《虚拟化技术与应用》 课件 13-容器网络；14-深信服网络虚拟化aNET应用

容器技术之容器网络了解docker网络架构掌握docker原生网络了解docker高级网络教学目标目录docker网络概述docker原生网络docker高级网络docker网络架构dockerdaemonlibnetworkCNMsandboxendpointnetworkbridgedriverlibnetworkAPInulldriveroverlaydriverhostdriverremotedriverdriverAPIdriverAPIdriverAPIdriverAPIdriverAPICNM核心组件沙盒：一个沙盒包含了一个容器网络栈的信息。沙盒可以对容器的接口、路由和DNS设置等进行管理。沙盒的实现可以是Linuxnetworknamespace、FreeBSDJail或者类似的机制。一个沙盒可以有多个端点和多个网络。端点：一个端点可以加入一个沙盒和一个网络。端点的实现可以是vethpair、OpenvSwitch内部端口或者相似的设备。一个端点只可以属于一个网络并且只属于一个沙盒。网络：一个网络是一组可以直接互相联通的端点。网络的实现可以是Linuxbridge、VLAN等。一个网络可以包含多个端点。libnetwork内置驱动bridge驱动。此驱动为Docker的默认设置，使用这个驱动的时候，libnetwork将创建出来的Docker容器连接到Docker网桥上。host驱动。使用这种驱动的时候，libnetwork将不为Docker容器创建网络协议栈，即不会创建独立的networknamespace。overlay驱动。此驱动采用IETF标准的VXLAN方式，并且是VXLAN中被普遍认为最适合大规模的云计算虚拟化环境的SDNcontroller模式。remote驱动。这个驱动实际上并未做真正的网络服务实现，而是调用了用户自行实现的网络驱动插件，使libnetwork实现了驱动的可插件化，更好地满足了用户的多种需求。remote驱动。这个驱动实际上并未做真正的网络服务实现，而是调用了用户自行实现的网络驱动插件，使libnetwork实现了驱动的可插件化，更好地满足了用户的多种需求。CNM主要组件示例container1backendnetworkfrontendnetworknetworksandboxendpointcontainer2networksandboxendpointendpointcontainer3networksandboxendpointbridge驱动实现机制ipv4ip_forwarddockercontainereth0docker0172.17.42.1/16eth0vethdockercontainereth0vethdockercontainereth0veth目录docker网络概述docker原生网络docker高级网络docker原生网络介绍docker提供了几种原生网络，可以执行如下的命令进行查看：none网络host网络bridge网络docker原生网络介绍-none网络none网络就是什么都没有的网络，挂在这个网络下的容器除了lo，没有其他任何网卡，一些对安全性要求高并且不需要联网的应用可以使用none网络。容器创建时，可以通过--network=none指定使用none网络docker原生网络介绍-host网络连接到host网络的容器共享Dockerhost的网络栈，容器的网络配置与host完全一样，直接使用Dockerhost的网络最大的好处就是性能，如果容器对网络传输效率有较高要求，则可以选择host网络。可以通过--network=host指定使用host网络docker原生网络介绍-bridge网络Docker安装时会创建一个命名为docker0的Linuxbridge。如果不指定--network，创建的容器默认都会挂到docker0上目录docker网络概述docker原生网络docker高级网络docker原生网络介绍-user

defined网络Docker提供三种user-defined网络驱动：bridge、overlay和macvlan。overlay和macvlan用于创建跨主机的网络docker原生网络介绍-overlay为支持容器跨主机通信，Docker提供了overlaydriver，使用户可以创建基于VxLAN的overlay网络。VxLAN可将二层数据封装到UDP进行传输，VxLAN提供与VLAN相同的以太网二层服务，但是拥有更强的扩展性和灵活性。Docerkoverlay网络需要一个key-value数据库用于保存网络状态信息，包括Network、Endpoint、IP等。Consul、Etcd和ZooKeeper都是Docker支持的key-vlaue软件docker原生网络介绍-macvlan除了overlay,docker还开发了另一个支持跨主机容器网络的driver:macvlan。macvlan本身是linxukernel模块，其功能是允许同一个物理网卡配置多个MAC地址，即多个interface，每个interface可以配置自己的IP。macvlan本质上是一种网卡虚拟化技术，Docker用macvlan实现容器网络就不奇怪了。macvlan的最大优点是性能极好，相比其他实现，macvlan不需要创建Linuxbridge，而是直接通过以太interface连接到物理网络。docker原生网络介绍-weaveweave是Weaveworks开发的容器网络解决方案。weave创建的虚拟网络可以将部署在多个主机上的容器连接起来。对容器来说，weave就像一个巨大的以太网交换机，所有容器都被接入这个交换机，容器可以直接通信，无须NAT和端口映射。除此之外，weave的DNS模块使容器可以通过hostname访问。docker原生网络介绍-flannelflannel是CoreOS开发的容器网络解决方案。flannel为每个host分配一个subnet，容器从此subnet中分配IP，这些IP可以在host间路由，容器间无须NAT和portmapping就可以跨主机通信。每个subnet都是从一个更大的IP池中划分的，flannel会在每个主机上运行一个叫flanneld的agent，其职责就是从池子中分配subnet。为了在各个主机间共享信息，flannel用etcd（与consul类似的key-value分布式数据库）存放网络配置、已分配的subnet、host的IP等信息。docker原生网络介绍-calicoCalico是一个纯三层的虚拟网络方案，Calico为每个容器分配一个IP，每个host都是router，把不同host的容器连接起来。与VxLAN不同的是，Calico不对数据包做额外封装，不需要NAT和端口映射，扩展性和性能都很好。与其他容器网络方案相比，Calico还有一大优势：networkpolicy。用户可以动态定义ACL规则，控制进出容器的数据包，实现业务需求。docker网络架构docker原生网络docker高级网络总结深信服虚拟化技术掌握aNET网络虚拟化的基本概念及应用教学目标

aNET网络虚拟化aSEC安全虚拟化目录aNET概述服务器虚拟化层aSV虚拟机虚拟机虚拟机虚拟机分布式虚拟防火墙aFW分布式虚拟交换机aSwitch4层-7层网络服务NFV虚拟路由器aRouter网络虚拟化aNET所画即所得的业务逻辑呈现一站式网络连通性探测工具虚拟交换机VMVMVSVMVMVSVSVLAN10VLAN20？？没有虚拟交换机的情况下，当主机1失效之后，主机1上的虚拟机移动到主机3之后，网络就会中断。主机1主机2主机3虚拟交换机所有相同网段的虚拟机在互相访问的时候，直接通过分布式虚拟交换机走VXLAN网络进行访问。VMVM1VM2VMVMVM3VM分布式虚拟交换机serverserverserver接入交换机接入交换机虚拟交换机基于主机Vxlan隧道的分布式交换架构aSwitch分布式虚拟交换机Policy·ACL·VLAN·QoS·……Policy·ACL·VLAN·QoS·……Policy·ACL·VLAN·QoS·……VMVMVMVMPolicy·ACL·VLAN·QoS·……Policy·ACL·VLAN·QoS·……VMVMVMVMPolicy·ACL·VLAN·QoS·……Policy·ACL·VLAN·QoS·……Policy·ACL·VLAN·QoS·……Policy·ACL·VLAN·QoS·……VMVMVMPolicy·ACL·VLAN·QoS·……Policy·ACL·VLAN·QoS·……虚拟路由器VMA与VMC若不同网段互相访问时，流量会经过serverB的虚拟路由器，再回到分布式虚拟交换机到达VMC。VMVMAVMBVMVMVMCVMserverAserverBserverC接入交换机接入交换机虚拟路由器分布式虚拟交换机分布式虚拟防火墙分布式虚拟防火墙类似于一个在分布式虚拟交换机上的ACL策略。aSwitch分布式虚拟交换机分布式防火墙NICNICNICNIC分布式虚拟防火墙快速部署，架构简单，配置随虚拟机迁移无须安装任何插件，不影响平台及业务性能。可基于虚拟机，配置访问控制策略，实现安全微隔离。虚拟机迁移运行位置，安全策略自动跟随。简化网络结构，排障方便提供BYPASS与拦截日志显示功能，快速确认规则有效性。与连通性探测相结合，快速排障，缩短定位问题时间。分布式防火墙可实现面向业务虚拟机的安全策略部署所画即所得Sangfor

cloud

深信服企业级云管理平台aNET网络虚拟化aSEC安全虚拟化目录aSEC组件虚拟网络服务vAF虚拟下一代防火墙vNGAF虚拟化下一代防火墙名称性能vAF-1001vCPU/2GRAM，100M吞吐vAF-2002vCPU/4GRAM，200M吞吐vAF-4004vCPU/8GRAM，400M吞吐vAF-8008vCPU/16GRAM，800M吞吐vAF-16008vCPU/16GRAM，1600M吞吐vAD虚拟应用交付vAD虚拟化应用交付名称性能(L4/L7)vAD-1001vCPU/2GRAM，500M吞吐，不限制新建和并发vAD-2002vCPU/4GRAM，1G吞吐，不限制新建和并发vAD-4004vCPU/8GRAM，3G吞吐，不限制新建和并发vAD-8008vCPU/16GRAM，5G吞吐，不限制新建和并发aSEC虚拟机安全病