Tungsten Fabric架構解析丨TF的服務鏈

Hi！這里是Tungsten Fabric架構解析內容的第四篇，本文將詳細介紹Tungsten Fabric的服務鏈。
Tungsten Fabric架構解析系列文章，由TF中文社區為你呈現，旨在幫助初入TF社區的朋友答疑解惑。我們將系統介紹TF有哪些特點、如何運作、如何收集/分析/部署、如何編排、如何連接到物理網絡等話題。

當網絡策略指定兩個網絡之間的流量，必須流經一個或多個網絡服務（例如防火墻、TCP代理、負載平衡器等）時，即形成服務鏈，這些網絡服務也被稱為虛擬網絡功能（VNF）。

網絡服務在虛擬機（VM）中實現，這些虛擬機在Tungsten Fabric中被標識為服務，然后包含在策略中。

Tungsten Fabric支持OpenStack和VMware vCenter環境中的服務鏈。

下面顯示了在兩個VM之間實現服務鏈的路由簡化視圖（實際的Tungsten Fabric實現中，特殊的“服務”VRF包含在服務鏈的路由中）。

當在控制器中將VM配置為服務實例（VNF），并在網絡策略中應用該服務實例時，控制器將在“Left”和“Right”端口所在的VRF中安裝路由，用于引導流量通過VNF。

當封裝路由通過VNF vRouter發布回控制器時，路由將分發給具有Red和Green VRF的其他vRouters，最終結果是一組路由指示Red和Green網絡之間的流量通過該服務實例。

當VNF啟動時，通過標簽“Left”和“Right”標識順序激活的接口。

VNF必須有一個配置，該配置可根據數據包到達的接口，正確地處理這些數據包。

服務（VNF）有三種類型：

• Layer 2 Transparent -以太網幀被發送到服務中，其目標MAC地址是原始目的地的MAC地址。這最常用于深度包檢測服務。
• Layer 3 (In Network) - 以太網幀被發送到服務中，其目的地MAC設置為服務的入口接口的MAC，終止L2連接并使用出口MAC作為發送到目的地的幀的源MAC建立新的連接。這用于防火墻，負載平衡器和TCP代理。
• Layer 3 (NAT) - 類似 In Network，除了服務將源IP地址更改為可從目的地路由的地址（網絡地址轉換）。

下面說明了各種服務鏈的場景，并分別進行簡要說明。

基本服務鏈

在第一個面板中，通過編輯Red和Green網絡之間的網絡策略來創建簡單的服務鏈，包括服務FW和DPI。這些虛擬機是先前在OpenStack或vCenter中啟動的，然后在Tungsten Fabric中配置為具有Red和Green網絡中的接口的服務實例。

保存策略并將其應用于兩個網絡后，所有附加了Red或Green VM的vRouters中的路由都將被修改，以通過服務鏈發送流量。

例如，在修改策略之前，Red網絡中的每個VRF都有一條到綠色網絡中每個VM的路由，其中包含運行VM的主機的下一跳，以及控制器指定了主機vRouter的標簽。

路由被修改為具有FW服務實例的入口VRF的下一跳，以及為FW Left接口指定的標簽。Right FW接口所在的VRF具有指向DPI Left接口的所有Green目的地的路由，并且DPI的Right VRF將包含所有Green目的地的路由以及它們運行的主機的下一跳和原始路由標簽。

反向流量的路由，也是類似的處理。

規模化的服務

當單個VM沒有處理服務鏈流量要求的能力時，可以在服務中包含多個相同類型的VM，如第二個面板所示。完成此操作后，使用ECMP在兩端服務鏈的入口接口對流量進行負載均衡，并在不同服務實例之間進行負載均衡。

可以根據需要在Tungsten Fabric中添加新的服務實例，雖然傳統的ECMP哈希算法實現通常會在目標數量發生變化時，將大多數會話移動到其他路徑，但在Tungsten Fabric中，這僅適用于新流，因為現有路徑流量是根據上一篇文章（詳解vRouters的體系結構）中描述的流表確定的。

對于必須查看流中的所有數據包的有狀態服務，此行為至關重要，否則流將被阻止，從而導致用戶會話中斷。

通過相同的服務實例，流表還被反向填充，以確保數據流中反向的流量。

互聯網草案 https://datatracker.ietf.org/doc/draft-ietf-bess-service-chaining 上包含有關具有狀態服務的擴展服務鏈的更多詳細信息。

基于策略指導

有些情況下，不同類型的流量需要傳遞到不同的服務鏈中。通過在網絡或安全策略中包含多條子策略，可以在Tungsten Fabric中實現。在圖中的示例中，端口80和8080上的流量必須通過防火墻（FW-1）和DPI，而所有其他流量僅通過防火墻（FW-2），其可能具有與防火墻FW-1不同的配置。

主-備服務鏈{#active-standby}

在某些情況下，流量通常需要通過某個特定的服務鏈，但如果檢測到該鏈存在問題，則應將流量切換為備份。備用服務鏈位于不太有利的地理位置時，可能會出現這種情況。

在Tungsten Fabric中，主-備機制配置分兩步完成。

首先，將路由策略應用于每個服務鏈的入口，為優選的活動鏈入口指定較高的本地優先級值。

其次，每個鏈上都附有一個運行狀況檢查，可以測試服務實例是否可達，或是否可以到達鏈另一側的目的地。如果運行狀況檢查失敗，則撤消到正常活動服務鏈的路由，并且流量將流經備用服務鏈。

更多Tungsten Fabric解析文章

第一篇：TF主要特點和用例
第二篇：TF怎么運作
第三篇：詳解vRouter體系結構

關注微信：TF中文社區