Tungsten Fabric架构和最新技术进展丨TF成立大会演讲实录

本文整理自瞻博网络杰出工程师Sukhdev Kapur在“TF中文社区成立暨第一次全员大会”上的演讲，增长了对于TF功能的描述，pdf点击下载。https://tungstenfabric.org.cn/assets/uploads/files/powering-edge-cloud-and-multi-cloud-with-tungsten-fabric-sukhdev-kapur.pdf 更多会议资料，请在"TF中文社区“公众号后台回复“成立大会”获取。

瞻博网络杰出工程师Sukhdev Kapur
你们好，我叫SukhdevKapur，来自Tungsten Fabric（如下简称TF）社区技术指导委员会，下面我为你们介绍一下TF的架构和技术的现状，以及最新的进展。

TF架构与部署模式

咱们能够看一下这张TF的宏观架构图，总体图描述是设备的物理链接，而右上角有虚机之间的逻辑网络，TF基本的工做原理和机制，就是你建立VM或者POD，而后（经过SDN）把它们放到这些逻辑网络里。
在这些逻辑网络中，你可以以根据本身业务须要，放置任何虚机、PODS、或者裸服务器，它们的物理位置在哪里没有关系，它们可能会在一个集群里，也可能在一个机架中，这都没有关系。
你们再看一下它下面底层的部分，TF会利用虚拟的路由器（计算节点上），来负责是这些虚拟的工做负载的转发，而左边是一个物理网络的链接，例如一个裸机的物理网络，一旦你作好了网络定义，它可能会和实际网络链接，也可能会和右边逻辑网络里头虚拟网络的虚机来进行链接
第四部分（上半部分）是CONTRAILController（SDN控制器），是作配置控制分析和CSN的。
第五部分是网关的功能，它多是一个物理网关，或者是一个虚拟的网关，当数据中心的虚机须要对外互联的时候，经过IP的组网——也就是MPLS这种协议——进出骨干网络。
全部这一切，都是经过一个ORCHESTRATOR编排器去管理，它多是OpenStack、K8s或OpenShift，经过API来调度TF来工做。

TF中Vrouter的体系架构概述

这张图说的是TF的路由vRouter的架构，左上角是vRouter的Agent，主要是控制的部分，在这里它会经过路由的学习，VRFs的定义，以及策略的定义，若是虚拟路由器要进行策略的执行，必须是由Agent去控制的：它来决定网络的流量是容许经过,仍是拒绝，若是容许的话，应该把它转发到哪一个位置。
你能够看到，vRouter有一个转发的路径，学习的路径进行封装，而后作二层或者三层的数据流量的转发。

vRouter的部署模式

这是TF虚拟路由器的四种部署模式，左上角是默认的模式，在内核的vRouter部署。
右上角呢？若是你在一个高吞吐、高流量的状态下，网络支持DPPK的话，TF能够有的DPDKvRouter的部署。
左下角实际上是一种混合部署的模式，若是你有好几个VNF这种虚拟网络的功能，能够用到SR-IOV的话，能够采用SR-IOV和内核的vRouter共存的混合模式。
第四种就是基于SmartNIC的vRouter，也就是说，这些VM能够充分地利用到全部处理器的能力。

TF与Kubernetes的集成

你们再来看一下TF和Kubernetes（如下简称K8s）的集成，首先，TF的CONTRAIL Controller会和K8s经过API进行通信，那么，某一个指定的位置，它是如何获得IP地址以及策略的呢？首先，K8s会和TF的Scheduler也就是调度管理程序进行通信，再经过调度管理程序和CNI Plugin插件进行联系，在左上角就表示vRouter是如何得到在K8s这边的策略，去进行IPAM的读取和执行的，简单一点说，K8s的管理器会和TF的CONTRAIL Controller进行通信，肯定网络的策略，而后TF的Controller会把这个策略发布到vRouter。

TF的微服务架构

TF的技术演进，一开始主要是基于虚机部署，后来开始支持容器技术，如今已经演进到了微服务（Microservices）的架构。目前咱们的TF在部署是彻底采用containers的方式进行部署，大概有27-30个左右的image。

K8s环境下的网络隔离

K8s是一个很是扁平的网络，租户和租户之间能够进行任意的沟通，工做负载之间也是这样。
基于这样的场景，咱们就经过网络策略的执行，去实现网络中租户的隔离，也就是说，只是在指定区域内的用户之间，才能够进行沟通。
那么在TF这一层，咱们把管理又向前推动了一步，即在一个租户的空间以内，咱们也能够决定哪一个位置和哪一个位置能够沟通，也就是哪一个POD和哪一个POD通信。

TF提供的统一策略管理功能

下面为你们介绍一下TF的独特的策略框架。假设咱们有一个应用，该应用有三层，分红三层，分别是Web层、应用层和数据库层。而这个应用的生命周期会有三个阶段，分别是开发的阶段，部署准备的阶段，和最后的生产阶段。
不一样的阶段可能部署在不一样的网络环境，甚至于不一样的云平台中，那么在最上面的开发阶段，不一样的层之间（层也是tie的概念），会有一些安全的访问策略（图中P1的策略也），而这个策略可能在部署准备阶段也须要（图中P2的策略）在生产阶段也须要，在不使用TF的状况下，颇有可能会出现重复的策略，而是用TF以后，咱们能够只使用一个策略
咱们所作的就是把策略的管理进行了简化，首先就是下降了复杂性，简化管理，提升了可伸缩度。一旦定义好了策略，你就能够在各类各样的环境之下，进行规模性的、可伸缩的复用，包括公有云、私有云，以及多云的环境。

给你们介绍一个实际的策略框架用例。
假设咱们有一个应用，咱们容许它的Web层和应用层进行沟通，那么不论是在开发阶段，仍是在生产阶段，咱们均可以使用这样一个定义，好比在开发阶段的Web层，也能够和生产环境下的应用层进行沟通。

可是，也许咱们并不但愿有这样的事情发生，咱们不但愿某一个开发人员可以随意修改在生产环境下的代码。这时你不用去改变策略，只须要在策略里头加上App Match Deployment的标签，它能够去规定——好比说只有在开发阶段的Web层和开发阶段的应用层才能够进行通讯。
一样地，若是你的应用是一个地理分布式的应用，你能够经过定义策略，让在地理区域A的Web层和在地理区域B的应用层之间进行通讯。
若是你不但愿这种跨层、跨区域的通讯产生，就在AppMatch Deployment的后头再加上End Site。因此说这个match，不光是它的部署，还有它的位置，你都要把它match一下。
咱们再加一层，你看咱们第二个策略的意思，就是说只要是这个站点咱们match上了，匹配上了，那么它们均可以和数据库进行访问。
这样的一种策略在管理方面很是的有用。若是你有一个很是大型的跨地理区域分布式的金融应用，它可能使用了多个网络，网络上还有数百种的应用，这个时候你只须要一个策略，就能够对整个分布式的金融应用进行管理。

一个界面，搞定多云部署

同时，TF还能够实现多云部署的自动化管理。好比说咱们在驻地这里自动建立了一个叫作多云的网关MC-GW，它会创建一个通道，和在云端的（好比说AWS上的）一样的部署，自动地进行安全的链接。
这里也要看，你在云上部署的工做负载究竟是什么种类的。有了这个工做负载，你能够在本地云的环境下进行管理，而TF可以给你一个多云的可视性。
你们能够看一下，若是你本身去进行多云管理，须要经过不少的流程来实现。而TF只须要一个单一的图形用户界面，就可以轻松地进行多云管理，你须要作的，只是作几下点击的动做。

多云环境的服务链

下面来介绍一下TF的多云服务链。你们看到最上面有两个网络在驻地，左边的是2.2.2.4，右边的是3.3.3.5，而后有一个服务的实例，假设服务实例是POD的虚拟化服务，经过TF的服务链，能够将工做负载从左边的网络传到右边。
一样地，若是要在不一样的公有云上也去部署这样的虚拟网络，你能够经过TF，从驻地到多云创建这样一个服务链。

我来总结一下，只须要一个SDN的控制器，就可以去管理链接——不论是金属裸机、K8s CNI、OpenStack，仍是左边的各类边缘的站点——而且提供很是丰富的网络功能。

TF与Akraino的集成

TF在边缘计算的环境下也作出了本身的贡献，这是另一个开源的项目，TF实现了和Akraino的集成，可以为边缘计算这样的场景提供支持，它是纯基于K8s原生基础架构的，很是适用于轻量级的，像工业自动化这种应用。基本上它部署的环境是很是小的，目标行业主要是电信运营商和企业级用户。

这是另一个Akraino和TF集成的用例，主要是打造电信云，目前美国电信运营商AT&T就作了这样的一个架构部署。这里主要是使用SR-IOV这种虚拟化，咱们所作的就是把TF做为一个单一的SDN，它的部署模式包含了以上全部类型。

这是第三个用例，它是一种叫作微云的软件堆栈，主要应用于移动的场景，例如手机游戏，工做负载是移动化的这种架构。
在这里咱们是怎么作的？首先，咱们有一个DME（分布式的匹配引擎），它知道有多少个设备或者多少个移动用户接入进来，并根据移动用户的数量，启动微云资源管理器去作信息传递；而后微云资源管理器就会匹配到相应的资源；接下来CRM会和TF的控制器进行沟通，来进行这种资源的部署；再到下面一层，经过vRouter的转发层，和TF的控制器进行联系。

TF与OpenStack的集成

熟悉OpenStack的朋友都知道，它有两种部署模式，一种是单一的插件方式，另外一种是基于ML2的部署。
TF专门有一个Networking Open Contrail，能够将TF做为一个ML2的插件去启动。这样作有什么好处呢？咱们能够同时去运行基于OVS、SR-IOV和vRouter的这工做。
你能够用OpenStack来运行OVS、SR-IOV的工做负载，而且在网络层面使用咱们的TF去进行管理。

更多了解Tungsten Fabric
TF中文社区介绍
TF主要特色和用例
TF怎么运做
详解vRouter体系结构

关注微信：TF中文社区