openstack网络DVR

一、DVR描述

分布式路由

二、相关的专业术语

术语名称	术语解释
SNAT	在路由器后（POSTROUTING）将内网的ip地址修改为外网网卡的ip地址，也就是绑定浮动IP和外部通信
DNAT	在路由前（PREROUTING）将来自外网访问网关ip和对应端口的目的ip及端口修改为内部服务器的ip及端口，实现发布内部服务器。也就是不绑定浮动IP，访问外网

三、传统网络节点的处理架构

传统的云平台，部署单网络节点时，架构如下：

此种方式东西向和南北向的流量会集中在网络节点，网络节点有可能会成为瓶颈。此种部署方式采用单个网络节点，如果网络节点故障，会导致平台的虚拟机网络故障，外部无法访问虚机。

四、DVR部署模式原理

基于上面传统的架构，处理的核心是路由器服务。如果计算节点上能实现路由器服务的话，无疑是比较合理的。因此，为了降低网络节点的负载，同时提高可扩展性，从而引入了分布式路由（DVR）服务，让计算节点来处理原先大量的东西向流量和DNAT流量（有浮动IP的VM和外部的通信）。这样的话，网络节点只需要处理占到一部分的SNAT（无浮动IP的VM跟外部的通信），大大降低了负载和整个系统对网络节点的依赖。

DVR部署的优势：

1）东西向流量的吞吐量的增加

2）高东西流量下，VM的平均带宽增加

3）南北向流量和东西向流量不再相互干扰

4）当东西向流量在同一个Hypervisor上，就不会走不必要的路径

适用场景：

网络的访问过程，涉及到路由服务的至少是需要跨子网的访问。包括是否是同一机器，是否涉及外部网络。从网络流量上看，涉及东西向和南北向流量。

东西向流量：

1）同一机器

如下图所示，同一机器的VM1和VM2访问，路由器直接在br-int上转发，不经过外部网桥

2）不同机器

VM1和VM4在不同的机器上，VM1访问VM4时，请求过程是计算节点上的IR1起路由器功能，返程的过程由目的计算节点的IR1路由器起作用。两个路由器的ID和内部接口，功能其实是一样的。

南北向流量：

1）无浮动IP

这种情况下，即VM没有绑定浮动IP时，跟传统的模式比较类似。此时，租户T1在外部，通过默认的SNAT网关访问内部子网的VM2时，网络节点上的T1-SNAT起到了路由器的作用。反过来，如果VM2访问外部的网络，则仍然需要经过网络节点上的T1-SNAT路由器。为什么必须从网络节点上走，因为对于外部网络来说，看到的都是外部接口的地址，这个地址只有一个。

2） 有浮动IP

有浮动IP时，VM2和VM1之间的访问，计算节点上的专门负责的外部路由器将负责进行转发，即计算节点上的IR1

东西向流量：同一租户不同网段的虚拟机间的通信，具体分为同一个物理节点上不同网段内的虚拟机之间的通信和不同物理节点上不同网段虚拟机之间的通信。

南北向流量：虚拟机访问internet的流量通常需要经过SNAT处理和internet访问虚拟机的流量可能需要经过DNAT处理

DVR部署架构：