Duplicación basada en flujos

RESUMEN La versión 23.2 de Contrail Networking (CN2) nativa de la nube de Juniper® en un entorno orquestado por Kubernetes admite la duplicación de tráfico de red basada en flujos.

Visión general

La función de duplicación basada en flujos es una extensión de la función actual de duplicación basada en puertos. CN2 puede reflejar selectivamente el tráfico de red sobre la base del flujo cuando vRouter está en el modo de flujo. En el modo de flujo, CN2 tiene capacidad de duplicación basada en puertos, así como capacidad de duplicación basada en flujo.

Figura 1: Topología de duplicación basada en flujos

Con esta función, el usuario puede reflejar cualquier flujo especificado por la política de seguridad y enviarlo al analizador de red que monitorea y analiza los datos. El analizador de red se especifica con el recurso de destinación espejo. También es compatible con el recurso de duplicación de Latinación presente fuera del clúster.

En CN2, la función de duplicación basada en flujo,

Usa una funcionalidad de duplicación existente de Contrail Networking vRouter para reenviar el tráfico reflejado. Hay dos casos relacionados con el reenvío de tráfico:
- Si juniperHeader está habilitado, el analizador o la dirección IP de destino y el puerto UDP se utilizan para reenviar el tráfico reflejado.
- Si juniperHeader no está habilitado, se debe tener acceso al analizador o a la dirección mac de destino desde el VRF de las VMIs de origen. Para buscar la dirección mac de destino, la búsqueda L2 se realiza en el VRF de vmIs de origen.
Ajusta la configuración del servidor de CN2 para que se ajuste a los requisitos de configuración previstos del agente vRouter.
Usa las políticas de seguridad de contrail para seleccionar el flujo de tráfico de red que se va a duplicar.
Se aplica al nivel de la política o de la regla. En caso de nivel de regla, el flujo de tráfico de red que coincide con la primera regla se elimina de dos reglas.

Configurar la duplicación basada en flujos

Para configurar la duplicación basada en flujos, debe crear una política de seguridad, configurar la política de seguridad con MirrorDestination un recurso que seleccione el pod del analizador y crear un pod de analizador con la misma MirrorDestinationetiqueta que .

Nota:

Si está utilizando una red personalizada para configurar la duplicación basada en flujo, entonces es necesario crear un enrutador de red virtual (VNR) entre la red personalizada y la red de estructura ip.

Cree una política de seguridad para seleccionar el flujo de tráfico.

Utilice el siguiente fragmento de código para crear una política de seguridad que refleje el tráfico de red en un puerto de analizador:

Si define SecondaryAction en el nivel de regla, la duplicación solo se aplica al nivel de la regla. En este caso, los flujos que coincidan con las reglas con el destino espejo se duplican.

Configure MirrorDestination en la política de seguridad. Potencialmente MirrorDestination resuelve varios podes de destino que coincidan con la etiqueta (interna o externa). Solo un pod de los pods coincidentes se selecciona y se utiliza para obtener una instancia de enrutamiento, dirección ip, dirección mac y analizador.

En el ejemplo siguiente, resuelve MirrorDestination una etiqueta interna, core.juniper.net/analyzer-pod-selector.

En el ejemplo siguiente, se ha utilizado un analizador externo. El externalAnalyzer se establece como 'true' y analyzerIP se establece como '10.87.88.88', que es una dirección IP externa.

Nota:

Se introdujo un MirrorDestination recurso como parte de la duplicación basada en puertos en la versión 22.2 de Juniper® Cloud-Native Contrail Networking (CN2)

Cree un pod de analizador con label y establezca el valor de etiqueta igual que se especificó en mirrorDestination. El controlador mirrorDestinación usa esta etiqueta para calcular la instancia de enrutamiento, dirección mac y dirección del analizador. Si no se especifica interfaz analizador, se utiliza la interfaz predeterminada.