Aktivieren von IP Fabric Forwarding und Fabric Source NAT
Cloud-natives Contrail Networking unterstützt IP-Fabric-Weiterleitung und Fabric-Quell-NAT. Die IP-Fabric-Weiterleitung bietet Clustern, die im Overlay-Netzwerk ausgeführt werden, einen Pfad zum Zugriff auf das Underlay-Netzwerk über das externe virtuelle Netzwerk. Fabric-Quell-NAT ermöglicht es einem Gateway-Gerät in einer Fabric, die Quell-IP-Adresse des Datenverkehrs des Data Plane-Knotens, der die Fabric verlässt, in eine öffentliche IP-Adresse zu übersetzen.
Sie können IP-Fabric-Weiterleitung und Fabric-Source-NAT in Cloud-Netzwerkumgebungen verwenden, um Den Zugriff auf das Underlay-Netzwerk zu ermöglichen. Der Underlay-Netzwerkzugriff durch IP-Fabric-Weiterleitung und Fabric-Quell-NAT ermöglicht es Ressourcen innerhalb von Pods, direkt auf das Internet zuzugreifen oder externe Artefakte aus dem Underlay-Netzwerk zu ziehen. Dieser Underlay-Netzwerkzugriff wird bereitgestellt, ohne eine erhebliche Netzwerkkomplexität wie andere Underlay-Netzwerkoptionen wie komplexe BGP-Topologien oder Firewall-Setups zu erhöhen.
Überblick: IP-Fabric-Weiterleitung
Ab Version 22.1 unterstützt Cloud-natives Contrail Networking die IP-Fabric-Weiterleitung.
Sie aktivieren die IP-Fabric-Weiterleitung in virtuellen Netzwerken, die Zugriff auf das externe Netzwerk haben. Diese virtuellen Netzwerke erfordern einen direkten Zugriff auf das Underlay-Netzwerk.
Ein virtuelles Netzwerk, das Zugriff auf das externe Netzwerk hat, heißt standardmäßig das default-externalnetwork . Sie können einen benutzerdefinierten externen Netzwerknamen erstellen, wenn Sie dies wählen. Wenn Sie die IP-Fabric-Weiterleitung aktivieren, ist der Pfad zum Underlay-Netzwerk direkt für Cluster verfügbar, die im Overlay-Netzwerk über dieses externe virtuelle Netzwerk ausgeführt werden. Diese direkte Verbindung zwischen dem Overlay-Netzwerk und dem Underlay-Netzwerk gibt Hosts im Overlay-Netzwerk Zugriff auf das Underlay-Netzwerk. Da die IP-Fabric-Weiterleitung es einem virtuellen Netzwerk ermöglicht, sowohl das Overlay-Netzwerk als auch das Underlay-Netzwerk zu umfassen, werden Datenpakete, die die beiden Netzwerke passieren, nicht gekapselt und entkapselt. Die Paketverarbeitung ist daher effizienter.
Die IP-Fabric-Weiterleitung ist auch für Load Balancing-Netzwerkdatenverkehr äußerst nützlich. Ein LoadBalancer-Service erkennt automatisch jedes externe virtuelle Netzwerk, das die IP-Fabric-Weiterleitung ermöglicht hat, wenn der externe Netzwerkdatenverkehr lastausgleicht.
Übersicht: Fabric-Quell-NAT
Ab Version 22.1 unterstützt Cloud-native Contrail Networking Fabric-Quell-NAT. Fabric-Quell-NAT bietet eine Methode für den Datenverkehr von einem Data Plane-Knoten in einer Kubernetes-Umgebung, um direkt auf das Internet zuzugreifen, ohne eine separate NAT-Firewall zu durchlaufen. Sie können auch Quell-NAT verwenden, um bei Bedarf externe Artefakte in Pods zu ziehen.
Der Datenverkehr von Datenebenenknoten, die für das Internet bestimmt sind, muss ein Gateway-Gerät passieren. Dieses Gateway-Gerät ist ein Mitgliedsgerät in der Fabric, das auch über mindestens eine Schnittstelle verfügt, die mit dem öffentlichen Netzwerk verbunden ist. Wenn die Fabric-Quell-NAT aktiviert ist, übersetzt das Gateway-Gerät die Quell-IP-Adresse des Ursprungspakets vom Data Plane-Knoten in seine eigene öffentliche IP-Adresse. Diese Adressübersetzung ermöglicht den Datenverkehr vom Data Plane-Knoten auf das Internet.
Die IP-Adressübersetzung, die die Quell-NAT ausführt, aktualisiert auch den Quell-Port im Paket. Mehrere Data Plane-Knoten können das öffentliche Netzwerk über eine einzige öffentliche Gateway-IP-Adresse über Fabric-Quell-NAT erreichen.
Sie benötigen Fabric-Quell-NAT, um die IP-Adressen des Datenverkehrs, der die Fabric in das Internet verlässt, zu übersetzen. Sie verwenden NAT nicht, um eingehenden Internetverkehr mit dieser Funktion zu übersetzen.
Beispiel: Konfigurieren von Fabric-Quell-NAT
Fabric-Quell-NAT ist in benutzerfreundlichen virtuellen Netzwerken standardmäßig deaktiviert.
Sie können Fabric-Quell-NAT in jedem einzelnen virtuellen Netzwerk manuell aktivieren, indem Sie die fabricSNAT: Variable im VirtualNetwork Objekt auf true festlegen. Sie können Fabric-Quell-NAT deaktivieren, indem Sie diesen Wert auf false setzen.
Das folgende Beispiel zeigt ein virtuelles Netzwerkobjekt, das die Fabric-Quell-NAT aktiviert hat. In diesem Beispiel wird davon ausgegangen, dass ein Subnetzobjekt mit dem Namen virtual-network-subnet1 in einer separaten YAML-Datei konfiguriert ist.
apiVersion: core.contrail.juniper.net/v2
kind: VirtualNetwork
metadata:
name: virtualnetwork1
namespace: namespace1
labels:
vn: virtualnetwork1
annotations:
core.juniper.net/display-name: virtualnetwork1
core.juniper.net/description:
Virtual Network 1 is a collection of end points that can communicate with each other.
spec:
v4SubnetReference:
apiVersion: core.contrail.juniper.net/v2
kind: Subnet
namespace: namespace1
name: virtual-network-subnet1
fabricSNAT: true
Sie können Ihre Umgebung auch so konfigurieren, dass Fabric-Quell-NAT in jedem vom Benutzer erstellten virtuellen Netzwerk aktiviert wird, wenn das virtuelle Netzwerk erstellt wird. Wenn Sie Fabric-Quell-NAT in einem vom Benutzer erstellten virtuellen Netzwerk bei der Erstellung aktivieren möchten, legen Sie die enableSNAT Variable in der Ressource bei der ApiServer ersten Bereitstellung Ihrer Umgebung auf true fest.
Sie müssen diese Konfiguration während der ersten Bereitstellung in der ApiServer Ressource festlegen. Sie können diese Einstellung in Ihrer Umgebung nicht ändern, nachdem Sie die Bereitstellungs-YAML-Datei angewendet haben. Wenn Sie die Fabric-Quell-NAT-Einstellung für ein einzelnes virtuelles Netzwerk nach der ersten Bereitstellung ändern möchten, müssen Sie die Konfiguration für dieses virtuelle Netzwerk manuell ändern.
Nachfolgend ist eine repräsentative YAML-Dateikonfiguration:
kind: ApiServer
metadata:
...
spec:
enableSNAT: true
common:
containers:
...
Fabric-Quell-NAT wird bei der Erstellung in jedem vom Benutzer erstellten virtuellen Netzwerk aktiviert, wenn die enableSNAT Variable wahr ist. Sie können Fabric-Quell-NAT deaktivieren, wenn vom Benutzer erstellte virtuelle Netzwerke erstellt werden, indem Sie die enableSNAT Variable auf false setzen. Fabric-Quell-NAT ist standardmäßig deaktiviert.
Fabric-Quell-NAT wählt automatisch die IP-Adressen für die Übersetzung aus. In den meisten Cloud-nativen Contrail Networking-Anwendungsfällen müssen Sie keine Adresspools für Fabric-Quell-NAT konfigurieren. Adresspools sind jedoch über die portTranslationPools: Hierarchie innerhalb der GlobalVrouterConfig Ressource konfigurierbar.
Beispiel: Konfigurieren Sie externe Netzwerke mit IP-Fabric-Weiterleitung
IP-Fabric-Weiterleitung ist standardmäßig deaktiviert.
Sie können die IP-Fabric-Weiterleitung in jedem virtuellen Netzwerk aktivieren, indem Sie die fabricForwarding: Variable auf true setzen.
Das folgende Beispiel zeigt, wie Sie die IP-Fabric-Weiterleitung in einem externen virtuellen Netzwerk aktivieren, das über ein IPv4-Gateway auf das Internet zutrifft:
apiVersion: core.contrail.juniper.net/v2
kind: VirtualNetwork
metadata:
namespace: contrail
name: external-vn
labels:
service.contrail.juniper.net/externalNetworkSelector: default-external
annotations:
core.juniper.net/display-name: Sample Virtual Network
core.juniper.net/description:
VirtualNetwork is a collection of end points (interface or ip(s) or MAC(s))
that can communicate with each other by default. It is a collection of
subnets whose default gateways are connected by an implicit router.
spec:
v4SubnetReference:
apiVersion: core.contrail.juniper.net/v2
kind: Subnet
namespace: contrail
name: external-subnet
fabricForwarding: true
Sie können auch die IP-Fabric-Weiterleitung aktivieren, während Sie das externe virtuelle Netzwerk erstellen, das einen Pfad zum Internet hat.
Sie konfigurieren den Pfad eines virtuellen Netzwerks zu einem externen Netzwerk über die Kubemanager Ressource in Umgebungen mit CN2.
Sie ermöglichen den externen Zugriff für ein virtuelles Netzwerk, indem Sie das virtuelle Netzwerk mit einer IPv4- oder IPv6-Gateway-IP-Subnetzadresse verbinden. Sie aktivieren die IP-Fabric-Weiterleitung für den externen Datenverkehr im virtuellen Netzwerk mit derselben Kubemanager Ressource.
Sie müssen die externen Netzwerk-Subnetzen und diese IP-Fabric-Weiterleitungseinstellung während der ersten Cloud-nativen Contrail-Bereitstellung konfigurieren. Sie können diese Parameter nicht konfigurieren, nachdem die anfängliche Bereitstellungs-YAML-Datei angewendet wurde.
Das folgende Beispiel zeigt eine YAML-Datei, die zur Konfiguration einer Kubemanager Ressource verwendet wird, die ein virtuelles Netzwerk mit externem Netzwerkzugriff erstellt. Das virtuelle Netzwerk in diesem Beispiel läuft mit IP-Fabric-Weiterleitung. Sie müssen diese YAML-Datei während der ersten Bereitstellung festlegen.
kind: Kubemanager
metadata:
...
spec:
externalNetworkV4Subnet: # Fill V4 Subnet of an external network if any
externalNetworkV6Subnet: # Fill V6 Subnet of an external network if any
ipFabricFowardingExtSvc: true
common:
containers:
...
Sie geben das IPv4-Subnetz oder das IPv6-Subnetz des externen Netzwerks mit der externalNetworkV4Subnet Oder externalNetworkV6Subnet: Variable in dieser YAML-Datei an. Die Subnetzadresse ist eine IP-Adresse der öffentlichen Seite, die vom Internet über das Gateway-Gerät erreichbar ist. Wenn Sie eine Kubemanager-Ressource mithilfe dieser YAML-Datei konfigurieren, wird ein neues virtuelles Netzwerk für das angegebene externe Netzwerk erstellt. Dieses virtuelle Netzwerk ist im Standard-Namespace für CN2 benannt default-externalnetwork .
Die IP-Fabric-Weiterleitung wird im virtuellen Netzwerk mit externem Netzwerkzugriff ausgeführt, wenn die ipFabricFowardingExtSvc Variable wahr ist. Sie können die IP-Fabric-Weiterleitung für das externe Subnetz deaktivieren, indem Sie die ipFabricFowardingExtSvc Variable auf false setzen.