跳到主要内容

网络

介绍私有云虚拟机和物理机使用的网络。

基本概念

有三个基本的网络概念,按照从下往上的逻辑顺序,分别是VPC,二层网络和IP子网。

VPC

VPC(Virtual Private Cloud)指的是云平台内的一个虚拟的网络隔离区域,VPC之间网络流量隔离。VPC又分为经典网络和虚拟网络。

经典网络

经典网络也叫扁平网络或者Underlay。指的是由物理交换机,路由器以及这些物理设备内的网络配置定义的物理网络。使用经典网络的虚拟机依赖物理的网络设备实现节点之间的网络通信。同一个IP子网下的虚拟机之间的通信依赖二层交换,不同IP子网下的虚拟机之间的通信依赖三层交换。经典网络中,位于不同宿主机的虚拟机之间的二层或者三层网络交换,或者任意虚拟机之间的三层交换,都需要依赖物理网络设备。

为了统一,把经典网络定义为一个特殊的缺省VPC(Default VPC),这个VPC默认就存在,代表的是物理网络对应的网络隔离区域。

虚拟网络

虚拟网络也叫Overlay网络,是构建在物理网络上,通过隧道技术(tunnel)互联的虚拟网元组成的虚拟网络。虚拟网络内的虚拟机之间通过软件模拟的虚拟二层交换机和虚拟路由器(三层)互通。可以创建任意多的虚拟网络。虚拟网络之间流量隔离。

虚拟网络是基于开源ovn封装实现。

二层网络(wire)

在经典网络中,一个二层网络对应一个广播域。同一个二层网络中的虚拟机之间可以直接点对点通信,不依赖三层网络设备的交换(但依赖二层网络设备,这个二层设备有可能是虚拟的ovs网桥或者是物理的交换机)。物理概念上,一个二层网络通常对应一个三层交换机或路由器下的网络区域。经典网络中可以有多个二层网络。

在虚拟网络中,由于任意设备之间都可以(通过隧道)直接通信,因此可以理解为整个VPC就是一个二层网络。为了模型上的统一,虚拟网络中还是保留了二层网络的概念,但是可以认为wire和VPC是等效。一个虚拟网络VPC内会默认创建一个二层网络。

IP子网(network)

IP子网对应一个子网,也就是一段有相同子网掩码的连续IP地址段。IP子网归属于二层网络。IP子网携带了网络配置信息,例如IP地址范围,子网掩码,网关,VLAN ID,DNS等。如果一台虚拟机对接了一个IP子网,则这台虚拟机的虚拟网卡必须使用从该IP子网的网段中分配的IP地址。该虚拟网卡的配置由该IP子网的属性来确定。

经典网络中,每个IP子网可以有自己的VLAN ID。对接该IP子网的虚拟机也必须采用对应的VLAN ID。

网络的拓扑约束

经典网络中,因为虚拟机之间的通信依赖物理设备,在特定宿主机上的虚拟机可以接入哪些IP子网是受到宿主机对接的物理网络约束的,也就是一台宿主机上的虚拟机只能接入该宿主机对接的二层网络内的IP子网。

虚拟网络中不存在网络拓扑约束,即任意宿主机上任意虚拟机都可以接入任意的VPC网络。