Openstack
DVR packet flow(FIP:North-south)
cyuu
2018. 12. 1. 14:10
이번 문서는 packet flow는 kolla 7.0 으로 배포한 구성에서 DVR을 활성화 하였을 경우 Floating ip를 추가 하여 packet이 어떻게 흘러가는지 확인 한 것이다.
1. "North-south" traffic(vm → internet)
배포 서버 혹은 openstack client 가 설치된 노드에서 openstack 명령어를 이용 하여 아래와 같이
"test"이름의 인스턴스가 "demo-net" 이름으로 172.12.10.4 아이피가 할당 되어 있으며,floating ip 로 192.168.10.106 가 설정 되어 있는 것을 확인 한다.
[root@cy2-deploy ~]# openstack server show test
+-------------------------------------+----------------------------------------------------------+
| Field | Value |
+-------------------------------------+----------------------------------------------------------+
| OS-DCF:diskConfig | AUTO |
| OS-EXT-AZ:availability_zone | nova |
| OS-EXT-SRV-ATTR:host | cy2-compute02 |
| OS-EXT-SRV-ATTR:hypervisor_hostname | cy2-compute02 |
| OS-EXT-SRV-ATTR:instance_name | instance-00000003 |
| OS-EXT-STS:power_state | Running |
| OS-EXT-STS:task_state | None |
| OS-EXT-STS:vm_state | active |
| OS-SRV-USG:launched_at | 2018-11-25T08:30:49.000000 |
| OS-SRV-USG:terminated_at | None |
| accessIPv4 | |
| accessIPv6 | |
| addresses | selfservice2=172.12.10.4, 192.168.10.106 |
| config_drive | |
| created | 2018-11-25T08:30:10Z |
| flavor | m1.medium (3) |
| hostId | 525330417c94af77f6cddd5850764a01445dfeb6d10620f35910d25f |
| id | aac0a6c0-4235-4543-b80d-bf7dcd349f77 |
| image | |
| key_name | mykey |
| name | test |
| progress | 0 |
| project_id | cceb34e1bc91413cb0137011e8734425 |
| properties | |
| security_groups | name='default' |
| status | ACTIVE |
| updated | 2018-11-26T03:54:51Z |
| user_id | e5b3cb7ad1f94ad5950bac42bf0aacf3 |
| volumes_attached | id='a8a24f42-ee15-4c33-9500-db289d307bc2' |
+-------------------------------------+----------------------------------------------------------+
기본적으로 같은 네트워크가 아닌 외부 인터넷 네트워크에 대하여 Default gateway인 172.12.10.1 로 보내며, 해당 gateway의 mac address인
fa:16:3e:78:d6:60 으로 포워딩 하게 설정 되어 있다.
[centos@test ~]$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc pfifo_fast state UP qlen 1000
link/ether fa:16:3e:ae:b3:e7 brd ff:ff:ff:ff:ff:ff
inet 172.12.10.4/24 brd 172.12.10.255 scope global dynamic eth0
valid_lft 80160sec preferred_lft 80160sec
inet6 fe80::f816:3eff:feae:b3e7/64 scope link
valid_lft forever preferred_lft forever
[centos@test ~]$ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 172.12.10.1 0.0.0.0 UG 0 0 0 eth0
172.12.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
[centos@test ~]$ arp -a
gateway (172.12.10.1) at fa:16:3e:78:d6:60 [ether] on eth0
openstack por list 를 이용 하여 172.12.10.4 아이피를 사용 하는 포트의 정보를 확인 하면 MAC 주소,해당 포트의 아이디 등을 알 수 있다.
이중 8aa5e3b4-6c0b-4d77-8c45-146cacf576ec 라는 포트 아이디에서 앞의 10개의 문자를 기반으로 인터페이스 및 브릿지 등의 해당 포트의 관련된 아이디로 사용 된다.
즉 8aa5e3b4-6c0b-4d77-8c45-146cacf576ec 아이디에서 8aa5e3b4-6c 으로 실제 연결된 가상 인터페이스의 이름 등을 확인 할 수 있다.
[root@cy2-deploy ~]# openstack port list -f yaml | grep 172.12.10.4 -A 2
- {Fixed IP Addresses: 'ip_address=''172.12.10.4'', subnet_id=''39f6cf8d-0dc7-45c1-b63b-8cd83623b68d''',
ID: 8aa5e3b4-6c0b-4d77-8c45-146cacf576ec, MAC Address: 'fa:16:3e:ae:b3:e7', Name: '',
Status: ACTIVE}
논리적으로 아래 그림과 같이 인스턴스에 해당 포트의 아이디의 아이피가 연결 된것으로 볼 수 있다.
해당 인스턴스가 실행 되고 있는 compute node에서 "brctl show"를 이용 하여 앞에서 확인한 포트의 아이디 8aa5e3b4-6c 가 있는 브릿지를 확인 해본다.
인스턴스는 tap8aa5e3b4-6c 이름의 가상 인터페이스와 연결 되어 있으며, 해당 tap가상 인터페이스는 qbr8aa5e3b4-6c 이름의 linuxbridge로 연결 되어 있다.
해당 브릿지에 있는 iptables security group을 거친뒤 linuxbridge에는 qvb8aa5e3b4-6c 인터페이스로 패킷으로 보내거나 받는다.
[root@cy2-compute02 ~]# brctl show
bridge name bridge id STP enabled interfaces
docker0 8000.0242b0a568b3 no
qbr8aa5e3b4-6c 8000.fa596f2d2f32 no qvb8aa5e3b4-6c
tap8aa5e3b4-6c
compute node의 iptables정책에서 8aa5e3b4-6c 아이디 중 앞의4자리인 8aa5으로 검색하면 아래와 같이 security group의 정책이 iptables의 정책으로 설정 되어 있는 것을 확인 할 수 있다.
[root@cy2-compute02 ~]# iptables -S | grep 8aa5
-N neutron-openvswi-i8aa5e3b4-6
-N neutron-openvswi-o8aa5e3b4-6
-N neutron-openvswi-s8aa5e3b4-6
-A neutron-openvswi-FORWARD -m physdev --physdev-out tap8aa5e3b4-6c --physdev-is-bridged -m comment --comment "Direct traffic from the VM interface to the security group chain." -j neutron-openvswi-sg-chain
-A neutron-openvswi-FORWARD -m physdev --physdev-in tap8aa5e3b4-6c --physdev-is-bridged -m comment --comment "Direct traffic from the VM interface to the security group chain." -j neutron-openvswi-sg-chain
-A neutron-openvswi-INPUT -m physdev --physdev-in tap8aa5e3b4-6c --physdev-is-bridged -m comment --comment "Direct incoming traffic from VM to the security group chain." -j neutron-openvswi-o8aa5e3b4-6
-A neutron-openvswi-i8aa5e3b4-6 -m state --state RELATED,ESTABLISHED -m comment --comment "Direct packets associated with a known session to the RETURN chain." -j RETURN
-A neutron-openvswi-i8aa5e3b4-6 -d 172.12.10.4/32 -p udp -m udp --sport 67 --dport 68 -j RETURN
-A neutron-openvswi-i8aa5e3b4-6 -d 255.255.255.255/32 -p udp -m udp --sport 67 --dport 68 -j RETURN
-A neutron-openvswi-i8aa5e3b4-6 -p icmp -j RETURN
-A neutron-openvswi-i8aa5e3b4-6 -m set --match-set NIPv415ca6cb4-09b4-418e-aee4- src -j RETURN
-A neutron-openvswi-i8aa5e3b4-6 -p tcp -m tcp -m multiport --dports 1:65535 -j RETURN
-A neutron-openvswi-i8aa5e3b4-6 -m state --state INVALID -m comment --comment "Drop packets that appear related to an existing connection (e.g. TCP ACK/FIN) but do not have an entry in conntrack." -j DROP
-A neutron-openvswi-i8aa5e3b4-6 -m comment --comment "Send unmatched traffic to the fallback chain." -j neutron-openvswi-sg-fallback
-A neutron-openvswi-o8aa5e3b4-6 -s 0.0.0.0/32 -d 255.255.255.255/32 -p udp -m udp --sport 68 --dport 67 -m comment --comment "Allow DHCP client traffic." -j RETURN
-A neutron-openvswi-o8aa5e3b4-6 -j neutron-openvswi-s8aa5e3b4-6
-A neutron-openvswi-o8aa5e3b4-6 -p udp -m udp --sport 68 --dport 67 -m comment --comment "Allow DHCP client traffic." -j RETURN
-A neutron-openvswi-o8aa5e3b4-6 -p udp -m udp --sport 67 --dport 68 -m comment --comment "Prevent DHCP Spoofing by VM." -j DROP
-A neutron-openvswi-o8aa5e3b4-6 -m state --state RELATED,ESTABLISHED -m comment --comment "Direct packets associated with a known session to the RETURN chain." -j RETURN
-A neutron-openvswi-o8aa5e3b4-6 -j RETURN
-A neutron-openvswi-o8aa5e3b4-6 -m state --state INVALID -m comment --comment "Drop packets that appear related to an existing connection (e.g. TCP ACK/FIN) but do not have an entry in conntrack." -j DROP
-A neutron-openvswi-o8aa5e3b4-6 -m comment --comment "Send unmatched traffic to the fallback chain." -j neutron-openvswi-sg-fallback
-A neutron-openvswi-s8aa5e3b4-6 -s 172.12.10.4/32 -m mac --mac-source FA:16:3E:AE:B3:E7 -m comment --comment "Allow traffic from defined IP/MAC pairs." -j RETURN
-A neutron-openvswi-s8aa5e3b4-6 -m comment --comment "Drop traffic without an IP/MAC allow rule." -j DROP
-A neutron-openvswi-sg-chain -m physdev --physdev-out tap8aa5e3b4-6c --physdev-is-bridged -m comment --comment "Jump to the VM specific chain." -j neutron-openvswi-i8aa5e3b4-6
-A neutron-openvswi-sg-chain -m physdev --physdev-in tap8aa5e3b4-6c --physdev-is-bridged -m comment --comment "Jump to the VM specific chain." -j neutron-openvswi-o8aa5e3b4-6
[root@cy2-compute02 ~]#
위 linux bridge 과정을 추가한 구성도를 보면 아래와 같은 구성인 것을 확인 할 수 있다.
ovs-vsctl show 명령어를 통하여 openvswitch 를 통하여 관리 되는 브릿지 들의 정보를 확인 한다.
이중 qvb8aa5e3b4-6c 와 연결되어 있는 br-int를 확인 해봐야 한다. br-int에는 qvo8aa5e3b4-6c 이름의 인터페이스가 qvb와 연결 되어 있다.
[root@cy2-compute02 ~]# docker exec -uroot -it neutron_openvswitch_agent ovs-vsctl show
27dd7152-b796-4d59-b1a7-afc5ee8d9889
Manager "ptcp:6640:127.0.0.1"
is_connected: true
Bridge br-tun
Controller "tcp:127.0.0.1:6633"
is_connected: true
fail_mode: secure
Port patch-int
Interface patch-int
type: patch
options: {peer=patch-tun}
Port br-tun
Interface br-tun
type: internal
Port "vxlan-0a0a140d"
Interface "vxlan-0a0a140d"
type: vxlan
options: {df_default="true", in_key=flow, local_ip="10.10.20.22", out_key=flow, remote_ip="10.10.20.13"}
Port "vxlan-0a0a140b"
Interface "vxlan-0a0a140b"
type: vxlan
options: {df_default="true", in_key=flow, local_ip="10.10.20.22", out_key=flow, remote_ip="10.10.20.11"}
Port "vxlan-0a0a140c"
Interface "vxlan-0a0a140c"
type: vxlan
options: {df_default="true", in_key=flow, local_ip="10.10.20.22", out_key=flow, remote_ip="10.10.20.12"}
Bridge br-int
Controller "tcp:127.0.0.1:6633"
is_connected: true
fail_mode: secure
Port patch-tun
Interface patch-tun
type: patch
options: {peer=patch-int}
Port "qr-56718ce4-c6"
tag: 1
Interface "qr-56718ce4-c6"
type: internal
Port "fg-38f32d91-3d"
tag: 2
Interface "fg-38f32d91-3d"
type: internal
Port br-int
Interface br-int
type: internal
Port "qvo8aa5e3b4-6c"
tag: 1
Interface "qvo8aa5e3b4-6c"
Port int-br-ex
Interface int-br-ex
type: patch
options: {peer=phy-br-ex}
Bridge br-ex
Controller "tcp:127.0.0.1:6633"
is_connected: true
fail_mode: secure
Port br-ex
Interface br-ex
type: internal
Port phy-br-ex
Interface phy-br-ex
type: patch
options: {peer=int-br-ex}
Port "eth4"
Interface "eth4"
ovs-appctl 를 사용하여 mac address table을 확인 하기 위해서는 해당 openvswitch의 pid나, ctl파일을 지정 해야 한다.
kolla로 배포 할 경우 이름 특정 번호로 생성 되기 때문에 ls 를 사용 하여 파일 이름을 확인 한다.
[root@cy-compute01 ~]# docker exec -it openvswitch_vswitchd ls -a /var/run/openvswitch/ovs-vswitchd.*.ctl
/var/run/openvswitch/ovs-vswitchd.14.ctl
이제 ovs-appctl 명령어에 fdb/show 옵션을 추가(FDB→forward data base) 하고 위에서 확인한 ctl파일을 지정 하여 br-int의 mac address table을 확인 하여 본다.
일반적인 L2 스위치의 FDB와 동일한 형태로 vlan 과 포워딩될 포트의 이름 aging time이 표현 된다.
앞에서 확인한 Default gateway(172.12.10.1) 의 mac address가 fa:16:3e:78:d6:60 라는 것을 확인 했었다. 해당 테이블에서 fa:16:3e:78:d6:60 주소는 vlan 1으로 설정 4번 포트로 포워딩 되도록 설정 되어 있다.
[root@cy-compute01 ~]# docker exec -it openvswitch_vswitchd ovs-appctl -t /var/run/openvswitch/ovs-vswitchd.14.ctl fdb/show br-int
port VLAN MAC Age
1 2 a0:c5:89:0e:a6:c8 297
1 2 52:54:00:0d:10:e8 264
1 2 00:14:5e:0a:80:66 240
1 2 00:0c:29:93:61:b3 187
1 2 7e:a1:17:1c:0d:ca 168
1 2 c4:85:08:cf:12:8c 166
1 2 00:1a:4a:16:01:ae 141
1 2 40:9c:28:5b:2a:80 126
1 2 28:d2:44:a0:a2:9b 122
...
4 1 fa:16:3e:78:d6:60 0
포워딩 될 포트를 알았으니, 해당 포트가 어떤 인터페이스인지 확인 해본다. ovs-ofctl show 명령어는 해당 브릿지의 포트의 정보를 확인 할 수 있는 명령어다.
4번포트에는 qr-56718ce4-c6 이름의 인터페이스로 되어 있으며 172.12.10.1 은 해당 이름의 포트로 포워딩 된다.
[root@cy2-compute02 ~]# docker exec -it openvswitch_vswitchd ovs-ofctl show br-int
OFPT_FEATURES_REPLY (xid=0x2): dpid:0000de935f730140
n_tables:254, n_buffers:0
capabilities: FLOW_STATS TABLE_STATS PORT_STATS QUEUE_STATS ARP_MATCH_IP
actions: output enqueue set_vlan_vid set_vlan_pcp strip_vlan mod_dl_src mod_dl_dst mod_nw_src mod_nw_dst mod_nw_tos mod_tp_src mod_tp_dst
1(int-br-ex): addr:fa:08:89:2f:91:b9
config: 0
state: 0
speed: 0 Mbps now, 0 Mbps max
2(patch-tun): addr:c6:3b:47:ae:1a:54
config: 0
state: 0
speed: 0 Mbps now, 0 Mbps max
4(qr-56718ce4-c6): addr:00:00:00:00:00:00
config: PORT_DOWN
state: LINK_DOWN
speed: 0 Mbps now, 0 Mbps max
6(fg-38f32d91-3d): addr:00:00:00:00:00:00
config: PORT_DOWN
state: LINK_DOWN
speed: 0 Mbps now, 0 Mbps max
8(qvo8aa5e3b4-6c): addr:ce:a3:0f:17:54:f8
config: 0
state: 0
current: 10GB-FD COPPER
speed: 10000 Mbps now, 0 Mbps max
LOCAL(br-int): addr:de:93:5f:73:01:40
config: PORT_DOWN
state: LINK_DOWN
speed: 0 Mbps now, 0 Mbps max
OFPT_GET_CONFIG_REPLY (xid=0x4): frags=normal miss_send_len=0
qr-56718ce4-c6 인터페이스는 이름에서 유추 할 수 있는 것 처럼 라우터 네임스페이스 연결 되는 가상인터페이스이다.
해당 노드의 namespace를 확인하면 qrouter-65710e96-0467-4281-9ada-63d3bdd4cd5e 라우터 네임스페이스를 확인 할 수 있다.
[root@cy2-compute02 ~]# ip netns
fip-eddc07d8-7544-4f3a-b9f4-27f005fb114f
qrouter-d3218b9c-73bb-4788-87e4-5828625fe586
해당 네임스페이스의 인터페이스를 확인해보자.
qr-56718ce4-c6 인터페이스가 해당 네임스페이스에 있는 것을 볼 수 있다. qr-56718ce4-c6 인터페이스는 172.12.10.0/24 대역의 게이트웨이인 172.12.10.1 이 할당 되어 있다.
vm은 해당 gateway 가 있는 네임스페이스 까지 패킷이 포워딩 된다.
[root@cy2-compute02 ~]# ip netns exec qrouter-d3218b9c-73bb-4788-87e4-5828625fe586 ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: rfp-d3218b9c-7: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP qlen 1000
link/ether 96:80:29:54:59:f6 brd ff:ff:ff:ff:ff:ff link-netnsid 0
inet 169.254.106.114/31 scope global rfp-d3218b9c-7
valid_lft forever preferred_lft forever
inet6 fe80::9480:29ff:fe54:59f6/64 scope link
valid_lft forever preferred_lft forever
15: qr-56718ce4-c6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc noqueue state UNKNOWN qlen 1000
link/ether fa:16:3e:78:d6:60 brd ff:ff:ff:ff:ff:ff
inet 172.12.10.1/24 brd 172.12.10.255 scope global qr-56718ce4-c6
valid_lft forever preferred_lft forever
inet6 fe80::f816:3eff:fe78:d660/64 scope link
valid_lft forever preferred_lft forever
qrouter 의 namespace까지의 구성을 보면 아래와 같은 그림으로 구성 된것을 확인 한다.
qrouter namespace에서는 fip 사용 유무에 따라서 s/dnat 를 수행 한다. 현 과정은 instance에서 외부 인터넷으로 나가기 때문에 내부 아이피172.12.10.4 아이피가 fip 192.168.10.106으로 snat 되야 한다. qrouter namespace 에서 nat 테이블에 neutron-l3-agent-float-snat 체인에서 출발지 아이피 172.12.10.4 아이피가 192.168.10.106 으로 snat되는 부분을 iptables에서 확인 할 수 있다. (-A neutron-l3-agent-float-snat -s 172.12.10.4/32 -j SNAT --to-source 192.168.10.106)
[root@cy2-compute02 ~]# ip netns exec qrouter-d3218b9c-73bb-4788-87e4-5828625fe586 iptables -S -t nat
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-N neutron-l3-agent-OUTPUT
-N neutron-l3-agent-POSTROUTING
-N neutron-l3-agent-PREROUTING
-N neutron-l3-agent-float-snat
-N neutron-l3-agent-snat
-N neutron-postrouting-bottom
-A PREROUTING -j neutron-l3-agent-PREROUTING
-A OUTPUT -j neutron-l3-agent-OUTPUT
-A POSTROUTING -j neutron-l3-agent-POSTROUTING
-A POSTROUTING -j neutron-postrouting-bottom
-A neutron-l3-agent-POSTROUTING ! -i rfp-d3218b9c-7 ! -o rfp-d3218b9c-7 -m conntrack ! --ctstate DNAT -j ACCEPT
-A neutron-l3-agent-PREROUTING -d 192.168.10.106/32 -i rfp-d3218b9c-7 -j DNAT --to-destination 172.12.10.4
-A neutron-l3-agent-PREROUTING -d 169.254.169.254/32 -i qr-+ -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 9697
-A neutron-l3-agent-float-snat -s 172.12.10.4/32 -j SNAT --to-source 192.168.10.106
-A neutron-l3-agent-snat -j neutron-l3-agent-float-snat
-A neutron-postrouting-bottom -m comment --comment "Perform source NAT on outgoing traffic." -j neutron-l3-agent-snat
해당 nat 과정을 거친 패킷은 외부로 어떻게 나갈까? 단순하게 qrouter namespace에서 route명령어로 확인 하면 어떤 인터페이스로 가야 할지 모른다.
[root@cy2-compute02 ~]# ip netns exec qrouter-d3218b9c-73bb-4788-87e4-5828625fe586 route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
169.254.106.114 0.0.0.0 255.255.255.254 U 0 0 0 rfp-d3218b9c-7
172.12.10.0 0.0.0.0 255.255.255.0 U 0 0 0 qr-56718ce4-c6
ip 명령어로 라우팅 테이블의 rule 을 확인 하면 기본적으로 있는 main,local,default외에 추가적인 rule을 볼 수 있다.
[root@cy2-compute02 ~]# ip netns exec qrouter-d3218b9c-73bb-4788-87e4-5828625fe586 ip rule ls
0: from all lookup local
32766: from all lookup main
32767: from all lookup default
57481: from 172.12.10.4 lookup 16
2886470145: from 172.12.10.1/24 lookup 2886470145
main,local,default 에서 처리 되지 못한 패킷이 16 이라는 라우팅 테이블에서 default 라우팅 되어 있는것을 볼 수 있다.(숫자가 main,default,local 보다 숫자가 높기 때문에)
즉, 16 라우팅 테이블에서 아래와 같이 169.254.106.115 아이피를 목적으로 rfp-d3218b9c-7 인터페이스를 통하여 snat 되어 패킷이 간다는 것을 알 수 있다.
[root@cy2-compute02 ~]# ip netns exec qrouter-d3218b9c-73bb-4788-87e4-5828625fe586 ip route ls table 16
default via 169.254.106.115 dev rfp-d3218b9c-7
다시 qrouter namspace에서 rfp-d3218b9c-7 인터페이스를 확인 하면 169.254.106.114 로 할당 되어 있다.
[root@cy2-compute02 ~]# ip netns exec qrouter-d3218b9c-73bb-4788-87e4-5828625fe586 ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: rfp-d3218b9c-7: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP qlen 1000
link/ether 96:80:29:54:59:f6 brd ff:ff:ff:ff:ff:ff link-netnsid 0
inet 169.254.106.114/31 scope global rfp-d3218b9c-7
valid_lft forever preferred_lft forever
inet6 fe80::9480:29ff:fe54:59f6/64 scope link
valid_lft forever preferred_lft forever
15: qr-56718ce4-c6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1450 qdisc noqueue state UNKNOWN qlen 1000
link/ether fa:16:3e:78:d6:60 brd ff:ff:ff:ff:ff:ff
inet 172.12.10.1/24 brd 172.12.10.255 scope global qr-56718ce4-c6
valid_lft forever preferred_lft forever
inet6 fe80::f816:3eff:fe78:d660/64 scope link
valid_lft forever preferred_lft forever
rfp-d3218b9c-7 인터페이스는 fip-eddc07d8-75 namespace에 fpr-d3218b9c-7 인터페이스와 peer to peer로 연결 되어 있어 해당 qrouter에서 처리된 패킷이 fip 으로 포워딩 된다.
또한 같은 namespace안에 있는 fg-38f32d91-3d 는 fip와 같은 대역을 같은 아이피로 floating ip의 gateway역할을 한다. (외부->내부)
[root@cy2-compute02 ~]# ip netns
fip-eddc07d8-7544-4f3a-b9f4-27f005fb114f
qrouter-d3218b9c-73bb-4788-87e4-5828625fe586
[root@cy2-compute02 ~]# ip netns exec fip-eddc07d8-7544-4f3a-b9f4-27f005fb114f ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: fpr-d3218b9c-7: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP qlen 1000
link/ether f2:d4:ad:59:11:7d brd ff:ff:ff:ff:ff:ff link-netnsid 0
inet 169.254.106.115/31 scope global fpr-d3218b9c-7
valid_lft forever preferred_lft forever
inet6 fe80::f0d4:adff:fe59:117d/64 scope link
valid_lft forever preferred_lft forever
16: fg-38f32d91-3d: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN qlen 1000
link/ether fa:16:3e:30:c9:5b brd ff:ff:ff:ff:ff:ff
inet 192.168.10.103/16 brd 192.168.255.255 scope global fg-38f32d91-3d
valid_lft forever preferred_lft forever
inet6 fe80::f816:3eff:fe30:c95b/64 scope link
valid_lft forever preferred_lft forever
[root@cy2-compute02 ~]#
fip namespace 도 동일하게 route table 중 가장 마지막 table에서 fip의 실제 gateway인 192.168.0.1.아이피를 목적으로 fg인터페이스로 연결 보내도록 설정 되어 있어서
인스턴스에서 보낸 패킷이 fg패킷을 통하여 포워딩 된다.
[root@cy2-compute02 ~]# ip netns exec fip-eddc07d8-7544-4f3a-b9f4-27f005fb114f ip rule
0: from all lookup local
32766: from all lookup main
32767: from all lookup default
2852022899: from all iif fpr-d3218b9c-7 lookup 2852022899
[root@cy2-compute02 ~]# ip netns exec fip-eddc07d8-7544-4f3a-b9f4-27f005fb114f ip route ls table 2852022899
default via 192.168.0.1 dev fg-38f32d91-3d
fg-38f32d91-3d 인터페이스는 다시 br-int 브릿지로 연결 된다. 아래와 같이 fg-38f32d91-3d 이름으로 연결 되어 있는것을 확인 할 수 있다
[root@cy2-compute02 ~]# docker exec -uroot -it neutron_openvswitch_agent ovs-vsctl show
...
Bridge br-int
Controller "tcp:127.0.0.1:6633"
is_connected: true
fail_mode: secure
Port patch-tun
Interface patch-tun
type: patch
options: {peer=patch-int}
Port "qr-56718ce4-c6"
tag: 1
Interface "qr-56718ce4-c6"
type: internal
Port "fg-38f32d91-3d"
tag: 2
Interface "fg-38f32d91-3d"
type: internal
Port br-int
Interface br-int
type: internal
Port "qvo8aa5e3b4-6c"
tag: 1
Interface "qvo8aa5e3b4-6c"
Port int-br-ex
Interface int-br-ex
type: patch
options: {peer=phy-br-ex}
...
지금까지 따라온 구조를 보면 아래와 같이 인스턴스에서 qbr 리눅스 브릿지를 통하여 security group 을 거쳤으며, 그뒤 br-int라는 openVswitch 브릿지를 통하여 qrouter namspace로 들어 온뒤
snat되어 fip namespace로 전달 되고, 다시 br-int까지 내려오는 구조라는 것을 확인 하였다.
이제 br-int에서 외부 gateway인 192.168.0.1이 어떻게 나가는지 확인 해야 한다.
arp -a 를 통하여 192.168.0.1의 mac주소를 90:9f:33:65:47:02 라는 것을 확인 한다.
[root@cy2-deploy ~]# arp -a | grep 192.168.0.1
gateway (192.168.0.1) at 90:9f:33:65:47:02 [ether] on eth1
br-int의 mac address table 에서 해당 mac이 1번 포트로 포워딩 되는 것을 확인 할 수 있으며,
1번 포트에는 int-br-ex 라는 인터페이스가 연결 되어 있는 것을 확인 할 수 있다.
[root@cy2-compute02 ~]# docker exec -it openvswitch_vswitchd ovs-appctl -t /var/run/openvswitch/ovs-vswitchd.14.ctl fdb/show br-int | grep 90:9f:33:65:47:02
port VLAN MAC Age
1 2 f8:63:3f:26:27:0d 209
1 2 e4:2b:34:25:3f:08 194
1 2 da:4e:e4:94:06:71 180
1 2 52:54:00:8c:91:81 178
1 2 82:58:13:e7:2c:9b 158
....
1 2 90:9f:33:65:47:02 2
[root@cy2-compute02 ~]# docker exec -it openvswitch_vswitchd ovs-ofctl show br-int
OFPT_FEATURES_REPLY (xid=0x2): dpid:0000de935f730140
n_tables:254, n_buffers:0
capabilities: FLOW_STATS TABLE_STATS PORT_STATS QUEUE_STATS ARP_MATCH_IP
actions: output enqueue set_vlan_vid set_vlan_pcp strip_vlan mod_dl_src mod_dl_dst mod_nw_src mod_nw_dst mod_nw_tos mod_tp_src mod_tp_dst
1(int-br-ex): addr:fa:08:89:2f:91:b9
config: 0
state: 0
speed: 0 Mbps now, 0 Mbps max
2(patch-tun): addr:c6:3b:47:ae:1a:54
config: 0
state: 0
speed: 0 Mbps now, 0 Mbps max
4(qr-56718ce4-c6): addr:00:00:00:00:00:00
config: PORT_DOWN
state: LINK_DOWN
speed: 0 Mbps now, 0 Mbps max
6(fg-38f32d91-3d): addr:00:00:00:00:00:00
config: PORT_DOWN
state: LINK_DOWN
speed: 0 Mbps now, 0 Mbps max
8(qvo8aa5e3b4-6c): addr:ce:a3:0f:17:54:f8
config: 0
state: 0
current: 10GB-FD COPPER
speed: 10000 Mbps now, 0 Mbps max
LOCAL(br-int): addr:de:93:5f:73:01:40
config: PORT_DOWN
state: LINK_DOWN
speed: 0 Mbps now, 0 Mbps max
OFPT_GET_CONFIG_REPLY (xid=0x4): frags=normal miss_send_len=0
다시 ovs-vsctl 을 통하여 브릿지들의 정보를 보면 int-br-ex 포트가 phy-br-ex 포트워 patch 타입으로 연결 되어 있으며 phy-br-ex는 br-ex 라는 브릿지에 속하여 있다.
br-ex에서는 최종적으로 포트 eth4을 통하여 나가며,해당 포트는 실제 인터 페이스 eth4를 통하여 포워딩 된다.
[root@cy2-compute02 ~]# docker exec -it openvswitch_vswitchd ovs-vsctl show
...
Bridge br-int
Controller "tcp:127.0.0.1:6633"
is_connected: true
fail_mode: secure
...
Port int-br-ex
Interface int-br-ex
type: patch
options: {peer=phy-br-ex}
Bridge br-ex
Controller "tcp:127.0.0.1:6633"
is_connected: true
fail_mode: secure
Port br-ex
Interface br-ex
type: internal
Port phy-br-ex
Interface phy-br-ex
type: patch
options: {peer=int-br-ex}
Port "eth4"
Interface "eth4"
최종적으로는 아래와 같은 형태로 실제 물리 인터페이스 eth4를 통하여 패킷이 gateway까지 포워딩 된다.
2. North-south traffic(internet → vm)
vm의 fip 인 192.168.10.106의 arp를 확인 하고, 해당 arp와 동일한 mac 주소를 확인 하면 192.168.10.103이라는 아이피를 확인 할 수 있다.
[root@cy2-deploy ~]# arp -a | grep 192.168.10.106
? (192.168.10.106) at fa:16:3e:30:c9:5b [ether] on eth1
[root@cy2-deploy ~]# arp -a | grep fa:16:3e:30:c9:5b
? (192.168.10.106) at fa:16:3e:30:c9:5b [ether] on eth1
? (192.168.10.103) at fa:16:3e:30:c9:5b [ether] on eth1
192.168.10.103은 해당 vm이 있는 노드의 fip가 포워딩 되는 fip namespace에서 fg 인터페이스에 할당 된 아이피로, 해당 인터페이스에서
Proxy Arp( 자신이 알고 있는 network 의 정보에 대하여 대신해서 arp응답을 해주는 기능)를 통하여 vm이 있는 네트워크 까지 올 수 있도록 해준다.
[root@cy2-compute02 ~]# ip netns exec fip-eddc07d8-7544-4f3a-b9f4-27f005fb114f ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: fpr-d3218b9c-7: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP qlen 1000
link/ether f2:d4:ad:59:11:7d brd ff:ff:ff:ff:ff:ff link-netnsid 0
inet 169.254.106.115/31 scope global fpr-d3218b9c-7
valid_lft forever preferred_lft forever
inet6 fe80::f0d4:adff:fe59:117d/64 scope link
valid_lft forever preferred_lft forever
16: fg-38f32d91-3d: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UNKNOWN qlen 1000
link/ether fa:16:3e:30:c9:5b brd ff:ff:ff:ff:ff:ff
inet 192.168.10.103/16 brd 192.168.255.255 scope global fg-38f32d91-3d
valid_lft forever preferred_lft forever
inet6 fe80::f816:3eff:fe30:c95b/64 scope link
valid_lft forever preferred_lft forever
아래 그림과 같이 (1) 이 있는 부분으로 외부 게이트웨이를 통하여 들어온 패킷이 fg까지 가기 위해서(2)br-ex의 port eth4와 pyh-br-ex 를 거쳐서 br-int로 가게 된다.
(3)에서 br-int의 fg 포트를 통하여 fip namespace의 fg 인터페이스 192.168.10.103까지 전달 된다.
mac을 통하여 fip namespace에 왔지만 실제 fip 192.168.10.106을 찾아 가야 한다. fip라우팅 테이블을 확인 하면 fpr-d3218b9c-7 인터페이스를 통하여 qrouter로 포워딩 되게 설정 되어 있다.
[root@cy2-compute02 ~]# ip netns exec fip-eddc07d8-7544-4f3a-b9f4-27f005fb114f route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
169.254.106.114 0.0.0.0 255.255.255.254 U 0 0 0 fpr-d3218b9c-7
192.168.0.0 0.0.0.0 255.255.0.0 U 0 0 0 fg-38f32d91-3d
192.168.10.106 169.254.106.114 255.255.255.255 UGH 0 0 0 fpr-d3218b9c-7
qrouter로 들어온 패킷은 iptables 의 nat테이블에서 DNAT되어 도착지 아이피가 fip가 아닌 실제 할당된 내부 아이피로 변환 된다.
(-A neutron-l3-agent-PREROUTING -d 192.168.10.106/32 -i rfp-d3218b9c-7 -j DNAT --to-destination 172.12.10.4)
[root@cy2-compute02 ~]# ip netns exec qrouter-d3218b9c-73bb-4788-87e4-5828625fe586 iptables -S -t nat
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-N neutron-l3-agent-OUTPUT
-N neutron-l3-agent-POSTROUTING
-N neutron-l3-agent-PREROUTING
-N neutron-l3-agent-float-snat
-N neutron-l3-agent-snat
-N neutron-postrouting-bottom
-A PREROUTING -j neutron-l3-agent-PREROUTING
-A OUTPUT -j neutron-l3-agent-OUTPUT
-A POSTROUTING -j neutron-l3-agent-POSTROUTING
-A POSTROUTING -j neutron-postrouting-bottom
-A neutron-l3-agent-POSTROUTING ! -i rfp-d3218b9c-7 ! -o rfp-d3218b9c-7 -m conntrack ! --ctstate DNAT -j ACCEPT
-A neutron-l3-agent-PREROUTING -d 192.168.10.106/32 -i rfp-d3218b9c-7 -j DNAT --to-destination 172.12.10.4
-A neutron-l3-agent-PREROUTING -d 169.254.169.254/32 -i qr-+ -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 9697
-A neutron-l3-agent-float-snat -s 172.12.10.4/32 -j SNAT --to-source 192.168.10.106
-A neutron-l3-agent-snat -j neutron-l3-agent-float-snat
-A neutron-postrouting-bottom -m comment --comment "Perform source NAT on outgoing traffic." -j neutron-l3-agent-snat
172.12.10.4의 내부 아이피로 nat된 도착지 아이피는 qrouter namespace의 라우팅 테이블에 의하여 qr-56718ce4-c6 인터페이스로 포워딩 된다.
[root@cy2-compute02 ~]# ip netns exec qrouter-d3218b9c-73bb-4788-87e4-5828625fe586 route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
169.254.106.114 0.0.0.0 255.255.255.254 U 0 0 0 rfp-d3218b9c-7
172.12.10.0 0.0.0.0 255.255.255.0 U 0 0 0 qr-56718ce4-c6
qr-56718ce4-c6는 위에서 확인 한 것 처럼 br-int에 연결 되어 있는데, br-int의 mac address table을 확인 하면 8번 포트의
qvo8aa5e3b4-6c 로 qbr8aa5e3b4-6c 의 리눅스 브릿지를 통하여 까지 패킷이 포워딩 된다.
[root@cy2-compute02 ~]# ip netns exec qrouter-d3218b9c-73bb-4788-87e4-5828625fe586 arp -a | grep 172.12.10.4
? (172.12.10.4) at fa:16:3e:ae:b3:e7 [ether] PERM on qr-56718ce4-c6
[root@cy2-compute02 ~]# docker exec -it openvswitch_vswitchd ovs-appctl -t /var/run/openvswitch/ovs-vswitchd.14.ctl fdb/show br-int| grep fa:16:3e:ae:b3:e7
port VLAN MAC Age
....
8 1 fa:16:3e:ae:b3:e7 0
[root@cy2-compute02 ~]# docker exec -it openvswitch_vswitchd ovs-ofctl show br-int
....
8(qvo8aa5e3b4-6c): addr:ce:a3:0f:17:54:f8
config: 0
state: 0
current: 10GB-FD COPPER
speed: 10000 Mbps now, 0 Mbps max
....
아래 그림과 같이 (6)을 통하여 br-int로 전달 되고, br-int에서 qbr을 거쳐서 vm으로 전달 되는 과정이다.
반응형