深入浅出新一代云网络——VPC中的那些功能与基于OpenStack Neutron的实现（一）

VPC的概念与基于vxlan的overlay实现很早就有了，标题中的“新”只是一个和传统网络的相对概念。但从前年开始，不同于以往基础网络架构的新一代SDN网络才真正越来越多的走进国内甲方厂商的视野，而从去年至今，笔者经历的诸多客户也在历经学习、测试后逐步将其部署入生产。与此同时，国内的公有云厂商们也或多或少地投入了对市场的教育成本，鼓励客户使用功能更强大，安全性更好的VPC网络。

• 什么是VPC

VPC即virtual private cloud ，因其最大的特点还是网络方面，故行业内有时也称其为私有网络，在基础云计算环境之上，支持用户定义自己的虚拟网络，这个网络在逻辑上与云中的其他虚拟网络隔绝，用户可选择私有 IP 地址范围、创建子网以及配置路由表、网络网关和安全设置等。

传统基础网络的管理员视角：

（当然实际上，以往的IT集成架构会基于业务需求和安全需求作复杂的 外-核心-汇聚-接入-用户的层次划分。）

从用户的视角甚至可以简化为：

实际云环境中，抛开云主机的安全组策略、上层交换设备的ACL等不谈，各用户处于同一层次的网络中，IP自然也由平台管理端分配。

而对于使用VPC网络的环境来说：

左边颜色区域是一个用户，右边颜色区域是另一个用户。两者各自的网络广播域不会互相影响，IP自然也可以由用户指定。从图中不难发现，与基础网络相比，路由正是VPC网络的核心。

那么开头所说的“功能更强大，安全性更好”具体指什么呢？功能更强大，指的是更便利、形式多样的互联互通、带宽分配等网络功能；安全性更好，指的是用户的私有网络隐藏在路由之内，不仅互不影响，还可以将访问控制的执行者，从云主机本身一直延伸到三层。

• VPC-NAT

NAT即网络地址转换，分为DNAT（目的地址转换）与SNAT（源地址转换），最直白地从常见功能目的来说， DNAT可以用于实现一个上层（路由的外层）地址的端口转发到下层（路由的内层）网络某个地址的某端口，SNAT可以用于实现多台云主机共享一个网关地址访问上层(路由的外层)网络。

第一个很好理解，4层端口转发。

有时候为了管理需要，要能在外层网络管理私网中的三台云主机，而这三台云主机仅有私网地址没有外层地址，那么可以使用端口转发，将路由外层地址 114.123.123.x 的22端口转发至第一台云主机10.1.1.3的22端口，将114.123.123.x的23端口转发至第二台云主机的22端口，将路由的24端口转发至第三台云主机的22端口。如此通过SSH一个外层地址的不同端口来连接到私网内的三台云主机。

其实和7层的转发有那么点相似之处，比如 Nginx的80端口代理后端应用服务器的8080端口，81端口代理另一台服务器的8080端口。还真别说，Nginx自从1.9版本后开始支持TCP代理了。

抛开应用层转发不谈，基于OpenStack该如何实现呢？

熟悉虚拟化与容器技术的朋友肯定熟悉linux的namespace(命名空间)，在Neutron 的L3节点上，不同用户的VPC路由正是用namespace技术实现的隔离，这一点和不同vxlan网络的隔离还是有很大区别的，本篇不谈。

netns是在Linux中提供网络虚拟化的一个项目，使用netns网络空间虚拟化可以在本地虚拟化出多个网络环境

所以，在L3节点使用ip netns 可以看到含本地所有网络命名空间的list：

可以发现，其实不同网络的dhcp服务与负载均衡服务(非Octavia)也是使用类似的方式。

qrouter后面接的uuid正是路由的uuid。通过这种方式即可进入VPC路由所在命名空间并使用iptables 执行对NAT表规则的增删。

故端口转发的功能API流程可以简单描述为：

输入数据为 VPC路由uuid 及端口，私网云主机IP及端口，生成

VPC路由IP：端口 →  云主机IP：端口

的一条 DNAT规则。

进入VPC命名空间执行规则。

执行后NAT表效果：

系列下一篇 《深入浅出新一代云网络——VPC中的那些功能与基于OpenStack Neutron的实现（二）》中将给出上文的简单API 代码，并展开另一块内容——VPC网络带宽的共享与分离。考虑篇幅， VPC网络中实现互联互通的路由技术与隧道技术可能会放在系列的第三篇。