六、EIP流量模型分析
弹性公网IP(Elastic IP,简称EIP)提供独立的公网IP资源,包括公网IP地址与公网出口带宽服务。如果资源只配置了私网IP,则无法直接访问Internet,为资源配置弹性公网IP后,可以直接访问Internet,。
EIP 需要用到两个网元:ENAT网元和BR网元,在核心交换机上的配置与vRouter 网元类似,在首次交付时,会在核心交换机上配置几条带BFD 的路由,ENAT和BR 一般主备部署,所以会有2个Tunnel_Bearing IP和一个对外与各个计算节点的Tunnel_Bearing 地址建立隧道的Loopback(VTEP IP)地址,地址的获取在云平台提供的HCSD工具导出的参数汇总表里。
1.VM通过EIP访问外网
-
VM1发送arp请求,arp报文根据流表到达br-tun,br-tun给予VM1到达E-NAT网元的MAC信息。此时arp报文不出宿主机(Host1);
-
以太网封装,在封装的时候源MAC为DVR1:MAC,目的MAC 为E-NAT网元MAC;
-
br-tun将报文处理完后,通过查询找到br-physnet网桥上的tunnel_bearing网卡口,在这个网桥上打上tunnel_bearing的VLAN,然后从对应的物理网卡将报文发出;
-
报文被网络节点接收并发送给ENAT网元进行EIP绑定。在云平台绑定EIP 时,管理面会下发EIP绑定关联关系以及对应的目的路由,在Host1 br-tun做路由查找封装,发现去往目的地址需要送给ENAT网元,故内存源MAC 为DVR1 MAC,目的MAC 为ENAT网元的内部传输子网MAC,外部目的IP为ENAT 的loopbackIP;
-
EIP 的转换在ENAT 网元的br-enat-tun进行转换,转换后封装的内存源地址为VM1对应的EIP 地址;
-
报文从br-enat-tun出来后包送到BR 网元,流量绕行到核心交换机,通过配置的静态路由送到BR网元;
-
报文从BR-forward网元收到后做VXLAN解封装,转发到internet-if口,通过传统网络送到核心的EIP对应的VRF平面(Internet VRF);
-
最后报文从Internet VRF发送到客户端(外网)。
**注意:**ENAT 网元通过传输网络与VPC 的DVR互通,在绑定EIP 后会生成enat port,如下图红框所示:
2.EIP 与EIP之间访问流量模型
由于流量模型图不易绘画,所以在此使用《HSC 网络配置基线》的简图进行展现。在同外部网络下,不同VPC下的VM EIP之间的访问流量模型。
两台不同VPC下的VM通过EIP相互与VM通过EIP访问互联网的区别在于报文发送给BR后,BR将报文做VXLAN解封装后通过核心交换机发送给ENAT,最后ENAT将报文发送给目标VM。
报文的流量路径如下:
VM1 → 业务TOR → 核心 → 业务TOR → ENAT → 业务TOR → 核心 → 业务TOR → BR → 业务TOR → 核心 → 业务TOR → ENAT → 业务TOR → 核心 → 业务TOR → VM2