筆記：雲計算中的基礎網路知識

雲計算中的基礎網路知識

雲計算中網路總體架構和所涉物理裝置的作用

網路是各種網路裝置組成，虛擬化中的網路除了傳統的能看的到的物理網路除外，還包括執行在伺服器內部看不到的網路

虛擬化中的網路架構

排查掉網路安全裝置，絕大部分網路架構是這樣的：

物理伺服器 ->連線二層交換機（作為接入交換機使用） ->連線三層交換機（可作為匯聚/核心交換機） ->到達路由器（忽略防火牆安防，路由器就是整個資料中心的出口） ->可以網際網路訪問

物理伺服器內部，上面的虛擬機器進行網路通訊一般有兩種方式：

虛擬機器網絡卡直接連在物理伺服器上

虛擬機器先把虛擬網絡卡連在虛擬交換機上，再經虛擬交換機做流量的轉發，有3種使用場景

多臺虛擬機器網絡卡連在同一臺虛擬交換機

每臺虛擬機器網絡卡連獨立一臺虛擬交換機

虛擬機器有多個網絡卡，可以連在不同的虛擬交換機上

在虛擬化網路流量中，分為兩種

東西向流量：指的是資料中心內部，虛擬機器之間的各種通訊流量

南北向流量：指的是資料中心內部和外部進行互動時產生的通訊流量

網路的基礎概念

廣播和單播：廣播顧名思義，就是同一個廣播域通訊全靠吼，大家都能收到和回話；如果找到正確的通訊物件，這個物件回覆，就能建立單向的通訊，就是單播

其中廣播會有兩種常見問題：1、安全隱患，舉例A虛擬機發出一個廣播準備給B，但是C也收到了，而C和B都給A返回了聯絡，導致A就無法判斷哪個是真實的（基本arp攻擊）；2、效率問題，都是廣播流，而業務流會被堵塞。而vlan技術的出現解決了這些問題

VLAN：給每個資料包頭加一個vlanID，如果vlanID相同說明在同個廣播域；如果vlanID不同說明不在一個廣播域，不同的廣播域間發的包互相是看不到的。

Vlan把交換機介面分為兩類：

一類為Access，一般配在連線電腦的介面上，只允許一個vlan透過（會有一個預設vlan，假設是vlan2，當有一個數據包過來沒有帶任何vlanID，透過access埠會被加一個vlan2標籤；如果過來的是一個帶有vlan2標籤，它會將標籤過濾並進行轉發；如果過來的一個標籤但不是vlan2，會被直接丟棄）

一類為Trunk，一般配在兩個交換機互聯的介面上，允許多個vlan透過（舉例允許vlan3/4/5透過，如果過來一個沒有帶標籤的包，它會給包打一個預設標籤進行轉發；如果是包是帶有3/4/5任意一個，它不做任何修改直接進行轉發；如果帶有標籤而且不是3/4/5，會直接丟棄）

不同廠商的交換機命令也許略有不同，但是一個交換機上vlan數量最多是4096個，其中0vlan和4095vlan不能用，實際可用為4094個vlan；虛擬機器在使用vlan後，就不能再使用廣播通訊，那麼虛擬機器之間通訊怎麼辦呢，就有了路由概念

路由：舉例要給A/B/C三個網段的虛擬機器通訊，路由作用就是能告訴你有三個門分別通往A/B/C找到A/B/C網段

預設閘道器（閘道器/預設路由）：和路由有一樣的作用，都是跨廣播域通訊，但是方式不一樣，舉例它只有一個門，都要透過這一個門後再去找新路徑和A/B/C進行通訊

虛擬化中物理網路介紹

物理網路中包含的裝置有：路由器、二層交換機、三層交換機、網絡卡，下面陳述它們在虛擬化中的作用

路由器：一般放在雲資料中心的出口，北向連結外網，南向連結資料中心，如果資料中心想要訪問外網的話，就要透過路由器進行轉發，借用上面的路由舉例，在這裡就是告訴你哪個網段需要走哪個門哪個裝置

三層交換機：把虛機的業務流量、管理流量、儲存流量、管理&業務流量預設閘道器全部設定在三層交換機上，相當於每個流量房間開了一道門，把不同作用的流量在三層交換機上做了打通

三層交換機埠數量有限，一般可以先將流量到二層交換機上做匯聚接入，再接到三層交換機上

二層交換機：不同的流量在邏輯上用vlan區分開，起到安全作用，但在物理上還是使用一個通道，而通道頻寬是有限的，為了保證每個流量都有足夠頻寬，這時候就採用二層交換機承載不同作用的流量。

如果將管理交換機和業務交換機分開，稱作帶外管理；如果將管理交換機和業務交換機合併，稱作帶內管理

網絡卡：

邏輯形態上把流量分為管理流量、業務流量、儲存流量，假如是一個大的物理鏈路承載的這些，就相當於分成了三份獨立的流量鏈路；

在物理形態上，分為繫結和不繫結：不繫結就是，一個網絡卡只走一個流量，或一個網絡卡走多個不同流量；繫結就是，將兩個網絡卡合併做聚合鏈路，提高了頻寬也做了高可用（bond技術，前面有單獨發過一篇，可以翻翻查閱）

虛擬網路和FusionCompute網路相關知識的介紹

虛擬化中虛擬網路介紹

虛擬機器如何藉助物理網路向外通訊，一般有三種方式：橋接、NAT、透過虛擬交換機，虛擬交換機和物理網路進行連線，其實這三種方式都屬於橋接，但是彼此間又有不同

橋接和NAT：橋接和NAT都是將虛擬機器和物理機的網絡卡連線起來，在向外通訊時，必須要把自己的地址寫進去作為源地址，而兩種方式源地址傳輸有不同：橋接方式的虛擬機發出的包源地址不做任何修改；而NAT方式源地址到了網橋要做修改，因為NAT全稱就是“Network Address Translation”，意思是“網路地址轉換”，所以就把源地址換掉了

虛擬交換機（Open vSwitch為例）：它有4個特點，安全/可監控/能做到Qos/實現自動化。

引入虛擬交換機後的優點：

方便管理員對整套雲環境的網路狀態資料流量進行監控

引入快取機制可以加速資料包的轉發效率和定址（相比橋接單純是循mac地址學習來進行轉發）

很流行的SDR（軟體定義網路）的本質是轉控分離（控制面和資料面進行分離），只有虛擬交換機能做到這個

比橋接支援的協議更多，橋接只支援vxlan，虛擬交換機支援gre隧道、vxlan、ipsan等；適用場景也多，適用於xen/kvm/vmware等

虛擬交換機分為標準虛擬交換機 和分散式虛擬交換機

標準虛擬交換機是隻執行在一臺宿主機上

分散式虛擬交換機是分佈在多臺宿主機上，多臺宿主機共享一個虛擬交換機，只需要對一個虛擬交換機做配置修改，其他所以宿主機上也能得到更新

分散式虛擬交換機是支援虛擬機器熱遷移的必備條件，而華為虛擬化解決方案中只支援分散式虛擬交換機，其他廠商比如vmware虛擬化解決方案中，即支援標準也支援分散式

華為虛擬化產品的網路特性

FusionCompute網路架構（後面簡稱FC）

埠組：

每個虛擬機器網絡卡連線到虛擬交換機上的那個埠是一個虛擬埠，具有相同屬性的埠就會形成一個埠組，這樣做是為了方便管理員管理，不需要對每一個埠做配置，如果屬性一致，只需要對埠組配置修改即可

上行鏈路：

虛擬交換機連結物理網絡卡的埠就叫做上行鏈路，上行鏈路是FC中，虛擬網路和物理網路的一個分界線，向上是虛擬網路，向下是物理網路

每個虛擬交換機在CAN主機上都有一條上行鏈路，如果在CAN主機上有多個虛擬交換機，就需要多條上行鏈路

上行鏈路可以對應單獨的網口，也可以是多個網口繫結後的一條鏈路

有了埠和上行鏈路，虛擬機器之間就可以流量通訊了

流量走向

不同虛擬機器之間3種情況的流量走向：

相同CNA主機不同埠組，埠組其中一個屬性是vlanID，而vlan之間是不能通訊的，需要出到三層交換機上，流量再回來，是需要跨物理網路的

相同CNA主機相同埠組，虛擬交換機相當於是二層交換機，都屬於一個vlan，所以這個交換不需要走物理網路，直接在虛擬交換機內部就完成了通訊

相同埠組不同CNA主機，因為是不同的CAN主機，是一定是要跨物理網路

安全組概念

顧名思義就是為了安全，安全組內有很多規則，用來匹配流量，每條規則就是一條警戒線。只有資料包匹配上規則才能放行或者拒絕掉；如果沒匹配上就會禁止