Tungsten Fabric架構和最新技術進展丨TF成立大會演講實錄

本文整理自瞻博網絡傑出工程師Sukhdev Kapur在「TF中文社區成立暨第一次全員大會」上的演講，增長了對於TF功能的描述，pdf點擊下載。https://tungstenfabric.org.cn/assets/uploads/files/powering-edge-cloud-and-multi-cloud-with-tungsten-fabric-sukhdev-kapur.pdf 更多會議資料，請在"TF中文社區「公衆號後臺回覆「成立大會」獲取。

瞻博網絡傑出工程師Sukhdev Kapur
你們好，我叫SukhdevKapur，來自Tungsten Fabric（如下簡稱TF）社區技術指導委員會，下面我爲你們介紹一下TF的架構和技術的現狀，以及最新的進展。

TF架構與部署模式

咱們能夠看一下這張TF的宏觀架構圖，總體圖描述是設備的物理鏈接，而右上角有虛機之間的邏輯網絡，TF基本的工做原理和機制，就是你建立VM或者POD，而後（經過SDN）把它們放到這些邏輯網絡裏。
在這些邏輯網絡中，你可以以根據本身業務須要，放置任何虛機、PODS、或者裸服務器，它們的物理位置在哪裏沒有關係，它們可能會在一個集羣裏，也可能在一個機架中，這都沒有關係。
你們再看一下它下面底層的部分，TF會利用虛擬的路由器（計算節點上），來負責是這些虛擬的工做負載的轉發，而左邊是一個物理網絡的鏈接，例如一個裸機的物理網絡，一旦你作好了網絡定義，它可能會和實際網絡鏈接，也可能會和右邊邏輯網絡裏頭虛擬網絡的虛機來進行鏈接
第四部分（上半部分）是CONTRAILController（SDN控制器），是作配置控制分析和CSN的。
第五部分是網關的功能，它多是一個物理網關，或者是一個虛擬的網關，當數據中心的虛機須要對外互聯的時候，經過IP的組網——也就是MPLS這種協議——進出骨幹網絡。
全部這一切，都是經過一個ORCHESTRATOR編排器去管理，它多是OpenStack、K8s或OpenShift，經過API來調度TF來工做。

TF中Vrouter的體系架構概述

這張圖說的是TF的路由vRouter的架構，左上角是vRouter的Agent，主要是控制的部分，在這裏它會經過路由的學習，VRFs的定義，以及策略的定義，若是虛擬路由器要進行策略的執行，必須是由Agent去控制的：它來決定網絡的流量是容許經過,仍是拒絕，若是容許的話，應該把它轉發到哪一個位置。
你能夠看到，vRouter有一個轉發的路徑，學習的路徑進行封裝，而後作二層或者三層的數據流量的轉發。

vRouter的部署模式

這是TF虛擬路由器的四種部署模式，左上角是默認的模式，在內核的vRouter部署。
右上角呢？若是你在一個高吞吐、高流量的狀態下，網絡支持DPPK的話，TF能夠有的DPDKvRouter的部署。
左下角實際上是一種混合部署的模式，若是你有好幾個VNF這種虛擬網絡的功能，能夠用到SR-IOV的話，能夠採用SR-IOV和內核的vRouter共存的混合模式。
第四種就是基於SmartNIC的vRouter，也就是說，這些VM能夠充分地利用到全部處理器的能力。

TF與Kubernetes的集成

你們再來看一下TF和Kubernetes（如下簡稱K8s）的集成，首先，TF的CONTRAIL Controller會和K8s經過API進行通信，那麼，某一個指定的位置，它是如何獲得IP地址以及策略的呢？首先，K8s會和TF的Scheduler也就是調度管理程序進行通信，再經過調度管理程序和CNI Plugin插件進行聯繫，在左上角就表示vRouter是如何得到在K8s這邊的策略，去進行IPAM的讀取和執行的，簡單一點說，K8s的管理器會和TF的CONTRAIL Controller進行通信，肯定網絡的策略，而後TF的Controller會把這個策略發佈到vRouter。

TF的微服務架構

TF的技術演進，一開始主要是基於虛機部署，後來開始支持容器技術，如今已經演進到了微服務（Microservices）的架構。目前咱們的TF在部署是徹底採用containers的方式進行部署，大概有27-30個左右的image。

K8s環境下的網絡隔離

K8s是一個很是扁平的網絡，租戶和租戶之間能夠進行任意的溝通，工做負載之間也是這樣。
基於這樣的場景，咱們就經過網絡策略的執行，去實現網絡中租戶的隔離，也就是說，只是在指定區域內的用戶之間，才能夠進行溝通。
那麼在TF這一層，咱們把管理又向前推動了一步，即在一個租戶的空間以內，咱們也能夠決定哪一個位置和哪一個位置能夠溝通，也就是哪一個POD和哪一個POD通信。

TF提供的統一策略管理功能

下面爲你們介紹一下TF的獨特的策略框架。假設咱們有一個應用，該應用有三層，分紅三層，分別是Web層、應用層和數據庫層。而這個應用的生命週期會有三個階段，分別是開發的階段，部署準備的階段，和最後的生產階段。
不一樣的階段可能部署在不一樣的網絡環境，甚至於不一樣的雲平臺中，那麼在最上面的開發階段，不一樣的層之間（層也是tie的概念），會有一些安全的訪問策略（圖中P1的策略也），而這個策略可能在部署準備階段也須要（圖中P2的策略）在生產階段也須要，在不使用TF的狀況下，頗有可能會出現重複的策略，而是用TF以後，咱們能夠只使用一個策略
咱們所作的就是把策略的管理進行了簡化，首先就是下降了複雜性，簡化管理，提升了可伸縮度。一旦定義好了策略，你就能夠在各類各樣的環境之下，進行規模性的、可伸縮的複用，包括公有云、私有云，以及多雲的環境。

給你們介紹一個實際的策略框架用例。
假設咱們有一個應用，咱們容許它的Web層和應用層進行溝通，那麼不論是在開發階段，仍是在生產階段，咱們均可以使用這樣一個定義，好比在開發階段的Web層，也能夠和生產環境下的應用層進行溝通。

可是，也許咱們並不但願有這樣的事情發生，咱們不但願某一個開發人員可以隨意修改在生產環境下的代碼。這時你不用去改變策略，只須要在策略裏頭加上App Match Deployment的標籤，它能夠去規定——好比說只有在開發階段的Web層和開發階段的應用層才能夠進行通訊。
一樣地，若是你的應用是一個地理分佈式的應用，你能夠經過定義策略，讓在地理區域A的Web層和在地理區域B的應用層之間進行通訊。
若是你不但願這種跨層、跨區域的通訊產生，就在AppMatch Deployment的後頭再加上End Site。因此說這個match，不光是它的部署，還有它的位置，你都要把它match一下。
咱們再加一層，你看咱們第二個策略的意思，就是說只要是這個站點咱們match上了，匹配上了，那麼它們均可以和數據庫進行訪問。
這樣的一種策略在管理方面很是的有用。若是你有一個很是大型的跨地理區域分佈式的金融應用，它可能使用了多個網絡，網絡上還有數百種的應用，這個時候你只須要一個策略，就能夠對整個分佈式的金融應用進行管理。

一個界面，搞定多雲部署

同時，TF還能夠實現多雲部署的自動化管理。好比說咱們在駐地這裏自動建立了一個叫作多雲的網關MC-GW，它會創建一個通道，和在雲端的（好比說AWS上的）一樣的部署，自動地進行安全的鏈接。
這裏也要看，你在雲上部署的工做負載究竟是什麼種類的。有了這個工做負載，你能夠在本地雲的環境下進行管理，而TF可以給你一個多雲的可視性。
你們能夠看一下，若是你本身去進行多雲管理，須要經過不少的流程來實現。而TF只須要一個單一的圖形用戶界面，就可以輕鬆地進行多雲管理，你須要作的，只是作幾下點擊的動做。

多雲環境的服務鏈

下面來介紹一下TF的多雲服務鏈。你們看到最上面有兩個網絡在駐地，左邊的是2.2.2.4，右邊的是3.3.3.5，而後有一個服務的實例，假設服務實例是POD的虛擬化服務，經過TF的服務鏈，能夠將工做負載從左邊的網絡傳到右邊。
一樣地，若是要在不一樣的公有云上也去部署這樣的虛擬網絡，你能夠經過TF，從駐地到多雲創建這樣一個服務鏈。

我來總結一下，只須要一個SDN的控制器，就可以去管理鏈接——不論是金屬裸機、K8s CNI、OpenStack，仍是左邊的各類邊緣的站點——而且提供很是豐富的網絡功能。

TF與Akraino的集成

TF在邊緣計算的環境下也作出了本身的貢獻，這是另一個開源的項目，TF實現了和Akraino的集成，可以爲邊緣計算這樣的場景提供支持，它是純基於K8s原生基礎架構的，很是適用於輕量級的，像工業自動化這種應用。基本上它部署的環境是很是小的，目標行業主要是電信運營商和企業級用戶。

這是另一個Akraino和TF集成的用例，主要是打造電信雲，目前美國電信運營商AT&T就作了這樣的一個架構部署。這裏主要是使用SR-IOV這種虛擬化，咱們所作的就是把TF做爲一個單一的SDN，它的部署模式包含了以上全部類型。

這是第三個用例，它是一種叫作微雲的軟件堆棧，主要應用於移動的場景，例如手機遊戲，工做負載是移動化的這種架構。
在這裏咱們是怎麼作的？首先，咱們有一個DME（分佈式的匹配引擎），它知道有多少個設備或者多少個移動用戶接入進來，並根據移動用戶的數量，啓動微雲資源管理器去作信息傳遞；而後微雲資源管理器就會匹配到相應的資源；接下來CRM會和TF的控制器進行溝通，來進行這種資源的部署；再到下面一層，經過vRouter的轉發層，和TF的控制器進行聯繫。

TF與OpenStack的集成

熟悉OpenStack的朋友都知道，它有兩種部署模式，一種是單一的插件方式，另外一種是基於ML2的部署。
TF專門有一個Networking Open Contrail，能夠將TF做爲一個ML2的插件去啓動。這樣作有什麼好處呢？咱們能夠同時去運行基於OVS、SR-IOV和vRouter的這工做。
你能夠用OpenStack來運行OVS、SR-IOV的工做負載，而且在網絡層面使用咱們的TF去進行管理。

更多瞭解Tungsten Fabric
TF中文社區介紹
TF主要特色和用例
TF怎麼運做
詳解vRouter體系結構

關注微信：TF中文社區