通过内部的 VLAN ID 1 和 5 进行隔离。OVS 实现 VLAN 隔离的核心在于流规则(Flow Rules),这些规则定义了数据包如何在不同 VLAN 之间进行转发和处理。Open vSwitch(OVS)并不依赖于传统的 VLAN 接口(如 eth1.100 或 eth1.101)来划分 VLAN,而是通过在虚拟网桥(如 br-int 和 br-eth1)上设置流规则来实现 VLAN 间的隔离。
我们关注计算节点上的 br-eth1 网桥。这里有四条流规则,其中两条与 VLAN 相关。第一条规则是:当数据包从 in_port=2(即 phy-br-eth1)进来,VLAN ID 为 1 时,将其 VLAN ID 修改为 100,然后正常转发(NORMAL)。第二条规则类似,但将 VLAN ID 5 修改为 101。这里的 VLAN ID 转换是必要的,因为 br-int 中的 VLAN ID 与物理网络中的 VLAN ID 不一致。Neutron 作为 OpenStack 的网络服务组件,负责管理和配置这些转换规则。
接下来,我们转向 br-int 网桥,这里的关键流规则是:
1. 当数据包从 inport=1(即 int-br-eth1)进来,VLAN ID 为 100 时,将其 VLAN ID 修改为 1。
2. 如果 VLAN ID 为 101,则将其修改为 5。
这两个规则确保了从物理网络到达计算节点的数据包根据其 VLAN ID 被正确地分配到对应的内部 VLAN ID,从而实现了虚拟机(cirros-vm2 和 cirros-vm3)之间的隔离。
在这个场景中,cirros-vm2 属于 VLAN 100,而 cirros-vm3 属于 VLAN 101。cirros-vm1 位于控制节点,不在讨论范围内。当 cirros-vm2(VLAN 100)与 cirros-vm3(VLAN 101)尝试通信时,由于它们被不同的 VLAN ID 分隔,OVS 流规则会阻止它们直接通信,除非有适当的规则允许 VLAN 间通信。
OVS 的这种工作方式提供了高度灵活和可扩展的网络隔离机制。它不仅支持 VLAN,还可以与其他网络技术如 VXLAN、GRE 配合使用,提供多租户环境下的网络隔离。Neutron 通过 OVS 插件可以轻松地创建、修改和删除流规则,以适应不断变化的网络需求。
总结来说,Open vSwitch 通过流规则实现了 VLAN 隔离,而不是依靠传统的 VLAN 接口。这些规则定义了数据包如何在不同的 VLAN 之间进行转换和转发,从而实现不同 VLAN 虚拟机之间的逻辑隔离。在网络环境中,这种灵活性和控制力对于云计算和数据中心网络管理至关重要。
评论0