注册 登录  
 加关注
查看详情
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

蒙奇D小豌豆的博客

蒙奇D小豌豆的学习记录

 
 
 

日志

 
 

VPC网络架构实现浅谈  

2016-12-22 15:29:26|  分类: sdn |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
下图是aws 整个vpc的架构图
一个vpc:: virttual private cloud. 标识用户一个账户的整个cloud架构. 其中包括 
1. instance: 就是用户的一台云主机(虚拟机)
2. security group: 状态防火墙, 可以关联到多个instance.  用于防护instance,可以理解为就是把云主机里的防火墙拿到外面实现
3. subnet: 子网, 多个云主机构成一个子网. 可以理解为多台虚拟机连接在一个二层交换机
4. router: 用于子网间通信
5. ACL: 子网建无状态的访问权限  
6. vp-gateway: 同一用户子账户机器联通的gateway
7. internet gateway: 外网网关路由器

VPC网络架构实现浅谈 - 蒙奇D小豌豆 - 蒙奇D小豌豆的博客

在SDN的环境下  3,4,5,6都可以使用无状态的openvswitch实现

对于2 security group其实就是要实现一个不做路由的stateful firewall, 简单的说就是二层的转发, 三层的状态防火墙.
AWS并没有给出具体实现方案


A.
所以我们可以参考openstack
每个虚拟网卡tap device连接到一个linux bridge上,  veth peer 分别连接在linux bridge和ovs-bridge上.
这样就可以利用iptables physdev去配置过bridge的firewall
当然首先需要 echo 1 > /proc/sys/net/bridge/bridge-nf-call-iptables
例:
iptbales -N FILTER
iptables -A FILTER -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FILTER  -j DROP
iptables -A FORWARD -m physdev --physdev-out tap0 --physdev-is-bridged -j FILTER

当然在vpc下, 不同用户的ip可能一样, 那么就需要引入conntrack zone来解决
iptables -A REPROUTING -t raw xxxx -j  CT  --zone 1

VPC网络架构实现浅谈 - 蒙奇D小豌豆 - 蒙奇D小豌豆的博客

B. 
如果是比较新版本的ovs支持conntrack/nat 就可以直接在ovs-bridge上做stateful firewall
 
 
  评论这张
 
阅读(142)| 评论(0)

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018