Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

基于流的镜像

总结 ® Kubernetes 编排环境中的瞻博网络云原生 Contrail 网络 (CN2) 23.2 版支持基于流的网络流量镜像。

概述

基于流的镜像功能是当前 基于端口的镜像 功能的扩展。当 vRouter 处于流模式时,CN2 可以根据流量选择性地镜像网络流量。在流模式下,CN2 具有基于端口的镜像功能以及基于流的镜像功能。

图 1:基于流的镜像拓扑 []

借助此功能,用户可以镜像安全策略指定的任何流量,并将其发送到监控和分析数据的网络分析器。网络分析器是使用 mirrorDestination resource 指定的。它还支持集群外部存在的 mirrorDestination 资源。

在 CN2 中,基于流的镜像功能

  • 使用 Contrail 网络虚拟路由器的现有镜像功能转发镜像流量。有两种与流量转发相关的情况:
    • 如果 juniperHeader 启用,则使用分析器或目标 IP 地址和 UDP 端口转发镜像流量。
    • 如果 juniperHeader 未启用,则应可从源 VMI VRF 访问分析器或目标 MAC 地址。要查找目标 MAC 地址,请在源 VMI VRF 中执行 L2 查找。
  • 调整 CN2 的配置服务器设置,使其符合 vRouter 代理的预期配置要求。
  • 使用 Contrail 安全策略选择要镜像的网络流量。
  • 适用于策略级别或规则级别。在规则级别的情况下,与第一个规则匹配的网络流量将从两个规则中移除。

配置基于流的镜像

要配置基于流的镜像,您需要创建一个安全策略,使用 MirrorDestination 选择分析器 Pod 的资源配置该安全策略,并使用标签创建一个标签为 相同的 MirrorDestination分析器 Pod。

注意:

如果您使用自定义网络来配置基于流的镜像,则需要在自定义网络和 IP 交换矩阵网络之间创建虚拟网络路由器 (VNR)。
  1. 创建安全策略以选择流量。
    使用以下代码片段创建将网络流量镜像到分析器端口的安全策略:

    如果在规则级别定义 SecondaryAction,则镜像仅适用于规则级别。在这种情况下,与规则与镜像目标匹配的流将被镜像化。

  2. 在安全策略中配置MirrorDestination。可能会MirrorDestination解析与标签匹配的多个目标 Pod(内部或外部)。仅从匹配的 Pod 中选择一个 Pod 并用于获取分析器 IP 地址、mac 地址和路由实例。

    在以下示例中,解 MirrorDestination 析内部标签 core.juniper.net/analyzer-pod-selector

    在以下示例中,使用了外部分析仪。设置为 externalAnalyzer “true”,并 analyzerIP 设置为“10.87.88.88”,这是一个外部 IP 地址。

    注意:

    在瞻博网络®云原生 Contrail 网络 (CN2) 22.2 版中,作为基于端口的镜像的一部分引入了一种 MirrorDestination 资源
  3. 创建带有标签的分析器 pod,并将标签值设置为与 中mirrorDestination指定的值相同。mirrorDestination Controller 使用此标签来计算分析器 ip 地址、mac 地址和路由实例。如果未指定分析器接口,则使用默认接口。