《每天 5 分钟玩转 OpenStack》系列学习笔记:路由器及公网 IP

紧接上文记一次虚拟机无法获取内网 IP 问题的解决过程,我们来看一下路由及公网 IP。注意,这里的公网 IP 也称为浮动 IP(Floating IP)。

本文继续参考每天 5 分钟玩转 OpenStack系列。

路由器

我们这里的路由指的是由 Neutron L3 Agent 提供的软件路由。除此之外,L3 Agent 也通过 iptables 提供防火墙和公网 IP 服务。在后台用命令行也可以看到该 agent 的状态:

配置

利用 devstack 部署原始生成的一些默认网络配置比较符合平常在网上看到的资料的习惯,如可以通外网的网桥 br-ex,所以下文会在原有配置进行微小变更。

原有配置

其实,在刚部署好环境的时候,devstack 已经帮我们创建好了一个网络 public、网桥 br-ex,并且还用 iptables 做了网络 public 到网口 eth0 的 SNAT。下边我们详细看下。

网络及网桥

部署后生成的配置文件 /etc/neutron/l3_agent.ini 中的相关字段如下:

1
2
3
4
5
[ml2_type_flat]
flat_networks = default,public

[linux_bridge]
bridge_mappings = public:br-ex

也就是说,部署时会帮我们创建一个默认的 flat 类型的外部网络 public,并且该网络还映射到一个网桥 br-ex。

可从后台看到如下结果(已去掉不相关部分):

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
stack@ubuntu-controller:~$ neutron net-list -F "name" -F "subnets"
+---------+----------------------------------------------------------+
| name    | subnets                                                  |
+---------+----------------------------------------------------------+
| public  | 5454d3a5-b2dc-4d40-88f3-932e24b96a6a 2001:db8::/64       |
|         | 5c6211c4-e79f-4352-a6f9-e2e6d3584eda 172.24.4.0/24       |
+---------+----------------------------------------------------------+

stack@ubuntu-controller:~$ brctl show
bridge name	bridge id		STP enabled	interfaces
br-ex		8000.5ae6fc5e5728	no		tap2278c047-6a

stack@ubuntu-controller:~$ ip a
14: br-ex: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 5a:e6:fc:5e:57:28 brd ff:ff:ff:ff:ff:ff
    inet 172.24.4.1/24 scope global br-ex
       valid_lft forever preferred_lft forever
    inet6 fe80::9037:d0ff:fed0:6a/64 scope link 
       valid_lft forever preferred_lft forever
19: tap2278c047-6a@eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-ex state UP group default qlen 1000
    link/ether 5a:e6:fc:5e:57:28 brd ff:ff:ff:ff:ff:ff

stack@ubuntu-controller:~$ ip -d link
19: tap2278c047-6a@eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-ex state UP mode DEFAULT group default qlen 1000
    link/ether 5a:e6:fc:5e:57:28 brd ff:ff:ff:ff:ff:ff promiscuity 1 
    veth

stack@ubuntu-controller:~$ ethtool -S tap2278c047-6a
NIC statistics:
     peer_ifindex: 3

可以看到,devstack 还单独给网桥 br-ex 配了一个 IP;在该网桥挂接一个虚拟网卡 tap2278c047-6a。该虚拟网卡实际会通过 veth pair 连接到默认创建的路由器的 interface,且看下文。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
stack@ubuntu-controller:~$ neutron router-list -F "id" -F "name" -F "external_gateway_info"
neutron CLI is deprecated and will be removed in the future. Use openstack CLI instead.
+--------------------------------------+---------+---------------------------------------------------------------------------------------------------------------------------------------------------------------+
| id                                   | name    | external_gateway_info                                                                                                                                         |
+--------------------------------------+---------+---------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 63c5bd1f-a00f-403c-96cc-0345fcb51df5 | router1 | {"network_id": "16c41ef1-28fc-44ae-a711-287c3662460c", "enable_snat": true, "external_fixed_ips": [{"subnet_id": "5c6211c4-e79f-4352-a6f9-e2e6d3584eda",      |
|                                      |         | "ip_address": "172.24.4.2"}, {"subnet_id": "5454d3a5-b2dc-4d40-88f3-932e24b96a6a", "ip_address": "2001:db8::1"}]}                                             |
+--------------------------------------+---------+---------------------------------------------------------------------------------------------------------------------------------------------------------------+

stack@ubuntu-controller:~$ ip netns 
qrouter-63c5bd1f-a00f-403c-96cc-0345fcb51df5

stack@ubuntu-controller:~$ sudo ip netns exec qrouter-63c5bd1f-a00f-403c-96cc-0345fcb51df5 ip a
1: lo: ...
2: qr-40ff7919-4f@if18: ...
3: qg-2278c047-6a@if19: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether fa:16:3e:2d:ea:9f brd ff:ff:ff:ff:ff:ff
    inet 172.24.4.2/24 brd 172.24.4.255 scope global qg-2278c047-6a
       valid_lft forever preferred_lft forever
    inet6 2001:db8::1/64 scope global 
       valid_lft forever preferred_lft forever
    inet6 fe80::f816:3eff:fe2d:ea9f/64 scope link 
       valid_lft forever preferred_lft forever
4: qr-05c629dd-14@if20: ...

stack@ubuntu-controller:~$ sudo ip netns exec qrouter-63c5bd1f-a00f-403c-96cc-0345fcb51df5 ip -d link
3: qg-2278c047-6a@if19: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default qlen 1000
    link/ether fa:16:3e:2d:ea:9f brd ff:ff:ff:ff:ff:ff promiscuity 0 
    veth

stack@ubuntu-controller:~$ sudo ip netns exec qrouter-63c5bd1f-a00f-403c-96cc-0345fcb51df5 ethtool -S qg-2278c047-6a
NIC statistics:
     peer_ifindex: 19

可以看出,OpenStack 会为路由器创建一个单独的 namespace(命名为qrouter+router_id);而且在该 namespace 会创建一个虚拟网卡通过 veth pair 连接到 public 网络。

SNAT

既然部署创建的是一个可以连接到外网的网络 public,那它是如何能够连接到外网的?我们只要看一下防火墙的设置就很清楚了:

1
2
stack@ubuntu-controller:~$ sudo iptables -t nat -S
-A POSTROUTING -s 172.24.4.0/24 -o eth0 -j MASQUERADE

也就是说,public 网络到外网的通信是通过 SNAT 到 eth0 来实现的。

网络拓扑

至此,我们可以画出上边部署默认创建的一个网络拓扑(控制节点):

需要特别注意的是,public 网络虽然有 DHCP Agent,但并没有为该 Agent 创建独立的 namespace。

新的配置

因为在之前部署的时候,我们是规划 eth2 来作为 OpenStack 与外网通信的网卡的,所有在这里,我们需做一些修改,来达到该目的。

注意:下文不相关内容并没有展示出来

首先,将控制节点的 eth2 桥接到真正物理机上的网卡(eth0 和 eth2 实际在同一个子网中):

第二,为该网卡配置 IP:

1
2
stack@ubuntu-controller:~$ sudo ip a add 192.168.0.20/24 dev eth2

第三,删除并新建新的 SNAT 规则:

1
2
3
4
5
6
stack@ubuntu-controller:~$ sudo iptables -t nat -L -n --line-number
Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination         
9    MASQUERADE  all  --  172.24.4.0/24        0.0.0.0/0 
stack@ubuntu-controller:~$ sudo iptables -t nat -D POSTROUTING 9	# 删除规则
stack@ubuntu-controller:~$ sudo iptables -t nat -A POSTROUTING -s 172.24.4.0/24 -o eth2 -j MASQUERADE	# 新建新的规则

第四,清除原有路由:

1
2
3
4
5
stack@ubuntu-controller:~$ ip r
default via 192.168.0.1 dev eth0 
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.14 # 原经 eth0 路由
192.168.0.0/24 dev eth2  proto kernel  scope link  src 192.168.0.20 # 自动新建
stack@ubuntu-controller:~$ sudo ip r del 192.168.0.0/24 dev eth0 # 删除经 eth0 路由

现在最新的网络拓扑如下:

Vlan 间通信

为了让 Vlan 之间可以互相通信,我们需要为它们添加 router interface,最后添加完成后的网络拓扑如下(计算节点没有画出来):

Veth pair

我们可以在后台看下结果:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
stack@ubuntu-controller:~$ sudo ip netns exec qrouter-63c5bd1f-a00f-403c-96cc-0345fcb51df5 ip a
1: lo: ...
2: qr-40ff7919-4f@if18: ...
3: qg-2278c047-6a@if19: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether fa:16:3e:2d:ea:9f brd ff:ff:ff:ff:ff:ff
    inet 172.24.4.2/24 brd 172.24.4.255 scope global qg-2278c047-6a
    ...
4: qr-05c629dd-14@if20: ...
5: qr-5ccf29ce-33@if29: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether fa:16:3e:ec:ac:91 brd ff:ff:ff:ff:ff:ff
    inet 172.16.100.1/24 brd 172.16.100.255 scope global qr-5ccf29ce-33
    ...
6: qr-1cb11ccb-82@if30: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether fa:16:3e:88:d0:aa brd ff:ff:ff:ff:ff:ff
    inet 172.16.101.1/24 brd 172.16.101.255 scope global qr-1cb11ccb-82
    ...

stack@ubuntu-controller:~$ sudo ip netns exec qrouter-63c5bd1f-a00f-403c-96cc-0345fcb51df5 ip -d link
1: lo: ...
2: qr-40ff7919-4f@if18: ... 
3: qg-2278c047-6a@if19: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default qlen 1000
    link/ether fa:16:3e:2d:ea:9f brd ff:ff:ff:ff:ff:ff promiscuity 0 
    veth 
4: qr-05c629dd-14@if20: ...
5: qr-5ccf29ce-33@if29: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default qlen 1000
    link/ether fa:16:3e:ec:ac:91 brd ff:ff:ff:ff:ff:ff promiscuity 0 
    veth 
6: qr-1cb11ccb-82@if30: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default qlen 1000
    link/ether fa:16:3e:88:d0:aa brd ff:ff:ff:ff:ff:ff promiscuity 0 
    veth 

stack@ubuntu-controller:~$ sudo ip netns exec qrouter-63c5bd1f-a00f-403c-96cc-0345fcb51df5 ip r
default via 172.24.4.1 dev qg-2278c047-6a 
172.16.100.0/24 dev qr-5ccf29ce-33  proto kernel  scope link  src 172.16.100.1 
172.16.101.0/24 dev qr-1cb11ccb-82  proto kernel  scope link  src 172.16.101.1 
172.24.4.0/24 dev qg-2278c047-6a  proto kernel  scope link  src 172.24.4.2

从上图及后台结果可以看出一个重要的地方,就是路由器上的 interface 分别与各 Vlan 网络所在的网桥之间的通信都是 veth pair 来进行的,因为路由器被单独放在了一个 namespace 里边,这样是为了支持网络重叠。

对不同的网络,它们可能会存在相互重叠的子网,如果没有 namespace,不同子网之间的路由就可能会存在冲突。博文 Why Namespace? 举了一个很形象的例子:

因为没有 namespace 隔离,router_100_101 和 router_102_103 的路由条目都只能记录到控制节点操作系统(root namespace)的路由表中,内容如下:

Destination Gateway Genmask Flags Metric Ref Use Iface
10.10.1.0 * 255.255.255.0 U 0 0 0 tap1
10.10.2.0 * 255.255.255.0 U 0 0 0 tap2
10.10.1.0 * 255.255.255.0 U 0 0 0 tap3
10.10.2.0 * 255.255.255.0 U 0 0 0 tap4
这样的路由表是无法工作的。
注:router_100_101 和 router_102_103 是作者用于说明问题的路由器。

当路由有了 namespace,namespace 可以有自己独立的路由,这样就可以支持网络重叠了

router_100_101 的路由表内容如下:
Destination Gateway Genmask Flags Metric Ref Use Iface
10.10.1.0 * 255.255.255.0 U 0 0 0 qr-1
10.10.2.0 * 255.255.255.0 U 0 0 0 qr-2

router_102_103 的路由表内容如下:
Destination Gateway Genmask Flags Metric Ref Use Iface
10.10.1.0 * 255.255.255.0 U 0 0 0 qr-3
10.10.2.0 * 255.255.255.0 U 0 0 0 qr-4

这样的路由表是可以工作的。

另外,若路由器上的 veth 用于连接租户网络,命名格式为 qr-<port-id前11位>;若用于连接外部网络,命名格式为 qg-<port-id前11位>。

SNAT

我们还可以看一下 iptables 规则:

1
2
stack@ubuntu-controller:~$ sudo ip netns exec qrouter-63c5bd1f-a00f-403c-96cc-0345fcb51df5 iptables -t nat -S
-A neutron-l3-agent-snat -o qg-2278c047-6a -j SNAT --to-source 172.24.4.2

这表示数据包从 router 连接外部网络接口 qg-2278c047-6a 发出的时候,都会做一次 SNAT,即将包的源地址修改为 router 的接口地址 172.24.4.2,这样就能保证目的端能够将应答的包发回给 router,然后再转发回源端虚拟机。

公网IP

接下来,我们为新建的虚拟机申请并绑定一个公网 IP 172.24.4.12/24,这样它就可以跟外边的公网通信了,我们可以简单测试一下:

注:192.168.0.3 是“物理”局域网(对于 OpenStack 来说是外网)内一台独立于 OpenStack 环境的 Windows 主机的 IP

这是怎么做到的?还是要看 iptables 规则:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
stack@ubuntu-controller:~$ sudo ip netns exec qrouter-63c5bd1f-a00f-403c-96cc-0345fcb51df5 ip a
1: lo: ...
2: qr-40ff7919-4f@if18: ...
    link/ether fa:16:3e:2d:ea:9f brd ff:ff:ff:ff:ff:ff
    inet 172.24.4.2/24 brd 172.24.4.255 scope global qg-2278c047-6a
       valid_lft forever preferred_lft forever
    inet 172.24.4.12/32 brd 172.24.4.12 scope global qg-2278c047-6a
       valid_lft forever preferred_lft forever
    inet6 2001:db8::1/64 scope global 
       valid_lft forever preferred_lft forever
    inet6 fe80::f816:3eff:fe2d:ea9f/64 scope link 
       valid_lft forever preferred_lft forever
...

stack@ubuntu-controller:~$ sudo ip netns exec qrouter-63c5bd1f-a00f-403c-96cc-0345fcb51df5 iptables -t nat -S
-A neutron-l3-agent-PREROUTING -d 172.24.4.12/32 -j DNAT --to-destination 172.16.100.11
-A neutron-l3-agent-float-snat -s 172.16.100.11/32 -j SNAT --to-source 172.24.4.12

也就是,实际上,是 DNAT+SNAT 使得虚拟机可以连接到外网。

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

谢宏峰,毕业于暨南大学(2009 - 2013)、中国科学院(2013 - 2016),现就职于深信服科技,从事 OpenStack 开发。