包（Packs），以及GET当前状态。

在生产过程中，Admiral将使用Hashicorp的Consul存储Spec状态，定期对其进行备份，以防发生灾难性故障。万一完全丢失数据，Admiral还能使用从各个Docker守护程序检索到的Live状态中的信息，来部分重建其Spec状态。

协调器（reconciler）属于Admiral的核心，是驱动调度工作流程的关键子系统。协调器会周期性地将实际的Live状态与所需的Spec状态进行比较，并且在出现差异时，调度所需的操作，以便将Live状态恢复正常。

Live状态及其驱动程序包通过缓存Live主机和容器状态，并通过其REST API提供与集群主机上所有Docker守护程序的通信，来支持协调器。

深度调度

Admiral的协调器可对Spec打包进行操作，有效地将其转换为Live打包。在将Spec打包提交给Admiral时，协调器将创建容器并使用Docker守护程序启动它们。正是通过这种机制，协调器实现了我们前面所述的最重要的两个高级调度目标。当协调器收到Spec打包时，它将：

1. 评估集群的资源和打包的约束，为容器找到合适的主机。
2. 知道如何使用Spec中的数据在远程主机上启动容器。

让我们看一下在Docker主机上启动容器的示例。在此示例中，我们将使用本地Docker守护程序作为Docker主机，并与Admiral服务器的本地实例进行交互。

首先，我们使用“admiral pack create ”命令启动一个打包。此命令针对特定集群，并将Spec打包的JSON 提交到Admiral服务器。

你能注意到，几乎在刚刚运行命令后，容器就已经在我的机器上启动。这个容器是使用我的打包文件中的参数启动的，如下所示：

接下来，在调用“admiral pack create”之后，我们可以使用“show”命令来查看Admiral创建的Live打包。这里的命令是“admiral pack show ”。

最后，通过点击容器中的服务，我们可以验证打包是否正常工作。使用来自“admiral pack show”命令的信息，我们可以通过一个简单的curl来拼出我们的服务：

在Admiral内部，协调器始终处于运行状态，以确保集群的Live状态始终与所需的Spec状态相匹配。这样，当容器由于崩溃而失败并退出，或者由于硬件故障而导致整个服务器不可用时，我们还可以进行恢复业务。协调器努力确保状态匹配，以便玩家永远不会遇到中断问题。此功能解决了我们前面提到的第三个，也是最后一个问题：当容器意外退出时，我们可以快速恢复，并且将影响控制到最小。

下面将展示通过“admiral pack create”命令启动的现有容器。然后，我将终止该容器，并停止其执行。在几秒钟内，协调器启动了一个新的容器（具有不同的ID），因为它意识到Live状态与Spec状态不匹配。

资源和约束

为了最好地分配容器，调度程序必须洞悉主机集群。解决此问题有两个关键组件：

资源——服务器可用资源的一种表示形式，包括内存、CPU、I/O，以及网络等其他资源。

约束——打包随附的一组条件，可为调度程序提供有关可放置打包的限制的详细信息。例如，我们可能要放置一个打包实例：

• 在整个集群中的每个主机上
• 在名为“myhost.riotgames.com”的特定主机上
• 在集群里每个标记的区域中

通过在主机上定义资源，我们使调度程序可以灵活地决定将容器放置在何处。

通过在打包集（packs）上定义约束，我们可以限制调度程序的选择，以便将特定的模式强制应用到集群中。

结论

对于Riot而言，Admiral是我们部署技术不断发展的重要组成部分。通过利用Docker和调度系统的功能，我们能够比以前更快地向玩家交付后端功能。

在本文中，我们深入研究了Admiral的一些功能，并展示了如何在一组机器集群之间调度容器。就像Jonathan在他的第一篇文章中提到的那样，开源世界已经迅速转向非常相似的模型。展望未来，我们将转移Admiral的工作，并专注于部署DC/OS，它已成为调度容器工作负载的领先的开源应用程序之一。

如果你经历了类似的旅程，或者觉得自己有话要补充，非常欢迎与我们取得联系。

更多“揭秘LOL”系列文章
● 揭秘LOL背后的IT基础架构丨踏上部署多样性的征程

作者：吴明秘

Hi！欢迎来到Tungsten Fabric与Kubernetes集成指南系列，本文介绍K8s组件和Tungsten Fabric组件部署的准备工作，以及运行的初始状态。
Tungsten Fabric与K8s集成指南系列文章，由TF中文社区为您呈现，旨在帮助大家了解Tungsten Fabric与K8s集成的基础知识。大家在相关部署中有什么经验，或者遇到的问题，欢迎与我们联系。

说明：文中部分内容涉及到“Contrail”，Tungsten Fabric原名为OpenContrail，商业版本为Juniper Contrail。

1环境需求

2部署架构

管理网：用于节点管理，初始化系统，包安装等
控制网：Kubernetes组件和Tungsten Fabric组件的数据交互

3部署步骤

4集群初始状态

K8s集群初始状态

K8s成功部署之后，默认创建的namespaces，deployment，service，以及K8s的节点信息，如下截图所示：

Tungsten Fabric初始状态

资源映射关系：K8s与Tungsten Fabric

首先Tungsten Fabric会根据K8s中namespaces来创建对应的project，因为K8s中有4个namespace，所以Tungsten Fabric也自动新建了4个项目，对应如下

Tungsten Fabric会根据namespaces来创建对应的Firewall Rules，默认的规则是全部允许通过，若有新增的namespaces，那么Tungsten Fabric也会自动新增两条Firewall Rules。

Tungsten Fabric会自动创建三个IPAM，其中指定了K8s默认情况下的pod和service所使用的网段，这些IPAM会绑定给default-domain -> k8s-default项目下的虚拟网络。

Tungsten Fabric会默认创建三条Policies，其中k8s-default-service-np是允许指定网络访问K8s的service网段。

初始情况下，k8s-default项目中会有两个虚拟网络，分别是给pod和service使用的，并且绑定了对应的IPAM和Policies。

在K8s中的service会对应Tungsten Fabric中的Load Balancing。

（作者来自深圳市天源景云科技有限公司）

Tungsten Fabric+K8s轻松上手文章
第一篇：TF Carbide 评估指南--准备篇
第二篇：通过Kubernetes的服务进行基本应用程序连接
第三篇：通过Kubernetes Ingress进行高级外部应用程序连接
第四篇：通过Kubernetes命名空间实现初步的应用程序隔离
第五篇：通过Kubernetes网络策略进行应用程序微分段

作者：Jonathan McCaffrey（文章来源：Riot Games）译者：TF编译组

本期开始，我们将陆续分享Tungsten Fabric用户案例文章，一起发现TF的更多应用场景。“揭秘LOL”系列的主人公是TF用户Riot Games游戏公司，作为LOL《英雄联盟》的开发和运营商，Riot Games面临全球范围复杂部署的挑战，让我们一起揭秘LOL背后的“英雄们”，看他们是如何运行在线服务的吧。

我叫Jonathan McCaffrey，在Riot的基础架构团队工作。这是该系列文章中的第一篇，我们将深入探讨如何在全球范围内部署和操作后端功能。在深入探讨技术细节之前，重要的是要了解Rioters（Riot人）如何考虑功能开发。在Riot，玩家的价值至高无上，开发团队通常直接与玩家社区合作，以提供功能和改进信息。为了提供最佳的玩家体验，我们需要快速行动，并具备可以根据反馈保持快速更改计划的能力。基础架构团队的任务，就是为我们的开发人员能做到这一点铺平道路——越是加强Riot团队的能力，就可以越快地将功能交付给玩家使用。

当然，说起来容易做起来难！鉴于我们在部署上的多样性，因此出现了许多挑战：我们的服务器遍布在公共云、私有数据中心，以及腾讯和Garena这样的合作伙伴环境当中，所有这些环境在地理位置和技术上都各不相同。

当功能团队准备好交付组件时，这种复杂性给他们带来了巨大的负担。那就是基础架构团队的职责所在——我们通过基于容器的内部云环境（我们称为“rCluster”）消除了一些部署障碍。在本文中，我将讨论Riot从手动部署到使用rCluster启动功能的历程。为了说明rCluster的产品和技术，我将逐步介绍Hextech Crafting系统的发布（Hextech Crafting是英雄联盟的开箱系统的名字）。

一点历史

7年前，当我刚开始在Riot工作时，我们并没有太多的部署或服务器管理流程，Riot当时是一家具有远见卓识，但预算少并且需要快速发展的初创公司。当为《英雄联盟》构建生产环境基础架构时，我们匆忙的满足游戏的需求、从开发人员带来的更多功能的需求，来自区域团队的在全球开设新区的需求。我们手动启用服务器和应用，很少考虑原则或战略规划。

在此过程中，我们转向利用Chef完成许多常见的部署和基础设施任务。同时，开始将越来越多的公共云用于大数据和Web工作。这些变革也多次触发了我们的网络设计、供应商选择和团队结构的变化。

我们的数据中心容纳了数千台服务器，并且几乎为每个新应用程序都安装了新的服务器。新服务器将存在于自己手动创建的VLAN中，并具备路由和防火墙规则，以实现网络之间的安全访问。尽管此过程可以帮助我们提高安全性并明确定义故障域，但它既费时又费力。更麻烦的是，当时的大多数新功能都被设计为小型Web服务，这使得我们的LoL（英雄联盟）的生态系统，独立应用的数量激增。

最重要的是，开发团队对他们的应用程序测试能力缺乏信心，尤其是在涉及诸如配置和网络连接之类的部署问题时。将应用程序与物理环境紧密联系在一起，意味着生产数据中心环境之间的差异不会在QA（测试）、Staging（上线前）和PBE（基于模式开发）中复制。每个环境都是手工制作的、独特的，到最后始终也不能一致。（注释：本文主要想描述的两个问题，第一是客户的应用和环境紧密相关，但是由于不同的团队或者部门的应用环境不同，因此可能出现因为不一致对应用上线带来问题）

当我们在应用程序数量不断增加的生态系统中，应对手动服务器和网络配置的挑战时，Docker开始在我们的开发团队中获得普及，作为解决配置一致性和开发环境问题的方法。一旦开始使用，我们能明显感觉到Docker可以做更多的事情，并且可以在处理基础架构的过程中发挥关键作用。

2016年及以后

当时基础架构团队设定了一个目标，为2016赛季的玩家，开发人员和Riot公司解决这些问题。到2015年底，我们已经从手动部署功能，转变为以自动化且一致的方式在Riot地区部署类似Hextech Crafting等功能。我们的解决方案是用rCluster这一全新的系统，该系统在微服务架构中利用了Docker和SDN软件定义网络。切换到rCluster可以弥补我们在环境和部署过程中的不一致之处，并使产品团队可以专注于他们的产品开发。

让我们深入研究一下这项技术，以了解rCluster如何在后台支持Hextech Crafting等功能。解释一下，Hextech Crafting是《英雄联盟》的一项功能，可为玩家提供一种解锁游戏内物品的新方法。

该功能内部称为“Loot”，由3个核心组件组成：


• Loot服务 -通过HTTP/JSON ReST API提供Loot请求的Java应用程序。
• Loot缓存 -使用Memcached和小型golang sidecar进行监控、配置，以及启动/停止操作的缓存集群。
• Loot数据库 -具有一个主服务器和多个从属服务器的MySQL数据库集群。

当你打开crafting屏幕时，将发生以下情况：

1.玩家在客户端中打开crafting屏幕。

2.客户端对前端应用程序（也称为“feapp”）进行RPC调用，以代理玩家和内部后端服务之间的调用。

3.feapp调用Loot服务器

1)feapp在“服务发现”中查找Loot服务，以寻找其IP和端口信息。
2)feapp对Loot服务进行HTTP GET调用。
3)Loot服务会检查Loot缓存，以查看玩家的库存物品是否存在。
4)库存物品不在缓存中，因此，Loot服务调用Loot数据库以查看玩家当前拥有的物品，并把该结果填充到缓存。
5)Loot服务答复GET调用。

4.feapp将RPC响应发送回客户端。

与Loot团队合作，我们能够将Server和Cache层内置到Docker容器中，并且它们的部署配置在JSON文件中定义，如下所示：

Loot服务器JSON示例：

Loot缓存JSON示例：

但是，要实际部署此功能，并在减少前述的问题方面取得真正的进展——我们需要在北美、南美、欧洲和亚洲等地创建可以支持Docker的集群。这需要我们解决一堆难题，例如：


• 调度容器
• 与Docker网络联网
• 持续交付
• 运行动态应用程序

随后的文章将更详细地介绍rCluster系统的这些组件，在这里我简要概述一下每个组件。

调度（SCHEDULING）

我们使用编写的Admiral软件在rCluster生态系统中实现了容器调度。Admiral跨过一系列物理机器与Docker守护进程（daemons）进行对话，以了解其当前的运行状态。用户通过HTTPS发送上述JSON（Admiral用来更新了解对相关容器所需的状态）来发出请求，然后，它会连续扫描集群的活动状态和所需状态，以找出需要采取的措施。最后，Admiral再次调用Docker守护程序来启动和停止容器，以收敛于所需的状态。

如果某个容器崩溃，Admiral可以发现实时状态与期望状态间的差异，并在另一台主机上启动该容器以对其进行纠正。这种灵活性使管理服务器变得更加容易，因为我们可以无缝地“榨干”它们，加以维护，或者重新启用它们以处理工作负载。

Admiral与开源工具Marathon相似，因此我们正在研究移植工作以利用Mesos、Marathon和DC/OS。如果这项工作取得成果，我们将在以后的文章中讨论。

与DOCKER进行联网

容器运行后，我们需要在Loot应用程序和生态系统的其他部分之间提供网络连接。为此，我们利用OpenContrail为每个应用程序提供了专用网络，并让我们的开发团队使用GitHub中的JSON文件自己管理其策略。

Loot服务器网络：

Loot缓存网络：

当工程师在GitHub中更改此配置时，将运行一个转换作业，并在Contrail中进行API调用，为其应用程序的专用网络创建和更新策略。

Contrail使用一种称为“Overlay Networking”的技术来实现这些专用网络。在我们的案例中，Contrail 在计算主机之间使用GRE隧道，并使用网关路由器来管理进入和离开overlay隧道并前往网络其余部分的流量。OpenContrail系统的灵感来自于标准MPLS L3VPN，并且在概念上与标准MPLS L3VPN非常相似。可以在这里找到更深入的架构细节。（附注：opencontrail现在已经改名为TF）

在实施此系统时，我们必须解决一些关键挑战：

• Contrail和Docker之间的集成
• 允许网络的其他部分（rCluster外部）无缝访问新的overlay网络
• 允许一个集群中的应用程序与另一个集群进行通信
• 在AWS上运行overlay网络
• 在overlay中构建面向边缘的应用程序HA负载均衡

持续交付

对于Loot应用程序，CI流程如下所示：

此处的总体目标是，当更改主仓库（Master repo）时，将创建一个新的应用程序容器并将其部署到QA环境。有了这个工作流程，团队可以快速迭代他们的代码，并查看实际游戏中反映的更改。紧密的反馈回路，使得迅速改善体验成为可能，这是Riot“专注于玩家”工程的主要目标。

运行动态应用程序

至此，我们已经讨论了如何构建和部署Hextech Crafting之类的功能，但是，如果你花了很多时间在这样的容器环境上工作，那便不是问题所在。

在rCluster模型中，容器具有动态IP地址，并且不断跳转。这与我们以前的静态服务器和部署方法完全不同，因此需要有效的新工具和流程。

其中一些关键问题如下：

• 如果应用程序的容量和端点一直在变化，我们该如何监视它？
• 如果一个应用程序一直在变化，那么它如何知道另一个应用程序的端点？
• 如果你无法ssh进入容器并且每次启动新容器时都重置日志，那么如何分类应用程序的问题？
• 如果在构建时baking容器，如何配置数据库密码之类的东西，或者在“土耳其”与“北美”之间都切换了哪些选项？

为了解决这些问题，我们必须构建一个微服务平台，来处理诸如服务发现、配置管理和监视之类的事情。在本系列的最后一部分中，我们将深入探讨该系统及其解决问题的更多细节。

结论

希望本文能为你提供一个概览，了解我们正在尝试解决的各种问题，以使Riot更加轻松地传递玩家价值。如前所述，我们将在后续文章中重点介绍rCluster对调度的使用、与Docker进行联网，以及运行动态应用程序。

如果你正处于类似的“旅程”中，或者想参与讨论，非常欢迎与我们取得联系。

本文整理自CodiLime工程总监Krzysztof Kajkowski在“TF中文社区成立暨第一次全员大会”上的演讲。点击下载PDF文档https://tungstenfabric.org.cn/assets/uploads/files/openstack-powerd-by-tf.pdf

大家好，我是来自CodiLime的Kris，来自波兰，在Tungsten Fabirc（以下简称TF）社区已经做了五年时间。

我要为大家演示的是OpenStack与Tungsten Fabric相集成的方案。由于TF SDN可以与其他ML2驱动程序一起运行，使得用户可同时运行基于OVS、SR-IOV和vRouter的工作，并能将基于OVS的计算实时迁移到基于vRouter上面。

这里是基本的结构，最底层是OpenStack，上面有三个部署模式，分别为SR-IOV、OVS和TF。

我会在接下来的演示中，通过OpenStack的Web UI来创建多个虚机，虚机之间可通过网络进行通信。

OpenStack会对这些虚机进行编排管理，在后台我们运行了ML2的插件，以便在TF的vRouter中进行VM和网络的创建。

这个插件就是TF和OpenStack的集成方案，这种集成可使得OpenStack可以和上面的SR-IOV、OVS等进行沟通。

这里我们所运行的网络是瞻博网络的vMX。在L2的连接通信上，我们用vMX来做路由和交换。在L3上就复杂一些了，vMX是作为路由器来工作。

所有的这些后台功能，我在Demo里都已经预先配置好了。

演示会分成四个部分：首先是为每一个节点（也就是OVS、TF、SR-IOV）创建实例；然后我会展示实例之间相互的通信；我们还会演示实例与Internet互联网的通信；最后，我会展示如何把在OVS上的虚机迁移到TF上。

我从OpenStack UI上创建名为VM-MIGRATE的演示，然后通过vRouter实现迁移。

首先我们启动OpenStack来创建实例。

先创建一个OVS的实例，下面再启动另外一个vRouter的实例，放在同样的网络上，网络地址是50.50.50.X，这些都是通过OpenStack去运行的。

再添加一个SR-IOV的实例，这些展示的是网络的端口。

我们一开始先创建这三个实例，它们都在同一个网络上。

这是TF的界面，我们在上面看到了保存的这些实例。所以没有问题，说明OpenStack已经通过vRouter实现了与TF的通信。

接下来，我们看一下这些实例之间的网络通信。

我们通过控制面板登录进OVS的实例。

然后我们ping通了vRouter的网络。

同样也ping通了SR-IOV的网络。

我们再ping下互联网，也连通了。

所以我们看到，这三个新创建的实例之间ping通都没有问题，而且也都ping通了互联网。

最后，我们展示一下迁移的场景。

有时候你无需创建新的实例，只需要把虚机进行迁移就可以了，但记得之后要做网络验证测试。

下面我们创建一个VM-MIGRATE的实例。

大家可以看到在TF上已经出现这个实例了。

我们可以在OpenStack上看到它的类型，是一个OVS的类型，但是待会儿它会改变。

现在开始迁移。点击迁移，选择一个节点，我们选择第四个节点，然后提交。

现在这个VM正在迁移中，最后它应该被迁移成note 4。

好，没问题，大家可以看到它已经变成第四个节点了，IP地址并没有改变。

我们再看它的实例类型，已经变成vRouter了。

再从TF里看一下，是的，这里也有了一个实例。

我们再检测下它的网络连接性。

好的，它与OVS、vRouter、SR-IOV的网络连接，都没有问题。

然后现在是和互联网的连接，也都没问题。

我的现场演示就到这里，谢谢！