在刚刚结束的“2020虚拟开发人员和测试论坛”上，来自瞻博网络的工程师Kiran KN和同事，介绍了在Tungsten Fabric数据平面上完成的一组性能改进（由Intel DDP技术提供支持），以下为论坛技术分享的精华：

作为DPDK应用的vRouter

---

在深入到DDP技术之前，首先介绍一下vRouter，它是什么，以及在整个Tungsten Fabric框架中的位置。

实际上，vRouter可以部署在常规X86服务器上，也可以在OpenStack或K8s的计算节点当中。vRouter是主要的数据平面组件，有两种部署的模式，分别是vRouter:kernel module，以及vRouter:DPDK模式。

在用DPDK改善性能之前，此用例将涉及DPDK应用和vRouter。vRouter的职责是数据平面，用于数据包转发和由vRouter代理在计算节点上编程的数据包转发，但实际上，整个配置是通过控制器上的XMPP提供的。我们使用XMPP通过vRouter agent与控制器通信，并且有一个专门的接口来对vRouter数据平面进行编程以转发软件包。

在DPDK中，vRouter是一个高性能、多核和多线程的应用程序，这里想强调一下，它是专用于多核的DPDK应用，我们需要寻找多核的正确用法。

我们可以从示例中看到，网卡具有与vRouter相同数量的队列，已为数据包或链接分配了核心。

首先，数据包需要由网卡平均地分配到所有路由器转发核心。为此，使用了带有5元组哈希的算法，在所有内核之间正确分配流量。而且，适当的负载平衡是基于数据包的，并且要实现该数据包需要具有5元组，多个源的目标端口IP地址。如果该协议正确，则该协议可以确定所有内核之间的流量平均分配，并且我们可以利用它分配给vRouter DPDK的所有内核的性能。尽管此流量包分布在各个处理内核上，但可以通过TX接口队列，将它们适当地放置到虚拟机中。

如果此流量在各个内核之间没有得到适当的平衡，则vRouter将在没有内核的情况下进行重新平衡，但是对于内核来说，通过内核重新哈希化它们的代价很高，这意味着它们会消耗CPU周期并带来额外的延迟。

这就是我们面临的问题，但在今天得到了很大程度的解决，我们可以期待网卡能够完成此任务，并适当地平衡vRouter核心之间的流量。

也就是说，具有MPLSoGRE的计算类型没有足够的熵（entropy）。由于熵的存在，我们的报头中没有足够的信息，或无法正确平衡数据包的负载。

具体来说，数据包应该具有完整的端口信息，包含完整的5个要素，即源IP、目标IP、源端口、目标端口和协议。但是在MPLSoGRE只有源IP、目标IP和协议三元组信息。因此，网卡无法适当地平衡数据包的负载，由于该CPU内核，一对计算节点之间的所有数据包都落在瓶颈中的同一区域，这将导致网卡队列成为整个计算的瓶颈，并且性能受到影响。

例如，假设一对计算节点之间有数千个流（flows）。理想情况下，我们希望将流平衡分布在所有的内核上，以便可以由不同的CPU将其拾取，以进行数据包处理。但是对于MPLSoGRE，已知端口的信息没有足够的熵，来自特定计算节点的所有数据包都会发生，即使有很多流量，网卡也不会将它们分发到所有队列。因此，这里不再像我们所知道的那样，实际上数据包不会像这样分散在多个内核中，它只会分配给一个内核。

因此，尽管有很多CPU内核，但由于所有数据包必须经过C1，C1本质上成为了瓶颈。数据包无法直接流经C2、C3、C4，是因为它们没有在硬件上加载，所有其它内核必须从C1获取数据包，显然C1将会过载。

引入DDP消除瓶颈

---

我们为Tungsten Fabric数据平面引入了一项新功能，该功能消除了MPLSoGRE数据包的瓶颈，使得性能与CPU内核数成正比。这意味着没有单个CPU内核会成为瓶颈，并且网卡硬件将数据包平均分配给所有CPU内核。

我们的解决方案由Intel DDP（dynamic device personalization）技术提供支持，使用以太网700系列的产品来提供。英特尔转向可编程管线模型后，确保它们引入了诸如固件可升级之类的功能，DDP允许在运行时动态重新配置网卡中的数据包处理管道，而无需重启服务器。软件可以将自定义配置文件应用到网卡，我们可以将这些配置文件视为附件，可以由最终用户自己构建。这些配置文件可以通过软件刷新到网卡上，以便它们可以开始在线识别和分类新的数据包类型，并将这些数据包分配到不同的Rx队列。

这是MPLSoGRE实施的情况，首先是这是一个没有DDP提取功能的MPLSoGRE数据包，它没有获得在当前数据包中听到的内部实际存在的启动信息，因此它没有足够的信息来正确分配数据包。在第二个图例中启用了DDP，配置文件便可以开始识别内部数据包标头，以及内部IP标头和内部UDP标头，因此它可以开始使用该信息来计算哈希。

如何使DDP成为最终用户需要为其数据包类型创建配置文件的方式？

可以通过使用Intel的配置文件编辑器（profile editor）工具来创建，Intel在其上发布了一些标准配置文件，可以直接从Intel网站下载。配置文件编辑器可用于创建新条目，或者修改分析器的现有条目，这是第1步。第2步，为MPLSoGRE数据包创建一个新的配置文件，该配置文件在不同的层上定义数据包头的结构。第3步，是编译并创建一个二进制程序包，可以应用于网卡。第4步，我们可以使用DPDK API在每个工具接口将这些配置文件加载到网卡。接下来第5步，网卡就能够识别MPLSoGRE数据包。

对性能提升的测试及确认

---

接下来，我们需要测试并确认，DDP可以提供帮助带来性能提升。

首先，我们的测试框架广泛用于开发和测试vRouter。我们使用代理方式以拥有快速概念验证的能力，并收集信息。测试vRouter性能的所有方法，包括封装和计算节点之间的封装，并且总是会包含overlay网络，就像在图例中的所看到的那样，我们通过第三个对象（rapid jump VM），该对象只有控制流量（不通过其它任何流量），向VM发送指令并收集信息。为了实现测试目标，我们采用丢包率只有0.001％的二进制搜索，使用标准的测试框架和规范。

在vRouter中，我们可以找到脚本，显示每个内核CPU数据包处理的统计信息，以证明网卡正确地集中了所有内核之间的流量。这些统计信息来自VM0接口，这意味着连接与物理网卡之间的接口。

在左侧，你可以看到内核1没有在处理软件包，这实际上意味着该内核未接收到任何由vRouter处理的软件包。此内核只是忙于轮询程序包，并在vRouter上的其它可用内核之间分配程序包。这意味着vRouter将成为瓶颈，因为首先需要将所有进入vRouter的流量从网卡队列中拉出，然后将其进行重新分配（跨其它核心）以转发到VM。

而在右侧，你可以看到使用DDP的网卡已经正确分配了流量，Rx队列中所有内核之间的流量几乎相等。证明网卡完成了自己工作，并平均分配了流量。

可以看到，是否使用DDP，在性能结果中统计数据上的差别。在不大于3个内核的情况下，使用DDP并没有得到任何好处——因为对于轮询内核和跨内核重新分配流量，目前网卡处理这样的队列还是足够快的。

但是一旦增加内核数量，然后提高整体性能，那么网卡就成为了瓶颈——在没有DDP的情况下性能不会提高，即使增加了内核数也是如此，因为总有一个内核在拉动流量，并且你可以看到，在没有DDP的部分中6.5mpps左右是一个内核从网卡队列中轮询的最大值。

随着内核的数量增加，每个内核都从网卡接收了相同数量的流量。一旦内核数量超过6个，则收益将变得更高。正如我们所看到的，具有6个内核的增益大约为73％，这确实是个很酷的数字。不仅可以提高性能，使用DDP还可以得到更好的降低延迟。这是因为我们不需要平衡内核之间的流量，也不需要计算每个数据包的哈希值。在vRouter上，这将由网卡完成，收益的增加平均为40％，最多为80％，这已经是非常棒的数字了。

综上，对于拥有多个内核的用例，我们可以借助DDP技术获得很大的收益。另外，对于5G用例而言，DDP能够减少延迟这一点非常重要。在所有我们希望使用MPLSoGRE情况下，借助vRouter，我们已经准备好在多核中进行5G应用部署。

【本文相关资料pdf文档下载】
https://tungstenfabric.org.cn/assets/uploads/files/tf-vrouter-performance-improvements.pdf

【视频链接】
https://v.qq.com/x/page/j3108a4m1va.html

作者：Umberto Manferdini 译者：TF编译组

如果你看过任何有关Tungsten Fabric（附注：原文为Contrail，在本系列文章中，Tungsten Fabric的功能与Contrail一致，文中出现Contrail之处均以Tungsten Fabric替换）的演示，可能都会碰到“服务链（service chain）”这个热词。现在，是时候对这个功能好好动手研究一番了。

那么什么是服务链？简而言之，就是使流量在两个虚拟网络之间流动的过程中，经过一项或多项“服务”。

让我们举个例子吧！这里有2个虚拟网络：pippo和pluto。我们希望这两个网络互相通信。在Tungsten Fabric中，只需在两个虚拟网络上配置相同的RT（route target）即可实现（虚拟网络是vrfs，还记得吗？）。（附注：Route target 即RT，在Tungsten Fabric用来作为路由的标记，也是MPLS中常用的路由更新标记。）

还有一个选择，我们可以构建一个网络策略，同时适用于两个网络，就是“允许这些虚拟网络之间的任何流量”。而在幕后，Tungsten Fabric仍然依赖于路由route target（隐藏和自动生成目标）。

因此我们可以说，这两种方法是相同的。

这看起来是正确的，但从根本上是错误的！使用网络策略，使我们可以指定在虚拟网络之间移动时，流量必须通过的一个或多个服务实例。这是第一种方法无法做到的。而这就是服务链！（附注：此处作者希望表达的是，尽管结果相同，但是实现的内容不一样，第一种same RT实现的内容，是不同的网络之间的路由属性相同，意味着可以相互泄露和打通，而第二个则不是。）

如前所述，服务链可以包括一项或多项服务。这意味着从pippo到pluto的流量可以穿越防火墙，也同时穿越（一个接一个）防火墙和DPI。

乍一看，有人会说：“好，很酷！但我也可以通过路由做同样的事情……”。没错，但这里真正重要的是——易于部署。Tungsten Fabric负责所有事务，并自动配置所有需要的路由。你只需要告诉Tungsten Fabric自己的意图即可：“允许这些网络进行通话，并使流量通过这些服务实例”。我们正处于基于意图的时代，不是吗？

当然，这还不是故事的全部。Tungsten Fabric在表中引入了其它功能，例如运行状况检查（health checks），以提供高可用性和扩展能力。此外，网络策略本身也可以用于基于L4的规则拒绝/允许流量。

那么，现在的问题是：创建服务链需要做些什么？

让我们来仔细研究所有要素！

首先，我们需要两个虚拟网络。无需对它们配置任何route target。

接下来，我们在它们之间配置一个网络策略，允许所有流量通过：

此时，两个网络可以互相通信！是时候转向服务链了。

首先，我们创建一个虚拟机，该虚拟机将成为我们服务实例的一部分。这是两个虚拟网络（VNF）之间的流量将遍历的虚拟机！

例如，该虚拟机可以是防火墙。该VM必须在Openstack中创建；就像通过Nova创建的任何其它VM一样。

这是在Openstack上执行的唯一操作。

接下来，回到Tungsten Fabric！我们创建一个名为服务模板（service template）的对象：

顾名思义，服务模板是对服务的描述。下面五个参数是必须要配置的：

• 版本（version），必须为v2
• 虚拟化类型（virtualization type），除非你打算使用物理网络功能（PNF），否则必须为虚拟机
• 服务类型（service type），可以是防火墙或分析器，我们使用第一个。
• 服务模式（service mode），可以是transparent（bump in the wire），in-network（最常见），in-network-nat（使用nat时的特殊用例）
• 接口列表，通常我们定义两个接口：左和右

由于这是模板，因此可以多次用于不同VM的配置。例如，Juniper防火墙服务实例和第三方供应商防火墙服务实例都可以用服务模板进行部署。重要的是，在这两种情况下，在OpenStack中创建的虚拟机都有两个接口，可以将它们映射到服务模板中定义的接口（左和右）上。

接下来，我们创建服务实例。在服务实例对象中可以配置很多东西。这里，我们将专注于使链条正常工作的最小配置。

服务实例引用服务模板。一旦指定了此引用，就可以将服务模板（左和右）中定义的接口映射到实际的虚拟网络。例如，在这种情况下，我们向左映射到fourcade，向右映射到wierer。

现在，我们引入一个关键对象：端口元组（port tuple）。它是引用虚拟机接口的元组。如前所述，充当防火墙的实际VM不是由Tungsten Fabric定义的，而是像OpenStack中的任何其它VM一样所创建的。但是，我们需要将该虚拟机“链接”到我们的服务实例。这是通过端口元组实现的。“链接”在虚拟机接口（vmi）级别执行。

在这种情况下，端口元组将包含两个元素，一个用于服务模板中定义的每个接口（左和右）。此外，我们将服务模板接口映射到虚拟网络（向左映射到fourcade，向右映射到wierer）。

现在，让我们看一下虚拟机。它有3个端口：eth0连接到我们不关心的虚拟网络，eth1连接到fourcade，eth2连接到wierer。下一步是什么？很明显！端口元组将包括eth1和eth2。这就是我们告诉Tungsten Fabric在遍历服务实例时流量应该流向何处的方式。

没有什么能阻止我们让单个服务实例拥有多个端口元组……ECMP怎么办？active/backup如何处理？…有主意吗？我们稍后会处理。

现在，让我们先聚焦这个用例。我们现在到哪儿了？来自fourcade网络中的VM的流量，要发往更wierer网络中的一个IP地址。流量需要从fourcade到wierer。这个通信在网络策略中是允许的。由于网络策略告诉从fourcade到wierer的流量必须经过服务实例，因此数据包被发送到VM eth1端口，并将从eth2端口进入wierer网络。

由于Tungsten Fabric是基于流的，因此可以保证对称性和粘性！

这就是珠穆朗玛峰的理论。

在下篇文章中，我们将看到一个真实的例子。这将使我们看到创建一条服务链有多么容易，以及Tungsten Fabric如何掩盖了所有的复杂性！

Tungsten Fabric 架构解析系列文章——

第一篇：TF主要特点和用例
第二篇：TF怎么运作
第三篇：详解vRouter体系结构
第四篇：TF的服务链
第五篇：vRouter的部署选项
第六篇：TF如何收集、分析、部署？
第七篇：TF如何编排
第八篇：TF支持API一览
第九篇：TF如何连接到物理网络？
第十篇： TF基于应用程序的安全策略

Tungsten Fabric解决方案指南-Kubernetes集成（上）

隔离端口

{    "fq_name": [        "default-domain",        "kubernetes",        "dev-client__c64b3b12-f7b5-11e7-8f66-52540065dced"    ],    "virtual_machine_interface_mac_addresses": {        "mac_address": [            "02:c6:4b:3b:12:f7"        ]    },    "display_name": "dev__dev-client",    "security_group_refs": [        {            "to": [                "default-domain",                "kubernetes",                "k8s-default-dev-sg"            ],            "href": "http://127.0.0.1:8082/security-group/579019d5-038e-4901-b6ab-ed146022dd70",            "attr": null,            "uuid": "579019d5-038e-4901-b6ab-ed146022dd70"        },        {            "to": [                "default-domain",                "kubernetes",                "k8s-default-dev-default"            ],            "href": "http://127.0.0.1:8082/security-group/e43caf6e-6b35-40c3-b336-83c155078efe",            "attr": null,            "uuid": "e43caf6e-6b35-40c3-b336-83c155078efe"        }    ],    "routing_instance_refs": [        {            "to": [                "default-domain",                "kubernetes",                "dev-vn",                "dev-vn"            ],            "href": "http://127.0.0.1:8082/routing-instance/45173786-a1b4-4c75-8ef0-590de67d2d05",            "attr": {                "direction": "both",                "protocol": null,                "ipv6_service_chain_address": null,                "dst_mac": null,                "mpls_label": null,                "vlan_tag": null,                "src_mac": null,                "service_chain_address": null            },            "uuid": "45173786-a1b4-4c75-8ef0-590de67d2d05"        }    ],    "virtual_machine_interface_disable_policy": false,    "parent_type": "project",    "perms2": {        "owner": "None",        "owner_access": 7,        "global_access": 0,        "share": []    },    "virtual_network_refs": [        {            "to": [                "default-domain",                "kubernetes",                "dev-vn"            ],            "href": "http://127.0.0.1:8082/virtual-network/ce01826b-e3e6-407f-8798-80612018e89c",            "attr": null,            "uuid": "ce01826b-e3e6-407f-8798-80612018e89c"        }    ],    "id_perms": {        "enable": true,        "description": null,        "creator": null,        "created": "2018-01-12T16:29:34.640295",        "uuid": {            "uuid_mslong": 14288579195414319591,            "uuid_lslong": 10333036915785587949        },        "user_visible": true,        "last_modified": "2018-01-12T16:29:34.708511",        "permissions": {            "owner": "cloud-admin",            "owner_access": 7,            "other_access": 7,            "group": "cloud-admin-group",            "group_access": 7        }    },    "virtual_machine_refs": [        {            "to": [                "dev-client__c64878a1-f7b5-11e7-9dbb-98f2b3a33b90"            ],            "href": "http://127.0.0.1:8082/virtual-machine/c64878a1-f7b5-11e7-9dbb-98f2b3a33b90",            "attr": null,            "uuid": "c64878a1-f7b5-11e7-9dbb-98f2b3a33b90"        }    ],    "vlan_tag_based_bridge_domain": false,    "port_security_enabled": true,    "annotations": {        "key_value_pair": [            {                "key": "cluster",                "value": "k8s-default"            },            {                "key": "kind",                "value": "Pod"            },            {                "key": "namespace",                "value": "dev"            },            {                "key": "project",                "value": "kubernetes"            },            {                "key": "name",                "value": "dev-client"            },            {                "key": "owner",                "value": "k8s"            }        ]    },    "uuid": "c64b3b12-f7b5-11e7-8f66-52540065dced"}{    "fq_name": [        "dev-client__c65c2a12-f7b5-11e7-8f66-52540065dced"    ],    "uuid": "c65c2a12-f7b5-11e7-8f66-52540065dced",    "service_health_check_ip": false,    "instance_ip_address": "10.47.255.250",    "perms2": {        "owner": "cloud-admin",        "owner_access": 7,        "global_access": 0,        "share": []    },    "annotations": {        "key_value_pair": [            {                "key": "cluster",                "value": "k8s-default"            },            {                "key": "kind",                "value": "Pod"            },            {                "key": "namespace",                "value": "dev"            },            {                "key": "project",                "value": "kubernetes"            },            {                "key": "name",                "value": "dev-client"            },            {                "key": "owner",                "value": "k8s"            }        ]    },    "subnet_uuid": "4b421367-165a-4555-80ab-2cff90cb9401",    "id_perms": {        "enable": true,        "description": null,        "creator": null,        "created": "2018-01-12T16:29:34.763793",        "uuid": {            "uuid_mslong": 14293345578320728551,            "uuid_lslong": 10333036915785587949        },        "user_visible": true,        "last_modified": "2018-01-12T16:29:34.810063",        "permissions": {            "owner": "cloud-admin",            "owner_access": 7,            "other_access": 7,            "group": "cloud-admin-group",            "group_access": 7        }    },    "virtual_machine_interface_refs": [        {            "to": [                "default-domain",                "kubernetes",                "dev-client__c64b3b12-f7b5-11e7-8f66-52540065dced"            ],            "href": "http://127.0.0.1:8082/virtual-machine-interface/c64b3b12-f7b5-11e7-8f66-52540065dced",            "attr": null,            "uuid": "c64b3b12-f7b5-11e7-8f66-52540065dced"        }    ],    "service_instance_ip": false,    "instance_ip_local_ip": false,    "virtual_network_refs": [        {            "to": [                "default-domain",                "kubernetes",                "dev-vn"            ],            "href": "http://127.0.0.1:8082/virtual-network/ce01826b-e3e6-407f-8798-80612018e89c",            "attr": null,            "uuid": "ce01826b-e3e6-407f-8798-80612018e89c"        }    ],    "instance_ip_secondary": false,    "display_name": "dev__dev-client"}

附录B Service

B.1 LB VMI

{    "fq_name": [        "default-domain",        "kubernetes",        "svc-dev-web__20c27603-2d0f-45f5-9647-defe4adaba9a"    ],    "virtual_machine_interface_mac_addresses": {        "mac_address": [            "02:20:c2:76:03:2d"        ]    },    "display_name": "dev-share__svc-dev-web",    "security_group_refs": [        {            "to": [                "default-domain",                "kubernetes",                "k8s-default-dev-share-sg"            ],            "href": "http://127.0.0.1:8082/security-group/791f1c7e-a66e-4c47-ba05-409f00ee2c8e",            "attr": null,            "uuid": "791f1c7e-a66e-4c47-ba05-409f00ee2c8e"        },        {            "to": [                "default-domain",                "kubernetes",                "k8s-default-dev-share-default"            ],            "href": "http://127.0.0.1:8082/security-group/ad29de07-5ef6-4f55-86bb-52c44827c09d",            "attr": null,            "uuid": "ad29de07-5ef6-4f55-86bb-52c44827c09d"        }    ],    "routing_instance_refs": [        {            "to": [                "default-domain",                "kubernetes",                "cluster-network",                "cluster-network"            ],            "href": "http://127.0.0.1:8082/routing-instance/5ed7608a-28bb-4735-a8d8-2e9132b03d62",            "attr": {                "direction": "both",                "protocol": null,                "ipv6_service_chain_address": null,                "dst_mac": null,                "mpls_label": null,                "vlan_tag": null,                "src_mac": null,                "service_chain_address": null            },            "uuid": "5ed7608a-28bb-4735-a8d8-2e9132b03d62"        }    ],    "virtual_machine_interface_disable_policy": false,    "parent_type": "project",    "perms2": {        "owner": "None",        "owner_access": 7,        "global_access": 0,        "share": []    },    "virtual_network_refs": [        {            "to": [                "default-domain",                "kubernetes",                "cluster-network"            ],            "href": "http://127.0.0.1:8082/virtual-network/1b9f7f74-17f0-493a-9108-729f91b43598",            "attr": null,            "uuid": "1b9f7f74-17f0-493a-9108-729f91b43598"        }    ],    "id_perms": {        "enable": true,        "description": null,        "creator": null,        "created": "2018-01-12T15:21:05.324801",        "uuid": {            "uuid_mslong": 2360578910708516341,            "uuid_lslong": 10828869012794555034        },        "user_visible": true,        "last_modified": "2018-01-12T15:21:05.365345",        "permissions": {            "owner": "cloud-admin",            "owner_access": 7,            "other_access": 7,            "group": "cloud-admin-group",            "group_access": 7        }    },    "vlan_tag_based_bridge_domain": false,    "virtual_machine_interface_device_owner": "K8S:LOADBALANCER",    "port_security_enabled": true,    "uuid": "20c27603-2d0f-45f5-9647-defe4adaba9a"}

B.2 LB IP实例和浮动IP

IP实例

{    "fq_name": [        "svc-dev-web__ff9782ea-f79d-423e-af9e-cde45ef847f2"    ],    "uuid": "ff9782ea-f79d-423e-af9e-cde45ef847f2",    "service_health_check_ip": false,    "instance_ip_address": "10.167.87.84",    "perms2": {        "owner": "cloud-admin",        "owner_access": 7,        "global_access": 0,        "share": []    },    "virtual_network_refs": [        {            "to": [                "default-domain",                "kubernetes",                "cluster-network"            ],            "href": "http://127.0.0.1:8082/virtual-network/1b9f7f74-17f0-493a-9108-729f91b43598",            "attr": null,            "uuid": "1b9f7f74-17f0-493a-9108-729f91b43598"        }    ],    "id_perms": {        "enable": true,        "description": null,        "creator": null,        "created": "2018-01-12T15:21:05.433006",        "uuid": {            "uuid_mslong": 18417333146843169342,            "uuid_lslong": 12654778383687239666        },        "user_visible": true,        "last_modified": "2018-01-12T15:21:05.433006",        "permissions": {            "owner": "cloud-admin",            "owner_access": 7,            "other_access": 7,            "group": "cloud-admin-group",            "group_access": 7        }    },    "virtual_machine_interface_refs": [        {            "to": [                "default-domain",                "kubernetes",                "svc-dev-web__20c27603-2d0f-45f5-9647-defe4adaba9a"            ],            "href": "http://127.0.0.1:8082/virtual-machine-interface/20c27603-2d0f-45f5-9647-defe4adaba9a",            "attr": null,            "uuid": "20c27603-2d0f-45f5-9647-defe4adaba9a"        }    ],    "service_instance_ip": false,    "instance_ip_local_ip": false,    "instance_ip_secondary": false,    "display_name": "svc-dev-web"}

Floating IP

{    "project_refs": [        {            "to": [                "default-domain",                "kubernetes"            ],            "href": "http://127.0.0.1:8082/project/46c31b9b-d21c-4c27-9445-6c94db948b6d",            "attr": null,            "uuid": "46c31b9b-d21c-4c27-9445-6c94db948b6d"        }    ],    "fq_name": [        "svc-dev-web__ff9782ea-f79d-423e-af9e-cde45ef847f2",        "dee62bd0-ed5a-4ac5-b7d7-dc6f329cdba7"    ],    "uuid": "dee62bd0-ed5a-4ac5-b7d7-dc6f329cdba7",    "floating_ip_port_mappings": {        "port_mappings": [            {                "protocol": "TCP",                "src_port": 80,                "dst_port": 80            }        ]    },    "parent_type": "instance-ip",    "perms2": {        "owner": "cloud-admin",        "owner_access": 7,        "global_access": 0,        "share": []    },    "id_perms": {        "enable": true,        "description": null,        "creator": null,        "created": "2018-01-12T15:21:05.562790",        "uuid": {            "uuid_mslong": 16061573297398762181,            "uuid_lslong": 13247299199082224551        },        "user_visible": true,        "last_modified": "2018-01-12T15:21:06.073466",        "permissions": {            "owner": "cloud-admin",            "owner_access": 7,            "other_access": 7,            "group": "cloud-admin-group",            "group_access": 7        }    },    "floating_ip_address": "10.167.87.84",    "virtual_machine_interface_refs": [        {            "to": [                "default-domain",                "kubernetes",                "dev-web-669n0__59f3d2a8-f7ab-11e7-8f66-52540065dced"            ],            "href": "http://127.0.0.1:8082/virtual-machine-interface/59f3d2a8-f7ab-11e7-8f66-52540065dced",            "attr": null,            "uuid": "59f3d2a8-f7ab-11e7-8f66-52540065dced"        },        {            "to": [                "default-domain",                "kubernetes",                "dev-web-k528t__5a1fc03e-f7ab-11e7-8f66-52540065dced"            ],            "href": "http://127.0.0.1:8082/virtual-machine-interface/5a1fc03e-f7ab-11e7-8f66-52540065dced",            "attr": null,            "uuid": "5a1fc03e-f7ab-11e7-8f66-52540065dced"        }    ],    "floating_ip_port_mappings_enable": true,    "display_name": "dee62bd0-ed5a-4ac5-b7d7-dc6f329cdba7",    "floating_ip_traffic_direction": "ingress"}

B.3 LB

Loadbalancer

{    "fq_name": [        "default-domain",        "kubernetes",        "svc-dev-web__34f826d8-f7ac-11e7-9dbb-98f2b3a33b90"    ],    "uuid": "34f826d8-f7ac-11e7-9dbb-98f2b3a33b90",    "service_appliance_set_refs": [        {            "to": [                "default-global-system-config",                "native"            ],            "href": "http://127.0.0.1:8082/service-appliance-set/d5cf94dd-6556-40fc-b3dd-0020dacf7cfc",            "attr": null,            "uuid": "d5cf94dd-6556-40fc-b3dd-0020dacf7cfc"        }    ],    "parent_type": "project",    "perms2": {        "owner": "None",        "owner_access": 7,        "global_access": 0,        "share": []    },    "loadbalancer_properties": {        "status": null,        "provisioning_status": "ACTIVE",        "admin_state": true,        "vip_address": "10.167.87.84",        "vip_subnet_id": null,        "operating_status": "ONLINE"    },    "id_perms": {        "enable": true,        "description": null,        "creator": null,        "created": "2018-01-12T15:21:05.486093",        "uuid": {            "uuid_mslong": 3816843397506535911,            "uuid_lslong": 11365846252762905488        },        "user_visible": true,        "last_modified": "2018-01-12T15:21:05.514920",        "permissions": {            "owner": "cloud-admin",            "owner_access": 7,            "other_access": 7,            "group": "cloud-admin-group",            "group_access": 7        }    },    "virtual_machine_interface_refs": [        {            "to": [                "default-domain",                "kubernetes",                "svc-dev-web__20c27603-2d0f-45f5-9647-defe4adaba9a"            ],            "href": "http://127.0.0.1:8082/virtual-machine-interface/20c27603-2d0f-45f5-9647-defe4adaba9a",            "attr": null,            "uuid": "20c27603-2d0f-45f5-9647-defe4adaba9a"        }    ],    "display_name": "dev-share__svc-dev-web",    "loadbalancer_provider": "native",    "annotations": {        "key_value_pair": [            {                "key": "cluster",                "value": "k8s-default"            },            {                "key": "kind",                "value": "Service"            },            {                "key": "namespace",                "value": "dev-share"            },            {                "key": "project",                "value": "kubernetes"            },            {                "key": "name",                "value": "svc-dev-web"            },            {                "key": "owner",                "value": "k8s"            }        ]    }}

LB Listener

{    "loadbalancer_listener_properties": {        "default_tls_container": null,        "protocol": "TCP",        "connection_limit": null,        "admin_state": true,        "sni_containers": [],        "protocol_port": 80    },    "fq_name": [        "default-domain",        "kubernetes",        "svc-dev-web__34f826d8-f7ac-11e7-9dbb-98f2b3a33b90-TCP-80-331d4fc1-7e80-47a7-a6a0-6cef54c37b6c"    ],    "uuid": "331d4fc1-7e80-47a7-a6a0-6cef54c37b6c",    "parent_type": "project",    "perms2": {        "owner": "None",        "owner_access": 7,        "global_access": 0,        "share": []    },    "id_perms": {        "enable": true,        "description": null,        "creator": null,        "created": "2018-01-12T15:21:05.564006",        "uuid": {            "uuid_mslong": 3683187762728552359,            "uuid_lslong": 12006716381744823148        },        "user_visible": true,        "last_modified": "2018-01-12T15:21:05.564006",        "permissions": {            "owner": "cloud-admin",            "owner_access": 7,            "other_access": 7,            "group": "cloud-admin-group",            "group_access": 7        }    },    "loadbalancer_refs": [        {            "to": [                "default-domain",                "kubernetes",                "svc-dev-web__34f826d8-f7ac-11e7-9dbb-98f2b3a33b90"            ],            "href": "http://127.0.0.1:8082/loadbalancer/34f826d8-f7ac-11e7-9dbb-98f2b3a33b90",            "attr": null,            "uuid": "34f826d8-f7ac-11e7-9dbb-98f2b3a33b90"        }    ],    "display_name": "svc-dev-web__34f826d8-f7ac-11e7-9dbb-98f2b3a33b90-TCP-80-331d4fc1-7e80-47a7-a6a0-6cef54c37b6c"}

LB Pool

{    "fq_name": [        "default-domain",        "kubernetes",        "svc-dev-web__34f826d8-f7ac-11e7-9dbb-98f2b3a33b90-TCP-80-331d4fc1-7e80-47a7-a6a0-6cef54c37b6c"    ],    "uuid": "3ed542dc-cbc5-4b47-aeb7-c35f8443a672",    "parent_type": "project",    "perms2": {        "owner": "None",        "owner_access": 7,        "global_access": 0,        "share": []    },    "loadbalancer_listener_refs": [        {            "to": [                "default-domain",                "kubernetes",                "svc-dev-web__34f826d8-f7ac-11e7-9dbb-98f2b3a33b90-TCP-80-331d4fc1-7e80-47a7-a6a0-6cef54c37b6c"            ],            "href": "http://127.0.0.1:8082/loadbalancer-listener/331d4fc1-7e80-47a7-a6a0-6cef54c37b6c",            "attr": null,            "uuid": "331d4fc1-7e80-47a7-a6a0-6cef54c37b6c"        }    ],    "id_perms": {        "enable": true,        "description": null,        "creator": null,        "created": "2018-01-12T15:21:05.646375",        "uuid": {            "uuid_mslong": 4527598516469844807,            "uuid_lslong": 12589746098345846386        },        "user_visible": true,        "last_modified": "2018-01-12T15:21:05.646375",        "permissions": {            "owner": "cloud-admin",            "owner_access": 7,            "other_access": 7,            "group": "cloud-admin-group",            "group_access": 7        }    },    "loadbalancer_pool_properties": {        "status": null,        "protocol": "TCP",        "subnet_id": null,        "session_persistence": null,        "admin_state": true,        "persistence_cookie_name": null,        "status_description": null,        "loadbalancer_method": null    },    "display_name": "svc-dev-web__34f826d8-f7ac-11e7-9dbb-98f2b3a33b90-TCP-80-331d4fc1-7e80-47a7-a6a0-6cef54c37b6c"}

LB Member

{    "fq_name": [        "default-domain",        "kubernetes",        "svc-dev-web__34f826d8-f7ac-11e7-9dbb-98f2b3a33b90-TCP-80-331d4fc1-7e80-47a7-a6a0-6cef54c37b6c",        "53d85c7f-6b13-482e-8706-92142bfa2543"    ],    "uuid": "53d85c7f-6b13-482e-8706-92142bfa2543",    "parent_type": "loadbalancer-pool",    "perms2": {        "owner": "None",        "owner_access": 7,        "global_access": 0,        "share": []    },    "id_perms": {        "enable": true,        "description": null,        "creator": null,        "created": "2018-01-12T15:21:05.811773",        "uuid": {            "uuid_mslong": 6041680602444548142,            "uuid_lslong": 9729624660315350339        },        "user_visible": true,        "last_modified": "2018-01-12T15:21:05.830431",        "permissions": {            "owner": "cloud-admin",            "owner_access": 7,            "other_access": 7,            "group": "cloud-admin-group",            "group_access": 7        }    },    "display_name": "53d85c7f-6b13-482e-8706-92142bfa2543",    "loadbalancer_member_properties": {        "status": null,        "status_description": null,        "weight": 1,        "admin_state": true,        "address": null,        "protocol_port": 80    },    "annotations": {        "key_value_pair": [            {                "key": "vm",                "value": "708154c6-f7ab-11e7-a9df-98f2b3a36be0"            },            {                "key": "vmi",                "value": "5a1fc03e-f7ab-11e7-8f66-52540065dced"            }        ]    }}

B.4 外部FIP

{    "project_refs": [        {            "to": [                "default-domain",                "kubernetes"            ],            "href": "http://127.0.0.1:8082/project/46c31b9b-d21c-4c27-9445-6c94db948b6d",            "attr": null,            "uuid": "46c31b9b-d21c-4c27-9445-6c94db948b6d"        }    ],    "fq_name": [        "default-domain",        "kubernetes",        "BGP",        "BGP",        "svc-dev-web__1526aa69-f7bf-11e7-9dbb-98f2b3a33b90120.136.134.67-externalIP"    ],    "uuid": "ac091da2-28d7-467f-bd49-10edb2885219",    "floating_ip_port_mappings": {        "port_mappings": [            {                "protocol": "TCP",                "src_port": 80,                "dst_port": 80            }        ]    },    "parent_type": "floating-ip-pool",    "perms2": {        "owner": "None",        "owner_access": 7,        "global_access": 0,        "share": []    },    "id_perms": {        "enable": true,        "description": null,        "creator": null,        "created": "2018-01-12T17:36:13.280888",        "uuid": {            "uuid_mslong": 12396472031621105279,            "uuid_lslong": 13639451559556829721        },        "user_visible": true,        "last_modified": "2018-01-12T17:36:13.424379",        "permissions": {            "owner": "cloud-admin",            "owner_access": 7,            "other_access": 7,            "group": "cloud-admin-group",            "group_access": 7        }    },    "floating_ip_address": "120.136.134.67",    "virtual_machine_interface_refs": [        {            "to": [                "default-domain",                "kubernetes",                "dev-web-669n0__59f3d2a8-f7ab-11e7-8f66-52540065dced"            ],            "href": "http://127.0.0.1:8082/virtual-machine-interface/59f3d2a8-f7ab-11e7-8f66-52540065dced",            "attr": null,            "uuid": "59f3d2a8-f7ab-11e7-8f66-52540065dced"        },        {            "to": [                "default-domain",                "kubernetes",                "svc-dev-web__78f5adca-cbfe-422a-810c-bb3be9c15589"            ],            "href": "http://127.0.0.1:8082/virtual-machine-interface/78f5adca-cbfe-422a-810c-bb3be9c15589",            "attr": null,            "uuid": "78f5adca-cbfe-422a-810c-bb3be9c15589"        },        {            "to": [                "default-domain",                "kubernetes",                "dev-web-k528t__5a1fc03e-f7ab-11e7-8f66-52540065dced"            ],            "href": "http://127.0.0.1:8082/virtual-machine-interface/5a1fc03e-f7ab-11e7-8f66-52540065dced",            "attr": null,            "uuid": "5a1fc03e-f7ab-11e7-8f66-52540065dced"        }    ],    "floating_ip_port_mappings_enable": true,    "display_name": "svc-dev-web__1526aa69-f7bf-11e7-9dbb-98f2b3a33b90120.136.134.67-externalIP",    "floating_ip_traffic_direction": "ingress"}

推荐阅读

Tungsten Fabric解决方案指南-Gateway MX

“Tungsten Fabric+K8s集成指南”系列文章——

第一篇：部署准备与初始状态
第二篇：创建虚拟网络
第三篇：创建安全策略
第四篇：创建隔离命名空间

“Tungsten Fabric+K8s轻松上手”系列文章——
第一篇：TF Carbide 评估指南--准备篇
第二篇：通过Kubernetes的服务进行基本应用程序连接
第三篇：通过Kubernetes Ingress进行高级外部应用程序连接
第四篇：通过Kubernetes命名空间实现初步的应用程序隔离
第五篇：通过Kubernetes网络策略进行应用程序微分段

作者：Tony Liu 译者：TF编译组

1 Kubernetes与TF的集成

集成方案中，在Kubernetes和Tungsten Fabric（编者按：原文为Contrail，其开源版已更名为Tungsten Fabric，本文出现Contrail之处均以Tungsten Fabric替换）之间有两个连接。

• contrail-kube-manager和kube-api-server
• Contrail CNI

1.1 contrail-kube-manager

此服务连接到kube-api-server以接收更新。然后，它会连接到Tungsten Fabric配置API服务器，来创建必要的配置（VM，VMI /端口，IP等），以将容器连接到overlay层。它还会将更新发送到kube-api-server。

1.2 Contrail CNI

每个node/minion上的Kubelet都使用CNI参数运行。启动容器时，kubelet调用CNI来建立网络。Contrail CNI连接到vRouter代理REST API：

1）获得必要的配置
2）将容器网络接口插入vRouter

1.3 Gateway

Tungsten Fabric使用gateway连接overlay和underlay网络，以提供外部访问。我们需要使用gateway来支持Kubernetes的暴露服务和ingress功能。

必须在Tungsten Fabric中创建一个浮动IP池。

在/etc/contrailctl/kubemanager.conf中配置这个FIP池的FQ名称，以进行配置（provisioning）。

[KUBERNETES_VNC]public_fip_pool = {'domain': 'default-domain', 'project': 'default', 'network': 'public', 'name': 'public-fip-pool'}

在容器condir-kube-manager中，浮动IP池在/etc/contrail/contrail-kubernetes.conf中进行配置。

[VNC]public_fip_pool = {'domain': 'default-domain', 'project': 'default', 'network': 'public', 'name': 'public-fip-pool'}

在Kubernetes中公开service或创建ingress时，将从该池中分配一个FIP作为外部IP。

2 Namespace

与Tungsten Fabric集成时，Kubernetes命名空间（namespace）可以映射到项目/租户（project/tenant）或虚拟网络。

2.1 单租户（Single-tenant）

如果有设置/etc/contrail/contrail-kubernetes.conf中的[KUBERNETES].cluster_project，它是单租户（single-tenant），Kubernetes命名空间将映射到Tungsten Fabric中的虚拟网络。所有非隔离命名空间都映射到默认虚拟网络“cluster-network”。而每个隔离命名空间都映射到一个单独的虚拟网络“-vn”。

这里有一个示例，说明在/etc/contrailctl/kubemanager.conf中设置[KUBERNETES].cluster_project以启用单租户的情形。

[KUBERNETES]cluster_project = {'domain': 'default-domain', 'project': 'kubernetes'}

以下是由Condir-kube-manager在初始化期间创建的。

• Flat IPAM ：具有子网的pod-ipam

• IPAM ：service-ipam

• 虚拟网络“cluster-network”的安全组k8s-default-default-default和k8s-default-default-sg

• 虚拟网络：具有pod-ipam和service-ipam的cluster-network

（参见附录A.1）

2.1.1 非隔离的命名空间

创建一个非隔离的命名空间。

apiVersion: v1kind: Namespacemetadata: name: "dev-unisolated"

当Kubernetes创建一个非隔离命名空间时，Tungsten Fabric将创建两个SG，即k8s-default--sg和k8s-default--sg。这里不创建虚拟网络。所有非隔离的NS中的容器都将位于cluster-network上。

在非隔离命名空间中启动一个Pod。

apiVersion: v1kind: Podmetadata:  name: nginx-1spec:  containers:  - name: nginx    image: docker.io/nginx    imagePullPolicy: IfNotPresentkubectl create -f nginx-1.yaml -n kubectl get pods -n 

在非隔离命名空间中启动Pod时，Tungsten Fabric（contrail-kube-manager）将执行以下操作。

不同非隔离命名空间中的Pod可以相互连接，因为它们位于Tungsten Fabric中的同一虚拟网络上。

2.1.2 隔离的命名空间

创建一个隔离的命名空间。

apiVersion: v1kind: Namespacemetadata: name: "dev-isolated" annotations: {   "opencontrail.org/isolation" : "true" }

在Kubernetes中创建隔离命名空间时，Tungsten Fabric将创建以下内容。

由于端口位于不同的虚拟网络上，因此不同的隔离命名空间中的Pods无法相互连接。

2.2 多租户（Multi-tenant）

如果未设置/etc/contrail/contrail-kubernetes.conf中的[KUBERNETES].cluster_project，它就是多租户，Kubernetes命名空间将映射到Tungsten Fabric中的租户/项目（tenant/project）。非隔离命名空间中的Pod在默认虚拟网络“cluster-network”上启动。而每个隔离命名空间都映射到一个单独的虚拟网络“-vn”。

在初始化时，contrail-kube-manager创建以下内容：

• 为每个现有的Kubenetes命名空间（如default、kube-public和kube-system）提供一个项目/租户。
• Flat IPAM 默认域：default:pod-ipam
• IPAM 默认域：default:service-ipam
• 每一个命名空间的安全组：k8s-default--sg和k8s-default--sg
• 虚拟网络默认域名：具有pod-ipam的default:cluster-network和service-ipam

2.2.1 非隔离的命名空间

创建一个非隔离的命名空间。

apiVersion: v1kind: Namespacemetadata: name: "dev-unisolated"

Contrail-kube-manager将创建以下内容。

不同非隔离命名空间中的Pod可以相互连接，因为它们位于Tungsten Fabric中的同一虚拟网络上。

2.2.2 隔离的命名空间

创建一个隔离的命名空间。

apiVersion: v1kind: Namespacemetadata: name: "dev-isolated" annotations: {   "opencontrail.org/isolation" : "true" }

Contrail-cube-manager将创建以下内容。

由于端口位于不同的虚拟网络上，因此不同的隔离命名空间中的Pods无法相互连接。

2.3 自定义命名空间

创建一个自定义命名空间。

apiVersion: v1kind: Namespacemetadata: name: "dev-customized" annotations: {   "opencontrail.org/network": '{"domain": "default-domain", "project": "demo", "name": "red"}' }

在自定义命名空间中启动Pod时，contrail-kube-manager将创建端口。

• 在项目default-domain:default中
• 在虚拟网络上映射到自定义命名空间
• 从与该虚拟网络关联的IPAM上获取地址
• 安全组？

2.4指定虚拟网络上的Pod

在指定的虚拟网络上启动Pod。

当在指定的虚拟网络上启动Pod时，conutil-kube-manager将创建端口。

• 在项目中映射到指定或默认的命名空间
• 在指定的虚拟网络上
• 从与特定虚拟网络关联的IPAM上获取地址
• 安全组？

2.5 Kubernetes网络策略

Kubernetes网络策略将照常运行，它由Tungsten Fabric中的安全组实现。该版本将与4.0.1一起发布。

2.6 POD SNAT

Tungsten Fabric支持该功能，可以在Tungsten Fabric中配置一个路由器（配置对象），使其成为启动容器的虚拟网络的外部网关。这与支持OpenStack的外部网关是一样的。

3 Service

Kubernetes service支持ClusterIP，NodePort，LoadBalancer和ExternalName。它还支持使用ExternalIP指定IP。Tungsten Fabric支持ClusterIP和LoadBalancer，以及ExternalIP。

在Kubernetes中创建service时，Tungsten Fabric中会创建一个负载均衡器（loadbalancer）。负载均衡器的提供者为“native”，而ECMP负载均衡由vRouter实现。浮动IP被创建为VIP。

创建具有多个实例的应用程序。

apiVersion: v1kind: ReplicationControllermetadata:  name: web-qaspec:  replicas: 2  selector:    app: web-qa  template:    metadata:      name: web-qa      labels:        app: web-qa    spec:      containers:      - name: web        image: docker.io/nginx        imagePullPolicy: IfNotPresent

3.1 ClusterIP

在这些应用程序前面创建service。默认的service类型是ClusterIP。

kind: ServiceapiVersion: v1metadata:  name: web-qaspec:  selector:    app: web-qa  ports:    - protocol: TCP      port: 80      targetPort: 80

当service被创建后，conventil-kube-manager将执行以下操作。

当LB被创建后，“原生”LB驱动程序将执行以下操作。

• 在FIP中设置端口映射。
• 将所有成员的VMI添加到FIP。

当service类型为ClusterIP时，只能在集群内访问该service。FIP从集群网络（cluster-network）中的service FIP池中分配，并映射到所有的Pod地址。当访问集群内的service地址时，vRouter将在Pod之间平衡流量。

3.2 Loadbalancer

创建一个LoadBalancer类型的service。

kind: ServiceapiVersion: v1metadata:  name: web-qaspec:  selector:    app: web-qa  ports:    - protocol: TCP      port: 80      targetPort: 80  type: LoadBalancer

对于服务类型LoadBalancer，服务被暴露于外部。从服务FIP池中分配FIP，用于集群内的访问，同时从公共FIP池中分配FIP，映射到所有POD地址。该FIP将被通告给网关，网关将在POD之间进行ECMP负载均衡。

附录A 单租户（Single-tenant）

A.1 IPAM

:pod-ipam

{    "fq_name": [        "default-domain",        "kubernetes",        "pod-ipam"    ],    "uuid": "c9641741-c785-456e-845b-a14a253c3572",    "ipam_subnet_method": "flat-subnet",    "parent_type": "project",    "perms2": {        "owner": "None",        "owner_access": 7,        "global_access": 0,        "share": []    },    "ipam_subnets": {        "subnets": [            {                "subnet": {                    "ip_prefix": "10.32.0.0",                    "ip_prefix_len": 12                },                "dns_server_address": "10.47.255.253",                "enable_dhcp": true,                "created": null,                "default_gateway": "10.47.255.254",                "dns_nameservers": [],                "dhcp_option_list": null,                "subnet_uuid": null,                "alloc_unit": 1,                "last_modified": null,                "host_routes": null,                "addr_from_start": null,                "subnet_name": null,                "allocation_pools": []            }        ]    },    "id_perms": {        "enable": true,        "description": null,        "creator": null,        "created": "2017-12-27T18:45:33.957901",        "uuid": {            "uuid_mslong": 14511749470582293870,            "uuid_lslong": 9537393975711511922        },        "user_visible": true,        "last_modified": "2017-12-27T18:45:33.957901",        "permissions": {            "owner": "cloud-admin",            "owner_access": 7,            "other_access": 7,            "group": "cloud-admin-group",            "group_access": 7        }    },    "display_name": "pod-ipam"}

:service-ipam

{    "fq_name": [        "default-domain",        "kubernetes",        "service-ipam"    ],    "uuid": "526f554a-0bf4-47c6-a8e4-768a3f98cef4",    "parent_type": "project",    "perms2": {        "owner": "None",        "owner_access": 7,        "global_access": 0,        "share": []    },    "id_perms": {        "enable": true,        "description": null,        "creator": null,        "created": "2017-12-27T18:45:34.000690",        "uuid": {            "uuid_mslong": 5940060210041472966,            "uuid_lslong": 12169982429206466292        },        "user_visible": true,        "last_modified": "2017-12-27T18:45:34.000690",        "permissions": {            "owner": "cloud-admin",            "owner_access": 7,            "other_access": 7,            "group": "cloud-admin-group",            "group_access": 7        }    },    "display_name": "service-ipam"}

A.2 安全组

k8s-default-dev-share-default

{    "fq_name": [        "default-domain",        "kubernetes",        "k8s-default-dev-share-default"    ],    "uuid": "ad29de07-5ef6-4f55-86bb-52c44827c09d",    "parent_type": "project",    "perms2": {        "owner": "46c31b9b-d21c-4c27-9445-6c94db948b6d",        "owner_access": 7,        "global_access": 0,        "share": []    },    "security_group_id": 8000010,    "id_perms": {        "enable": true,        "description": "Default security group",        "creator": null,        "created": "2018-01-12T09:02:15.110429",        "uuid": {            "uuid_mslong": 12477748365846007637,            "uuid_lslong": 9708444424704868509        },        "user_visible": true,        "last_modified": "2018-01-12T15:45:08.899388",        "permissions": {            "owner": "cloud-admin",            "owner_access": 7,            "other_access": 7,            "group": "cloud-admin-group",            "group_access": 7        }    },    "security_group_entries": {        "policy_rule": [            {                "direction": ">",                "protocol": "any",                "dst_addresses": [                    {                        "security_group": "local",                        "subnet": null,                        "virtual_network": null,                        "subnet_list": [],                        "network_policy": null                    }                ],                "action_list": null,                "created": null,                "rule_uuid": "dc13bb48-e2a7-4c59-a0b8-740ecfcb9a2c",                "dst_ports": [                    {                        "end_port": 65535,                        "start_port": 0                    }                ],                "application": [],                "last_modified": null,                "ethertype": "IPv4",                "src_addresses": [                    {                        "security_group": null,                        "subnet": {                            "ip_prefix": "0.0.0.0",                            "ip_prefix_len": 0                        },                        "virtual_network": null,                        "subnet_list": [],                        "network_policy": null                    }                ],                "rule_sequence": null,                "src_ports": [                    {                        "end_port": 65535,                        "start_port": 0                    }                ]            },            {                "direction": ">",                "protocol": "any",                "dst_addresses": [                    {                        "security_group": "local",                        "subnet": null,                        "virtual_network": null,                        "subnet_list": [],                        "network_policy": null                    }                ],                "action_list": null,                "created": null,                "rule_uuid": "a84e2d98-2b8f-45ba-aa75-88494da73b11",                "dst_ports": [                    {                        "end_port": 65535,                        "start_port": 0                    }                ],                "application": [],                "last_modified": null,                "ethertype": "IPv6",                "src_addresses": [                    {                        "security_group": null,                        "subnet": {                            "ip_prefix": "::",                            "ip_prefix_len": 0                        },                        "virtual_network": null,                        "subnet_list": [],                        "network_policy": null                    }                ],                "rule_sequence": null,                "src_ports": [                    {                        "end_port": 65535,                        "start_port": 0                    }                ]            },            {                "direction": ">",                "protocol": "any",                "dst_addresses": [                    {                        "security_group": null,                        "subnet": {                            "ip_prefix": "0.0.0.0",                            "ip_prefix_len": 0                        },                        "virtual_network": null,                        "subnet_list": [],                        "network_policy": null                    }                ],                "action_list": null,                "created": null,                "rule_uuid": "b7752ec1-6037-4c7f-97a9-291893fbed64",                "dst_ports": [                    {                        "end_port": 65535,                        "start_port": 0                    }                ],                "application": [],                "last_modified": null,                "ethertype": "IPv4",                "src_addresses": [                    {                        "security_group": "local",                        "subnet": null,                        "virtual_network": null,                        "subnet_list": [],                        "network_policy": null                    }                ],                "rule_sequence": null,                "src_ports": [                    {                        "end_port": 65535,                        "start_port": 0                    }                ]            },            {                "direction": ">",                "protocol": "any",                "dst_addresses": [                    {                        "security_group": null,                        "subnet": {                            "ip_prefix": "::",                            "ip_prefix_len": 0                        },                        "virtual_network": null,                        "subnet_list": [],                        "network_policy": null                    }                ],                "action_list": null,                "created": null,                "rule_uuid": "ea5cd2a8-2d47-47c4-a9ab-390de2317246",                "dst_ports": [                    {                        "end_port": 65535,                        "start_port": 0                    }                ],                "application": [],                "last_modified": null,                "ethertype": "IPv6",                "src_addresses": [                    {                        "security_group": "local",                        "subnet": null,                        "virtual_network": null,                        "subnet_list": [],                        "network_policy": null                    }                ],                "rule_sequence": null,                "src_ports": [                    {                        "end_port": 65535,                        "start_port": 0                    }                ]            }        ]    },    "annotations": {        "key_value_pair": [            {                "key": "namespace",                "value": "dev-share"            },            {                "key": "cluster",                "value": "k8s-default"            },            {                "key": "kind",                "value": "Namespace"            },            {                "key": "project",                "value": "kubernetes"            },            {                "key": "name",                "value": "k8s-default-dev-share-default"            },            {                "key": "owner",                "value": "k8s"            }        ]    },    "display_name": "k8s-default-dev-share-default"}

k8s-default-dev-share-sg

{    "fq_name": [        "default-domain",        "kubernetes",        "k8s-default-dev-share-sg"    ],    "uuid": "791f1c7e-a66e-4c47-ba05-409f00ee2c8e",    "parent_type": "project",    "perms2": {        "owner": "46c31b9b-d21c-4c27-9445-6c94db948b6d",        "owner_access": 7,        "global_access": 0,        "share": []    },    "security_group_id": 8000017,    "id_perms": {        "enable": true,        "description": "Namespace security group",        "creator": null,        "created": "2018-01-12T09:02:15.236401",        "uuid": {            "uuid_mslong": 8727725933151013959,            "uuid_lslong": 13404190917597736078        },        "user_visible": true,        "last_modified": "2018-01-12T09:02:15.275407",        "permissions": {            "owner": "cloud-admin",            "owner_access": 7,            "other_access": 7,            "group": "cloud-admin-group",            "group_access": 7        }    },    "display_name": "k8s-default-dev-share-sg",    "annotations": {        "key_value_pair": [            {                "key": "namespace",                "value": "dev-share"            },            {                "key": "cluster",                "value": "k8s-default"            },            {                "key": "kind",                "value": "Namespace"            },            {                "key": "project",                "value": "kubernetes"            },            {                "key": "name",                "value": "k8s-default-dev-share-sg"            },            {                "key": "owner",                "value": "k8s"            }        ]    }}

A.3 虚拟网络

:cluster-network

{    "virtual_network_properties": {        "forwarding_mode": "l3",        "allow_transit": null,        "network_id": null,        "mirror_destination": false,        "vxlan_network_identifier": null,        "rpf": null    },    "fq_name": [        "default-domain",        "kubernetes",        "cluster-network"    ],    "uuid": "1b9f7f74-17f0-493a-9108-729f91b43598",    "address_allocation_mode": "user-defined-subnet-only",    "mac_aging_time": 300,    "parent_type": "project",    "perms2": {        "owner": "None",        "owner_access": 7,        "global_access": 0,        "share": []    },    "display_name": "cluster-network",    "pbb_evpn_enable": false,    "mac_learning_enabled": false,    "id_perms": {        "enable": true,        "description": null,        "creator": null,        "created": "2017-12-27T18:45:34.062865",        "uuid": {            "uuid_mslong": 1990449696915605818,            "uuid_lslong": 10450728964983109016        },        "user_visible": true,        "last_modified": "2017-12-29T10:29:20.685414",        "permissions": {            "owner": "cloud-admin",            "owner_access": 7,            "other_access": 7,            "group": "cloud-admin-group",            "group_access": 7        }    },    "flood_unknown_unicast": false,    "layer2_control_word": false,    "port_security_enabled": true,    "network_ipam_refs": [        {            "to": [                "default-domain",                "kubernetes",                "service-ipam"            ],            "href": "http://127.0.0.1:8082/network-ipam/526f554a-0bf4-47c6-a8e4-768a3f98cef4",            "attr": {                "ipam_subnets": [                    {                        "subnet": {                            "ip_prefix": "10.167.0.0",                            "ip_prefix_len": 16                        },                        "dns_server_address": "10.167.255.253",                        "enable_dhcp": true,                        "created": null,                        "default_gateway": "10.167.255.254",                        "dns_nameservers": [],                        "dhcp_option_list": null,                        "subnet_uuid": "10a8de65-9de8-419b-b14c-180bf2ab3dc9",                        "alloc_unit": 1,                        "last_modified": null,                        "host_routes": null,                        "addr_from_start": null,                        "subnet_name": null,                        "allocation_pools": []                    }                ],                "host_routes": null            },            "uuid": "526f554a-0bf4-47c6-a8e4-768a3f98cef4"        },        {            "to": [                "default-domain",                "kubernetes",                "pod-ipam"            ],            "href": "http://127.0.0.1:8082/network-ipam/c9641741-c785-456e-845b-a14a253c3572",            "attr": {                "ipam_subnets": [                    {                        "subnet": null,                        "dns_server_address": null,                        "enable_dhcp": true,                        "created": null,                        "default_gateway": null,                        "dns_nameservers": [],                        "dhcp_option_list": null,                        "subnet_uuid": "d2b090ce-cbcc-4b00-b50a-cc1ed5468b00",                        "alloc_unit": 1,                        "last_modified": null,                        "host_routes": null,                        "addr_from_start": null,                        "subnet_name": null,                        "allocation_pools": []                    }                ],                "host_routes": null            },            "uuid": "c9641741-c785-456e-845b-a14a253c3572"        }    ],    "pbb_etree_enable": false,    "virtual_network_network_id": 5}

:dev-vn

{    "virtual_network_properties": {        "forwarding_mode": "l3",        "allow_transit": null,        "network_id": null,        "mirror_destination": false,        "vxlan_network_identifier": null,        "rpf": null    },    "fq_name": [        "default-domain",        "kubernetes",        "dev-vn"    ],    "uuid": "ce01826b-e3e6-407f-8798-80612018e89c",    "address_allocation_mode": "flat-subnet-only",    "mac_aging_time": 300,    "parent_type": "project",    "perms2": {        "owner": "None",        "owner_access": 7,        "global_access": 0,        "share": []    },    "display_name": "dev-vn",    "pbb_evpn_enable": false,    "mac_learning_enabled": false,    "id_perms": {        "enable": true,        "description": null,        "creator": null,        "created": "2018-01-09T11:40:06.196335",        "uuid": {            "uuid_mslong": 14844289246686494847,            "uuid_lslong": 9770700546218977436        },        "user_visible": true,        "last_modified": "2018-01-09T12:18:55.796399",        "permissions": {            "owner": "cloud-admin",            "owner_access": 7,            "other_access": 7,            "group": "cloud-admin-group",            "group_access": 7        }    },    "flood_unknown_unicast": false,    "layer2_control_word": false,    "port_security_enabled": true,    "network_ipam_refs": [        {            "to": [                "default-domain",                "kubernetes",                "pod-ipam"            ],            "href": "http://127.0.0.1:8082/network-ipam/c9641741-c785-456e-845b-a14a253c3572",            "attr": {                "ipam_subnets": [                    {                        "subnet": null,                        "dns_server_address": null,                        "enable_dhcp": true,                        "created": null,                        "default_gateway": null,                        "dns_nameservers": [],                        "dhcp_option_list": null,                        "subnet_uuid": "48ed8235-efcd-44a1-998c-659e4f5840f4",                        "alloc_unit": 1,                        "last_modified": null,                        "host_routes": null,                        "addr_from_start": null,                        "subnet_name": null,                        "allocation_pools": []                    }                ],                "host_routes": null            },            "uuid": "c9641741-c785-456e-845b-a14a253c3572"        }    ],    "annotations": {        "key_value_pair": [            {                "key": "cluster",                "value": "k8s-default"            },            {                "key": "kind",                "value": "Namespace"            },            {                "key": "namespace",                "value": "dev"            },            {                "key": "isolated",                "value": "True"            },            {                "key": "project",                "value": "kubernetes"            },            {                "key": "name",                "value": "dev"            },            {                "key": "owner",                "value": "k8s"            }        ]    },    "pbb_etree_enable": false,    "virtual_network_network_id": 11}

A.4虚拟机接口和实例IP

非隔离端口

{    "fq_name": [        "default-domain",        "kubernetes",        "dev-web-k528t__5a1fc03e-f7ab-11e7-8f66-52540065dced"    ],    "virtual_machine_interface_mac_addresses": {        "mac_address": [            "02:5a:1f:c0:3e:f7"        ]    },    "display_name": "dev-share__dev-web-k528t",    "security_group_refs": [        {            "to": [                "default-domain",                "kubernetes",                "k8s-default-dev-share-default"            ],            "href": "http://127.0.0.1:8082/security-group/ad29de07-5ef6-4f55-86bb-52c44827c09d",            "attr": null,            "uuid": "ad29de07-5ef6-4f55-86bb-52c44827c09d"        },        {            "to": [                "default-domain",                "kubernetes",                "k8s-default-dev-share-sg"            ],            "href": "http://127.0.0.1:8082/security-group/791f1c7e-a66e-4c47-ba05-409f00ee2c8e",            "attr": null,            "uuid": "791f1c7e-a66e-4c47-ba05-409f00ee2c8e"        }    ],    "routing_instance_refs": [        {            "to": [                "default-domain",                "kubernetes",                "cluster-network",                "cluster-network"            ],            "href": "http://127.0.0.1:8082/routing-instance/5ed7608a-28bb-4735-a8d8-2e9132b03d62",            "attr": {                "direction": "both",                "protocol": null,                "ipv6_service_chain_address": null,                "dst_mac": null,                "mpls_label": null,                "vlan_tag": null,                "src_mac": null,                "service_chain_address": null            },            "uuid": "5ed7608a-28bb-4735-a8d8-2e9132b03d62"        }    ],    "virtual_machine_interface_disable_policy": false,    "parent_type": "project",    "perms2": {        "owner": "None",        "owner_access": 7,        "global_access": 0,        "share": []    },    "virtual_network_refs": [        {            "to": [                "default-domain",                "kubernetes",                "cluster-network"            ],            "href": "http://127.0.0.1:8082/virtual-network/1b9f7f74-17f0-493a-9108-729f91b43598",            "attr": null,            "uuid": "1b9f7f74-17f0-493a-9108-729f91b43598"        }    ],    "id_perms": {        "enable": true,        "description": null,        "creator": null,        "created": "2018-01-12T15:14:58.189964",        "uuid": {            "uuid_mslong": 6494120564367233511,            "uuid_lslong": 10333036915785587949        },        "user_visible": true,        "last_modified": "2018-01-12T15:14:58.253769",        "permissions": {            "owner": "cloud-admin",            "owner_access": 7,            "other_access": 7,            "group": "cloud-admin-group",            "group_access": 7        }    },    "virtual_machine_refs": [        {            "to": [                "dev-web-k528t__708154c6-f7ab-11e7-a9df-98f2b3a36be0"            ],            "href": "http://127.0.0.1:8082/virtual-machine/708154c6-f7ab-11e7-a9df-98f2b3a36be0",            "attr": null,            "uuid": "708154c6-f7ab-11e7-a9df-98f2b3a36be0"        }    ],    "vlan_tag_based_bridge_domain": false,    "port_security_enabled": true,    "annotations": {        "key_value_pair": [            {                "key": "cluster",                "value": "k8s-default"            },            {                "key": "kind",                "value": "Pod"            },            {                "key": "namespace",                "value": "dev-share"            },            {                "key": "project",                "value": "kubernetes"            },            {                "key": "name",                "value": "dev-web-k528t"            },            {                "key": "owner",                "value": "k8s"            }        ]    },    "uuid": "5a1fc03e-f7ab-11e7-8f66-52540065dced"}

IP实例

{    "fq_name": [        "dev-web-k528t__5a2f9cde-f7ab-11e7-8f66-52540065dced"    ],    "uuid": "5a2f9cde-f7ab-11e7-8f66-52540065dced",    "service_health_check_ip": false,    "instance_ip_address": "10.47.255.251",    "perms2": {        "owner": "cloud-admin",        "owner_access": 7,        "global_access": 0,        "share": []    },    "annotations": {        "key_value_pair": [            {                "key": "cluster",                "value": "k8s-default"            },            {                "key": "kind",                "value": "Pod"            },            {                "key": "namespace",                "value": "dev-share"            },            {                "key": "project",                "value": "kubernetes"            },            {                "key": "name",                "value": "dev-web-k528t"            },            {                "key": "owner",                "value": "k8s"            }        ]    },    "subnet_uuid": "d2b090ce-cbcc-4b00-b50a-cc1ed5468b00",    "id_perms": {        "enable": true,        "description": null,        "creator": null,        "created": "2018-01-12T15:14:58.323069",        "uuid": {            "uuid_mslong": 6498585268770771431,            "uuid_lslong": 10333036915785587949        },        "user_visible": true,        "last_modified": "2018-01-12T15:14:58.363792",        "permissions": {            "owner": "cloud-admin",            "owner_access": 7,            "other_access": 7,            "group": "cloud-admin-group",            "group_access": 7        }    },    "virtual_machine_interface_refs": [        {            "to": [                "default-domain",                "kubernetes",                "dev-web-k528t__5a1fc03e-f7ab-11e7-8f66-52540065dced"            ],            "href": "http://127.0.0.1:8082/virtual-machine-interface/5a1fc03e-f7ab-11e7-8f66-52540065dced",            "attr": null,            "uuid": "5a1fc03e-f7ab-11e7-8f66-52540065dced"        }    ],    "service_instance_ip": false,    "instance_ip_local_ip": false,    "virtual_network_refs": [        {            "to": [                "default-domain",                "kubernetes",                "cluster-network"            ],            "href": "http://127.0.0.1:8082/virtual-network/1b9f7f74-17f0-493a-9108-729f91b43598",            "attr": null,            "uuid": "1b9f7f74-17f0-493a-9108-729f91b43598"        }    ],    "instance_ip_secondary": false,    "display_name": "dev-share__dev-web-k528t"}

Tungsten Fabric解决方案指南-Kubernetes集成（下）

---

推荐阅读

Tungsten Fabric解决方案指南-Gateway MX

本文为苏宁网络架构师陈刚的原创文章。

01准备测试机

在16G的笔记本没跑起来，就干脆拼凑了一台游戏工作室级别的机器：双路E5-2860v3 CPU，24核48线程，128G DDR4 ECC内存，NVME盘 512G。在上面开5个VM，假装是物理服务器。

· 192.16.35.110 deployer

· 192.16.35.111 tf控制器

· 192.16.35.112 openstack服务器，同时也是计算节点

· 192.16.35.113 k8s master

· 192.16.35.114 k8s的Node k01，同时也是ops的计算节点

直接使用vagrant拉镜像会很慢，就先下载下来：

https://cloud.centos.org/centos/7/vagrant/x86_64/images/

下载对应的VirtualBox.box文件。

然后使用命令, 命名为vagrant的box：

vagrant box add centos/7 CentOS-7-x86_64-Vagrant-2004_01.VirtualBox.box

cat << EEOOFF > vagrantfile
### start 
# -*- mode: ruby -*-
# vi: set ft=ruby :
Vagrant.require_version ">=2.0.3"

# All Vagrant configuration is done below. The "2" in Vagrant.configure
# configures the configuration version (we support older styles for
# backwards compatibility). Please don't change it unless you know what
# you're doing.

ENV["LC_ALL"] = "en_US.UTF-8"

VAGRANTFILE_API_VERSION = "2"

Vagrant.configure("2") do |config|
  # The most common configuration options are documented and commented below.
  # For a complete reference, please see the online documentation at
  # https://docs.vagrantup.com.

  # Every Vagrant development environment requires a box. You can search for
  # boxes at https://atlas.hashicorp.com/search.

  config.vm.box = "geerlingguy/centos7"
  # config.vbguest.auto_update = false
  # config.vbguest.no_remote = true  

  config.vm.define "deployer" do | dp |
    dp.vm.provider "virtualbox" do | v |
      v.memory = "8000"
      v.cpus = 2
    end
    dp.vm.network "private_network", ip: "192.16.35.110", auto_config: true
    dp.vm.hostname = "deployer"
  end

  config.vm.define "tf" do | tf |
    tf.vm.provider "virtualbox" do | v |
      v.memory = "64000"
      v.cpus = 16
    end
    tf.vm.network "private_network", ip: "192.16.35.111", auto_config: true
    tf.vm.hostname = "tf"
  end

  config.vm.define "ops" do | os |
    os.vm.provider "virtualbox" do | v |
      v.memory = "16000"
      v.cpus = 4
    end
    os.vm.network "private_network",ip: "192.16.35.112",  auto_config: true
    os.vm.hostname = "ops"
  end

  config.vm.define "k8s" do | k8 |
    k8.vm.provider "virtualbox" do | v |
      v.memory = "8000"
      v.cpus = 2
    end
    k8.vm.network "private_network", ip: "192.16.35.113", auto_config: true
    k8.vm.hostname = "k8s"
  end

  config.vm.define "k01" do | k1 |
    k1.vm.provider "virtualbox" do | v |
      v.memory = "4000"
      v.cpus = 2
    end
    k1.vm.network "private_network", ip: "192.16.35.114", auto_config: true
    k1.vm.hostname = "k01"
  end

  config.vm.provision "shell", privileged: true, path: "./setup.sh"

end


EEOOFF

cat << EEOOFF > setup.sh
#!/bin/bash
#
# Setup vagrant vms.
#

set -eu

# Copy hosts info
cat < /etc/hosts
127.0.0.1 localhost
127.0.1.1 vagrant.vm vagrant

192.16.35.110 deployer
192.16.35.111 tf
192.16.35.112 ops
192.16.35.113 k8s
192.16.35.114 k01


# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
EOF

systemctl stop firewalld
systemctl disable firewalld
iptables -F && iptables -X && iptables -F -t nat && iptables -X -t nat
iptables -P FORWARD ACCEPT

swapoff -a 
sed -i 's/.*swap.*/#&/' /etc/fstab
# swapoff -a && sysctl -w vm.swappiness=0

# setenforce  0 
sed -i "s/^SELINUX=enforcing/SELINUX=disabled/g" /etc/sysconfig/selinux 
sed -i "s/^SELINUX=enforcing/SELINUX=disabled/g" /etc/selinux/config 
sed -i "s/^SELINUX=permissive/SELINUX=disabled/g" /etc/sysconfig/selinux 
sed -i "s/^SELINUX=permissive/SELINUX=disabled/g" /etc/selinux/config  

# modprobe ip_vs_rr
modprobe br_netfilter

yum -y update

# sysctl: cannot stat /proc/sys/net/bridge/bridge-nf-call-ip6tables: No such file or directory
# sysctl: cannot stat /proc/sys/net/bridge/bridge-nf-call-iptables: No such file or directory
# yum install -y bridge-utils.x86_64
# modprobe bridge
# modprobe br_netfilter
# Setup system vars

yum install -y epel-release
yum install -y yum-utils device-mapper-persistent-data lvm2 net-tools vim chrony python python-setuptools python-pip iproute lrzsz tree git

yum install -y libguestfs-tools libvirt-python virt-install libvirt ansible

pip install wheel --upgrade -i https://mirrors.aliyun.com/pypi/simple/
pip install pip --upgrade -i https://mirrors.aliyun.com/pypi/simple/
pip install ansible  netaddr --upgrade -i https://mirrors.aliyun.com/pypi/simple/

# python-urllib3 should be installed before "pip install requests"
# if install failed, pip uninstall urllib3, then reinstall python-urllib3
# pip uninstall -y urllib3 | true
# yum install -y python-urllib3 
pip install requests -i https://mirrors.aliyun.com/pypi/simple/

systemctl disable libvirtd.service
systemctl disable dnsmasq
systemctl stop libvirtd.service
systemctl stop dnsmasq

if [  -d "/root/.ssh" ]; then
      rm -rf /root/.ssh
fi

ssh-keygen -q -t rsa -N "" -f ~/.ssh/id_rsa

cat ~/.ssh/id_rsa.pub > ~/.ssh/authorized_keys
chmod go-rwx ~/.ssh/authorized_keys

# 
# timedatectl set-timezone Asia/Shanghai

if [ -f "/etc/chrony.conf" ]; then
   mv /etc/chrony.conf /etc/chrony.conf.bak
fi

cat < /etc/chrony.conf
      allow 192.16.35.0/24
      server ntp1.aliyun.com iburst
      local stratum 10
      logdir /var/log/chrony
      rtcsync
      makestep 1.0 3
      driftfile /var/lib/chrony/drift
EOF

systemctl restart chronyd.service
systemctl enable chronyd.service

echo "* soft nofile 65536" >> /etc/security/limits.conf
echo "* hard nofile 65536" >> /etc/security/limits.conf
echo "* soft nproc 65536"  >> /etc/security/limits.conf
echo "* hard nproc 65536"  >> /etc/security/limits.conf
echo "* soft  memlock  unlimited"  >> /etc/security/limits.conf
echo "* hard memlock  unlimited"  >> /etc/security/limits.conf

if [ ! -d "/var/log/journal" ]; then
  mkdir /var/log/journal
fi

if [ ! -d "/etc/systemd/journald.conf.d" ]; then
  mkdir /etc/systemd/journald.conf.d
fi

cat < /etc/systemd/journald.conf.d/99-prophet.conf 
[Journal]
Storage=persistent

Compress=yes

SyncIntervalSec=5m
RateLimitInterval=30s
RateLimitBurst=1000

SystemMaxUse=10G

SystemMaxFileSize=200M

ForwardToSyslog=no

EOF

systemctl restart systemd-journald


EEOOFF

02在所有的节点上安装docker

CentOS

例如：如果pip安装软件的速度很慢，可以考虑使用基于aliyun的pip加速

· 各个节点设置pip加速

mkdir .pip && tee ~/.pip/pip.conf < instances.yaml
provider_config:  bms:    ssh_pwd: vagrant    ssh_user: root    ntpserver: ntp1.aliyun.com    domainsuffix: localinstances:  tf:    provider: bms    ip: 192.16.35.111    roles:      config_database:      config:      control:      analytics_database:      analytics:      webui:  ops:    provider: bms    ip: 192.16.35.112    roles:
      openstack:
      openstack_compute:  
      vrouter:
        PHYSICAL_INTERFACE: enp0s8
  k8s:    provider: bms    ip: 192.16.35.113    roles:
      k8s_master:
      k8s_node:
      kubemanager:
      vrouter:
        PHYSICAL_INTERFACE: enp0s8
  k01:    provider: bms    ip: 192.16.35.114    roles:
      openstack_compute:
      k8s_node:
      vrouter:
        PHYSICAL_INTERFACE: enp0s8
contrail_configuration:  AUTH_MODE: keystone  KEYSTONE_AUTH_URL_VERSION: /v3
  KEYSTONE_AUTH_ADMIN_PASSWORD: vagrant
  CLOUD_ORCHESTRATOR: openstack
  CONTRAIL_VERSION: latest
  UPGRADE_KERNEL: true
  ENCAP_PRIORITY: "VXLAN,MPLSoUDP,MPLSoGRE"
  PHYSICAL_INTERFACE: enp0s8
global_configuration:
  CONTAINER_REGISTRY: opencontrailnightly
kolla_config:
  kolla_globals:    enable_haproxy: no    enable_ironic: "no"    enable_swift: "no"
    network_interface: "enp0s8"
  kolla_passwords:    keystone_admin_password: vagrant

EOF

export INSTANCES_FILE=instances.yaml
docker cp $INSTANCES_FILE contrail_kolla_ansible_deployer:/root/contrail-ansible-deployer/config/instances.yaml

05准备好所有节点的环境

除了deployer，我在所有节点上都做了一遍。

正常的做法是建个自己的repository放各种image，实验环境节点少，直接国内下载也很快的。

注意python和python-py这两个包是冲突的，只能安装其中之一，最好先全卸载，再安装其中一个：

pip uninstall docker-py docker
 pip install python

yum -y install python-devel python-subprocess32 python-setuptools python-pip

 pip install --upgrade pip

 find / -name *subpro*.egg-info
 find / -name *subpro*.egg-info |xargs rm -rf

pip install -I sixpip install -I docker-compose

将k8s repository改成阿里的，缺省的Google源太慢或不通：vi

playbooks/roles/k8s/tasks/RedHat.yml

yum_repository:
name: Kubernetes
description: k8s repo
baseurl: https://mirrors.aliyun.com/kubernetes/yum/repos/kubernetes-el7-x86_64
gpgkey: https://mirrors.aliyun.com/kubernetes/yum/doc/yum-key.gpg https://mirrors.aliyun.com/kubernetes/yum/doc/rpm-package-key.gpg
repo_gpgcheck: yes
gpgcheck: yes
when: k8s_package_version is defined

playbook中安装这些需要访问海外网站，可以从国内下载，然后改个tag：

k8s.gcr.io/kube-apiserver:v1.14.8
k8s.gcr.io/kube-controller-manager:v1.14.8
k8s.gcr.io/kube-scheduler:v1.14.8
k8s.gcr.io/kube-proxy:v1.14.8
k8s.gcr.io/pause:3.1
k8s.gcr.io/etcd:3.3.10
k8s.gcr.io/coredns:1.3.1

换个方法变通处理一下

docker pull registry.cn-hangzhou.aliyuncs.com/google_containers/kube-apiserver:v1.14.8
docker pull registry.cn-hangzhou.aliyuncs.com/google_containers/kube-controller-manager:v1.14.8
docker pull registry.cn-hangzhou.aliyuncs.com/google_containers/kube-scheduler:v1.14.8
docker pull registry.cn-hangzhou.aliyuncs.com/google_containers/kube-proxy:v1.14.8
docker pull registry.cn-hangzhou.aliyuncs.com/google_containers/pause:3.1
docker pull registry.cn-hangzhou.aliyuncs.com/google_containers/etcd:3.3.10
docker pull coredns/coredns:1.3.1
docker pull registry.cn-hangzhou.aliyuncs.com/google_containers/kubernetes-dashboard-amd64:v1.8.3

再重新给下载的打个tag

docker tag registry.cn-hangzhou.aliyuncs.com/google_containers/kube-apiserver:v1.14.8 k8s.gcr.io/kube-apiserver:v1.14.8
docker tag registry.cn-hangzhou.aliyuncs.com/google_containers/kube-controller-manager:v1.14.8 k8s.gcr.io/kube-controller-manager:v1.14.8
docker tag registry.cn-hangzhou.aliyuncs.com/google_containers/kube-scheduler:v1.14.8 k8s.gcr.io/kube-scheduler:v1.14.8
docker tag registry.cn-hangzhou.aliyuncs.com/google_containers/kube-proxy:v1.14.8 k8s.gcr.io/kube-proxy:v1.14.8
docker tag registry.cn-hangzhou.aliyuncs.com/google_containers/pause:3.1 k8s.gcr.io/pause:3.1
docker tag registry.cn-hangzhou.aliyuncs.com/google_containers/etcd:3.3.10 k8s.gcr.io/etcd:3.3.10
docker tag docker.io/coredns/coredns:1.3.1 k8s.gcr.io/coredns:1.3.1
docker tag registry.cn-hangzhou.aliyuncs.com/google_containers/kubernetes-dashboard-amd64:v1.8.3  k8s.gcr.io/kubernetes-dashboard-amd64:v1.8.3

06启动deployer容器，进入其中进行部署

docker start contrail_kolla_ansible_deployer

进入deployer容器：

docker exec -it contrail_kolla_ansible_deployer bashcd /root/contrail-ansible-deployer
ansible-playbook -i inventory/ -e orchestrator=openstack playbooks/provision_instances.yml
ansible-playbook -i inventory/ -e orchestrator=openstack playbooks/configure_instances.yml
ansible-playbook -i inventory/ -e orchestrator=openstack playbooks/install_openstack.yml
ansible-playbook -i inventory/ -e orchestrator=openstack playbooks/install_k8s.yml
ansible-playbook -i inventory/ -e orchestrator=openstack playbooks/install_contrail.yml



kubectl taint nodes k8s node-role.kubernetes.io/master-

最后一次kubelet升级到最新，遇到CSI的bug，修改一下配置文件后重启kubelet即可：

After experiencing the same issue, editing /var/lib/kubelet/config.yaml to add:
featureGates:  CSIMigration: false

07安装完成后，建2个VM和容器测试一下

yum install -y gcc python-devel
pip install python-openstackclient
pip install python-ironicclient

source /etc/kolla/kolla-toolbox/admin-openrc.sh

如果openstack命令有如下“queue”的报错，是需要python3：

File "/usr/lib/python2.7/site-packages/openstack/utils.py", line 13, in 
    import queue
ImportError: No module named queue

rm -f /usr/bin/python
ln -s /usr/bin/python3 /usr/bin/python
pip install python-openstackclient
pip install python-ironicclient
yum install -y python3-pip

yum install -y gcc python-devel wgetpip install --upgrade setuptoolspip install --ignore-installed python-openstackclient

我每次都需要python3，所以干脆也安装了这个：
pip3 install python-openstackclient -i https://mirrors.aliyun.com/pypi/simple/
pip3 install python-ironicclient -i https://mirrors.aliyun.com/pypi/simple/

进入Tungsten Fabric，用浏览器：https://192.16.35.111:8143

进入openstack，用浏览器：https://192.16.35.112

在k8s master上（192.16.35.113）：

scp root@192.16.35.114:/opt/cni/bin/contrail-k8s-cni /opt/cni/bin/
mkdir /etc/cni/net.d
scp root@192.16.35.114:/etc/cni/net.d/10-contrail.conf /etc/cni/net.d/10-contrail.conf

wget

https://github.com/cirros-dev/cirros/releases/download/0.4.0/cirros-0.4.0-x86_64-disk.img

官方下载地址

https://download.cirros-cloud.net/

curl -O

https://download.cirros-cloud.net/0.4.0/cirros-0.4.0-x86_64-disk.img

wget

http://download.cirros-cloud.net/0.4.0/cirros-0.4.0-x86_64-disk.img

wget

http://download.cirros-cloud.net/daily/20161201/cirros-d161201-x86_64-disk.img

（都没有找到带tcpdump的版本）

reboot

source /etc/kolla/kolla-toolbox/admin-openrc.sh

openstack image create cirros --disk-format qcow2 --public --container-format bare --file cirros-0.4.0-x86_64-disk.imgnova flavor-create m1.tiny auto 512 1 1openstack network create net1openstack subnet create --subnet-range 10.1.1.0/24 --network net1 mysubnet1
NET_ID=`openstack network list | grep net1 | awk -F '|' '{print $2}' | tr -d ' '`
 
nova boot --image cirros --flavor m1.tiny --nic net-id=${NET_ID} VM1
nova boot --image cirros --flavor m1.tiny --nic net-id=${NET_ID} VM2

进入k8s_master, 192.16.35.113:

yum install -y git
git clone https://github.com/virtualhops/k8s-demo
kubectl create -f k8s-demo/po-ubuntuapp.yml
kubectl create -f k8s-demo/rc-frontend.yml
kubectl expose rc/frontend
kubectl exec -it ubuntuapp curl frontend # many times

参考方案：
https://github.com/Juniper/contrail-ansible-deployer/wiki/[-Container-Workflow]-Deploying-Contrail-with-OpenStack

推荐阅读

Tungsten Fabric实战：对接vMX虚拟路由平台填坑
Tungsten Fabric实战：基于K8s的部署踩坑
TF实战Q&A丨你不理解透，出了问题都不知道怎么弄
TF 实战Q&A丨只在此网中，云深不知处

OpenStack+OpenStack

我还没有尝试将两个OpenStack集群添加到一个Tungsten Fabric controller中，但如果它们不使用相同的租户名称，那么应该是可行的。

K8s+vCenter

Kubernetes和vCenter的组合可以同时使用。用例类似于Kubernetes + OpenStack。

OpenStack+vCenter

OpenStack和vCenter的组合有点奇怪，因为OpenStack仪表盘可能用作vCenter网络的管理UI。

根据我的尝试，vcenter-plugin会检查所有可用租户下的所有virtual-network，而不是“vCenter”租户下的virtual-network，因此，如果创建了virtual-network或其它Neutron组件，也可以在ESXi上的vRouterVM上使用。通过此设置，vCenter用户可以自己实现网络功能，就像使用EC2 / VPC一样。

• 还可以使用vCenter的权限功能来实现VMI和NF的伪多租户。

• https://docs.vmware.com/en/VMware-vSphere/6.5/com.vmware.vsphere.security.doc/GUID-4B47F690-72E7-4861-A299-9195B9C52E71.html

vCenter+vCenter

多vCenter是一个重要话题，因为vCenter具有明确定义的最大配置，而多vCenter安装是解决这些问题的常用方法。

在这种情况下，最简单的设置是在每个vCenter上配置多个Tungsten Fabric集群，但此时很难在两个集群之间进行vMotion，因为Tungsten Fabric在vMotion完成后会创建一个新的端口，并且可能会分配不同的固定IP。

因此，我认为将多个vCenter分配给一个Tungsten Fabric集群，将会有比较合理的用例。

根据我的尝试，在当前实现中，由于vcenter-plugin仅对某些对象使用“vCenter”租户，因此，如果不进行代码修改，就不可能同时使用两个vcenter-plugin。

如果可以按vcenter-plugin和vcenter-manager修改租户，则可以为每个vCenter分配一个单独的租户，然后同时使用它们，就像同时使用Kubernetes和OpenStack一样。

如果这是可行的，还可以在多vCenter的环境中使用service-insertion和物理交换机扩展。

甚至SRM集成也可能采用这种方式，因为占位符VM将分配一个新的端口，可以对其进行编辑以分配正确的固定IP。

K8s+OpenStack+vCenter

我不知道是否会使用这样的配置，因为Kubernetes / OpenStack / vCenter具有一些功能重叠，尽管如果设置正确的话会工作良好。

---

Tungsten Fabric入门宝典系列文章——
1.首次启动和运行指南
2.TF组件的七种“武器”
3.编排器集成
4.关于安装的那些事（上）
5.关于安装的那些事（下）
6.主流监控系统工具的集成
7.开始第二天的工作
8.8个典型故障及排查Tips
9.关于集群更新的那些事
10.说说L3VPN及EVPN集成
11.关于服务链、BGPaaS及其它
12.关于多集群和多数据中心

Tungsten Fabric 架构解析系列文章——
第一篇：TF主要特点和用例
第二篇：TF怎么运作
第三篇：详解vRouter体系结构
第四篇：TF的服务链
第五篇：vRouter的部署选项
第六篇：TF如何收集、分析、部署？
第七篇：TF如何编排
第八篇：TF支持API一览
第九篇：TF如何连接到物理网络？
第十篇：TF基于应用程序的安全策略

Tungsten Fabric入门宝典系列文章，来自技术大牛倾囊相授的实践经验，由TF中文社区为您编译呈现，旨在帮助新手深入理解TF的运行、安装、集成、调试等全流程。如果您有相关经验或疑问，欢迎与我们互动，并与社区极客们进一步交流。更多TF技术文章，请点击公号底部按钮＞学习＞文章合集。

作者：Tatsuya Naganawa  译者：TF编译组

在多个编排器之间共享控制平面有很多好处，包括routing/bridging、DNS、security等。

下面我来描述每种情况的使用方法和配置。

K8s+OpenStack

Kubernetes + OpenStack的组合已经涵盖并且运行良好。

• https://github.com/Juniper/contrail-ansible-deployer/wiki/Deployment-Example:-Contrail-and-Kubernetes-and-Openstack

另外，Tungsten Fabric支持嵌套安装（nested installation）和非嵌套安装（non-nested installation），因此你可以选择其中一个选项。

• https://github.com/Juniper/contrail-kubernetes-docs

K8s+K8s

将多个Kubernetes集群添加到一个Tungsten Fabric中，是一种可能的安装选项。

由于kube-manager支持cluster_name参数，该参数修改了将要创建的租户名称（默认为“k8s”），因此这应该是可行的。不过，我在上次尝试该方法时效果不佳，因为有些对象被其它kube-manager作为陈旧对象（stale object）删除了。

• https://github.com/Juniper/contrail-container-builder/blob/master/containers/kubernetes/kube-manager/entrypoint.sh#L28

在将来的版本中，可能会更改此行为。

注意：

从R2002及更高版本开始，这个修补程序解决了该问题，并且不再需要自定义修补程序。

• https://review.opencontrail.org/c/Juniper/contrail-controller/+/55758

注意：应用这些补丁，似乎可以将多个kube-master添加到一个Tungsten Fabric集群中。

diff --git a/src/container/kube-manager/kube_manager/kube_manager.py b/src/container/kube-manager/kube_manager/kube_manager.py
index 0f6f7a0..adb20a6 100644
--- a/src/container/kube-manager/kube_manager/kube_manager.py
+++ b/src/container/kube-manager/kube_manager/kube_manager.py
@@ -219,10 +219,10 @@ def main(args_str=None, kube_api_skip=False, event_queue=None,

     if args.cluster_id:
         client_pfx = args.cluster_id + '-'
-        zk_path_pfx = args.cluster_id + '/'
+        zk_path_pfx = args.cluster_id + '/' + args.cluster_name
     else:
         client_pfx = ''
-        zk_path_pfx = ''
+        zk_path_pfx = '' + args.cluster_name

     # randomize collector list
     args.random_collectors = args.collectors
diff --git a/src/container/kube-manager/kube_manager/vnc/vnc_namespace.py b/src/container/kube-manager/kube_manager/vnc/vnc_namespace.py
index 00cce81..f968cae 100644
--- a/src/container/kube-manager/kube_manager/vnc/vnc_namespace.py
+++ b/src/container/kube-manager/kube_manager/vnc/vnc_namespace.py
@@ -594,7 +594,8 @@ class VncNamespace(VncCommon):
                 self._queue.put(event)

     def namespace_timer(self):
-        self._sync_namespace_project()
+        # self._sync_namespace_project() ## temporary disabled
+        pass

     def _get_namespace_firewall_ingress_rule_name(self, ns_name):
         return "-".join([vnc_kube_config.cluster_name(),

由于kube-master创建的pod-network都在同一个Tungsten Fabric controller上，因此在它们之间实现路由泄漏（route-leak）是可能的:)

• 由于cluster_name将成为Tungsten Fabric的fw-policy中的标签之一，因此在多个Kubernetes集群之间也可以使用相同的标签

172.31.9.29 Tungsten Fabric controller
172.31.22.24 kube-master1 (KUBERNETES_CLUSTER_NAME=k8s1 is set)
172.31.12.82 kube-node1 (it belongs to kube-master1)
172.31.41.5 kube-master2(KUBERNETES_CLUSTER_NAME=k8s2 is set)
172.31.4.1 kube-node2 (it belongs to kube-master2)


[root@ip-172-31-22-24 ~]# kubectl get node
NAME                                              STATUS     ROLES    AGE   VERSION
ip-172-31-12-82.ap-northeast-1.compute.internal   Ready         57m   v1.12.3
ip-172-31-22-24.ap-northeast-1.compute.internal   NotReady   master   58m   v1.12.3
[root@ip-172-31-22-24 ~]# 

[root@ip-172-31-41-5 ~]# kubectl get node
NAME                                             STATUS     ROLES    AGE   VERSION
ip-172-31-4-1.ap-northeast-1.compute.internal    Ready         40m   v1.12.3
ip-172-31-41-5.ap-northeast-1.compute.internal   NotReady   master   40m   v1.12.3
[root@ip-172-31-41-5 ~]# 

[root@ip-172-31-22-24 ~]# kubectl get pod -o wide
NAME                                 READY   STATUS    RESTARTS   AGE     IP              NODE                                              NOMINATED NODE
cirros-deployment-75c98888b9-7pf82   1/1     Running   0          28m     10.47.255.249   ip-172-31-12-82.ap-northeast-1.compute.internal   
cirros-deployment-75c98888b9-sgrc6   1/1     Running   0          28m     10.47.255.250   ip-172-31-12-82.ap-northeast-1.compute.internal   
cirros-vn1                           1/1     Running   0          7m56s   10.0.1.3        ip-172-31-12-82.ap-northeast-1.compute.internal   
[root@ip-172-31-22-24 ~]# 


[root@ip-172-31-41-5 ~]# kubectl get pod -o wide
NAME                                 READY   STATUS    RESTARTS   AGE     IP              NODE                                            NOMINATED NODE
cirros-deployment-75c98888b9-5lqzc   1/1     Running   0          27m     10.47.255.250   ip-172-31-4-1.ap-northeast-1.compute.internal   
cirros-deployment-75c98888b9-dg8bf   1/1     Running   0          27m     10.47.255.249   ip-172-31-4-1.ap-northeast-1.compute.internal   
cirros-vn2                           1/1     Running   0          5m36s   10.0.2.3        ip-172-31-4-1.ap-northeast-1.compute.internal   
[root@ip-172-31-41-5 ~]# 


/ # ping 10.0.2.3
PING 10.0.2.3 (10.0.2.3): 56 data bytes
64 bytes from 10.0.2.3: seq=83 ttl=63 time=1.333 ms
64 bytes from 10.0.2.3: seq=84 ttl=63 time=0.327 ms
64 bytes from 10.0.2.3: seq=85 ttl=63 time=0.319 ms
64 bytes from 10.0.2.3: seq=86 ttl=63 time=0.325 ms
^C
--- 10.0.2.3 ping statistics ---
87 packets transmitted, 4 packets received, 95% packet loss
round-trip min/avg/max = 0.319/0.576/1.333 ms
/ # 
/ # ip -o a
1: lo:  mtu 65536 qdisc noqueue qlen 1000\    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
1: lo    inet 127.0.0.1/8 scope host lo\       valid_lft forever preferred_lft forever
18: eth0@if19:  mtu 1500 qdisc noqueue \    link/ether 02:b9:11:c9:4c:b1 brd ff:ff:ff:ff:ff:ff
18: eth0    inet 10.0.1.3/24 scope global eth0\       valid_lft forever preferred_lft forever
/ #
 -> ping between pods, which belong to different kubernetes clusters, worked well


[root@ip-172-31-9-29 ~]# ./contrail-introspect-cli/ist.py ctr route show -t default-domain:k8s1-default:vn1:vn1.inet.0 

default-domain:k8s1-default:vn1:vn1.inet.0: 2 destinations, 2 routes (1 primary, 1 secondary, 0 infeasible)

10.0.1.3/32, age: 0:06:50.001343, last_modified: 2019-Jul-28 18:23:08.243656
    [XMPP (interface)|ip-172-31-12-82.local] age: 0:06:50.005553, localpref: 200, nh: 172.31.12.82, encap: ['gre', 'udp'], label: 50, AS path: None

10.0.2.3/32, age: 0:02:25.188713, last_modified: 2019-Jul-28 18:27:33.056286
    [XMPP (interface)|ip-172-31-4-1.local] age: 0:02:25.193517, localpref: 200, nh: 172.31.4.1, encap: ['gre', 'udp'], label: 50, AS path: None
[root@ip-172-31-9-29 ~]# 
[root@ip-172-31-9-29 ~]# ./contrail-introspect-cli/ist.py ctr route show -t default-domain:k8s2-default:vn2:vn2.inet.0 

default-domain:k8s2-default:vn2:vn2.inet.0: 2 destinations, 2 routes (1 primary, 1 secondary, 0 infeasible)

10.0.1.3/32, age: 0:02:36.482764, last_modified: 2019-Jul-28 18:27:33.055702
    [XMPP (interface)|ip-172-31-12-82.local] age: 0:02:36.489419, localpref: 200, nh: 172.31.12.82, encap: ['gre', 'udp'], label: 50, AS path: None

10.0.2.3/32, age: 0:04:37.126317, last_modified: 2019-Jul-28 18:25:32.412149
    [XMPP (interface)|ip-172-31-4-1.local] age: 0:04:37.133912, localpref: 200, nh: 172.31.4.1, encap: ['gre', 'udp'], label: 50, AS path: None
[root@ip-172-31-9-29 ~]#
 -> each virtual-network in each kube-master has a route to other kube-master's pod, based on network-policy below



(venv) [root@ip-172-31-9-29 ~]# contrail-api-cli --host 172.31.9.29 ls -l virtual-network
virtual-network/f9d06d27-8fc1-413d-a6d6-c51c42191ac0  default-domain:k8s2-default:vn2
virtual-network/384fb3ef-247b-42e6-a628-7111fe343f90  default-domain:k8s2-default:k8s2-default-service-network
virtual-network/c3098210-983b-46bc-b750-d06acfc66414  default-domain:k8s1-default:k8s1-default-pod-network
virtual-network/1ff6fdbd-ac2e-4601-b08c-5f7255466312  default-domain:default-project:ip-fabric
virtual-network/d8d95738-0a00-457f-b21e-60304859d1f9  default-domain:k8s2-default:k8s2-default-pod-network
virtual-network/0c075b76-4219-4f79-a4f5-1b4e6729f16e  default-domain:k8s1-default:k8s1-default-service-network
virtual-network/985b3b5f-84b7-4810-a54d-abd09a37f525  default-domain:k8s1-default:vn1
virtual-network/23782ea7-4000-491f-b20d-01c6ab9e2ba8  default-domain:default-project:default-virtual-network
virtual-network/90cce352-ef9b-4358-81b3-ef87a9cb63e8  default-domain:default-project:__link_local__
virtual-network/0292810c-c511-4147-89c0-9fdd571ccce8  default-domain:default-project:dci-network
(venv) [root@ip-172-31-9-29 ~]# 

(venv) [root@ip-172-31-9-29 ~]# contrail-api-cli --host 172.31.9.29 ls -l network-policy
network-policy/134d38b2-79e2-4a3e-a2f7-a3d61ceaf5e2  default-domain:k8s1-default:vn1-to-vn2  

作者：Tony Liu 译者：TF编译组

1 总览

本指南介绍如何使用MX作为网关（gateway），为Tungsten Fabric（编者按：原文为Contrail，其开源版已更名为Tungsten Fabric，本文出现Contrail之处均以Tungsten Fabric替换）管理的overlay层提供external或underlay连接。

根据性能要求，网关可以连接到主干（spine）或叶子（leaf）。

2 Underlay/INET

2.1 eBGP

在典型的IP结构中，所有叶子（leaves）、主干（spines）和网关（gateways）都使用eBGP来建立underlay连接。

2.2 iBGP

对于iBGP，建议使用RR（路由反射器）以避免所有BGP节点之间的完全网状对等连接。

3 Overlay/VPN

3.1 环回地址

在每个MX上都会分配并派发环回地址（loopback address）。它用于控制节点的BGP对等，以及vRouter的隧道（tunneling）。Tungsten Fabric和环回地址之间的连接由underlay提供。

如果将单独的接口用于控制平面和数据平面，则当MX通告路由时，控制接口的地址将用作下一跳。要解决此问题，应将环回接口同时用于控制平面和数据平面。

set interfaces lo0 unit 0 family inet address 10.6.0.31/32

3.2 BGP

3.2.1 AS

通常，网关具有一个全局唯一ASN。

set routing-options autonomous-system 64031

3.2.2 eBGP and iBGP

当Tungsten Fabric和网关位于不同的AS中时，将使用eBGP。

set protocols bgp group vpn-contrail type external
set protocols bgp group vpn-contrail multihop
set protocols bgp group vpn-contrail local-address 10.6.0.31
set protocols bgp group vpn-contrail keep all
set protocols bgp group vpn-contrail family inet-vpn unicast
set protocols bgp group vpn-contrail family evpn signaling
set protocols bgp group vpn-contrail family route-target
set protocols bgp group vpn-contrail neighbor 10.6.11.1 peer-as 64512

当Tungsten Fabric和网关位于同一AS中时，将使用iBGP。

set protocols bgp group vpn-contrail type internal
set protocols bgp group vpn-contrail local-address 10.6.0.31
set protocols bgp group vpn-contrail keep all
set protocols bgp group vpn-contrail family inet-vpn unicast
set protocols bgp group vpn-contrail family evpn signaling
set protocols bgp group vpn-contrail family route-target
set protocols bgp group vpn-contrail neighbor 10.6.11.1

当网关全局ASN与Tungsten Fabric ASN不同时，可以使用local-as来启用iBGP。

set protocols bgp group vpn-contrail type internal
set protocols bgp group vpn-contrail local-address 10.6.0.31
set protocols bgp group vpn-contrail local-as 64512
set protocols bgp group vpn-contrail keep all
set protocols bgp group vpn-contrail family inet-vpn unicast
set protocols bgp group vpn-contrail family evpn signaling
set protocols bgp group vpn-contrail family route-target
set protocols bgp group vpn-contrail neighbor 10.6.11.1 peer-as 64512

3.3 BGP Family

3.3.1 L3VPN

set protocols bgp group vpn-contrail family inet-vpn unicast

3.3.2 EVPN

set protocols bgp group vpn-contrail family evpn signaling

3.3.3 Route Target

set protocols bgp group vpn-contrail family route-target

Family“route-target”是用于优化的。在MX上进行配置时，如果存在VRF导入策略，MX将会发布route-target路由。在将VPN-IPv4路由发布给邻居之前，MX还会检查route-target路由表。如果该路由中的route-target未被邻居通告，则MX不会通告该路由。

如果控制平面和数据平面上的接口是分开的，则MX从Tungsten Fabric控制节点接收route-target路由。RT路由的下一跳是控制节点地址（在控制平面上）。MX会尝试解决数据平面上MPLS表（inet.3）中的下一跳，但是会失败。这样，RT路由不会生效，而会被隐藏。结果是MX没有发布路由。为了解决这个问题，可以在inet.3中添加静态路由，以使下一跳的控制接口可以被解析。然后，MX应用RT路由并发布路由。Tungsten Fabric没有此类问题，因为它不会尝试解析下一跳。

3.4 隧道（Tunnel）

Tunnel service是必须要启用的。这里有一个示例。

set chassis fpc 0 pic 0 tunnel-services bandwidth 1g

3.4.1 MPLSoGRE隧道

对于L3VPN，在BGP收到INET-VPN路由并将其放在表bgp.l3vpn.0中之后，它将为该路由寻找MPLS路径。BGP尝试解析表inet.3中的路由。如果成功，将创建GRE隧道并在inet.3中添加MPLS路由。否则，该路由将会被隐藏在bgp.l3vpn.0中。

在启用隧道后，destination-networks的路由将被添加到inet.3中。这里是一个示例。

set routing-options dynamic-tunnels contrail source-address 10.6.0.31set routing-options dynamic-tunnels contrail greset routing-options dynamic-tunnels contrail destination-networks 10.6.11.0/24

source-address is the loopback address.

这是表inet.3中GRE隧道路由的示例。

10.6.11.4/32 (1 entry, 1 announced)
        *Tunnel Preference: 300
                Next hop type: Router, Next hop index: 0
                Address: 0xd7a9210
                Next-hop reference count: 3
                Next hop: via gr-0/0/0.32769, selected
                Session Id: 0x0
                State: 
                Local AS: 64031 
                Age: 10 
                Validation State: unverified 
                Task: DYN_TUNNEL
                Announcement bits (2): 0-Resolve tree 1 1-Resolve_IGP_FRR task 
                AS path: I

这是动态隧道数据库。

> show dynamic-tunnels database    
*- Signal Tunnels #- PFE-down
Table: inet.3       

Destination-network: 10.6.11.0/24
Tunnel to: 10.6.11.1/32 State: Up (expires in 00:06:58 seconds)
  Reference count: 0
  Next-hop type: gre
    Source address: 10.6.0.31
    Next hop: gr-0/0/10.32769
      State: Up
Tunnel to: 10.6.11.7/32 State: Up
  Reference count: 2
  Next-hop type: gre
    Source address: 10.6.0.31
    Next hop: gr-0/0/10.32770
      State: Up

3.4.2 MPLSoUDP Tunnel

UDP隧道更适合于负载均衡。

set routing-options dynamic-tunnels contrail source-address 10.6.0.31
set routing-options dynamic-tunnels contrail udp
set routing-options dynamic-tunnels contrail destination-networks 10.6.11.0/24

这是表inet.3中UDP隧道路由的示例。

10.6.11.4/32 (1 entry, 1 announced)
        *Tunnel Preference: 300
                Next hop type: Tunnel Composite, Next hop index: 0
                Address: 0xd7a87f0
                Next-hop reference count: 2
                Tunnel type: UDP, Reference count: 5, nhid: 0
                Destination address: 10.6.11.4, Source address: 10.6.0.31
                State: 
                Local AS: 64031 
                Age: 24:46 
                Validation State: unverified 
                Task: DYN_TUNNEL
                Announcement bits (2): 0-Resolve tree 1 1-Resolve_IGP_FRR task 
                AS path: I

当路由从VRF导出到Tungsten Fabric时，需要添加策略（policy）来附加到封装属性（community）。

set policy-options policy-statement vrf-export-provider-1 term t1 then community add provider-1
set policy-options policy-statement vrf-export-provider-1 term t1 then community add encap-udp
set policy-options policy-statement vrf-export-provider-1 term t1 then accept
set policy-options community provider-1 members target:64512:101
set policy-options community encap-udp members encapsulation:64512:13

3.5 Routing Instance

3.5.1 VRF

RI的vrf类型用于保留L3路由。

set routing-instances provider-1 instance-type vrf
set routing-instances provider-1 interface lo0.11
set routing-instances provider-1 route-distinguisher 64512:101
set routing-instances provider-1 vrf-target target:64512:101;
set routing-instances provider-1 vrf-table-label

3.5.2 虚拟交换机

（略）

4 路由导入/导出

4.1 工作流

4.1.1 导入（Import）

• 首先，BGP与Tungsten Fabric建立对等关系。如果没有任何VRF RI和导入策略，则不会创建表bgp.l3vpn.0，并且BGP无法接收任何INET-VPN路由。

• 在创建VRF RI后（必须配置vrf-table-label），可以使用隐式策略（implicit policy）或显式策略（explicit policy）。

• 配置vrf-target将启用隐式策略，该策略将导入具有特定RT community的路由，并导出具有附加特定RT community的路由。
• 配置“vrf-import”和“vrf-export”以指定显式策略，以备需要任何其它的操作。

• 使用任何VRF RI和导入策略，将创建表bgp.l3vpn.0。

• 根据导入策略，为每个RT创建一个RIB组vpn-unicast。

vpn-unicast target:64512:101, Address: 0xd7a8e40
  Address Family: l3vpn, Flags: 0x4, References: 0
  Export RIB: l3vpn.0
  Import RIB: bgp.l3vpn.0
  Secondary Import RIB: provider-1.inet.0

• BGP尝试解析表inet.3中的路由。如果成功，则分配GRE隧道。否则，该路由将被隐藏。

• BGP接收到与导入策略匹配的INET-VPN路由（route-target community），并将其放在表bgp.l3vpn.0中。路由也转换为INET路由，并放置在VRF表中，该表是RIB组中的辅助导入RIB。否则，路由将被丢弃。

这是表bgp.l3vpn.0中的INET-VPN路由示例。它是由BGP从Tungsten Fabric上通告的；路由标识符10.6.11.4:2由vRouter的IP地址和vRouter分配的ID组成；从Tungsten Fabric控制节点10.6.11.1发布；下一跳是通过动态GRE隧道接口gr-0/0/0.32769；MPLS标签为25。

10.6.11.4:2:172.16.11.3/32                
                   *[BGP/170] 00:03:11, MED 100, localpref 100, from 10.6.11.1
                      AS path: 64512 ?, validation-state: unverified
                    > via gr-0/0/0.32769, Push 25

该路由将转换为INET路由并放置在VRF中。

172.16.11.3/32     *[BGP/170] 02:35:37, MED 100, localpref 100, from 10.6.11.1
                      AS path: 64512 ?, validation-state: unverified
                    > via gr-0/0/0.32769, Push 25

4.1.2 导出（Export）

• 要从VRF导出路由，根据导出策略，该路由将从INET转换为INET-VPN，放入表bgp.l3vpn.0中，然后由BGP导出。MPLS标签将分配给在表mpls.0中的INET-VPN路由。

这是VRF中的环回接口，如表bgp.l3vpn.0所示。

64512:101:172.16.11.250/32                
                   *[Direct/0] 00:43:14
                    > via lo0.11

The route is advertised with MPLS label 300624 showing by "show route advertising-protocol bgp 10.6.11.1 detail".

该路由用MPLS标签300624发布，通过 “show route advertising-protocol bgp 10.6.11.1 detail”可以显示细节。

* 64512:101:172.16.11.250/32 (1 entry, 1 announced)
 BGP group vpn-contrail type External
     Route Distinguisher: 64512:101
     VPN Label: 300624
     Nexthop: Self
     Flags: Nexthop Change
     AS path: [64031] I

MPLS标签在表mpls.0中分配。

300624             *[VPN/170] 00:55:34
                      receive table provider-1.inet.0, Pop

4.2 隐式VRF导入/导出策略

使用vrf-target，可以创建隐式导入和导出策略。

set routing-instances provider-1 instance-type vrf
set routing-instances provider-1 vrf-table-label
set routing-instances provider-1 vrf-target target:64512:101;

隐式导入策略将导入带有community“target:64540:100”的路由。其结果是，从Tungsten Fabric虚拟网络中发布的带有“target:64540:100”的路由，被导入到此RI中。

> show policy __vrf-import-5b4s37-166-internal__ 
Policy __vrf-import-5b4s37-166-internal__:
    Term unnamed:
        from community __vrf-community-5b4s37-166-common-internal__ [target:64540:100 ]
        then accept
    Term unnamed:
        then reject

隐式导出策略将导出带有community“target:64540:100”的路由。其结果是，路由被发布到Tungsten Fabric，并导入到带有“target:64540:100”的虚拟网络中。

> show policy __vrf-export-5b4s37-166-internal__ 
Policy __vrf-export-5b4s37-166-internal__:
    Term unnamed:
        then community + __vrf-community-5b4s37-166-common-internal__ [target:64540:100 ] accept

4.3 显式VRF导入/导出策略

策略可被显式定义为导入和导出路由。在此示例中，从Tungsten Fabric虚拟网络中发布的带有“target:64540:91”和“target:64540:92”的路由被导入RI。RI中的路由使用“target:64540:91”和“target:64540:92”进行通告，并导入到两个虚拟网络中。

set policy-options policy-statement provider-1-export term t1 then community add provider-1
set policy-options policy-statement provider-1-export term t1 then accept
set policy-options policy-statement provider-1-import term t1 from community provider-1
set policy-options policy-statement provider-1-import term t1 from community ext-host
set policy-options policy-statement provider-1-import term t1 then accept
set policy-options community ext-host members target:64510:101
set policy-options community provider-1 members target:64512:101
set routing-instances provider-1 instance-type vrf
set routing-instances provider-1 interface lo0.11
set routing-instances provider-1 route-distinguisher 64512:101
set routing-instances provider-1 vrf-table-label
set routing-instances provider-1 vrf-import provider-1-import
set routing-instances provider-1 vrf-export provider-1-export

5 External/Underlay连接

这里想说的是——

• 在master RI中具有路由，以将ingress流量（从external/underlay到overlay）引导到VRF RI。

• 在VRF RI中具有路由，以将egress流量（从overlay到external/underlay）引导到master RI。

• 路由可能泄漏为静态。

有两个工作选项：

1. 逻辑隧道（Logical tunnel）

2. RIB组和带有下一表（next-table）的静态路由

详细信息请见以下各小节内容。

5.1 逻辑隧道

逻辑隧道用于连接master路由实例和VRF路由实例。根据使用情况，这是可选的。由于带宽限制，必须检查需求和特定硬件上的隧道带宽，以此来做出决定。

5.1.1 静态

这是在逻辑隧道上使用静态路由的示例。

set chassis fpc 0 pic 0 tunnel-services
set interfaces lt-0/0/0 unit 100 encapsulation frame-relay
set interfaces lt-0/0/0 unit 100 dlci 10
set interfaces lt-0/0/0 unit 100 peer-unit 200
set interfaces lt-0/0/0 unit 100 family inet
set interfaces lt-0/0/0 unit 200 encapsulation frame-relay
set interfaces lt-0/0/0 unit 200 dlci 10
set interfaces lt-0/0/0 unit 200 peer-unit 100
set interfaces lt-0/0/0 unit 200 family inet
set routing-options static route 172.16.11.0/24 next-hop lt-0/0/0.100
set routing-instances provider-1 interface lt-0/0/0.200
set routing-instances provider-1 routing-options static route 0.0.0.0/0 next-hop lt-0/0/0.200

5.1.2 动态

这里是一个示例，使用聚合路由在VRF和master之间配置BGP对等。

set chassis fpc 0 pic 0 tunnel-services
set interfaces lt-0/0/0 unit 100 encapsulation frame-relay
set interfaces lt-0/0/0 unit 100 dlci 10
set interfaces lt-0/0/0 unit 100 peer-unit 200
set interfaces lt-0/0/0 unit 100 family inet address 192.168.200.0/31
set interfaces lt-0/0/0 unit 200 encapsulation frame-relay
set interfaces lt-0/0/0 unit 200 dlci 10
set interfaces lt-0/0/0 unit 200 peer-unit 100
set interfaces lt-0/0/0 unit 200 family inet address 192.168.200.1/31
set protocols bgp group vrf type internal
set protocols bgp group vrf local-address 192.168.200.0
set protocols bgp group vrf keep all
set protocols bgp group vrf family inet unicast
set protocols bgp group vrf export provider-1-export
set protocols bgp group vrf neighbor 192.168.200.1
set policy-options policy-statement provider-1-export term t1 then community add provider-1
set policy-options policy-statement provider-1-export term t1 then accept
set policy-options policy-statement provider-1-aggregate-export term 1 from protocol aggregate
set policy-options policy-statement provider-1-aggregate-export term 1 from route-filter 172.16.11.0/24 exact
set policy-options policy-statement provider-1-aggregate-export term 1 then next-hop self
set policy-options policy-statement provider-1-aggregate-export term 1 then accept
set policy-options community provider-1 members target:64512:101
set routing-instances provider-1 instance-type vrf
set routing-instances provider-1 interface lt-0/0/0.200
set routing-instances provider-1 route-distinguisher 64512:101
set routing-instances provider-1 vrf-import provider-1-import
set routing-instances provider-1 vrf-export provider-1-export
set routing-instances provider-1 routing-options aggregate route 172.16.11.0/24
set routing-instances provider-1 protocols bgp group master type internal
set routing-instances provider-1 protocols bgp group master local-address 192.168.200.1
set routing-instances provider-1 protocols bgp group master keep all
set routing-instances provider-1 protocols bgp group master family inet unicast
set routing-instances provider-1 protocols bgp group master export provider-1-aggregate-export
set routing-instances provider-1 protocols bgp group master neighbor 192.168.200.0

5.2 下一表（Next-table）

可以将路由表指定为路由下一跳。从概念上讲，可以像下面的示例一样，在inet.0和vrf.inet.0之间控制流量。

该解决方案的问题在于它将导致路由循环。例如，172.16.11.9的流量被导向vrf.inet.0。如果没有任何特定的路由解析，它将通过默认路由返回到inet.0。为了避免这种路由循环，Junos不允许进行这种配置。

Junos也不允许配置第三张表（the third table）。

5.3 RIB组

RIB组通常用于泄漏路由表之间的路由。从概念上讲，可以创建一个RIB组以将INET路由从vrf.inet.0导入到inet.0，同时可以创建另一个RIB组以将INET路由从inet.0导入到vrf.inet.0。

set routing-options rib-groups provider-1-master import-rib provider-1.inet.0
set routing-options rib-groups provider-1-master import-rib inet.0
set routing-options rib-groups master-provider-1 import-rib inet.0
set routing-options rib-groups master-provider-1 import-rib provider-1.inet.0
set protocols bgp group corp type external
set protocols bgp group corp family inet unicast rib-group master-provider-1
set protocols bgp group corp export direct
set protocols bgp group corp neighbor 10.6.30.1 peer-as 64041
set routing-instances provider-1 instance-type vrf
set routing-instances provider-1 route-distinguisher 64512:101
set routing-instances provider-1 vrf-import provider-1-import
set routing-instances provider-1 vrf-export provider-1-export
set routing-instances provider-1 vrf-table-label
set routing-instances provider-1 routing-options auto-export family inet unicast rib-group provider-1-master

此配置将路由从inet.0泄漏到vpn.inet.0。但是从另一种角度来看，自Tungsten Fabric接收而来的路由，不会从vpn.inet.0泄漏到inet.0，原因是Junos的设计。这些路由已经从bgp.13vpn.0中泄漏，因此vpn.inet.0是这些路由的辅助RIB。辅助RIB中的路由不会再次泄漏。

5.4 RIB组和下一表（Next-table）

5.4.1 Ingress

对于ingress流量，由于Junos不会泄漏从VRF到master的overlay/32路由，因此有两个选择。

1. 在VRF中添加生成（聚合）路由，并使用RIB组泄漏从vrf.inet.0到inet.0的聚合路由。

set routing-options rib-groups provider-1-master import-rib provider-1.inet.0
set routing-options rib-groups provider-1-master import-rib inet.0
set routing-options rib-groups provider-1-master import-policy provider-1-master-import
set routing-instances provider-1 instance-type vrf
set routing-instances provider-1 route-distinguisher 64512:101
set routing-instances provider-1 vrf-target target:64512:101
set routing-instances provider-1 vrf-table-label
set routing-instances provider-1 routing-options static route 0.0.0.0/0 next-table inet.0
set routing-instances provider-1 routing-options generate route 172.16.11.0/24 next-table provider-1.inet.0
set routing-instances provider-1 routing-options auto-export family inet unicast rib-group provider-1-master

1. 将带有下一表（next-table）的静态路由添加到master中的vrf.inet.0。

set routing-options static route 172.16.11.0/24 next-table provider-1.inet.0

建议使用选项2。

请注意，需要为路由协议更新导出策略，以通告此类静态路由。

5.4.2 Egress

对于egress流量，这里有两个选择。

1. 将带有下一表（next-table）的静态路由添加到VRF中的inet.0。

set routing-instances provider-1 routing-options static route 0.0.0.0/0 next-table inet.0

这里的问题是，如果它是如上所述的默认路由，则会导致路由循环。例如，到172.16.11.5/32的ingress流量在vrf.int.0中并不存在，但它将在master和VRF之间循环。使用特定的路由可以避免路由循环，但这不是动态的并且不能扩展。

1. master中路由协议接收到的路由泄漏到VRF。

set protocols bgp group corp type external
set protocols bgp group corp family inet unicast rib-group bgp-corp-provider-1
set protocols bgp group corp export direct
set protocols bgp group corp neighbor 10.6.30.1 peer-as 64041
set routing-options rib-groups bgp-corp-provider-1 import-rib inet.0
set routing-options rib-groups bgp-corp-provider-1 import-rib provider-1.inet.0

同样，由于Junos的限制，泄漏到VRF（辅助RIB）中的路由无法发布给Tungsten Fabric。解决方案是添加默认拒绝路由。

set routing-instances provider-1 routing-options static route 0.0.0.0/0 reject

5.4.3 解决方案

作为结论，这里是解决方案。

• 从mater泄漏路由到VRF，用于egress流量。

• 在master中添加静态路由，用于ingress流量。

附录A.1是完整的配置。

请注意，这不适用于MPLSoUDP。

5.5转发过滤器和下一表（Next-table）

此解决方案是，使用转发过滤器（forwarding filter）将ingress流量引导到VRF RI，并使用带有下一表（next-table）的静态路由将egress流量引导到master RI。

该解决方案有两个问题。

1. 由于Junos中的某些问题，它不适用于MPLSoUDP。
2. 要向外部发布路由，必须添加指向网关本身的路由。Ingress流量将首先到达过滤器，因此静态路由仅用于通告目的，对流量没有影响。

5.6 VRF到VRF

附录A.2是一个示例配置。

请注意，由于Family route-target，在Tungsten Fabric中，对于暴露的VN，必须将远程VRF RT配置为导入RT。否则，网关将不会从远程VRF发布INET-VPN路由。

5.7 Community

Tungsten Fabric中的路由有以下的community。

• route target
• encapsulation
• mac-mobility
• 0x8004 (security group)
• 0x8071 (origin VN)

根据使用情况（例如去往外部集群或另一个Tungsten Fabric集群的路由），这些community可能需要清理，也可能不需要。

附录A.2中的配置是清理community的一个示例。

6 多集群

单个网关可以支持多个集群，它们本应该具有不同的ASN。

• 网关配置ASN。
• 集群具有不同的专用ASN。
• 每个集群内控制节点内的iBGP。
• 每个集群的网关和控制节点之间的eBGP。
• 多个BGP组可以共享连接到不同邻居组的同一接口。
• 如果每个集群都位于单独的网络中，则每个集群都有一个动态隧道组。
• 每个集群应具有单独的公共地址空间。由于没有地址冲突，因此一个VRF路由实例可以由多个集群共享，并且所有集群中的公共虚拟网络必须具有相同的路由目标（routing target）。结果，来自一个集群的公共路由将泄漏到另一个集群。

附录

A.1 RIB组和下一表（Next-table）

set version 18.3R1.9
set chassis fpc 0 pic 0 tunnel-services
set interfaces ge-0/0/0 mac 52:54:00:8c:f9:2b
set interfaces ge-0/0/0 unit 0 family inet address 10.6.30.2/30
set interfaces ge-0/0/1 mac 52:54:00:c4:ee:41
set interfaces ge-0/0/1 unit 0 family inet address 10.6.20.1/30
set interfaces fxp0 unit 0 family inet address 10.6.8.31/24
set interfaces lo0 unit 0 family inet address 10.6.0.31/32
set interfaces lo0 unit 11 family inet address 172.16.11.250/32
set interfaces lo0 unit 12 family inet address 172.16.12.250/32
set routing-options interface-routes rib-group inet master-direct-vrf
set routing-options static route 172.16.11.0/24 next-table provider-1.inet.0
set routing-options static route 172.16.12.0/24 next-table provider-2.inet.0
set routing-options rib-groups bgp-corp-vrf import-rib inet.0
set routing-options rib-groups bgp-corp-vrf import-rib provider-1.inet.0
set routing-options rib-groups bgp-corp-vrf import-rib provider-2.inet.0
set routing-options rib-groups master-direct-vrf import-rib inet.0
set routing-options rib-groups master-direct-vrf import-rib provider-1.inet.0
set routing-options rib-groups master-direct-vrf import-rib provider-2.inet.0
set routing-options rib-groups master-direct-vrf import-policy rib-import-master-vrf
set routing-options route-distinguisher-id 10.6.0.31
set routing-options autonomous-system 64031
set routing-options dynamic-tunnels contrail source-address 10.6.0.31
set routing-options dynamic-tunnels contrail gre
set routing-options dynamic-tunnels contrail destination-networks 10.6.11.0/24
set protocols bgp group corp type external
set protocols bgp group corp family inet unicast rib-group bgp-corp-vrf
set protocols bgp group corp export direct
set protocols bgp group corp neighbor 10.6.30.1 peer-as 64041
set protocols bgp group fabric type external
set protocols bgp group fabric family inet unicast
set protocols bgp group fabric export direct
set protocols bgp group fabric neighbor 10.6.20.2 peer-as 64011
set protocols bgp group vpn-contrail type external
set protocols bgp group vpn-contrail multihop
set protocols bgp group vpn-contrail local-address 10.6.0.31
set protocols bgp group vpn-contrail keep all
set protocols bgp group vpn-contrail family inet-vpn unicast
set protocols bgp group vpn-contrail family route-target
set protocols bgp group vpn-contrail neighbor 10.6.11.1 peer-as 64512
set policy-options policy-statement direct term t1 from protocol direct
set policy-options policy-statement direct term t1 from protocol aggregate
set policy-options policy-statement direct term t1 then accept
set policy-options policy-statement direct term t2 from protocol static
set policy-options policy-statement direct term t2 from route-filter 172.16.11.0/24 exact
set policy-options policy-statement direct term t2 then accept
set policy-options policy-statement direct term t3 from protocol static
set policy-options policy-statement direct term t3 from route-filter 172.16.12.0/24 exact
set policy-options policy-statement direct term t3 then accept
set policy-options policy-statement rib-import-master-vrf term t2 from protocol direct
set policy-options policy-statement rib-import-master-vrf term t2 then accept
set policy-options policy-statement rib-import-master-vrf term end then reject
set policy-options policy-statement vrf-export-provider-1 term t1 then community add provider-1
set policy-options policy-statement vrf-export-provider-1 term t1 then accept
set policy-options policy-statement vrf-export-provider-1 term end then reject
set policy-options policy-statement vrf-export-provider-2 term t1 then community add provider-2
set policy-options policy-statement vrf-export-provider-2 term t1 then accept
set policy-options policy-statement vrf-export-provider-2 term end then reject
set policy-options policy-statement vrf-import-provider-1 term t1 from community provider-1
set policy-options policy-statement vrf-import-provider-1 term t1 from community ext-host
set policy-options policy-statement vrf-import-provider-1 term t1 then accept
set policy-options policy-statement vrf-import-provider-1 term end then reject
set policy-options policy-statement vrf-import-provider-2 term t1 from community provider-2
set policy-options policy-statement vrf-import-provider-2 term t1 from community ext-host
set policy-options policy-statement vrf-import-provider-2 term t1 then accept
set policy-options policy-statement vrf-import-provider-2 term end then reject
set policy-options community all-encaps members encapsulation:*:*
set policy-options community all-origin-vns members 0x8071:*:*
set policy-options community all-security-groups members 0x8004:*:*
set policy-options community encap-udp members encapsulation:64512:13
set policy-options community ext-host members target:64510:101
set policy-options community provider-1 members target:64512:101
set policy-options community provider-2 members target:64512:102
set routing-instances provider-1 instance-type vrf
set routing-instances provider-1 interface lo0.11
set routing-instances provider-1 route-distinguisher 64512:101
set routing-instances provider-1 vrf-import vrf-import-provider-1
set routing-instances provider-1 vrf-export vrf-export-provider-1
set routing-instances provider-1 vrf-table-label
set routing-instances provider-1 routing-options static route 0.0.0.0/0 reject
set routing-instances provider-2 instance-type vrf
set routing-instances provider-2 interface lo0.12
set routing-instances provider-2 route-distinguisher 64512:102
set routing-instances provider-2 vrf-import vrf-import-provider-2
set routing-instances provider-2 vrf-export vrf-export-provider-2
set routing-instances provider-2 vrf-table-label
set routing-instances provider-2 routing-options static route 0.0.0.0/0 reject

A.2 VRF到VRF

set version 18.3R1.9
set chassis fpc 0 pic 0 tunnel-services
set interfaces ge-0/0/0 mac 52:54:00:8c:f9:2b
set interfaces ge-0/0/0 unit 0 family inet address 10.6.30.2/30
set interfaces ge-0/0/1 mac 52:54:00:c4:ee:41
set interfaces ge-0/0/1 unit 0 family inet address 10.6.20.1/30
set interfaces fxp0 unit 0 family inet address 10.6.8.31/24
set interfaces lo0 unit 0 family inet address 10.6.0.31/32
set routing-options route-distinguisher-id 10.6.0.31
set routing-options autonomous-system 64031
set routing-options dynamic-tunnels contrail source-address 10.6.0.31
set routing-options dynamic-tunnels contrail gre
set routing-options dynamic-tunnels contrail destination-networks 10.6.11.0/24
set routing-options dynamic-tunnels contrail destination-networks 10.6.0.0/16
set protocols bgp group corp type external
set protocols bgp group corp family inet unicast
set protocols bgp group corp export direct
set protocols bgp group corp neighbor 10.6.30.1 peer-as 64041
set protocols bgp group fabric type external
set protocols bgp group fabric family inet unicast
set protocols bgp group fabric export direct
set protocols bgp group fabric neighbor 10.6.20.2 peer-as 64011
set protocols bgp group vpn-contrail type external
set protocols bgp group vpn-contrail multihop
set protocols bgp group vpn-contrail local-address 10.6.0.31
set protocols bgp group vpn-contrail keep all
set protocols bgp group vpn-contrail family inet-vpn unicast
set protocols bgp group vpn-contrail family route-target
set protocols bgp group vpn-contrail neighbor 10.6.11.1 peer-as 64512
set protocols bgp group vpn-external type external
set protocols bgp group vpn-external multihop
set protocols bgp group vpn-external local-address 10.6.0.31
set protocols bgp group vpn-external keep all
set protocols bgp group vpn-external family inet-vpn unicast
set protocols bgp group vpn-external family route-target
set protocols bgp group vpn-external export vpn-external-export
set protocols bgp group vpn-external neighbor 10.6.0.41 peer-as 64041
set policy-options policy-statement direct term t1 from protocol direct
set policy-options policy-statement direct term t1 then accept
set policy-options policy-statement provider-1-export term t1 then accept
set policy-options policy-statement provider-1-import term t1 from community provider-1
set policy-options policy-statement provider-1-import term t1 from community ext-host
set policy-options policy-statement provider-1-import term t1 then accept
set policy-options policy-statement vpn-external-export term t1 from community provider-1
set policy-options policy-statement vpn-external-export term t1 then community add ext-host
set policy-options policy-statement vpn-external-export term t1 then community delete all-encaps
set policy-options policy-statement vpn-external-export term t1 then community delete all-security-groups
set policy-options policy-statement vpn-external-export term t1 then community delete all-origin-vns
set policy-options policy-statement vpn-external-export term t1 then accept
set policy-options community all-encaps members encapsulation:*:*
set policy-options community all-origin-vns members 0x8071:*:*
set policy-options community all-security-groups members 0x8004:*:*
set policy-options community ext-host members target:64510:101
set policy-options community provider-1 members target:64512:101
set firewall family inet filter to-vrf term 1 from destination-address 172.16.11.0/24
set firewall family inet filter to-vrf term 1 then routing-instance provider-1
set firewall family inet filter to-vrf term default then accept
set routing-instances provider-1 instance-type vrf
set routing-instances provider-1 route-distinguisher 64512:101
set routing-instances provider-1 vrf-import provider-1-import
set routing-instances provider-1 vrf-export provider-1-export

邀请——

我们于6月10日（星期三）下午13：00 - 14：00召开第九次线上会议。

参与方式：Zoom 会议

本次会议的主要议题是：TF release提交讨论，诚邀出席。国际社区代表Edward Ting参会，分享国际社区进展，并将把release进行提交。

Tungsten Fabric项目是一个开源项目协议，它基于标准协议开发，并且提供网络虚拟化和网络安全所必需的所有组件。项目的组件包括：SDN控制器，虚拟路由器，分析引擎，北向API的发布，硬件集成功能，云编排软件和广泛的REST API。

会议记录——

TF中文社区技术委员会第九次线上会议
时间：2020年6月10日
主题：国际社区代表Edward Ting参会，分享国际社区进展，并将把release进行提交。
会议记录：
https://tungstenfabric.org.cn/wiki/pages/viewpage.action?pageId=4423704

资料链接：https://pan.baidu.com/s/1yxBdv89rTUzLrWVPbVxgAA
提取码：slj9

Edward Ting分享的一些学习资料
http://r.lfnetworking.org/?prefix=lfn-zoom/TF/TSC/2020-06-04 10.04.06 TF Weekly TSC Meeting 126834756/
https://www.juniper.net/documentation/product/en_US/contrail-networking
https://www.juniper.net/documentation/en_US/contrail20/information-products/pathway-pages/contrail-service-provider-feature-guide.pdf
http://configuration-schema-documentation.s3-website-us-west-1.amazonaws.com/R3.2/tutorial_with_rest.html

近日，在Tungsten Fabric社区技术指导委员会（TSC）例会上，对TF社区目前的发展和挑战进行了讨论，瞻博网络等成员计划加大资源支持力度。

TSC主席Prabhjot Singh Sethi表示，Tungsten Fabric的下一步行动将会基于“云原生（Cloud-Native）”的理念，并希望增加用于service-mesh的功能，扩展数据路径、CNF和SDN解决方案。

同时，TF社区正致力于解决与Tungsten Fabric的ONAP集成问题，希望运营商将Tungsten Fabric视为一个可替代的SDN控制器选择。

瞻博网络首席技术官Raj Yavatkar参加了例会，表示对Tungsten Fabric的发展方向感到兴奋，将加快对开源的贡献，并将提供更多资源支持。具体包括：新招聘具有Kubernetes背景的工程师来支持团队，增加新的产品经理支持Cloud Native集成，鼓励瞻博网络工程师为社区做出更多贡献，给予项目合作技术负责人Sukhdev Kapur更多支持。

另外，瞻博网络将尝试帮助支持新的操作框架（operator-framework），通过工程技术的方式为开源做出贡献，并在确保补丁被集成方面发挥积极作用。

瞻博网络杰出工程师Sukhdev Kapur表示，未来社区将进行许多更改，并计划提高透明度。

另一位Linux基金会成员Casey Cain，谈到了确定用户故事、案例研究或部署见解的必要性，以及利用这些材料来开发博客、推广Tungsten Fabric的计划，Casey还将创建一个Wiki页面来跟踪协作问题。

TSC原文链接：
https://wiki.tungsten.io/display/TUN/2020-06-04+TSC+Minutes

Tungsten Fabric入门宝典系列文章，来自技术大牛倾囊相授的实践经验，由TF中文社区为您编译呈现，旨在帮助新手深入理解TF的运行、安装、集成、调试等全流程。如果您有相关经验或疑问，欢迎与我们互动，并与社区极客们进一步交流。更多TF技术文章，请点击【TF中文社区】公号底部按钮＞学习＞文章合集。

作者：Tatsuya Naganawa  译者：TF编译组

多集群

由于在内部使用MPLS-VPN，因此Tungsten Fabric中的virtual-network可以扩展到其它Tungsten Fabric集群。

• 这可能令人有点惊讶，但据我所知，Neutron ML2插件或其它某些CNI不支持此设置

也就是说，由于它们具有不同的数据库，因此需要在它们之间标记共享资源。

为此，我将描述几个bgp参数的用法。

路由（Routing）

由于Tungsten Fabric使用L3VPN进行VRF间的路由，因此，如果在VRF之间正确设置了route-target，则它可以对报文进行路由。

• 由于不能在多个集群之间使用network-policy / logical-router，因此需要在每个virtual-network上直接配置route-target。

注意：如果指定了仅做l3转发，即使在内部VRF的转发中，也会使用L3VPN，因此在该设置中将不使用桥接（bridging）。

安全组（security-group）

Tungsten Fabric还具有一些扩展的属性来传达安全组ID的内容。

• https://github.com/Juniper/contrail-controller/wiki/BGP-Extended-Communities

由于此ID也可以手动配置，因此你可以为每个集群的安全组设置相同的ID，从而允许来自该前缀的流量。

注意：据我所知，无法从R5.1分支中的Tungsten Fabric Webui手动配置标签的ID，因此无法在集群之间使用fw-policy。此行为将来可能会更改。

DNS

在处理多个集群时，DNS是一个很重要的主题。

由于Tungsten Fabric具有类似于OpenStack的默认设置的vDNS实现，因此你可以解析集群中的vmname，并使这些名称可以在外部可用。

• https://github.com/Juniper/contrail-controller/wiki/DNS-and-IPAM

• Controller节点有一个contrail-named进程，用于响应外部DNS查询

• 要启用此功能，需要从Tungsten Fabric Webui中选择Configure > DNS > DNS Server > (create) > External Access

因此，至少当使用OpenStack（或vCenter）作为编排器，并且不同的集群具有不同的域名时，它可以直接解析其它集群的名称。

• 上游DNS转发器需要能够解析所有名称

在使用Kubernetes时，Tungsten Fabric将coredns用作名称解析的来源，而不是在其自己的vDNS。这些IP和域名可以在kubeadm设置中修改。

cluster0:
kubeadm init --pod-network-cidr=10.32.0.0/24 --service-cidr=10.96.0.0/24
cluster1:
kubeadm init --pod-network-cidr=10.32.1.0/24 --service-cidr=10.96.1.0/24 --service-dns-domain=cluster1.local

cluster1:
# cat /etc/sysconfig/kubelet 
-KUBELET_EXTRA_ARGS=
+KUBELET_EXTRA_ARGS="--cluster-dns=10.96.1.10"
# systemctl restart kubelet

注意：在配置完成后，Tungsten Fabric设置也需要更改（在configmap env中进行设置）

cluster0:
  KUBERNETES_POD_SUBNETS: 10.32.0.0/24
  KUBERNETES_IP_FABRIC_SUBNETS: 10.64.0.0/24
  KUBERNETES_SERVICE_SUBNETS: 10.96.0.0/24

cluster1:
  KUBERNETES_POD_SUBNETS: 10.32.1.0/24
  KUBERNETES_IP_FABRIC_SUBNETS: 10.64.1.0/24
  KUBERNETES_SERVICE_SUBNETS: 10.96.1.0/24

设置好coredns后，它就可以解析其它集群的名称了（coredns IP需要泄漏到各自的VRF，因为这些IP必须是可访问的）

kubectl edit -n kube-system configmap coredns

cluster0:
### add these lines to resolve cluster1 names
    cluster1.local:53 {
        errors
        cache 30
        forward . 10.96.1.10
    }

cluster1:
### add these lines to resolve cluster0 names
    cluster.local:53 {
        errors
        cache 30
        forward . 10.96.0.10
    }

因此，即使你有几个单独的Tungsten Fabric集群，在它们之间缝合virtual-network也不太困难。

这样做的原因之一，是要节点数量超过了编排器当前支持的数量，但即使像Kubernetes、OpenStack、vCenter这样的编排器已经能支持大量的虚拟机管理程序。

多数据中心（Multi-DC）

如果流量是跨多个数据中心的，则需要在计划Tungsten Fabric安装时保持格外小心。

有两个选项：1.单集群；2.多集群。

单集群选项更简单而且容易管理——即便数据中心之间的RTT可能是一个问题，这是因为XMPP、RabbitMQ、Cassandra等多种流量都将通过controller（当前并不支持多数据中心的本地支持）

多集群方法将给操作带来更多的复杂性，因为集群都有各自不同的数据库，因此你需要手动设置一些参数，例如route-target或security-group id。

此外，在它们之间实现vMotion也将更加困难。

• 即便使用跨vCenter vMotion功能，由于新的vCenter和新的Tungsten Fabric集群将创建一个新的端口，因此它也将使用不同于原始端口的固定IP。

• Nova目前不支持跨OpenStack实时迁移，因此如果使用OpenStack，则无法在它们之间进行实时迁移

由于在数据中心之间vCenter需要150ms的RTT（我找不到KVM的相似值），因此尽管必须针对每种特定情况进行仔细规划，仍然有一个经验法则：单集群 < 150 msec RTT < 多集群，。

• https://kb.vmware.com/s/article/2106949

当计划安装单集群并且数据中心的数量为两个时，还需要注意一件事。

由于Tungsten Fabric中的Zookeeper / Cassandra当前使用Quorum一致性等级，因此当主站点关闭时，第二个站点将无法继续工作（Read和Write访问权限均不可用）。

• https://github.com/Juniper/contrail-controller/blob/master/src/config/common/vnc_cassandra.py#L659

(使用config-api, schema-transformer, svc-monitor, device-manager)

• https://github.com/Juniper/contrail-common/blob/master/config-client-mgr/config_cassandra_client.cc#L458

(使用control, dns)

解决此问题的一种可能选项是，将一致性级别更改为ONE / TWO / THREE，或者LOCAL_ONE / LOCAL_QUORUM，尽管它需要重写源代码。

由于Zookeeper没有这样的knob，所以我知道的唯一方法，是在主站点关闭后更新weight。

• https://stackoverflow.com/questions/32189618/hierarchical-quorums-in-zookeeper

• 即使Zookeeper暂时无法使用，大多数组件仍继续工作，尽管它用于HA的组件停止工作了（schema-transformer, svc-monitor, kube-manager, vcenter-plugin, ...）。

当数据中心的数量超过两个时，这将不再是一个问题。

---

Tungsten Fabric入门宝典系列文章——
1.首次启动和运行指南
2.TF组件的七种“武器”
3.编排器集成
4.关于安装的那些事（上）
5.关于安装的那些事（下）
6.主流监控系统工具的集成
7.开始第二天的工作
8.8个典型故障及排查Tips
9.关于集群更新的那些事
10.说说L3VPN及EVPN集成
11.关于服务链、BGPaaS及其它

Tungsten Fabric 架构解析系列文章——
第一篇：TF主要特点和用例
第二篇：TF怎么运作
第三篇：详解vRouter体系结构
第四篇：TF的服务链
第五篇：vRouter的部署选项
第六篇：TF如何收集、分析、部署？
第七篇：TF如何编排
第八篇：TF支持API一览
第九篇：TF如何连接到物理网络？
第十篇：TF基于应用程序的安全策略

Tungsten Fabric入门宝典系列文章，来自技术大牛倾囊相授的实践经验，由TF中文社区为您编译呈现，旨在帮助新手深入理解TF的运行、安装、集成、调试等全流程。如果您有相关经验或疑问，欢迎与我们互动，并与社区极客们进一步交流。更多TF技术文章，请点击【TF中文社区】公号底部按钮＞学习＞文章合集。

作者：Tatsuya Naganawa  译者：TF编译组

服务链

尽管有很多用例，但NFVI将成为Tungsten Fabric最突出的用例之一，这是由于NFVI许多独特的功能，使其成为实现软件的基础。

其中最著名的功能就是服务链（service-chain），该功能可在不更改VNF IP的情况下管理流量，从而可以实时插入和删除VNF。

由于vRouter可以在内部包含VRF，因此它可以在VNF的每个接口上都具有VRF，并且可以通过虚假的下一跳处理流量，例如发送给下一个VNF。

Tungsten Fabric的服务链是通过这种方式实现的，因此一旦创建服务链，你将看到很多个VRF被创建，并且将插入下一跳，将流量发送到服务链中的下一个VNF。

• VRF（在control的术语中是routing-instance）被命名为domain-name:project-name:virtual-network-name:routing-instance-name。在大多数情况下，virtual-network-name和routing-instance-name是相同的，但是服务链是该规则的一个例外

要设置一个服务链示例，可以按照以下视频中的步骤进行操作：

• https://www.youtube.com/watch?v=h5qOqsPtQ7M

之后，你可以看到左侧virtual-network具有右侧virtual-network的前缀，并带有更新的下一跳，该前缀指向VNF的左侧接口，对于右侧virtual-network反之亦然。

注意：据我所知，在使用服务链v2时，仅使用“左”和“右”接口进行服务链计算，而“管理”和“其它”接口则被忽略

L2, L3, NAT

有许多具有不同流量类型集的VNF，因此NFVI的SDN也需要支持多种流量类型。

为此，Tungsten Fabric服务链支持三种流量类型，即l2，l3，nat。

l2服务链（也称为透明服务链）可以与透明VNF一起使用，透明VNF与网桥具有相似的功能，并基于arp响应发送报文。

尽管vRouter始终使用相同的mac地址（00:01:00:5e:00:00），

• https://github.com/Juniper/contrail-controller/wiki/Contrail-VRouter-ARP-Processing#vrouter-mac-address

但这种情况是该规则的例外，VNF左侧的vRouter使用dest mac: 2:0:0:0:0:2发送流量，而VNF右侧的vRouter使用dest mac 1:0:0:0:0:1发送流量。因此，bridge-type的VNF会将流量发送到其接口的另一侧。

请注意，即使使用l2 vnf，左侧virtual-network和右侧virtual-network也需要具有不同的子网。这可能有点反常，但是由于vRouter可以进行l3路由，因此可以使用vRouter - L2VNF - vRouter，就像router - L2VNF – router是可以接受的一样。

另一方面，l3服务链（也称为in-network服务链）将在不更改mac地址的情况下将流量发送到VNF，因为在这种情况下，VNF将根据其目标IP进行路由（类似于路由器的行为）。除mac地址外，其行为与l2的情况几乎相同。

Nat服务链类似于l3服务链，因为它希望VNF根据目标IP进行路由。一个很大的区别是，它将右侧virtual-network的前缀复制到左侧virtual-network，但是不会将左侧virtual-network的前缀复制到右侧virtual-network！

• 因此左/右接口需要仔细选择，因为在这种情况下它是不对称的

这种服务链形式的典型用例是，在用于Internet访问的SNAT等情况下，VNF的左侧接口具有私网IP，而右侧接口具有全局IP。由于私网IP无法导出到Internet，在这种情况下，左侧virtual-network的前缀无法复制到右侧virtual-network。

ECMP，多VNF

服务链功能还支持ECMP设置，用于规模化部署。

• 配置基本相同，但需要将多个端口-元组分配给一个服务实例。

在这之后，你会发现，流量将根据5个数据包的5元组进行负载平衡。

多VNF也可以设置，如果将多个服务实例分配到一个网络策略上，则可以设置多VNF。

当使用l3服务链时，虽然可能会有反直觉，但需要将两个VNF分配给同一个虚拟网络。

• 因为所有来自VNF的数据包都会在服务链的独立VRF中，所以它们可以有相同的子网。

也支持同时使用l2和l3，不过在这种情况下，需要将l2 vnf分配到不同的虚拟网络中，其中一个网络政策是附加的。

• 在这篇博文中描述了设置示例：https://tungsten.io/building-and-testing-layer2-service-images-for-opencontrail/

子接口

这也是NFVI中使用的功能，因此这里我也要提一下。

VNF会基于各种原因发送带标签的报文。在这种情况下，如果vlan标签不同，则vRouter可以使用不同的VRF。

• 类似于Junos术语“set routing-instances routing-interface-name interface xxx”中的子接口

这里描述了具体操作：
https://www.youtube.com/watch?v=ANhBQe_DS2E

DPDK

vRouter具有使用DPDK与物理NIC交互的功能。

它将经常用于NFV类型的部署，因为基于纯Linux kernel的网络堆栈，要获得与典型VNF（本身可能使用DPDK或类似技术）相当的转发性能仍然不容易。

• https://blog.cloudflare.com/how-to-receive-a-million-packets/

要通过ansible-deployer启用此功能，需要设置这些参数。

bms1:
  roles:
    vrouter:
      AGENT_MODE: dpdk
      CPU_CORE_MASK: “0xe” ## coremask for forwarding core (Note: please don't include first core in numa to reach optimal performance :( )
      SERVICE_CORE_MASK: “0x1” ## this is for non-forwarding thread, so isolcpu for this core is not needed
      DPDK_CTRL_THREAD_MASK: “0x1” ## same as SERVICE_CORE_MASK
      DPDK_UIO_DRIVER: uio_pci_generic ## uio driver name
      HUGE_PAGES: 16000 ## number of 2MB hugepages, it can be smaller

当设置为AGENT_MODE: dpdk时，ansible-deployer将会安装一些容器，例如vrouter-dpdk——这是一个针对物理NIC运行PMD的进程。因此在这种情况下，将基于DPDK实现从vRouter到物理NIC的转发。

注意：

1.由于vRouter链接到PMD的数量有限，因此要使用某些特定的NIC，可能需要重新构建vRouter

• https://github.com/Juniper/contrail-vrouter/blob/master/SConscript#L321

2.对于某些NIC（例如XL710），不能使用uio_pci_generic。在这种情况下，需要改用vfio-pci

• https://doc.dpdk.org/guides-18.05/rel_notes/known_issues.html#uio-pci-generic-module-bind-failed-in-x710-xl710-xxv710

由于在这种情况下，vRouter的转发平面不在kernel空间中，因此无法使用tap设备从VM获取报文。为此，QEMU具有“vhostuser”的功能，用于在用户空间中将报文发送到dpdk进程。当vRouter配置为AGENT_MODE: dpdk时，nova-vif-driver将自动创建vhostuser vif，而不是创建用于kernel vRouter的tap vif。

• 从VM方面看，它看起来仍然像virtio，因此可以使用常规的virtio驱动程序与DPDK vRouter进行通信。

一个警告是，当QEMU将要连接到vhostuser界面时，qemu还需要为此提供巨大的支持。使用OpenStack时，此knob将为每个VM分配大量页面。

openstack flavor set flavorname --property hw:mem_page_size=large 
 - hw:mem_page_size=2MB, hw:mem_page_size=1GB also can be used

为了达到最佳性能，kernel和dpdk进程本身都有很多调整参数。对我来说，在kernel方面以下两篇文章是最有帮助的。

• https://www.redhat.com/en/blog/tuning-zero-packet-loss-red-hat-openstack-platform-part-1

• https://www.redhat.com/en/blog/going-full-deterministic-using-real-time-openstack

• cat /proc/sched_debug也可用于查看核心隔离是否运行良好

而在vRouter方面，这一点可能需要注意。

1. vRouter将使用基于5-tuple的核心负载均衡，因此为了获得最佳性能，可能需要增加流的数量

• https://www.openvswitch.org/support/ovscon2018/6/0940-yang.pptx

注意：当使用vrouter-dpdk时，使用untagged数据包可能会带来更多的吞吐量（这意味着在不使用--vlan_tci的情况下提供vrouter-dpdk）

BGPaaS

BGPaaS也是Tungsten Fabric中比较独特的功能，该功能用于在VNF中插入VRF的路由。

• 从某种意义上说，它有点类似于AWS VPN网关，因为它会自动从VPC路由表中获取路由

从操作角度来看，使用vRouter的网关IP和服务IP，vRouter中的VNF将具有IPV4 bgp对等方。

一个值得注意的用例是设置ipsec VNF，它可以通过VPN网关连接到公共云。在这种情况下，VPC的路由表将被复制到VNF，并将通过BGPaaS复制到vRouter的VRF，因此，当在公共云的VPC中新添加修改的子网时，所有前缀均会被正确分配。

Service Mesh

Istio运行良好，多集群也是其中很有趣的主题。

• https://www.youtube.com/watch?v=VSNc9qd2poA

• https://istio.io/docs/setup/kubernetes/install/multicluster/vpn/

Tungsten Fabric入门宝典系列文章——
1.首次启动和运行指南
2.TF组件的七种“武器”
3.编排器集成
4.关于安装的那些事（上）
5.关于安装的那些事（下）
6.主流监控系统工具的集成
7.开始第二天的工作
8.8个典型故障及排查Tips
9.关于集群更新的那些事
10.说说L3VPN及EVPN集成

Tungsten Fabric 架构解析系列文章——
第一篇：TF主要特点和用例
第二篇：TF怎么运作
第三篇：详解vRouter体系结构
第四篇：TF的服务链
第五篇：vRouter的部署选项
第六篇：TF如何收集、分析、部署？
第七篇：TF如何编排
第八篇：TF支持API一览
第九篇：TF如何连接到物理网络？
第十篇：TF基于应用程序的安全策略

邀请——

我们于5月26日（星期二）下午19:00-20:30召开第八次线上会议。
参与方式：线上直播
主题：来自Mirantis中国区的Frank Wu分享--以综合的私有云软件栈Mirantis云平台为例，进行讲解和演示，看看开源SDN平台Tungsten Fabric如何融入OpenStack。具体包括：

• MCP云平台的架构介绍
• OpenStack与Tungsten Fabric集成架构
• 集成Demo演示

会议记录——

TF中文社区技术委员会第八次线上会议
时间：2020年5月26日
主题：Frank Wu分享-----当OpenStack遇到Tungsten Fabric
会议记录：
【pdf文档下载】https://tungstenfabric.org.cn/assets/uploads/files/tf-live3-mcp-openstack-tungsten-fabric.pdf
【高清视频下载链接】
https://pan.baidu.com/s/1_f6rZDf9utY1DJaqCm94bA
提取码：p17v

10岁的OpenStack，已经是开源IaaS世界里的“成年人”，自从遇到开源SDN小伙伴Tungsten Fabric，两人便成为闯荡混合多云世界的好搭档。
 
5月26日，在TF中文社区线上直播活动【 TF Live 】中，Mirantis中国区技术工程师Frank Wu与大家进行了在线交流，并以Mirantis MCP云平台为例，演示了OpenStack与Tungsten Fabric的集成过程。

本期活动，由TF中文社区、OpenStackChina与SDNLAB合作举办。

【pdf文档下载】
https://tungstenfabric.org.cn/assets/uploads/files/tf-live3-mcp-openstack-tungsten-fabric.pdf

【直播视频回放】
https://v.qq.com/x/page/b0973v4ctgz.html

【高清视频下载】

https://pan.baidu.com/s/1_f6rZDf9utY1DJaqCm94bA
提取码：p17v

Frank在2018年加入Mirantis，曾负责Mirantis中国区大客户云环境的实施和技术支持，专注于虚拟化和容器化云平台，对于OpenStack和Tungsten Fabric都很早接触。在5月26日的直播活动中，Frank分享了对这两个技术的实践经验。

OpenStack与Tungsten Fabric如何对接

Tungsten Fabric的核心技术是基于BGP MPLS VPN技术，通过BGP协议分发路由，包括二层转发表的路由信息，同时交换VPN的信息，来实现链路隔离。通过SDN控制器和虚拟路由器，Tungsten Fabric可实现控制平面和转发平面的分离。

除了OpenStack，Tungsten Fabric还支持Kubernetes和VMware vCenter等多种编排器，也能实现多个集群的网络互联。

Tungsten Fabric支持提供虚拟网络的二层和三层隔离，以及负载均衡、服务链等功能，还支持使用Netconf来对一些物理设备进行管理。

那么，OpenStack和TF对接的数据流是怎样的呢？

首先，在OpenStack和Tungsten Fabric中，项目和用户都是一一对应的。

通过OpenStack的控制节点，配置流程去使用插件，将收到的OpenStack请求转换成对应的Tungsten Fabric的请求，发送给TF的API，这个插件作为核心插件，平时在流程的配置文件里面。

随后，vRouter通过XMPP协议接收TF控制节点下发的路由表。计算节点拿到所有虚拟机相关的信息后，分配资源，为虚拟机创建接口，将接口连接到对应虚拟网络的VRF中，这时再启动虚拟机。虚拟机通过vRouter代理的DHCP获取IP地址。

接下来，当虚拟机创建成功后，怎么进行数据通信？

我们来看OpenStack与Tungsten Fabric对接的数据转发流程。在拓扑图上，只有计算节点有租户虚拟机，才会在VRF创建routing instance，包括实例1a和2a。

流程如下：

• VM 1a发送arp请求并由路由实例1a进行响应；

• VM 1a发送ip报文到路由实例1a，查询ip信息转发表后获得了虚拟机2a的路由；

• 对VM 1a发过来的数据包进行MPLS和GRE封装；

• 数据包从计算节点1通过GRE Tunnel发送到计算节点2上；

• 数据包在计算节点2上被解封装，查询MPLS转发表之后发送到路由实例2a；

• 路由实例2a查询ip转发表之后找到VM 2a对应的地址与虚拟端口，并最终将数据包发送给VM 2a。

如何在MCP平台部署

作为OpenStack社区代码贡献前五之一，Mirantis提供运行OpenStack和Kubernetes所需的所有软件、服务、培训和支持，并开发了MCP平台作为功能丰富的自动化部署工具。

MCP平台架构概览

接下来看MCP的架构。首先在云平台中，通过整合一些工具来实现整个云环境升级和运维的自动化，并且基础设施内的任何更改，如添加新节点或更改服务的监听端口，都是通过修改reclass的配置文件来完成的，实现了一种基础设施即代码的理念。

MCP同时支持选择OVS或者Tunsten Fabric来作为OpenStack的网络组件，OVS比较简单，而且不需要额外的物理网关设备，但是功能上相对于Tunsten Fabric要少一些，而Tunsten Fabric不仅有服务链，网络数据分析等功能，还是能支持多集群的SDN。

平台上还有一台OSS系统，包括日志，监控，告警等功能，都是基于成熟的开源软件来实现的。

MCP上的SDN数据流量方面，Tungsten Fabric通过建立在data网络之上的overlay网络，来处理在MCP集群中的东西向和南北向流量。

Tungsten Fabric控制器与vRouter之间的控制平面通信使用XMPP协议。当一台虚拟机在计算节点上被创建时，TF控制器会给对应的vRouter下发该虚拟机所在虚拟网络的转发表。

Tungsten Fabric控制器与网关之间的控制通信使用iBGP协议，将带有ASN和target的虚拟网络的路由发布到网关路由器上。相当于建立了虚拟网络和网关路由器vrf的映射关系，并且通过ibgp协议来维护这种关系，实时的更新，下发路由表。

在MCP集群中，一个最小的OpenStack + Tungsten Fabric生产环境的部署，需要至少3台物理机作为KVM节点来实现服务的高可用，运行虚拟控制平面所有的虚拟机，以及2-3台物理机作为OpenStack计算节点。

• cfg节点，作为salt-master管理集群中所有的节点；

• ctl节点，OpenStack Controller节点，运行OpenStack各组件相关的API；

• ntw节点，作为TF控制器，其上运行了包括Tungsten Fabric的API和配置数据库等服务以及中间件；

• nal节点，其上运行了两个容器，基于Tungsten Fabric计量和分析包的服务，如分析API、警报生成器和数据收集器，以及中间件；

• cmp节点，OpenStack计算节点，其上运行了OpenStack的nova-compute和Tungsten Fabric的vRouter。

在demo演示环节，Frank详细介绍了基础环境和部署流程：

• 手动部署KVM节点，在上面把镜像源的cfg节点运行起来；

• 进行操作系统安装后，物理节点自动加入master的管控；

• 去salt master节点上修改reclass配置，在reclass里面，每个组件都有一个对应目录，进入各组件的目录中按照需求和实际的环境去修改reclass配置；

• 在OpenStack目录定义OpenStack安装哪些组件，在tf目录中定义tf配置网关路由器等信息；

• 然后登录到DriveTrain的Jenkins上，通过指定的pipeline以及对应的传入参数，完成各个组件的部署；

• 在参数行填入名称，部署对应组件，pipeline可以重复执行；

• 登录到OpenStack Controller节点，获取虚拟网络信息， 那么会发现这里有三个网络，这三个网络都是Tungsen Fabric里面默认创建的网络，这表明neutron现在能够拿到Tungsen Fabric中的网络信息，也就以为这neutron与Tungsen Fabric已经完成了实际的对接；

• 在neutron plugin配置文件中，定义了IP地址和端口；

• 登录Tungsten Fabric的控制器节点，上面运行了一个容器，通过doctrail allcontrail-status命令可以看到在这台容器上运行的所有的Tungsten Fabric服务，包括五个部分：Control，Config，Config Database，Web UI，Support Services；

• 在Tungsten Fabric的管理面查看TF控制节点的peer列表，控制节点与两台vRouter完成了XMPP的连接，那么一旦有新的路由更新，TF控制节点会自动下发到对应的路由条目到vRouter, 并且计算节点上有会有相应的VRF被创建；

• 在数据平面(vRouter)上，流量过滤由网络策略和安全组派生的acl控制。

• 当vRouter转发模块获得第一个包时，它创建一个数据流并将包发送到vRouter agent。当vRouter agent获取数据包时，它首先应用安全组的ACL和网络策略的ACL。

• 通过ACL的数据包才会查找VRF以获得下一跳的地址。否则，数据包将会被丢弃。

部署流程完成后，Frank针对这个环境中的OpenStack和Tungsten Fabric的基本网络功能，以及“负载均衡即服务”功能进行了演示。

OpenStack最初的负载均衡功能是跟neutron结合到一起，后来从neutron剥离出来，以达到更好的功能。

在OpenStack和Tungsten Fabric对接后，负载均衡由Tungsten Fabric接管，在服务链里看到HAproxy-loadbalance-template模板，配置左侧和右侧接口，左侧VIP和监听器，右侧后端服务节点，后端需要配置两块网卡，增加了复杂性。在2.0版本上，支持同一侧配置，在同一个子网内。

当我们使用Neutron LBaaS命令去创建虚拟IP和池的时候，Tungsten Fabric通过插件监听到相关的请求，进而去创建一个服务实例。然后调度器将随机选择一台计算节点，并在上面实例化一个Linux网络命名空间，并在命名空间中配置HA代理。然后再选择另外一台计算节点，进行相同的操作，作为备用HA代理实例。而且由svc-monitor服务去调度vRouter事实的更新本地对应的HAproxy配置文件。

往期回顾

TF Live丨KK/建勋：多云、SDN，还有网工进化论
TF Live 直播回放丨杨雨：Tungsten Fabric如何增强Kubernetes的网络性能

Tungsten Fabric入门宝典系列文章，来自技术大牛倾囊相授的实践经验，由TF中文社区为您编译呈现，旨在帮助新手深入理解TF的运行、安装、集成、调试等全流程。如果您有相关经验或疑问，欢迎与我们互动，并与社区极客们进一步交流。更多TF技术文章，请点击【TF中文社区】公号底部按钮＞学习＞文章合集。

作者：Tatsuya Naganawa  译者：TF编译组

在深入研究这一重要主题之前，我将首先在两种情况下，描述我个人偏爱的封装和控制平面协议，即DataCenter和NFVI。

1.DataCenter: EVPN / VXLAN

• 如果需要DC之间的MPLS over MPLS，则需要路由器配置来缝合它们

2.NFVI: L3VPN / MPLS over UDP

下面我来描述一下使用这些选择的理由。

VXLAN或MPLS

选择封装时，需要注意两个方面，即NIC和路由器/交换机。

对于NIC来说，vxlan更为流行，即使Linux本身从4.1开始支持MPLS encap / decap，找到可以卸载MPLS encap / decap的硬件也并非易事。

• https://kernelnewbies.org/Linux_4.1#Multiprotocol_Label_Switching

• 据我所知，如果不使用硬件卸载，基于Linux网络堆栈，kernel vRouter的性能极限将达到1.0 Mpps

• 也就是说，尽管某些配置knob已经可用，但vRouter当前不支持linux api来卸载vxlan的encap / decap：https://github.com/Juniper/contrail-specs/blob/master/smart-nic-generic-offload.md

对于路由器/交换机来说，找到一种可以处理MPLS报文的硬件成本确实更高，因为大多数数据中心交换机当前都使用特定的Broadcom芯片，该芯片可以使用vxlan，但不能使用MPLS。

因此在数据中心里，使用vxlan封装将是可行的选择。

要使用VXLAN，EVPN将会是一个运行良好的控制平面。

Tungsten Fabric controller当前支持Type 2和Type 5的EVPN，内部也使用Type 1、3、4。

• https://github.com/Juniper/contrail-specs/blob/master/EVPN-type-5-support-in-Contrail.md
• https://github.com/Juniper/contrail-controller/blob/master/src/bgp/evpn/evpn_route.h#L47
• Type 6的实施似乎也在进行中：
  https://github.com/Juniper/contrail-specs/blob/master/5.1/evpn_multicast_smet.md

因此，vRouter加入EVPN/VXLAN网络基本上是可以的，尽管要实现完全的互操作性并不总是那么容易。

要注意一件事，尽管某些交换机不具备此功能，但vRouter仍然能够进行vxlan路由。

在此设置中，你可能需要特别注意，如何在物理交换机和vRouter之间发送vxlan间流量。

• 这个文档很好地描述了此行为：
  https://www.juniper.net/documentation/en_US/release-independent/solutions/information-products/pathway-pages/solutions/l3gw-vmto-evpn-vxlan-mpls.pdf

一个极端的情况是，由于流量工程和链路保护等高级MPLS功能，数据中心之间必须使用MPLS-over-MPLS。

在这种情况下，路由器必须缝合EVPN/VXLAN和EVPN/MPLS，通过以下的配置来实现。

• https://www.juniper.net/documentation/en_US/junos/topics/concept/data-center-interconnect-evpn-vxlan-evpn-mpls-wan-overview.html

如果将其用作NFVI，由于Tungsten Fabric当前不支持EVPN Type 5的服务链，因此L3VPN / MPLS over UDP将是唯一的选择。

• 注意：从R1912起，control / vRouter基于EVPN T5（和VXLAN）实现了服务链，因此L3VPN / MPLS over IP将不再是严格的要求：https://github.com/Juniper/contrail-specs/blob/master/R1912/bms-service-chaining.md
• https://github.com/Juniper/contrail-specs/blob/master/EVPN-type-5-support-in-Contrail.md#control-node
• MPLS over GRE也是可以的，虽然它有较少的熵，但可以用于诸如LAG负载平衡等。

由于在这种情况下首选使用DPDK，因此Linux堆栈的吞吐量限制不会成为一个问题。

EVPN / VXLAN互操作

为了说明evpn / vxlan的集成，让我描述一下CumulusVX的L2VNI和L3VNI设置（它使用FRRouting和Vanilla linux的vrf / virtual-switch）

• 可以在以下链接找到有关L3VPN / MPLS over (GRE|UDP)的其它示例（TODO：L3VPN / MPLS over (GRE|UDP)的配置示例）
• https://marcelwiget.blog/2015/07/30/run-juniper-vmx-as-contrail-gateway-for-ipv6-overlay/

[1. 样例配置]

Tungsten Fabric controller: 192.168.122.141/24
Tungsten Fabric vRouter: 192.168.122.142/24
 vn1 (vxlan id: 7), 10.0.1.0/24, route-target: 64512:7 is set
  10.0.1.3 is a cirros container inside vn1
  vn1 is connected to lr1 (logical-router, vxlan id: 8, route-target 64512:8 is set)
   Tungsten Fabric's project setting, 'vxlan routing: enabled' is also set (this settimg might be changed in the future)
    https://review.opencontrail.org/c/Juniper/contrail-controller/+/51833
CumulusVX: 192.168.122.151/24
 swp1: centos152 (10.0.1.152/24) is connected
  -> same l2 subnet with the container inside vRouter
 swp2: centos153 (192.168.130.153/24) is connected
  -> L3VRF will route the traffic from this to the container

[2. bgp 设置]

net add bgp autonomous-system 64513
net add bgp router-id 192.168.122.151
net add bgp neighbor 192.168.122.141 remote-as 64512
net add bgp neighbor 192.168.122.141 capability extended-nexthop
net add bgp l2vpn evpn  neighbor 192.168.122.141 activate
net add bgp l2vpn evpn  advertise-all-vni
net add bgp l2vpn evpn vni 7 rd 192.168.122.151:7
net add bgp l2vpn evpn vni 7 route-target import 64512:7
net add bgp l2vpn evpn vni 7 route-target export 64512:7


cumulus@cumulus:~$ net show bgp summary
show bgp ipv4 unicast summary
=============================
BGP router identifier 192.168.122.151, local AS number 64513 vrf-id 0
BGP table version 0
RIB entries 0, using 0 bytes of memory
Peers 1, using 19 KiB of memory

Neighbor        V         AS MsgRcvd MsgSent   TblVer  InQ OutQ  Up/Down State/PfxRcd
192.168.122.141 4      64512      55      43        0    0    0 00:01:15 NoNeg

Total number of neighbors 1


show bgp ipv6 unicast summary
=============================
% No BGP neighbors found


show bgp l2vpn evpn summary
===========================
BGP router identifier 192.168.122.151, local AS number 64513 vrf-id 0
BGP table version 0
RIB entries 3, using 456 bytes of memory
Peers 1, using 19 KiB of memory

Neighbor        V         AS MsgRcvd MsgSent   TblVer  InQ OutQ  Up/Down State/PfxRcd
192.168.122.141 4      64512      55      43        0    0    0 00:01:15            6

Total number of neighbors 1
cumulus@cumulus:~$


[3. l2vni 设置]

net add bridge bridge ports vni7
net add bridge bridge vids 7
net add interface swp1 bridge pvid 7
net add vxlan vni7 vxlan id 7
net add vxlan vni7 bridge learning off
net add vxlan vni7 bridge access 7
net add vxlan vni7 bridge arp-nd-suppress on
net add vxlan vni7 vxlan local-tunnelip 192.168.122.151
net add vlan 7 ip forward off
net add vlan 7 ipv6 forward off


cumulus@cumulus:~$ net show bgp l2vpn evpn route
BGP table version is 18, local router ID is 192.168.122.151
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ? - incomplete
EVPN type-2 prefix: [2]:[ESI]:[EthTag]:[MAClen]:[MAC]:[IPlen]:[IP]
EVPN type-3 prefix: [3]:[EthTag]:[IPlen]:[OrigIP]
EVPN type-5 prefix: [5]:[ESI]:[EthTag]:[IPlen]:[IP]

   Network          Next Hop            Metric LocPrf Weight Path
Route Distinguisher: 192.168.122.142:1
*> [2]:[0]:[0]:[48]:[52:54:00:d9:db:32]
                    192.168.122.142        100             0 64512 ?
*> [2]:[0]:[0]:[48]:[52:54:00:d9:db:32]:[32]:[192.168.122.142]
                    192.168.122.142        100             0 64512 ?
*> [3]:[0]:[32]:[192.168.122.142]
                    192.168.122.142        200             0 64512 ?
Route Distinguisher: 192.168.122.142:3
*> [2]:[0]:[0]:[48]:[02:98:81:86:80:8a]
                    192.168.122.142        100             0 64512 ?
*> [2]:[0]:[0]:[48]:[02:98:81:86:80:8a]:[32]:[10.0.1.3]
                    192.168.122.142        100             0 64512 ?
*> [3]:[0]:[32]:[192.168.122.142]
                    192.168.122.142        200             0 64512 ?
Route Distinguisher: 192.168.122.142:4
*> [5]:[0]:[0]:[32]:[10.0.1.3]
                    192.168.122.142        100             0 64512 ?
 (snip)
Route Distinguisher: 192.168.122.151:7
*> [3]:[0]:[32]:[192.168.122.151]
                    192.168.122.151                    32768 i
Route Distinguisher: 192.168.122.151:8
*> [5]:[0]:[0]:[24]:[192.168.131.0]
                    192.168.122.151          0         32768 ?

Displayed 12 prefixes (12 paths)
cumulus@cumulus:~$


[root@centos152 ~]# ping 10.0.1.3
PING 10.0.1.3 (10.0.1.3) 56(84) bytes of data.
64 bytes from 10.0.1.3: icmp_seq=1 ttl=64 time=1.37 ms
64 bytes from 10.0.1.3: icmp_seq=2 ttl=64 time=0.836 ms
64 bytes from 10.0.1.3: icmp_seq=3 ttl=64 time=0.778 ms
64 bytes from 10.0.1.3: icmp_seq=4 ttl=64 time=0.753 ms
64 bytes from 10.0.1.3: icmp_seq=5 ttl=64 time=0.801 ms

--- 10.0.1.3 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4006ms
rtt min/avg/max/mdev = 0.753/0.908/1.374/0.235 ms
[root@centos152 ~]#


cumulus@cumulus:~$ net show evpn arp-cache vni all
VNI 7 #ARP (IPv4 and IPv6, local and remote) 3

IP                        Type   State    MAC               Remote VTEP
10.0.1.152                local  active   52:54:00:20:e5:9a
fe80::28a0:caff:fe62:d16c local  active   2a:a0:ca:62:d1:6c
10.0.1.3                  remote active   02:98:81:86:80:8a 192.168.122.142
cumulus@cumulus:~$
 -> mac address of 10.0.1.3 container is learnt from Tungsten Fabric controller



[4. l3vni 设置]

net add vrf vrf8 vni 8
net add bgp router-id 192.168.122.151
net add bgp vrf vrf8 autonomous-system 64513
net add bgp vrf vrf8 ipv4 unicast redistribute connected
net add bgp vrf vrf8 l2vpn evpn  advertise ipv4 unicast
net add bgp vrf vrf8 l2vpn evpn  rd 192.168.122.151:8
net add bgp vrf vrf8 l2vpn evpn  route-target import 64512:8
net add bgp vrf vrf8 l2vpn evpn  route-target export 64512:8
net add vxlan vni8 vxlan id 8
net add interface swp2 bridge pvid 8
net add vlan 8 ip address 192.168.131.254/24
net add vlan 8 vlan-id 8
net add vlan 8 vrf vrf8
net add vxlan vni8 vxlan local-tunnelip 192.168.122.151
net add vxlan vni8 bridge access 8


cumulus@cumulus:~$ net show bgp l2vpn evpn route type prefix
BGP table version is 4, local router ID is 192.168.122.151
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ? - incomplete
EVPN type-2 prefix: [2]:[ESI]:[EthTag]:[MAClen]:[MAC]:[IPlen]:[IP]
EVPN type-3 prefix: [3]:[EthTag]:[IPlen]:[OrigIP]
EVPN type-5 prefix: [5]:[ESI]:[EthTag]:[IPlen]:[IP]

   Network          Next Hop            Metric LocPrf Weight Path
Route Distinguisher: 192.168.122.142:4
*> [5]:[0]:[0]:[32]:[10.0.1.3]
                    192.168.122.142        100             0 64512 ?
Route Distinguisher: 192.168.122.151:8
*> [5]:[0]:[0]:[24]:[192.168.131.0]
                    192.168.122.151          0         32768 ?

Displayed 2 prefixes (2 paths) (of requested type)
cumulus@cumulus:~$

cumulus@cumulus:~$ net show route vrf vrf8
show ip route vrf vrf8
=======================
Codes: K - kernel route, C - connected, S - static, R - RIP,
       O - OSPF, I - IS-IS, B - BGP, E - EIGRP, N - NHRP,
       T - Table, v - VNC, V - VNC-Direct, A - Babel, D - SHARP,
       F - PBR,
       > - selected route, * - FIB route


VRF vrf8:
K * 0.0.0.0/0 [255/8192] unreachable (ICMP unreachable), 00:31:09
B>* 10.0.1.3/32 [20/100] via 192.168.122.142, vlan8 onlink, 00:31:09
C>* 192.168.131.0/24 is directly connected, vlan8, 00:29:05


[root@centos153 ~]# ping 10.0.1.3
PING 10.0.1.3 (10.0.1.3) 56(84) bytes of data.
64 bytes from 10.0.1.3: icmp_seq=1 ttl=62 time=1.27 ms
64 bytes from 10.0.1.3: icmp_seq=2 ttl=62 time=0.892 ms
64 bytes from 10.0.1.3: icmp_seq=3 ttl=62 time=0.912 ms
64 bytes from 10.0.1.3: icmp_seq=4 ttl=62 time=0.851 ms

--- 10.0.1.3 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 0.851/0.981/1.272/0.173 ms
[root@centos153 ~]#
[root@centos153 ~]#
[root@centos153 ~]# ip -o a
1: lo    inet 127.0.0.1/8 scope host lo\       valid_lft forever preferred_lft forever
1: lo    inet6 ::1/128 scope host \       valid_lft forever preferred_lft forever
2: eth0    inet 192.168.131.153/24 brd 192.168.131.255 scope global noprefixroute eth0\       valid_lft forever preferred_lft forever
2: eth0    inet6 fe80::24a9:6145:e488:5f15/64 scope link noprefixroute \       valid_lft forever preferred_lft forever
[root@centos153 ~]#
[root@centos153 ~]# ip route
default via 192.168.131.254 dev eth0 proto static metric 100
192.168.131.0/24 dev eth0 proto kernel scope link src 192.168.131.153 metric 100
[root@centos153 ~]#

配置EVPN T5路由

在R1908版本之前，要启用EVPN T5，vxlan-routing属于项目级别的设置，因此一旦启用此knob，所有logical-router的类型均为：vxlan-routing，而不能用作snat-routing的logical-router。

• https://github.com/Juniper/contrail-specs/blob/master/EVPN-type-5-support-in-Contrail.md

在R1908版本之后，可以为每个logical-router设定此设置。

• https://review.opencontrail.org/c/Juniper/contrail-controller/+/51794

话虽如此，目前尚无办法从webui创建vxlan-routing的logical-router（可以通过API创建）。

要尝试此功能，有一种方法是，将config-api模块修改为使用vxlan-routing而不是snat-routing。

# docker exec -it config_api_1 bash
  # sed -i 's/snat-routing/vxlan-routing/' /usr/lib/python2.7/site-packages/vnc_cfg_api_server/resources/logical_router.py
  # exit
# docker restart config_api_1

此后，当某些logical-router连接到virtual-network时，EVPN T5路由将发送到其它bgp对等方。

• 编排器需要是openstack

(one VM is created in virtual-network vn1)
(kolla-toolbox)[ansible@ip-172-31-13-153 /]$ openstack server list
+--------------------------------------+------+--------+--------------+--------+---------+
| ID                                   | Name | Status | Networks     | Image  | Flavor  |
+--------------------------------------+------+--------+--------------+--------+---------+
| e3a43979-a8ae-4f05-b065-0b0841cee47b | vm1  | ACTIVE | vn1=10.0.1.3 | cirros | m1.tiny |
+--------------------------------------+------+--------+--------------+--------+---------+
(kolla-toolbox)[ansible@ip-172-31-13-153 /]$ 

(when logical-router is not connected to vn1, no type 5 route is seen)
[root@ip-172-31-13-153 ~]# ./contrail-introspect-cli/ist.py ctr route show --family evpn | grep ^5
[root@ip-172-31-13-153 ~]# 


(when logical-router is connected to vn1, type 5 route for this VM is sent to other bgp peer)
[root@ip-172-31-13-153 ~]# ./contrail-introspect-cli/ist.py ctr route show --family evpn | grep ^5
5-0:0-0-10.0.1.3/32, age: 0:00:07.126096, last_modified: 2020-Jan-12 13:50:27.307760
5-172.31.13.153:3-0-10.0.1.3/32, age: 0:00:07.077088, last_modified: 2020-Jan-12 13:50:27.356768
[root@ip-172-31-13-153 ~]#

此外，在R1912版本之后，EVPN T5也可以用于服务链路由（可以与vxlan一起使用）。

• https://github.com/Juniper/contrail-specs/blob/master/R1912/bms-service-chaining.md

要配置这个，需要遵循一些流程。

• 使用opencontrailnightly:1912-latest测试过，一个节点安装（openstack controller, tungsten fabric controller, vRouter）

1.创建两个virtual-network (vn1, vn2)和logical-routers (lr1, lr2)

2.将lr1连接到vn1，lr2连接到vn2

3.检查是否自动创建了virtual-network LR::lr1, LR::lr2

(kolla-toolbox)[ansible@ip-172-31-13-153 /]$ openstack network list
+--------------------------------------+-------------------------+--------------------------------------+
| ID                                   | Name                    | Subnets                              |
+--------------------------------------+-------------------------+--------------------------------------+
| 667344f9-36f1-4d56-8d9e-e5b8c856658b | LR::lr1                 | ab81f262-52d3-496f-825e-758ca5e6d60f |
| 0acf42ab-f917-4a32-a95a-5f2a555e955d | ip-fabric               |                                      |
| 5ac821b2-b823-4ea7-8be2-e1ee71547df8 | LR::lr2                 | 45b16ec8-0497-4610-843d-13d6913f4c41 |
| 0a0e30c2-d2fa-46dd-bd6f-233897f156f4 | vn1                     | c739aa67-bad3-4a69-b110-797018579b22 |
| 822b12ae-8b9c-4c32-be91-1611c245e761 | vn2                     | c67c9f25-8169-44dd-b1cd-8d9ab788a0da |
| 16715adc-93cb-4297-847a-50fcbcdef98b | __link_local__          |                                      |
| 95b08fcc-b027-407a-8b35-8470989b7d5a | dci-network             |                                      |
| 728957ed-9db3-4502-b45a-2ce3ce0ed575 | default-virtual-network |                                      |
+--------------------------------------+-------------------------+--------------------------------------+
(kolla-toolbox)[ansible@ip-172-31-13-153 /]$

4.将子网添加到LR::lr1和LR::lr2（TF webui可用于此）

5.使用LR::lr1和LR::lr2中的vNIC创建VNF

(kolla-toolbox)[ansible@ip-172-31-13-153 /]$ openstack server list
+--------------------------------------+------------+--------+--------------------------------------+--------+---------+
| ID                                   | Name       | Status | Networks                             | Image  | Flavor  |
+--------------------------------------+------------+--------+--------------------------------------+--------+---------+
| 4477700f-8183-4f81-b7bf-7fb16e74aba8 | vm2        | ACTIVE | vn2=10.0.2.4                         | cirros | m1.tiny |
| b631b50c-5ccf-4e48-86a8-bf390c174180 | lr1-to-lr2 | ACTIVE | LR::lr1=10.0.11.3; LR::lr2=10.0.12.3 | cirros | m1.tiny |
| e3a43979-a8ae-4f05-b065-0b0841cee47b | vm1        | ACTIVE | vn1=10.0.1.3                         | cirros | m1.tiny |
+--------------------------------------+------------+--------+--------------------------------------+--------+---------+
(kolla-toolbox)[ansible@ip-172-31-13-153 /]$

6.使用LR::lr1和LR::lr2创建服务实例（service-instance），网络策略（network-policy），并将network-policy附加到LR::lr1和LR::lr2

当一切正常时，将添加带有协议ServiceChain的EVPN T5路由。

[root@ip-172-31-13-153 ~]# ./contrail-introspect-cli/ist.py ctr route show --family evpn | grep -e ^5 -e evpn -A 1 
default-domain:admin:__contrail_lr_internal_vn_62651c76-7851-4459-8d54-41b2b1289e21__:__contrail_lr_internal_vn_62651c76-7851-4459-8d54-41b2b1289e21__.evpn.0: 2 destinations, 2 routes (1 primary, 1 secondary, 0 infeasible)

5-0:0-0-10.0.1.3/32, age: 0:00:40.299110, last_modified: 2020-Jan-12 14:00:39.070835
    [ServiceChain (service-interface)|None] age: 0:00:40.302293, localpref: 200, nh: 172.31.13.153, encap: ['vxlan'], label: 8, AS path: None
--
5-0:0-0-10.0.2.4/32, age: 0:04:22.046440, last_modified: 2020-Jan-12 13:56:57.323505
    [XMPP|ip-172-31-13-153.local] age: 0:04:22.049981, localpref: 200, nh: 172.31.13.153, encap: ['vxlan'], label: 8, AS path: None
--
default-domain:admin:__contrail_lr_internal_vn_62651c76-7851-4459-8d54-41b2b1289e21__:service-20c08253-7212-40e2-8211-1548652de4b9-default-domain_admin_lr1-to-lr2.evpn.0: 2 destinations, 2 routes (1 primary, 1 secondary, 0 infeasible)

5-0:0-0-10.0.1.3/32, age: 0:00:40.299524, last_modified: 2020-Jan-12 14:00:39.070421
    [ServiceChain (service-interface)|None] age: 0:00:40.303335, localpref: 200, nh: 172.31.13.153, encap: ['vxlan'], label: 8, AS path: None
--
5-0:0-0-10.0.2.4/32, age: 0:00:40.316583, last_modified: 2020-Jan-12 14:00:39.053362
    [XMPP|ip-172-31-13-153.local] age: 0:00:40.320727, localpref: 200, nh: 172.31.13.153, encap: ['vxlan'], label: 8, AS path: None
--
default-domain:admin:__contrail_lr_internal_vn_7693de7f-9b96-41de-84af-c6db113132e2__:__contrail_lr_internal_vn_7693de7f-9b96-41de-84af-c6db113132e2__.evpn.0: 2 destinations, 2 routes (1 primary, 1 secondary, 0 infeasible)

5-0:0-0-10.0.1.3/32, age: 0:10:52.062185, last_modified: 2020-Jan-12 13:50:27.307760
    [XMPP|ip-172-31-13-153.local] age: 0:10:52.066796, localpref: 200, nh: 172.31.13.153, encap: ['vxlan'], label: 6, AS path: None
--
5-0:0-0-10.0.2.4/32, age: 0:00:40.299766, last_modified: 2020-Jan-12 14:00:39.070179
    [ServiceChain (service-interface)|None] age: 0:00:40.304752, localpref: 200, nh: 172.31.13.153, encap: ['vxlan'], label: 6, AS path: None
--
default-domain:admin:__contrail_lr_internal_vn_7693de7f-9b96-41de-84af-c6db113132e2__:service-20c08253-7212-40e2-8211-1548652de4b9-default-domain_admin_lr1-to-lr2.evpn.0: 2 destinations, 2 routes (1 primary, 1 secondary, 0 infeasible)

5-0:0-0-10.0.1.3/32, age: 0:00:40.465418, last_modified: 2020-Jan-12 14:00:38.904527
    [XMPP|ip-172-31-13-153.local] age: 0:00:40.470671, localpref: 200, nh: 172.31.13.153, encap: ['vxlan'], label: 6, AS path: None
--
5-0:0-0-10.0.2.4/32, age: 0:00:40.299958, last_modified: 2020-Jan-12 14:00:39.069987
    [ServiceChain (service-interface)|None] age: 0:00:40.305449, localpref: 200, nh: 172.31.13.153, encap: ['vxlan'], label: 6, AS path: None
--
default-domain:admin:vn1:vn1.evpn.0: 4 destinations, 4 routes (4 primary, 0 secondary, 0 infeasible)

--
default-domain:admin:vn2:vn2.evpn.0: 4 destinations, 4 routes (4 primary, 0 secondary, 0 infeasible)

--
bgp.evpn.0: 13 destinations, 13 routes (0 primary, 13 secondary, 0 infeasible)

--
5-172.31.13.153:3-0-10.0.1.3/32, age: 0:10:52.013177, last_modified: 2020-Jan-12 13:50:27.356768
    [XMPP|ip-172-31-13-153.local] age: 0:10:52.023700, localpref: 200, nh: 172.31.13.153, encap: ['vxlan'], label: 6, AS path: None
--
5-172.31.13.153:5-0-10.0.2.4/32, age: 0:04:22.046385, last_modified: 2020-Jan-12 13:56:57.323560
    [XMPP|ip-172-31-13-153.local] age: 0:04:22.057108, localpref: 200, nh: 172.31.13.153, encap: ['vxlan'], label: 8, AS path: None
--
5-172.31.13.153:6-0-10.0.2.4/32, age: 0:00:40.299816, last_modified: 2020-Jan-12 14:00:39.070129
    [ServiceChain (service-interface)|None] age: 0:00:40.310798, localpref: 200, nh: 172.31.13.153, encap: ['vxlan'], label: 6, AS path: None
--
5-172.31.13.153:7-0-10.0.1.3/32, age: 0:00:40.299164, last_modified: 2020-Jan-12 14:00:39.070781
    [ServiceChain (service-interface)|None] age: 0:00:40.310369, localpref: 200, nh: 172.31.13.153, encap: ['vxlan'], label: 8, AS path: None
--
default-domain:default-project:ip-fabric:ip-fabric.evpn.0: 4 destinations, 4 routes (4 primary, 0 secondary, 0 infeasible)

[root@ip-172-31-13-153 ~]#

vRouter的vrf也将加入VNF。

[root@ip-172-31-13-153 ~]# ./contrail-introspect-cli/ist.py vr vrf
+--------------------------------------+---------+---------+---------+-----------+----------+--------------------------------------+
| name                                 | ucindex | mcindex | brindex | evpnindex | vxlan_id | vn                                   |
+--------------------------------------+---------+---------+---------+-----------+----------+--------------------------------------+
| default-domain:admin:__contrail_lr_i | 5       | 5       | 5       | 5         | 8        | default-domain:admin:__contrail_lr_i |
| nternal_vn_62651c76-7851-4459-8d54-4 |         |         |         |           |          | nternal_vn_62651c76-7851-4459-8d54-4 |
| 1b2b1289e21__:__contrail_lr_internal |         |         |         |           |          | 1b2b1289e21__                        |
| _vn_62651c76-7851-4459-8d54-41b2b128 |         |         |         |           |          |                                      |
| 9e21__                               |         |         |         |           |          |                                      |
| default-domain:admin:__contrail_lr_i | 7       | 7       | 7       | 7         | 0        | N/A                                  |
| nternal_vn_62651c76-7851-4459-8d54-4 |         |         |         |           |          |                                      |
| 1b2b1289e21__:service-86899929-7419  |         |         |         |           |          |                                      |
| -427a-9b3f-f8e4a3d990eb-default-     |         |         |         |           |          |                                      |
| domain_admin_lr1-to-lr2              |         |         |         |           |          |                                      |
| default-domain:admin                 | 3       | 3       | 3       | 3         | 6        | default-domain:admin                 |
| :__contrail_lr_internal_vn_7693de7f- |         |         |         |           |          | :__contrail_lr_internal_vn_7693de7f- |
| 9b96-41de-84af-c6db113132e2__        |         |         |         |           |          | 9b96-41de-84af-c6db113132e2__        |
| :__contrail_lr_internal_vn_7693de7f- |         |         |         |           |          |                                      |
| 9b96-41de-84af-c6db113132e2__        |         |         |         |           |          |                                      |
| default-domain:admin                 | 6       | 6       | 6       | 6         | 0        | N/A                                  |
| :__contrail_lr_internal_vn_7693de7f- |         |         |         |           |          |                                      |
| 9b96-41de-84af-                      |         |         |         |           |          |                                      |
| c6db113132e2__:service-86899929-7419 |         |         |         |           |          |                                      |
| -427a-9b3f-f8e4a3d990eb-default-     |         |         |         |           |          |                                      |
| domain_admin_lr1-to-lr2              |         |         |         |           |          |                                      |
| default-domain:admin:vn1:vn1         | 2       | 2       | 2       | 2         | 5        | default-domain:admin:vn1             |
| default-domain:admin:vn2:vn2         | 4       | 4       | 4       | 4         | 7        | default-domain:admin:vn2             |
| default-domain:default-project:ip-   | 0       | 0       | 0       | 0         | 0        | N/A                                  |
| fabric:__default__                   |         |         |         |           |          |                                      |
| default-domain:default-project:ip-   | 1       | 1       | 1       | 1         | 2        | default-domain:default-project:ip-   |
| fabric:ip-fabric                     |         |         |         |           |          | fabric                               |
+--------------------------------------+---------+---------+---------+-----------+----------+--------------------------------------+
[root@ip-172-31-13-153 ~]# 
[root@ip-172-31-13-153 ~]# ./contrail-introspect-cli/ist.py vr route -v 3
0.255.255.252/32
    [172.31.13.153] pref:200
     to 2:34:66:61:a2:96 via tap346661a2-96, assigned_label:39, nh_index:46 , nh_type:interface, nh_policy:enabled, active_label:39, vxlan_id:0
    [LocalVmPort] pref:200
     to 2:34:66:61:a2:96 via tap346661a2-96, assigned_label:39, nh_index:46 , nh_type:interface, nh_policy:enabled, active_label:39, vxlan_id:0
10.0.1.3/32
    [EVPN-ROUTING] pref:200
     to 2:98:88:3c:38:50 via tap98883c38-50, assigned_label:-1, nh_index:34 , nh_type:interface, nh_policy:enabled, active_label:6, vxlan_id:6
10.0.2.4/32
    [172.31.13.153] pref:200
     to 2:34:66:61:a2:96 via tap346661a2-96, assigned_label:39, nh_index:46 , nh_type:interface, nh_policy:enabled, active_label:39, vxlan_id:0
10.0.11.0/24
    [Local] pref:100
     nh_index:1 , nh_type:discard, nh_policy:disabled, active_label:-1, vxlan_id:0
10.0.11.1/32
    [Local] pref:100
     to 0:0:0:0:0:1 via pkt0, assigned_label:-1, nh_index:13 , nh_type:interface, nh_policy:enabled, active_label:-1, vxlan_id:0
10.0.11.2/32
    [Local] pref:100
     to 0:0:0:0:0:1 via pkt0, assigned_label:-1, nh_index:13 , nh_type:interface, nh_policy:enabled, active_label:-1, vxlan_id:0
10.0.11.3/32
    [172.31.13.153] pref:200
     to 2:34:66:61:a2:96 via tap346661a2-96, assigned_label:39, nh_index:46 , nh_type:interface, nh_policy:enabled, active_label:39, vxlan_id:0
    [LocalVmPort] pref:200
     to 2:34:66:61:a2:96 via tap346661a2-96, assigned_label:39, nh_index:46 , nh_type:interface, nh_policy:enabled, active_label:39, vxlan_id:0
169.254.169.254/32
    [LinkLocal] pref:100
     via vhost0, nh_index:11 , nh_type:receive, nh_policy:enabled, active_label:0, vxlan_id:0
[root@ip-172-31-13-153 ~]# 
[root@ip-172-31-13-153 ~]# ./contrail-introspect-cli/ist.py vr route -v 5
0.255.255.251/32
    [172.31.13.153] pref:200
     to 2:15:37:f5:fa:fb via tap1537f5fa-fb, assigned_label:44, nh_index:51 , nh_type:interface, nh_policy:enabled, active_label:44, vxlan_id:0
    [LocalVmPort] pref:200
     to 2:15:37:f5:fa:fb via tap1537f5fa-fb, assigned_label:44, nh_index:51 , nh_type:interface, nh_policy:enabled, active_label:44, vxlan_id:0
10.0.1.3/32
    [172.31.13.153] pref:200
     to 2:15:37:f5:fa:fb via tap1537f5fa-fb, assigned_label:44, nh_index:51 , nh_type:interface, nh_policy:enabled, active_label:44, vxlan_id:0
10.0.2.4/32
    [EVPN-ROUTING] pref:200
     to 2:19:e0:a2:b:f3 via tap19e0a20b-f3, assigned_label:-1, nh_index:63 , nh_type:interface, nh_policy:enabled, active_label:8, vxlan_id:8
10.0.12.0/24
    [Local] pref:100
     nh_index:1 , nh_type:discard, nh_policy:disabled, active_label:-1, vxlan_id:0
10.0.12.1/32
    [Local] pref:100
     to 0:0:0:0:0:1 via pkt0, assigned_label:-1, nh_index:13 , nh_type:interface, nh_policy:enabled, active_label:-1, vxlan_id:0
10.0.12.2/32
    [Local] pref:100
     to 0:0:0:0:0:1 via pkt0, assigned_label:-1, nh_index:13 , nh_type:interface, nh_policy:enabled, active_label:-1, vxlan_id:0
10.0.12.3/32
    [172.31.13.153] pref:100
     to 2:15:37:f5:fa:fb via tap1537f5fa-fb, assigned_label:44, nh_index:51 , nh_type:interface, nh_policy:enabled, active_label:44, vxlan_id:0
    [LocalVmPort] pref:100
     to 2:15:37:f5:fa:fb via tap1537f5fa-fb, assigned_label:44, nh_index:51 , nh_type:interface, nh_policy:enabled, active_label:44, vxlan_id:0
169.254.169.254/32
    [LinkLocal] pref:100
     via vhost0, nh_index:11 , nh_type:receive, nh_policy:enabled, active_label:0, vxlan_id:0
[root@ip-172-31-13-153 ~]# 
[root@ip-172-31-13-153 ~]# ./contrail-introspect-cli/ist.py vr route -v 6
0.255.255.252/32
    [172.31.13.153] pref:200
     to 2:34:66:61:a2:96 via tap346661a2-96, assigned_label:39, nh_index:46 , nh_type:interface, nh_policy:enabled, active_label:39, vxlan_id:0
10.0.2.4/32
    [172.31.13.153] pref:200
     to 2:34:66:61:a2:96 via tap346661a2-96, assigned_label:39, nh_index:46 , nh_type:interface, nh_policy:enabled, active_label:39, vxlan_id:0
10.0.11.3/32
    [172.31.13.153] pref:200
     to 2:34:66:61:a2:96 via tap346661a2-96, assigned_label:39, nh_index:46 , nh_type:interface, nh_policy:enabled, active_label:39, vxlan_id:0
[root@ip-172-31-13-153 ~]# 
[root@ip-172-31-13-153 ~]# 
[root@ip-172-31-13-153 ~]# ./contrail-introspect-cli/ist.py vr route -v 7
0.255.255.251/32
    [172.31.13.153] pref:200
     to 2:15:37:f5:fa:fb via tap1537f5fa-fb, assigned_label:44, nh_index:51 , nh_type:interface, nh_policy:enabled, active_label:44, vxlan_id:0
10.0.1.3/32
    [172.31.13.153] pref:200
     to 2:15:37:f5:fa:fb via tap1537f5fa-fb, assigned_label:44, nh_index:51 , nh_type:interface, nh_policy:enabled, active_label:44, vxlan_id:0
10.0.12.3/32
    [172.31.13.153] pref:100
     to 2:15:37:f5:fa:fb via tap1537f5fa-fb, assigned_label:44, nh_index:51 , nh_type:interface, nh_policy:enabled, active_label:44, vxlan_id:0
[root@ip-172-31-13-153 ~]# 

[root@ip-172-31-13-153 ~]# ./contrail-introspect-cli/ist.py ctr route show --family l3vpn

bgp.l3vpn.0: 9 destinations, 9 routes (0 primary, 9 secondary, 0 infeasible)

172.31.13.153:1:172.31.13.153/32, age: 0:40:32.414715, last_modified: 2020-Jan-12 13:38:26.922346
    [XMPP (interface)|ip-172-31-13-153.local] age: 0:40:32.418428, localpref: 100, nh: 172.31.13.153, encap: ['gre', 'udp', 'native'], label: 17, AS path: None

172.31.13.153:2:10.0.1.3/32, age: 0:29:55.551280, last_modified: 2020-Jan-12 13:49:03.785781
    [XMPP (interface)|ip-172-31-13-153.local] age: 0:29:55.555402, localpref: 200, nh: 172.31.13.153, encap: ['gre', 'udp'], label: 25, AS path: None

172.31.13.153:3:0.255.255.252/32, age: 0:19:58.759556, last_modified: 2020-Jan-12 13:59:00.577505
    [XMPP (service-interface)|ip-172-31-13-153.local] age: 0:19:58.763917, localpref: 200, nh: 172.31.13.153, encap: ['gre', 'udp'], label: 39, AS path: None

172.31.13.153:3:10.0.11.3/32, age: 0:23:22.131030, last_modified: 2020-Jan-12 13:55:37.206031
    [XMPP (interface)|ip-172-31-13-153.local] age: 0:23:22.135685, localpref: 200, nh: 172.31.13.153, encap: ['gre', 'udp'], label: 39, AS path: None

172.31.13.153:4:10.0.2.4/32, age: 0:22:02.013695, last_modified: 2020-Jan-12 13:56:57.323366
    [XMPP (interface)|ip-172-31-13-153.local] age: 0:22:02.018717, localpref: 200, nh: 172.31.13.153, encap: ['gre', 'udp'], label: 49, AS path: None

172.31.13.153:5:0.255.255.251/32, age: 0:19:58.547299, last_modified: 2020-Jan-12 13:59:00.789762
    [XMPP (service-interface)|ip-172-31-13-153.local] age: 0:19:58.552631, localpref: 200, nh: 172.31.13.153, encap: ['gre', 'udp'], label: 44, AS path: None

172.31.13.153:5:10.0.12.3/32, age: 0:23:35.850393, last_modified: 2020-Jan-12 13:55:23.486668
    [XMPP (interface)|ip-172-31-13-153.local] age: 0:23:35.856031, localpref: 100, nh: 172.31.13.153, encap: ['gre', 'udp'], label: 44, AS path: None

172.31.13.153:6:10.0.2.4/32, age: 0:08:56.528333, last_modified: 2020-Jan-12 14:10:02.808728
    [ServiceChain (service-interface)|None] age: 0:08:56.534255, localpref: 200, nh: 172.31.13.153, encap: ['gre', 'udp'], label: 39, AS path: None

172.31.13.153:7:10.0.1.3/32, age: 0:08:56.527653, last_modified: 2020-Jan-12 14:10:02.809408
    [ServiceChain (service-interface)|None] age: 0:08:56.533918, localpref: 200, nh: 172.31.13.153, encap: ['gre', 'udp'], label: 44, AS path: None
[root@ip-172-31-13-153 ~]#

vlan-based和vlan-aware的EVPN T2

在EVPN T2中，有vlan-based和vlan-aware两种形式，它们彼此不兼容。

Tungsten Fabric controller默认情况下使用vlan-aware形式，因此它们的evpn t2路由不能由几种仅支持vlan-based形式的数据中心交换机导入。

• https://bugs.launchpad.net/juniperopenstack/+bug/1781102

话虽如此，以下的补丁程序（以及基于R1912的容器）使以太网标签ID变为零，并且据称如果应用于某些交换机，会开始导入T2路由。

• https://github.com/tnaganawa/tungstenfabric-docs/blob/master/TungstenFabricKnowledgeBase.md#vlan-base-interop

• https://hub.docker.com/r/tnaganawa/contrail-controller-control-control

第三场TF Live，我们来聊OpenStack。5月26日（下周二）19点，TF中文社区线上直播活动，将由Mirantis中国区专家Frank Wu，和您一起聊聊Tungsten Fabric与OpenStack的集成。

本期活动，由TF中文社区、OpenStack社区与SDNLAB合作举办。

今年是OpenStack诞生10周年的日子。OpenStack为私有云和公有云提供可扩展的弹性的云计算服务，一经推出就广受欢迎，目前在稳定性和普及程度上，已经成为开源IaaS实现的事实标准，并且拥有一个非常庞大的技术生态。

不过，面对混合云市场上互不兼容的网络解决方案，拥有众多的组件OpenStack，在SDN异构资源支持上，也有些力不从心。

和OpenStack的目标一样，作为开源SDN代表的Tungsten Fabric，也是为了帮用户提供实施简单、可大规模扩展、丰富、标准统一的云计算管理平台。TF可以非常好地支持OpenStack，为后者解决网络拓展和稳定性问题，进行统一网络管理调度。

5月26日（下周二）晚19点，来自Mirantis中国区的Frank Wu，将结合丰富的云部署运维经验，带来OpenStack如何集成Tungsten Fabric的直播技术分享。

本次分享以综合的私有云软件栈Mirantis云平台为例，进行讲解和演示，看看开源SDN平台Tungsten Fabric如何融入OpenStack。具体包括：

• MCP云平台的架构介绍
• OpenStack与Tungsten Fabric集成架构
• 集成Demo演示

在技术分享和演示中，您将看到Tungsten Fabric如何增强了OpenStack的网络功能和安全性，实现SDN解决方案的互联互通。

参与方式：长按识别图中二维码。对于本次直播内容，如果您有任何疑问，欢迎与我们联系，嘉宾也将在直播过程中挑选部分问题进行解答。

往期回顾
KK/建勋：多云、SDN，还有网工进化论
杨雨：Tungsten Fabric如何增强Kubernetes的网络性能

---

old-controller: 172.31.19.25
new-controller: 172.31.13.9
two-vRouters: 172.31.25.102, 172.31.33.175

开始issu之前：
[root@ip-172-31-13-9 ~]# ./contrail-introspect-cli/ist.py --host 172.31.19.25 ctr nei
Introspect Host: 172.31.19.25
+------------------------+---------------+----------+----------+-----------+-------------+------------+------------+-----------+
| peer                   | peer_address  | peer_asn | encoding | peer_type | state       | send_state | flap_count | flap_time |
+------------------------+---------------+----------+----------+-----------+-------------+------------+------------+-----------+
| ip-172-31-25-102.local | 172.31.25.102 | 0        | XMPP     | internal  | Established | in sync    | 0          | n/a       |
| ip-172-31-33-175.local | 172.31.33.175 | 0        | XMPP     | internal  | Established | in sync    | 0          | n/a       |
+------------------------+---------------+----------+----------+-----------+-------------+------------+------------+-----------+
[root@ip-172-31-13-9 ~]# 
[root@ip-172-31-13-9 ~]# 
[root@ip-172-31-13-9 ~]# 
[root@ip-172-31-13-9 ~]# ./contrail-introspect-cli/ist.py --host 172.31.13.9 ctr nei
Introspect Host: 172.31.13.9
[root@ip-172-31-13-9 ~]# 
 -> iBGP is not configured yet

[root@ip-172-31-13-9 ~]# ./contrail-introspect-cli/ist.py --host 172.31.19.25 ctr route summary
Introspect Host: 172.31.19.25
+----------------------------------------------------+----------+-------+---------------+-----------------+------------------+
| name                                               | prefixes | paths | primary_paths | secondary_paths | infeasible_paths |
+----------------------------------------------------+----------+-------+---------------+-----------------+------------------+
| default-domain:default-                            | 0        | 0     | 0             | 0               | 0                |
| project:__link_local__:__link_local__.inet.0       |          |       |               |                 |                  |
| default-domain:default-project:dci-                | 0        | 0     | 0             | 0               | 0                |
| network:__default__.inet.0                         |          |       |               |                 |                  |
| default-domain:default-project:dci-network:dci-    | 0        | 0     | 0             | 0               | 0                |
| network.inet.0                                     |          |       |               |                 |                  |
| default-domain:default-project:default-virtual-    | 0        | 0     | 0             | 0               | 0                |
| network:default-virtual-network.inet.0             |          |       |               |                 |                  |
| inet.0                                             | 0        | 0     | 0             | 0               | 0                |
| default-domain:default-project:ip-fabric:ip-       | 7        | 7     | 2             | 5               | 0                |
| fabric.inet.0                                      |          |       |               |                 |                  |
| default-domain:k8s-default:k8s-default-pod-network | 7        | 7     | 4             | 3               | 0                |
| :k8s-default-pod-network.inet.0                    |          |       |               |                 |                  |
| default-domain:k8s-default:k8s-default-service-    | 7        | 7     | 1             | 6               | 0                |
| network:k8s-default-service-network.inet.0         |          |       |               |                 |                  |
+----------------------------------------------------+----------+-------+---------------+-----------------+------------------+
[root@ip-172-31-13-9 ~]# 
[root@ip-172-31-13-9 ~]# 
[root@ip-172-31-13-9 ~]# ./contrail-introspect-cli/ist.py --host 172.31.13.9 ctr route summary
Introspect Host: 172.31.13.9
+----------------------------------------------------+----------+-------+---------------+-----------------+------------------+
| name                                               | prefixes | paths | primary_paths | secondary_paths | infeasible_paths |
+----------------------------------------------------+----------+-------+---------------+-----------------+------------------+
| default-domain:default-                            | 0        | 0     | 0             | 0               | 0                |
| project:__link_local__:__link_local__.inet.0       |          |       |               |                 |                  |
| default-domain:default-project:dci-                | 0        | 0     | 0             | 0               | 0                |
| network:__default__.inet.0                         |          |       |               |                 |                  |
| default-domain:default-project:dci-network:dci-    | 0        | 0     | 0             | 0               | 0                |
| network.inet.0                                     |          |       |               |                 |                  |
| default-domain:default-project:default-virtual-    | 0        | 0     | 0             | 0               | 0                |
| network:default-virtual-network.inet.0             |          |       |               |                 |                  |
| inet.0                                             | 0        | 0     | 0             | 0               | 0                |
| default-domain:default-project:ip-fabric:ip-       | 0        | 0     | 0             | 0               | 0                |
| fabric.inet.0                                      |          |       |               |                 |                  |
| default-domain:k8s-default:k8s-default-pod-network | 0        | 0     | 0             | 0               | 0                |
| :k8s-default-pod-network.inet.0                    |          |       |               |                 |                  |
| default-domain:k8s-default:k8s-default-service-    | 0        | 0     | 0             | 0               | 0                |
| network:k8s-default-service-network.inet.0         |          |       |               |                 |                  |
+----------------------------------------------------+----------+-------+---------------+-----------------+------------------+
[root@ip-172-31-13-9 ~]# 
 -> 在新的控制器里没有导入路由

[root@ip-172-31-19-25 contrail-ansible-deployer]# kubectl get pod -o wide
NAME                                 READY   STATUS    RESTARTS   AGE     IP              NODE                                               NOMINATED NODE
cirros-deployment-75c98888b9-6qmcm   1/1     Running   0          4m58s   10.47.255.249   ip-172-31-25-102.ap-northeast-1.compute.internal   
cirros-deployment-75c98888b9-lxq4k   1/1     Running   0          4m58s   10.47.255.250   ip-172-31-33-175.ap-northeast-1.compute.internal   
[root@ip-172-31-19-25 contrail-ansible-deployer]# 

/ # ip -o a
1: lo:  mtu 65536 qdisc noqueue qlen 1000\    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
1: lo    inet 127.0.0.1/8 scope host lo\       valid_lft forever preferred_lft forever
13: eth0@if14:  mtu 1500 qdisc noqueue \    link/ether 02:6b:dc:98:ac:95 brd ff:ff:ff:ff:ff:ff
13: eth0    inet 10.47.255.249/12 scope global eth0\       valid_lft forever preferred_lft forever
/ # ping 10.47.255.250
PING 10.47.255.250 (10.47.255.250): 56 data bytes
64 bytes from 10.47.255.250: seq=0 ttl=63 time=2.155 ms
64 bytes from 10.47.255.250: seq=1 ttl=63 time=0.904 ms
^C
--- 10.47.255.250 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 0.904/1.529/2.155 ms
/ # 
 -> 两个vRouter每个都有一个容器，在两个容器之间ping的结果正常。


在provision_control之后:

[root@ip-172-31-13-9 ~]# ./contrail-introspect-cli/ist.py --host 172.31.19.25 ctr nei
Introspect Host: 172.31.19.25
+------------------------+---------------+----------+----------+-----------+-------------+-----------------+------------+-----------+
| peer                   | peer_address  | peer_asn | encoding | peer_type | state       | send_state      | flap_count | flap_time |
+------------------------+---------------+----------+----------+-----------+-------------+-----------------+------------+-----------+
| ip-172-31-13-9.local   | 172.31.13.9   | 64512    | BGP      | internal  | Idle        | not advertising | 0          | n/a       |
| ip-172-31-25-102.local | 172.31.25.102 | 0        | XMPP     | internal  | Established | in sync         | 0          | n/a       |
| ip-172-31-33-175.local | 172.31.33.175 | 0        | XMPP     | internal  | Established | in sync         | 0          | n/a       |
+------------------------+---------------+----------+----------+-----------+-------------+-----------------+------------+-----------+
[root@ip-172-31-13-9 ~]# ./contrail-introspect-cli/ist.py --host 172.31.13.9 ctr nei
Introspect Host: 172.31.13.9
[root@ip-172-31-13-9 ~]#
 -> iBGP 在老的控制器上，但是新的控制器还没有那些配置（在执行pre-sync后，这会被复制到新的控制器上）


在run-sync之后:
[root@ip-172-31-13-9 ~]# ./contrail-introspect-cli/ist.py --host 172.31.19.25 ctr nei
Introspect Host: 172.31.19.25
+------------------------+---------------+----------+----------+-----------+-------------+------------+------------+-----------+
| peer                   | peer_address  | peer_asn | encoding | peer_type | state       | send_state | flap_count | flap_time |
+------------------------+---------------+----------+----------+-----------+-------------+------------+------------+-----------+
| ip-172-31-13-9.local   | 172.31.13.9   | 64512    | BGP      | internal  | Established | in sync    | 0          | n/a       |
| ip-172-31-25-102.local | 172.31.25.102 | 0        | XMPP     | internal  | Established | in sync    | 0          | n/a       |
| ip-172-31-33-175.local | 172.31.33.175 | 0        | XMPP     | internal  | Established | in sync    | 0          | n/a       |
+------------------------+---------------+----------+----------+-----------+-------------+------------+------------+-----------+
[root@ip-172-31-13-9 ~]# ./contrail-introspect-cli/ist.py --host 172.31.13.9 ctr nei
Introspect Host: 172.31.13.9
+-----------------------+--------------+----------+----------+-----------+-------------+------------+------------+-----------+
| peer                  | peer_address | peer_asn | encoding | peer_type | state       | send_state | flap_count | flap_time |
+-----------------------+--------------+----------+----------+-----------+-------------+------------+------------+-----------+
| ip-172-31-19-25.local | 172.31.19.25 | 64512    | BGP      | internal  | Established | in sync    | 0          | n/a       |
+-----------------------+--------------+----------+----------+-----------+-------------+------------+------------+-----------+
[root@ip-172-31-13-9 ~]#
 -> iBGP 建立起来了，ctr route summary没有改变，因为新的控制器没有k8s-default-pod-network的路由目标（route-target），路由目标（route target）过滤组织了导入这些前缀。


在迁移节点到新的controller之后:

/ # ping 10.47.255.250
PING 10.47.255.250 (10.47.255.250): 56 data bytes
64 bytes from 10.47.255.250: seq=0 ttl=63 time=1.684 ms
64 bytes from 10.47.255.250: seq=1 ttl=63 time=0.835 ms
64 bytes from 10.47.255.250: seq=2 ttl=63 time=0.836 ms
(snip)
64 bytes from 10.47.255.250: seq=37 ttl=63 time=0.878 ms
64 bytes from 10.47.255.250: seq=38 ttl=63 time=0.823 ms
64 bytes from 10.47.255.250: seq=39 ttl=63 time=0.820 ms
64 bytes from 10.47.255.250: seq=40 ttl=63 time=1.364 ms
64 bytes from 10.47.255.250: seq=44 ttl=63 time=2.209 ms
64 bytes from 10.47.255.250: seq=45 ttl=63 time=0.869 ms
64 bytes from 10.47.255.250: seq=46 ttl=63 time=0.857 ms
64 bytes from 10.47.255.250: seq=47 ttl=63 time=0.855 ms
64 bytes from 10.47.255.250: seq=48 ttl=63 time=0.845 ms
64 bytes from 10.47.255.250: seq=49 ttl=63 time=0.842 ms
64 bytes from 10.47.255.250: seq=50 ttl=63 time=0.885 ms
64 bytes from 10.47.255.250: seq=51 ttl=63 time=0.891 ms
64 bytes from 10.47.255.250: seq=52 ttl=63 time=0.909 ms
64 bytes from 10.47.255.250: seq=53 ttl=63 time=0.867 ms
64 bytes from 10.47.255.250: seq=54 ttl=63 time=0.884 ms
64 bytes from 10.47.255.250: seq=55 ttl=63 time=0.865 ms
64 bytes from 10.47.255.250: seq=56 ttl=63 time=0.840 ms
64 bytes from 10.47.255.250: seq=57 ttl=63 time=0.877 ms
^C
--- 10.47.255.250 ping statistics ---
58 packets transmitted, 55 packets received, 5% packet loss
round-trip min/avg/max = 0.810/0.930/2.209 ms
/ # 
 -> 在vrouter-agent 重启后，可以看到丢了3个包(序号40-44)。在迁移vRouter到新的之后，ping工作地很好。


[root@ip-172-31-13-9 ~]# ./contrail-introspect-cli/ist.py --host 172.31.19.25 ctr nei
检查主机：172.31.19.25
+------------------------+---------------+----------+----------+-----------+-------------+------------+------------+-----------+
| peer                   | peer_address  | peer_asn | encoding | peer_type | state       | send_state | flap_count | flap_time |
+------------------------+---------------+----------+----------+-----------+-------------+------------+------------+-----------+
| ip-172-31-13-9.local   | 172.31.13.9   | 64512    | BGP      | internal  | Established | in sync    | 0          | n/a       |
| ip-172-31-33-175.local | 172.31.33.175 | 0        | XMPP     | internal  | Established | in sync    | 0          | n/a       |
+------------------------+---------------+----------+----------+-----------+-------------+------------+------------+-----------+
[root@ip-172-31-13-9 ~]# ./contrail-introspect-cli/ist.py --host 172.31.13.9 ctr nei
Introspect Host: 172.31.13.9
+------------------------+---------------+----------+----------+-----------+-------------+------------+------------+-----------+
| peer                   | peer_address  | peer_asn | encoding | peer_type | state       | send_state | flap_count | flap_time |
+------------------------+---------------+----------+----------+-----------+-------------+------------+------------+-----------+
| ip-172-31-19-25.local  | 172.31.19.25  | 64512    | BGP      | internal  | Established | in sync    | 0          | n/a       |
| ip-172-31-25-102.local | 172.31.25.102 | 0        | XMPP     | internal  | Established | in sync    | 0          | n/a       |
+------------------------+---------------+----------+----------+-----------+-------------+------------+------------+-----------+
[root@ip-172-31-13-9 ~]# 
 -> 两个控制器具有XMPP连接，建立了IBGP

[root@ip-172-31-13-9 ~]# ./contrail-introspect-cli/ist.py --host 172.31.19.25 ctr route summary
检查主机: 172.31.19.25
+----------------------------------------------------+----------+-------+---------------+-----------------+------------------+
| name                                               | prefixes | paths | primary_paths | secondary_paths | infeasible_paths |
+----------------------------------------------------+----------+-------+---------------+-----------------+------------------+
| default-domain:default-                            | 0        | 0     | 0             | 0               | 0                |
| project:__link_local__:__link_local__.inet.0       |          |       |               |                 |                  |
| default-domain:default-project:dci-                | 0        | 0     | 0             | 0               | 0                |
| network:__default__.inet.0                         |          |       |               |                 |                  |
| default-domain:default-project:dci-network:dci-    | 0        | 0     | 0             | 0               | 0                |
| network.inet.0                                     |          |       |               |                 |                  |
| default-domain:default-project:default-virtual-    | 0        | 0     | 0             | 0               | 0                |
| network:default-virtual-network.inet.0             |          |       |               |                 |                  |
| inet.0                                             | 0        | 0     | 0             | 0               | 0                |
| default-domain:default-project:ip-fabric:ip-       | 7        | 7     | 1             | 6               | 0                |
| fabric.inet.0                                      |          |       |               |                 |                  |
| default-domain:k8s-default:k8s-default-pod-network | 7        | 7     | 1             | 6               | 0                |
| :k8s-default-pod-network.inet.0                    |          |       |               |                 |                  |
| default-domain:k8s-default:k8s-default-service-    | 7        | 7     | 0             | 7               | 0                |
| network:k8s-default-service-network.inet.0         |          |       |               |                 |                  |
+----------------------------------------------------+----------+-------+---------------+-----------------+------------------+
[root@ip-172-31-13-9 ~]# ./contrail-introspect-cli/ist.py --host 172.31.13.9 ctr route summary
检查主机: 172.31.13.9
+----------------------------------------------------+----------+-------+---------------+-----------------+------------------+
| name                                               | prefixes | paths | primary_paths | secondary_paths | infeasible_paths |
+----------------------------------------------------+----------+-------+---------------+-----------------+------------------+
| default-domain:default-                            | 0        | 0     | 0             | 0               | 0                |
| project:__link_local__:__link_local__.inet.0       |          |       |               |                 |                  |
| default-domain:default-project:dci-                | 0        | 0     | 0             | 0               | 0                |
| network:__default__.inet.0                         |          |       |               |                 |                  |
| default-domain:default-project:dci-network:dci-    | 0        | 0     | 0             | 0               | 0                |
| network.inet.0                                     |          |       |               |                 |                  |
| default-domain:default-project:default-virtual-    | 0        | 0     | 0             | 0               | 0                |
| network:default-virtual-network.inet.0             |          |       |               |                 |                  |
| inet.0                                             | 0        | 0     | 0             | 0               | 0                |
| default-domain:default-project:ip-fabric:ip-       | 7        | 7     | 1             | 6               | 0                |
| fabric.inet.0                                      |          |       |               |                 |                  |
| default-domain:k8s-default:k8s-default-pod-network | 7        | 7     | 3             | 4               | 0                |
| :k8s-default-pod-network.inet.0                    |          |       |               |                 |                  |
| default-domain:k8s-default:k8s-default-service-    | 7        | 7     | 1             | 6               | 0                |
| network:k8s-default-service-network.inet.0         |          |       |               |                 |                  |
+----------------------------------------------------+----------+-------+---------------+-----------------+------------------+
[root@ip-172-31-13-9 ~]# 
 -> 因为两个控制器具有至少一个容器来自k8s-default-pod-network, 它们使用iBGP来交换前缀，因此它们具有同一个前缀


在将第二个vrouter迁移到新的控制器之后:
/ # ping 10.47.255.250
PING 10.47.255.250 (10.47.255.250): 56 data bytes
64 bytes from 10.47.255.250: seq=0 ttl=63 time=1.750 ms
64 bytes from 10.47.255.250: seq=1 ttl=63 time=0.815 ms
64 bytes from 10.47.255.250: seq=2 ttl=63 time=0.851 ms
64 bytes from 10.47.255.250: seq=3 ttl=63 time=0.809 ms
(snip)
64 bytes from 10.47.255.250: seq=34 ttl=63 time=0.853 ms
64 bytes from 10.47.255.250: seq=35 ttl=63 time=0.848 ms
64 bytes from 10.47.255.250: seq=36 ttl=63 time=0.833 ms
64 bytes from 10.47.255.250: seq=37 ttl=63 time=0.832 ms
64 bytes from 10.47.255.250: seq=38 ttl=63 time=0.910 ms
64 bytes from 10.47.255.250: seq=42 ttl=63 time=2.071 ms
64 bytes from 10.47.255.250: seq=43 ttl=63 time=0.826 ms
64 bytes from 10.47.255.250: seq=44 ttl=63 time=0.853 ms
64 bytes from 10.47.255.250: seq=45 ttl=63 time=0.851 ms
64 bytes from 10.47.255.250: seq=46 ttl=63 time=0.853 ms
64 bytes from 10.47.255.250: seq=47 ttl=63 time=0.851 ms
64 bytes from 10.47.255.250: seq=48 ttl=63 time=0.855 ms
64 bytes from 10.47.255.250: seq=49 ttl=63 time=0.869 ms
64 bytes from 10.47.255.250: seq=50 ttl=63 time=0.833 ms
64 bytes from 10.47.255.250: seq=51 ttl=63 time=0.859 ms
64 bytes from 10.47.255.250: seq=52 ttl=63 time=0.866 ms
64 bytes from 10.47.255.250: seq=53 ttl=63 time=0.840 ms
64 bytes from 10.47.255.250: seq=54 ttl=63 time=0.841 ms
64 bytes from 10.47.255.250: seq=55 ttl=63 time=0.854 ms
^C
--- 10.47.255.250 ping statistics ---
56 packets transmitted, 53 packets received, 5% packet loss
round-trip min/avg/max = 0.799/0.888/2.071 ms
/ #
 -> 3 packet loss is seen (seq 38-42)


[root@ip-172-31-13-9 ~]# ./contrail-introspect-cli/ist.py --host 172.31.19.25 ctr nei
Introspect Host: 172.31.19.25
+----------------------+--------------+----------+----------+-----------+-------------+------------+------------+-----------+
| peer                 | peer_address | peer_asn | encoding | peer_type | state       | send_state | flap_count | flap_time |
+----------------------+--------------+----------+----------+-----------+-------------+------------+------------+-----------+
| ip-172-31-13-9.local | 172.31.13.9  | 64512    | BGP      | internal  | Established | in sync    | 0          | n/a       |
+----------------------+--------------+----------+----------+-----------+-------------+------------+------------+-----------+
[root@ip-172-31-13-9 ~]# ./contrail-introspect-cli/ist.py --host 172.31.13.9 ctr nei
Introspect Host: 172.31.13.9
+------------------------+---------------+----------+----------+-----------+-------------+------------+------------+-----------+
| peer                   | peer_address  | peer_asn | encoding | peer_type | state       | send_state | flap_count | flap_time |
+------------------------+---------------+----------+----------+-----------+-------------+------------+------------+-----------+
| ip-172-31-19-25.local  | 172.31.19.25  | 64512    | BGP      | internal  | Established | in sync    | 0          | n/a       |
| ip-172-31-25-102.local | 172.31.25.102 | 0        | XMPP     | internal  | Established | in sync    | 0          | n/a       |
| ip-172-31-33-175.local | 172.31.33.175 | 0        | XMPP     | internal  | Established | in sync    | 0          | n/a       |
+------------------------+---------------+----------+----------+-----------+-------------+------------+------------+-----------+
[root@ip-172-31-13-9 ~]# 
 -> 新的控制器具有两个XMPP连接。

[root@ip-172-31-13-9 ~]# ./contrail-introspect-cli/ist.py --host 172.31.19.25 ctr route summary
检查主机：172.31.19.25
+----------------------------------------------------+----------+-------+---------------+-----------------+------------------+
| name                                               | prefixes | paths | primary_paths | secondary_paths | infeasible_paths |
+----------------------------------------------------+----------+-------+---------------+-----------------+------------------+
| default-domain:default-                            | 0        | 0     | 0             | 0               | 0                |
| project:__link_local__:__link_local__.inet.0       |          |       |               |                 |                  |
| default-domain:default-project:dci-                | 0        | 0     | 0             | 0               | 0                |
| network:__default__.inet.0                         |          |       |               |                 |                  |
| default-domain:default-project:dci-network:dci-    | 0        | 0     | 0             | 0               | 0                |
| network.inet.0                                     |          |       |               |                 |                  |
| default-domain:default-project:default-virtual-    | 0        | 0     | 0             | 0               | 0                |
| network:default-virtual-network.inet.0             |          |       |               |                 |                  |
| inet.0                                             | 0        | 0     | 0             | 0               | 0                |
| default-domain:default-project:ip-fabric:ip-       | 0        | 0     | 0             | 0               | 0                |
| fabric.inet.0                                      |          |       |               |                 |                  |
| default-domain:k8s-default:k8s-default-pod-network | 0        | 0     | 0             | 0               | 0                |
| :k8s-default-pod-network.inet.0                    |          |       |               |                 |                  |
| default-domain:k8s-default:k8s-default-service-    | 0        | 0     | 0             | 0               | 0                |
| network:k8s-default-service-network.inet.0         |          |       |               |                 |                  |
+----------------------------------------------------+----------+-------+---------------+-----------------+------------------+
[root@ip-172-31-13-9 ~]# ./contrail-introspect-cli/ist.py --host 172.31.13.9 ctr route summary
检查主机：172.31.13.9
+----------------------------------------------------+----------+-------+---------------+-----------------+------------------+
| name                                               | prefixes | paths | primary_paths | secondary_paths | infeasible_paths |
+----------------------------------------------------+----------+-------+---------------+-----------------+------------------+
| default-domain:default-                            | 0        | 0     | 0             | 0               | 0                |
| project:__link_local__:__link_local__.inet.0       |          |       |               |                 |                  |
| default-domain:default-project:dci-                | 0        | 0     | 0             | 0               | 0                |
| network:__default__.inet.0                         |          |       |               |                 |                  |
| default-domain:default-project:dci-network:dci-    | 0        | 0     | 0             | 0               | 0                |
| network.inet.0                                     |          |       |               |                 |                  |
| default-domain:default-project:default-virtual-    | 0        | 0     | 0             | 0               | 0                |
| network:default-virtual-network.inet.0             |          |       |               |                 |                  |
| inet.0                                             | 0        | 0     | 0             | 0               | 0                |
| default-domain:default-project:ip-fabric:ip-       | 7        | 7     | 2             | 5               | 0                |
| fabric.inet.0                                      |          |       |               |                 |                  |
| default-domain:k8s-default:k8s-default-pod-network | 7        | 7     | 4             | 3               | 0                |
| :k8s-default-pod-network.inet.0                    |          |       |               |                 |                  |
| default-domain:k8s-default:k8s-default-service-    | 7        | 7     | 1             | 6               | 0                |
| network:k8s-default-service-network.inet.0         |          |       |               |                 |                  |
+----------------------------------------------------+----------+-------+---------------+-----------------+------------------+
[root@ip-172-31-13-9 ~]#
 -> 老的控制器不再具有前缀。


在ISSU过程结束后，新的kube-manager 启动：
[root@ip-172-31-19-25 ~]# kubectl get pod -o wide
NAME                                  READY   STATUS    RESTARTS   AGE   IP              NODE                                               NOMINATED NODE
cirros-deployment-75c98888b9-6qmcm    1/1     Running   0          34m   10.47.255.249   ip-172-31-25-102.ap-northeast-1.compute.internal   
cirros-deployment-75c98888b9-lxq4k    1/1     Running   0          34m   10.47.255.250   ip-172-31-33-175.ap-northeast-1.compute.internal   
cirros-deployment2-648b98685f-b8pxw   1/1     Running   0          15s   10.47.255.247   ip-172-31-25-102.ap-northeast-1.compute.internal   
cirros-deployment2-648b98685f-nv7z9   1/1     Running   0          15s   10.47.255.248   ip-172-31-33-175.ap-northeast-1.compute.internal   
[root@ip-172-31-19-25 ~]# 
 -> 通过新的IP创建容器（10.47.255.247, 10.47.255.248 是来自新控制器的新地址）

[root@ip-172-31-13-9 ~]# ./contrail-introspect-cli/ist.py --host 172.31.19.25 ctr nei
Introspect Host: 172.31.19.25
+----------------------+--------------+----------+----------+-----------+--------+-----------------+------------+-----------------------------+
| peer                 | peer_address | peer_asn | encoding | peer_type | state  | send_state      | flap_count | flap_time                   |
+----------------------+--------------+----------+----------+-----------+--------+-----------------+------------+-----------------------------+
| ip-172-31-13-9.local | 172.31.13.9  | 64512    | BGP      | internal  | Active | not advertising | 1          | 2019-Jun-23 05:37:02.614003 |
+----------------------+--------------+----------+----------+-----------+--------+-----------------+------------+-----------------------------+
[root@ip-172-31-13-9 ~]# ./contrail-introspect-cli/ist.py --host 172.31.13.9 ctr nei
Introspect Host: 172.31.13.9
+------------------------+---------------+----------+----------+-----------+-------------+------------+------------+-----------+
| peer                   | peer_address  | peer_asn | encoding | peer_type | state       | send_state | flap_count | flap_time |
+------------------------+---------------+----------+----------+-----------+-------------+------------+------------+-----------+
| ip-172-31-25-102.local | 172.31.25.102 | 0        | XMPP     | internal  | Established | in sync    | 0          | n/a       |
| ip-172-31-33-175.local | 172.31.33.175 | 0        | XMPP     | internal  | Established | in sync    | 0          | n/a       |
+------------------------+---------------+----------+----------+-----------+-------------+------------+------------+-----------+
[root@ip-172-31-13-9 ~]#
 -> 新控制器不再有iBGP路由到旧的控制器。旧控制器依然具有iBGP路由条目，虽然这个过程很快就要停止:)

在停止了就的控制器后，配置：
[root@ip-172-31-19-25 ~]# kubectl get pod -o wide
NAME                                  READY   STATUS    RESTARTS   AGE   IP              NODE                                               NOMINATED NODE
cirros-deployment-75c98888b9-6qmcm    1/1     Running   0          48m   10.47.255.249   ip-172-31-25-102.ap-northeast-1.compute.internal   
cirros-deployment-75c98888b9-lxq4k    1/1     Running   0          48m   10.47.255.250   ip-172-31-33-175.ap-northeast-1.compute.internal   
cirros-deployment2-648b98685f-b8pxw   1/1     Running   0          13m   10.47.255.247   ip-172-31-25-102.ap-northeast-1.compute.internal   
cirros-deployment2-648b98685f-nv7z9   1/1     Running   0          13m   10.47.255.248   ip-172-31-33-175.ap-northeast-1.compute.internal   
cirros-deployment3-68fb484676-ct9q9   1/1     Running   0          18s   10.47.255.245   ip-172-31-25-102.ap-northeast-1.compute.internal   
cirros-deployment3-68fb484676-mxbzq   1/1     Running   0          18s   10.47.255.246   ip-172-31-33-175.ap-northeast-1.compute.internal   
[root@ip-172-31-19-25 ~]# 
 -> 新容器依然可以被创建

[root@ip-172-31-25-102 ~]# contrail-status 
Pod      Service  Original Name           State    Id            Status         
vrouter  agent    contrail-vrouter-agent  running  9a46a1a721a7  Up 33 minutes  
vrouter  nodemgr  contrail-nodemgr        running  11fb0a7bc86d  Up 33 minutes  

vrouter kernel module is PRESENT
== Contrail vrouter ==
nodemgr: active
agent: active

[root@ip-172-31-25-102 ~]# 
 -> 具有新控制器的vRouter工作良好

向后兼容

Tungsten Fabric入门宝典系列文章，来自技术大牛倾囊相授的实践经验，由TF中文社区为您编译呈现，旨在帮助新手深入理解TF的运行、安装、集成、调试等全流程。如果您有相关经验或疑问，欢迎与我们互动，并与社区极客们进一步交流。更多TF技术文章，请点击【TF中文社区】公号底部按钮＞学习＞文章合集。

作者：Tatsuya Naganawa  译者：TF编译组

集群范围内的更新是很重要的功能，可以在保证生产集群的SLA的条件下提供集群中最新功能的有效性。

由于Tungsten Fabric在MPLS-VPN中使用类似的协议，因此，根据我的尝试，即使Control的模块版本和vRouter的模块版本不同，基本的互操作性还是有的。

因此，总体思路是，首先一个一个地更新controller，然后并根据需要使用vMotion或maintence模式逐一更新vRouter。

另外，Tungsten Fabric controller还支持名为ISSU的奇特功能，但是我认为这个名称有些混乱，因为Tungsten Fabric controller与route reflector非常相似，而不是routing-engine。

• https://github.com/Juniper/contrail-specs/blob/master/contrail-issu.md

因此，基本思路是，首先将所有配置（configs）复制到新创建的controller（或route reflectors），然后更新vRouter设置（如果服务器可以重新启动，则更新vRouter模块）以使用这些新的controller。通过这个过程，vRouter模块更新的回滚操作也将更加容易。

下面我来描述一下这个过程。

就地更新（in-place update）

由于ansible-deployer遵循等幂行为（idempotent behavior），因此更新与安装没有太大区别。以下的命令将更新所有模块。

cd contrail-ansible-deployer
git pull
vi config/instances.yaml
(update CONTRAIL_CONTAINER_TAG)
ansible-playbook -e orchestrator=xxx -i inventory/ playbooks/install_contrail.yml

一个限制是由于此命令几乎同时重启了所有节点，因此不容易做到一一重启controller和vRouter。另外，从instances.yaml中删除其它节点将不起作用，因为一个节点的更新需要其它节点的某些参数。

• 例如，vRouter更新需要控件的IP，该IP是从instances.yaml中的control role节点推导出的

为了克服这个问题，从R2005版本开始，ziu.yaml就加入了这个功能，至少对于控制平面来说，要逐一更新。

• https://github.com/Juniper/contrail-ansible-deployer/blob/master/README_ziu.md

cd contrail-ansible-deployer
git pull
vi config/instances.yaml
(update CONTRAIL_CONTAINER_TAG)
ansible-playbook -e orchestrator=xxx -i inventory/ playbooks/ziu.yml
ansible-playbook -e orchestrator=xxx -i inventory/ playbooks/install_contrail.yml

就我试过的情况来看，当控制平面更新时，它会进行串联更新和重启控制进程，所以没有看到掉包的现象。

• 在install_contrail.yaml期间，控制进程的重启是被跳过的，因为它们已经更新了。

• 当执行vrouter-agent重启时，仍然会出现一些丢包现象，所以如果可以的话，建议进行工作负载迁移。

ISSU

即使容器格式的差异很大（例如从4.x到5.x），我们也可以使用ISSU，因为它创建了一个新的controller集群，并在其中复制数据。

首先，我来描述最简单的情况，即一个旧controller和一个新controller，以查看整个过程。所有命令都在新的controller上键入。

old-controller:
 ip: 172.31.2.209
 hostname: ip-172-31-2-209
new-controller:
 ip: 172.31.1.154
 hostname: ip-172-31-1-154

(both controllers are installed with this instances.yaml)
provider_config:
  bms:
   ssh_user: root
   ssh_public_key: /root/.ssh/id_rsa.pub
   ssh_private_key: /root/.ssh/id_rsa
   domainsuffix: local
   ntpserver: 0.centos.pool.ntp.org
instances:
  bms1:
   provider: bms
   roles:
      config_database:
      config:
      control:
      analytics:
      analytics_database:
      webui:
   ip: x.x.x.x ## controller's ip
contrail_configuration:
  CONTRAIL_CONTAINER_TAG: r5.1
  KUBERNETES_CLUSTER_PROJECT: {}
  JVM_EXTRA_OPTS: "-Xms128m -Xmx1g"
global_configuration:
  CONTAINER_REGISTRY: tungstenfabric

[commands]
1. 停止批处理作业
docker stop config_devicemgr_1
docker stop config_schema_1
docker stop config_svcmonitor_1

2. 在cassandra上注册新的control，在它们之间运行bgp
docker exec -it config_api_1 bash
python /opt/contrail/utils/provision_control.py --host_name ip-172-31-1-154.local --host_ip 172.31.1.154 --api_server_ip 172.31.2.209 --api_server_port 8082 --oper add --router_asn 64512 --ibgp_auto_mesh

3. 在控制器之间同步数据
vi contrail-issu.conf
(write down this)
[DEFAULTS]
old_rabbit_address_list = 172.31.2.209
old_rabbit_port = 5673
new_rabbit_address_list = 172.31.1.154
new_rabbit_port = 5673
old_cassandra_address_list = 172.31.2.209:9161
old_zookeeper_address_list = 172.31.2.209:2181
new_cassandra_address_list = 172.31.1.154:9161
new_zookeeper_address_list = 172.31.1.154:2181
new_api_info={"172.31.1.154": [("root"), ("password")]} ## ssh public-key can be used

image_id=`docker images | awk '/config-api/{print $3}' | head -1`

docker run --rm -it --network host -v $(pwd)/contrail-issu.conf:/etc/contrail/contrail-issu.conf --entrypoint /bin/bash -v /root/.ssh:/root/.ssh $image_id -c "/usr/bin/contrail-issu-pre-sync -c /etc/contrail/contrail-issu.conf"

4. 启动进程进行实时数据同步
docker run --rm --detach -it --network host -v $(pwd)/contrail-issu.conf:/etc/contrail/contrail-issu.conf --entrypoint /bin/bash -v /root/.ssh:/root/.ssh --name issu-run-sync $image_id -c "/usr/bin/contrail-issu-run-sync -c /etc/contrail/contrail-issu.conf"

(如果需要，请检查日志)
docker exec -t issu-run-sync tail -f /var/log/contrail/issu_contrail_run_sync.log

5. (更新 vrouters)

6. 在结束后停止作业，同步所有数据
docker rm -f issu-run-sync

image_id=`docker images | awk '/config-api/{print $3}' | head -1`
docker run --rm -it --network host -v $(pwd)/contrail-issu.conf:/etc/contrail/contrail-issu.conf --entrypoint /bin/bash -v /root/.ssh:/root/.ssh --name issu-run-sync $image_id -c "/usr/bin/contrail-issu-post-sync -c /etc/contrail/contrail-issu.conf"
docker run --rm -it --network host -v $(pwd)/contrail-issu.conf:/etc/contrail/contrail-issu.conf --entrypoint /bin/bash -v /root/.ssh:/root/.ssh --name issu-run-sync $image_id -c "/usr/bin/contrail-issu-zk-sync -c /etc/contrail/contrail-issu.conf"

7. 从cassandra中去掉旧的节点，加入新的节点
vi issu.conf
(write down this)
[DEFAULTS]
db_host_info={"172.31.1.154": "ip-172-31-1-154.local"}
config_host_info={"172.31.1.154": "ip-172-31-1-154.local"}
analytics_host_info={"172.31.1.154": "ip-172-31-1-154.local"}
control_host_info={"172.31.1.154": "ip-172-31-1-154.local"}
api_server_ip=172.31.1.154

docker cp issu.conf config_api_1:issu.conf
docker exec -it config_api_1 python /opt/contrail/utils/provision_issu.py -c issu.conf

8. 启动批处理作业
docker start config_devicemgr_1
docker start config_schema_1
docker start config_svcmonitor_1

以下将是可能的检查点。

1. 步骤3之后，你可以尝试使用contrail-api-cli ls -l *来查看所有数据是否已成功复制，并且可以通过ist.py ctr nei来查看controller之间的ibgp是否已启动。

2. 步骤4之后，你可以修改旧数据库，以查看更改是否可以成功传播到新数据库。

接下来，我将在使用编排器和两个vRouter的条件下，讨论更为实际的情况。

编排器集成

为了说明结合编排器的情况，我尝试用ansible-deployer部署两个vRouters和kubernetes。

即使与编排器结合使用，总体过程也不会有太大不同。

需要注意的是，需要在什么时候将kube-manager更改为新的。

从某种意义上讲，由于kube-manager动态订阅了来自kube-apiserver的事件并更新了Tungsten Fabric配置数据库（config-database），因此它类似于批处理作业，例如schema-transformer、svc-monitor和device-manager。因此，我使用此类批处理作业，同时停止并启动了旧的或新的kube-manager（实际上也包括webui），但是可能需要根据每个设置进行更改。

这个示例中的总体过程如下所示。

1.设置一个controller（带有一个kube-manager和kubernetes-master）和两个vRouter
2.设置一个新的controller（带有一个kube-manager，但kubernetes-master与旧的controller相同）
3.停止批处理作业、新controller的kube-manager和webui
4.启动ISSU进程并继续执行，直到开始运行同步（run-sync）
  ->将在controller之间建立iBGP
5.根据新controller的ansible-ployer一个一个地更新vRouter
   ->将一个vRouter移至新的vRouter时，新的controller也将获得k8s-default-pod-network的路由目标（route-target），并且容器之间仍然可以ping通正常工作（ist.py ctr路由摘要以及ping的结果将在稍后附上）
6.将所有vRouter移至新的controller后，停止批处理作业、旧controller上的kube-manager和webui
    之后，继续执行ISSU进程，新controller上启动批处理作业， kube-manager和webui
   ->这个阶段从开始到结束，你都无法手动更改config-database，因此可能需要一些维护时间
   （整个过程可能会持续5至15分钟，可以ping通，但是直到启动新的kube-manager时，新容器的创建才能正常工作）
7.最后，停止旧的节点上的control、config和config-database

更新vRouters时，我使用了controller的provider: bms-maint，k8s_master和vRouter，它们都已经更改为新的，以避免由于容器重启而造成干扰。我附上了原始instances.yaml和更新vRouter的instances.yaml，以便大家获取更多详细信息。

• https://github.com/tnaganawa/tungstenfabric-docs/blob/master/instances-yaml-for-ISSU

我还将在每个阶段附加ist.py ctr nei和ist.py ctr路由摘要的结果，以说明发生的相关细节。

• 请注意，在此示例中，我实际上并未更新模块，因为此设置主要是为了突出ISSU进程（因为即使模块版本相同，ansible-deployer也会重新创建vrouter-agent容器，同时即使完成实际的模块更新，丢包的数量也不会有太大不同。）

---

Tungsten Fabric入门宝典丨关于集群更新的那些事（下）

---

Tungsten Fabric入门宝典系列文章——

1.首次启动和运行指南
2.TF组件的七种“武器”
3.编排器集成
4.关于安装的那些事（上）
5.关于安装的那些事（下）
6.主流监控系统工具的集成
7.开始第二天的工作
8.8个典型故障及排查Tips

Tungsten Fabric 架构解析系列文章——
第一篇：TF主要特点和用例
第二篇：TF怎么运作
第三篇：详解vRouter体系结构
第四篇：TF的服务链
第五篇：vRouter的部署选项
第六篇：TF如何收集、分析、部署？
第七篇：TF如何编排
第八篇：TF支持API一览
第九篇：TF如何连接到物理网络？
第十篇：TF基于应用程序的安全策略

要了解Tungsten Fabric的硬件对接机制，不一定真的去购买交换机设备来部署，更现实的方法是使用虚拟机软件版本来做模拟实验，本文使用瞻博网络vMX虚拟路由平台，模拟其MX和QFX系列交换机的对接扩展操作。

下面做的实验就是基于EVE-NG模拟平台，在CentOS虚拟机上做Tungsten Fabric&k8s集成部署，然后启动vMX来做对接。

（编者按：本文着眼于能够对接并对vMX下发配置，如有疑问，欢迎加入社区与开源SDN爱好者们一起交流）

准备

后续对python文件的修改，都需要进入device-manager这个docker进行修改。

修改前记得先备份，例如：

#cp juniper_conf.py juniper_conf.py_bak

修改后需要重启device-manager这个docker，修改才会生效。

[root@master01 ~]# docker restart 001caca78cde
001caca78cde

log打印最好一直开着，默认只有WARNNING和ERROR的信息会打印出来。

[root@master01 ~]# tailf /var/log/contrail/contrail-device-manager.log

根据打印信息找到代码位置，是最便捷的定位方法。

如果要自己向py文件中添加打印信息，下面是个例子。

self._logger.warning(">>password is %s" % self.user_creds[password])

如果发现修改后docker不停地自动重启，那就抓紧时间进入docker后，将之前修改的py文件恢复，例如：

#cd  /usr/lib/python2.7/site-packages/device_manager
#cp juniper_conf.py_bak juniper_conf.py

坑一：

描述：Tungsten Fabric5.1.0版本默认对接物理交换机的功能是关闭的。

解决方法：参考微信公众号【TF中文社区】--Tungsten Fabric入门宝典系列文章 ，需要手动添加一项，建议接着删除所有contrail相关的容器后重建。

坑二：

描述：Tungsten Fabric的netconf session会去对接交换机的接口值已经被写死(juniper_conf.py),所以在web录入的时候service port填的值不会生效。

def device_connect(self):
      if not self._nc_manager or not self.is_connected():
          try:
              self._nc_manager = manager.connect(host=self.management_ip, port=22,

解决方法：物理交换机的netconf port设置为22。

[edit]
netops@vMX-3# set system services netconf ssh port 22 ，才好对接

坑三：

描述：代码传入的netconf password是密文，但是ncclient只能接受密码的原文，导致：

04/19/2020 08:00:53 PM [contrail-device-manager] [ERROR]: could not establish netconf session with  router 192.168.122.103: AuthenticationException('Authentication failed.',)

例如我设置的密码是"Test123"，但是其实传的是：

解决方法(juniper_conf.py)：是的，我就直接赋值了。

![1fac441f-eec4-4f12-adc6-ecf4b6fe8cc7-image.png](/assets/uploads/files/1589948889529-1fac441f-eec4-4f12-adc6-ecf4b6fe8cc7-image.png)

坑四：

描述：netconf对接成功后，Tungsten Fabric会取回device model信息，并判断是否是mx或vmx，但是我用的模拟器返回的是olive。

netops@vMX-3> show version
Hostname: vMX-3
Model: olive
Junos: 18.2R2.6

因此报错。

04/20/2020 09:02:06 PM [contrail-device-manager] [ERROR]: product model mismatch: device model = olive, plugin mode = ['mx', 'vmx']

解决方法：device_conf.py直接给model赋值。

def validate_device(self):
       if not self.device_config:
           self.device_config = self.device_get()
       if not self.device_config:
           self.device_config = {}
           return False
       #model = self.device_config.get('product-model')
       model = 'mx'

坑五：

描述：添加BGP Router后，配置无法下发成功。明明输入的是64512，结果识别为"b’64512’"。

04/19/2020 09:25:38 PM [contrail-device-manager] [ERROR]: Router 192.168.122.103: error: as_number: 'b'64512'': Use format 'x' or 'x.y' to specify number 'x' (Range 1 .. 4294967295) or number with higher 2 bytes 'x' (Range 0 .. 65535) ay
error: syntax error, expecting  or 

将conf_str打印出来self._logger.warning(">>config_str is %s" % config_str)。

解决方法：经过大神指点，将contrail-controller-config-devicemgr镜像从1912-latest替换为1910-laset。

在我的deployer节点操作。

[root@deployer ~]# docker pull opencontrailnightly/contrail-controller-config-devicemgr:1910-latest  
[root@deployer ~]# docker tag opencontrailnightly/contrail-controller-config-devicemgr:1910-latest 192.168.122.211/contrail-controller-config-devicemgr:1910-latest
[root@deployer ~]# docker push 192.168.122.211/contrail-controller-config-devicemgr:1910-latest
[root@deployer ~]#
[root@deployer ~]# curl -X GET http://localhost/v2/contrail-controller-config-devicemgr/tags/list --cacert /etc/docker/certs.d/dockershare:2333/ca.crt | python -m json.tool
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100    85  100    85    0     0   1072      0 --:--:-- --:--:-- --:--:--  1089
{
    "name": "contrail-controller-config-devicemgr",
    "tags": [
        "1912-latest",
        "1910-latest"
    ]
}
[root@deployer ~]#
12345678910111213141516

master01节点拉取(hosts文件里面已经将hub.juniper.net设置为deployer IP)。

[root@master01 ~]# ping hub.juniper.net
PING deployer (192.168.122.211) 56(84) bytes of data.
64 bytes from deployer (192.168.122.211): icmp_seq=1 ttl=64 time=1.47 ms
^C
--- deployer ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 1.472/1.472/1.472/0.000 ms
[root@master01 ~]#
[root@master01 ~]# docker pull hub.juniper.net/contrail-controller-config-devicemgr:1910-latest  
[root@master01 ~]#
[root@master01 ~]# docker image list | grep devicemgr
hub.juniper.net/contrail-controller-config-devicemgr    1912-latest         c08868a27a0a        5 months ago        772MB
hub.juniper.net/contrail-controller-config-devicemgr    1910-latest         a1b3ab402efc        5 months ago        862MB
[root@master01 ~]#
1234567891011121314

修改/etc/contrail/config/docker-compose.yaml文件，将devicemgr的镜像版本从
1912-latest改为1910-latest。

devicemgr:
  image: "hub.juniper.net/contrail-controller-config-devicemgr:1910-latest"

将contrail相关的容器删除然后重建。

[root@master01 config]# docker-compose -f /etc/contrail/config/docker-compose.yaml down
/usr/lib/python2.7/site-packages/requests/__init__.py:91: RequestsDependencyWarning: urllib3 (1.24.3) or chardet (2.2.1) doesn't match a supported version!
  RequestsDependencyWarning)
Stopping config_devicemgr_1  ... done
Stopping config_dnsmasq_1    ... done
Stopping config_nodemgr_1    ... done
Stopping config_schema_1     ... done
Stopping config_svcmonitor_1 ... done
Stopping config_stats_1      ... done
Stopping config_api_1        ... done
Removing config_devicemgr_1  ... done
Removing config_dnsmasq_1    ... done
Removing config_nodemgr_1    ... done
Removing config_schema_1     ... done
Removing config_svcmonitor_1 ... done
Removing config_stats_1      ... done
Removing config_api_1        ... done
Removing config_node-init_1  ... done
[root@master01 config]#
[root@master01 config]# docker-compose -f /etc/contrail/config/docker-compose.yaml up -d
/usr/lib/python2.7/site-packages/requests/__init__.py:91: RequestsDependencyWarning: urllib3 (1.24.3) or chardet (2.2.1) doesn't match a supported version!
  RequestsDependencyWarning)
Creating config_node-init_1 ... done
Creating config_schema_1     ... done
Creating config_api_1        ... done
Creating config_svcmonitor_1 ... done
Creating config_nodemgr_1    ... done
Creating config_dnsmasq_1    ... done
Creating config_stats_1      ... done
Creating config_devicemgr_1  ... done
[root@master01 config]#
1234567891011121314151617181920212223242526272829303132

前面提到的坑1-4，需要在新的devicemgr中重新修改一遍。

验证

• Physical Router已经添加(role为None)

• 添加BGP Router
  
  
  
• 查看vMX上新增配置
  

本文为盛科网络刘敬一的原创文章。
原文链接：
https://blog.csdn.net/ljyfree/article/details/105652253

Tungsten Fabric入门宝典系列文章——

1.首次启动和运行指南
2.TF组件的七种“武器”
3.编排器集成
4.关于安装的那些事（上）
5.关于安装的那些事（下）
6.主流监控系统工具的集成
7.开始第二天的工作
8. 8个典型故障及排查Tips

Tungsten Fabric入门宝典系列文章，来自技术大牛倾囊相授的实践经验，由TF中文社区为您编译呈现，旨在帮助新手深入理解TF的运行、安装、集成、调试等全流程。如果您有相关经验或疑问，欢迎与我们互动，并与社区极客们进一步交流。更多TF技术文章，请点击【TF中文社区】微信公众号底部按钮＞学习＞文章合集。

作者：Tatsuya Naganawa  译者：TF编译组

在使用vRouter时，可能会出现某些情况，使得路由无法正常工作。

我收集了最常见的问题和步骤来研究vRouter的路由行为。

有两种方法可以解决问题，一是查看相关配置的详细信息，二是查看控制平面和vRouter的操作状态。

对于前者来说，最有用的是contrail-api-cli，而对于后者，最有用的是 ist.py（特别是对于remote-debug而言），下面我使用这种格式进行描述。

注意：如果没有这些工具，你还可以使用curl来达到此目的。

例如，当需要以下命令时，

source /etc/kolla/kolla_toolbox/admin-openrc.sh
contrail-api-cli --host x.x.x.x ls -l virtual-network
contrail-api-cli --host x.x.x.x cat virtual-network/xxxx-xxxx-xxxx-xxxx

下述的命令将收集相同的信息。

source /etc/kolla/kolla_toolbox/admin-openrc.sh
openstack token issue
curl -H 'x-auth-token: tokenid' x.x.x.x:8082/virtual-networks
curl -H 'x-auth-token: tokenid' x.x.x.x:8082/virtual-network/xxxx-xxxx-xxxx-xxxx

同样，ist.py也可以用各种curl命令替换。以下是最常见情况中的curl命令。（cli更令人难忘）

ist.py ctr route show
   curl control-ip:8083/Snh_ShowRouteReq
ist.py ctr route nei
   curl control-ip:8083/Snh_BgpNeighborReq
ist.py vr intf
   curl vrouter-ip:8085/Snh_ItfReq
ist.py vr vrf
   curl vrouter-ip:8085/Snh_VrfListReq
ist.py vr route -v vrf-id
   curl vrouter-ip:8085/Snh_Inet4UcRouteReq?vrf_index=vrf-id

此外，ifmap信息（与vRouter的设备配置类似，例如接口、vrf、虚拟机等）对于查看配置内容也很有用。

可以通过以下的命令查看：

ist.py ctr ifmap table
   curl control-ip:8083/Snh_IFMapNodeTableListShowReq
ist.py ctr ifmap table virtual-network
   curl control-ip:8083/Snh_IFMapTableShowReq?table_name=virtual-network

ist.py ctr ifmap client
   curl control-ip:8083/Snh_IFMapPerClientLinksShowReq
ist.py ctr ifmap node
   curl control-ip:8083/Snh_IFMapLinkTableShowReq
ist.py ctr ifmap link
   curl control-ip:8083/Snh_IFMapNodeShowReq

ist.py vr ifmap
   curl vrouter-ip:8085/Snh_ShowIFMapAgentReq

注意：使用ist.py时，每个目标都有两个通用属性uve和trace。这些也可以用于进行详细的状态检查。

ist.py vr uve
 curl vrouter-ip:8085/Snh_SandeshUVETypesReq
ist.py vr uve VrouterStatsAgent
 curl vrouter-ip:8085/Snh_SandeshUVECacheReq?x=VrouterStatsAgent

ist.py ctr trace
 curl control-ip:8083/Snh_SandeshTraceBufferListRequest
ist.py ctr trace BgpTraceBuf
 curl control-ip:8083/Snh_SandeshTraceRequest?x=BgpTraceBuf
ist.py vr trace
 curl vrouter-ip:8085/Snh_SandeshTraceBufferListRequest
ist.py vr trace Flow
 curl vrouter-ip:8085/Snh_SandeshTraceRequest?x=Flow

UVE（用户可见实体）是Tungsten Fabric每个组件都会使用的一种度量标准，通常可以从analytics/uves API中看到。在每个组件的introspect中也可以直接看到它。

• https://tungsten.io/operational-state-in-the-opencontrail-system-uve-user-visible-entities-through-analytics-api/

Trace是每个组件的跟踪日志，存储在每个进程的内存中。通过使用此选项，可以转储该trace的内存。

x. 一些VM-to-VM的报文无法到达其它节点

要对此进行排查，首先需要搞清楚这是控制平面问题还是数据平面问题。对于控制平面问题，以下命令将是最有用的。

#ist.py ctr route show
#ist.py vr intf
#ist.py vr vrf
 ist.py vr route -v (vrf id)

如果路由看起来是好的，则可以先利用tcpdump查看报文是否到达了目标vrouter。

#tcpdump -i any -nn udp port 6635 or udp port 4789 or proto gre or icmp # for physical NIC
#tcpdump -i any -nn icmp # for tap device

当报文到达目标vRouter后，请检查

#flow -l

以查看它是否被flow动作所丢弃。

• 例如，动作: D(Policy), D(SG)表示已被网络策略（network-policy）或安全组（security-group）丢弃。要进一步查看flow动作，以下命令将有所帮助。

#ist.py vr intf -f text
#ist.py vr acl

注意：要查看报文丢弃的原因，dropstats命令可能包含更多信息。

#watch -n 1 'dropstats | grep -v -w 0'
#watch -n 1 'vif --get 0 --get-drop-stats'
#watch -n 1 'vif --get n --get-drop-stats' (n is vif id)
#ping -i 0.2 overlay-ip # this can be used to see specific dropstats counter is incrementing because of that packets

x. 无法从外部节点访问VM

使用以下命令

#flow -l

以查看此报文的flow动作。

如果动作是D(SG)，则它是被安全组（security-group）丢弃，因此需要进行更改以允许外部访问（openstack ingress规则的默认设置是仅允许VM-to-VM的访问）。

x. kubernetes service / ingress无法启动，带有浮动IP的SNAT无法正常工作

由于这些是由svc-monitor设置的，因此可以首先检查

#tail -f /var/log/contrail/contrail-svc-monitor.log

以查看是否能看到一些错误。

• 一种情况是日志中有“No vRouter is availale”，所以这些服务无法被启动。由于某种原因，从vRouter到analytics-api的NodeStatus导致了“非功能性”（Non-Functional），因此需要从vRouter端进行调查。

如果svc-monitor正常运行，则需要调查负载均衡器对象的行为。

当使用服务时，它将添加ecmp路由以到达应用程序，因此这些命令可用于调查控制平面（VM-to-VM路由步骤相同）。

#ist.py ctr route show
#ist.py vr route -v (vrf-id)

使用ingress或SNAT时，它将在vRouter容器的linux命名空间内启动haproxy进程。要调查详细信息，你可以尝试使用这些命令，以查看那些名称。

#docker exec -it vrouter-agent bash
  #ip netns
  #ip netns exec vrouter-xxx ip -o a
  #ip netns exec vrouter-xxx ip route
  #ip netns exec vrouter-xxx iptables -L -n -v -t nat
#tail -f /var/log/messages # haproxy log is logged

由于ingress service和SNAT也使用vRouter路由，因此这些命令还有助于查看这些service的前缀是否已导出到vRouter的路由表。

#ist.py ctr route show
#ist.py vr vrf
#ist.py vr route -v (vrf-id)

x. 服务链无法正常工作

服务链的使用将更改vRouter路由表，因此首先可以使用以下命令查看路由实例是否已成功创建，以及ServiceChain路由是否已正确导入。

#ist.py ctr route summary
#ist.py ctr route show
#ist.py ctr route show -p ServiceChain
#ist.py ctr sc

如果控制平面运行良好，则需要以与VM-to-VM流量相同的方式调查数据平面行为（安全组也可以阻止服务链流量，因此也请从外部流量检查服务链的情况）。

#tcpdump -i any -nn udp port 6635 or udp port 4789 or proto gre or icmp
#ist.py vr intf
#ist.py vr vrf
#ist.py vr route -v (vrf-id)
#flow -l

x. 分布式SNAT不能很好地工作

该功能由vRouter上的ACL实现，因此要研究此功能，以下的命令很有用。

#ist.py vr intf -f text

如果icmp正常运行，而tcp / udp无法正常运行，请检查端口列表。

x. cni返回Poll VM-CFG 404错误

在kubernetes部署中，cni有时会返回此错误，并且不会将IP分配给pod。（这在诸如以kubectl描述pod的各个地方都可以看到）

networkPlugin cni failed to set up pod "coredns-5644d7b6d9-p8fkk_kube-system" network: Failed in Poll VM-CFG. Error : Failed in PollVM. Error : Failed HTTP Get operation. Return code 404

此消息是通用错误的描述，会由多种原因引起。

在内部创建pod时，cni尝试从vrouter-agent接收其IP，后者又利用XMPP从control进程中接收该IP。

• 基于virtual-machine-interface信息，该信息由kube-manager从kube-apiserver信息创建。

因此，要解决此问题，需要完成几个步骤。

controller节点上的contrail-status

• config-api, control需要处于“活动”状态

contrail-kube-manager节点上的contrail-status处于“活动”状态

• 此进程将从kube-apiserver检索信息，并在config-api上创建pod /负载均衡器等

vrouter节点上的contrail-status

• vrouter-agent需要处于“活动”状态

如果使用独立的kubernetes yaml，则在vrouter注册和vrouter-agent重新启动之间的竞争条件方面存在已知限制。重新启动control可能会解决此问题。

#docker restart control_control_1

如果一切都很好，

这几项需要进一步调查……

• 根本原因可能是xmpp问题、underlay问题、/etc/hosts问题等等

x. 磁盘已满

如果磁盘大小为50GB，则安装后一周左右可能就会占满。发生这种情况时，需要删除analytics数据，并需要重新启动analytics数据库。

为避免将来出现此问题，可以使用此knob。

x. analytics cassandra状态检测到关闭

如果在contrail-status中看到此错误，则表明analytics cassandra运行不正常。

== Contrail database ==
nodemgr: initializing (Cassandra state detected DOWN.)

如果设置了JVM_EXTRA_OPTS: "-Xms128m -Xmx1g"，则最有可能的原因是Java的OutOfMemory错误，因此可以将其更新为类似。

JVM_EXTRA_OPTS: "-Xms128m -Xmx2g"

在/etc/contrail/common.env中，并可以重新启动analytics数据库。

Tungsten Fabric入门宝典系列文章——

1.首次启动和运行指南
2.TF组件的七种“武器”
3.编排器集成
4.关于安装的那些事（上）
5.关于安装的那些事（下）
6.主流监控系统工具的集成
7.开始第二天的工作

Tungsten Fabric 架构解析系列文章——
第一篇：TF主要特点和用例
第二篇：TF怎么运作
第三篇：详解vRouter体系结构
第四篇：TF的服务链
第五篇：vRouter的部署选项
第六篇：TF如何收集、分析、部署？
第七篇：TF如何编排
第八篇：TF支持API一览
第九篇：TF如何连接到物理网络？
第十篇：TF基于应用程序的安全策略