Why Namespace? - 每天5分鍾玩轉 OpenStack（102）

上一節我們討論了 Neutron 將虛擬 router 放置到 namespace 中實現了不同 subnet 之間的路由。
今天探討為什么要用 namespace 封裝 router？

回顧一下前面的網絡邏輯結構圖：

我們需要討論一個深層次的問題： 為什么不直接在 tape17162c5-00 和 tapd568ba1a-74 上配置 Gateway IP，而是引入一個 namespace，在 namespace 里面配置 Gateway IP 呢？

首先考慮另外一個問題： 如果不用 namespace，直接 Gareway IP 配置到 tape17162c5-00 和 tapd568ba1a-74 上，能不能連通 subnet_172_16_100_0 和 subnet_172_16_101_0 呢？

答案是可以的，只要控制節點上配置了類似下面的路由。

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface 172.16.100.0    *               255.255.255.0   U     0      0        0 tapd568ba1a-74 172.16.101.0    *               255.255.255.0   U     0      0        0 tape17162c5-00

既然不需要 namespace 也可以路由，為什么還要加一層 namespace 增加復雜性呢？ 其根本原因是：為了支持網絡重疊。

雲環境下，租戶可以按照自己的規划創建網絡，不同租戶的網絡是可能重疊的。 將路由功能放到 namespace 中，就能隔離不同租戶的網絡，從而支持網絡重疊。

下面通過例子進一步解釋。

Tenant A  vlan100 subnet A-1: 10.10.1.0/24    {"start": "10.10.1.1", "end": "10.10.1.254"} Tenant A  vlan101 subnet A-2: 10.10.2.0/24    {"start": "10.10.2.1", "end": "10.10.2.254"}

Tenant B  vlan102 subnet B-1: 10.10.1.0/24    {"start": "10.10.1.1", "end": "10.10.1.254"} Tenant B  vlan103 subnet B-2: 10.10.2.0/24    {"start": "10.10.2.1", "end": "10.10.2.254"}

A，B 兩個租戶定義了完全相同的兩個 subnet，網絡完全重疊。

不使用 namespace 的場景

如果不使用 namespace，網絡結構如下：

其特征是網關 IP 配置在 TAP interface 上。 因為沒有 namespace 隔離，router_100_101 和 router_102_103 的路由條目都只能記錄到控制節點操作系統（root namespace）的路由表中，內容如下：

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface  10.10.1.0                 *               255.255.255.0   U     0      0        0     tap1  10.10.2.0                 *               255.255.255.0   U     0      0        0     tap2  10.10.1.0                 *               255.255.255.0   U     0      0        0     tap3  10.10.2.0                 *               255.255.255.0   U     0      0        0     tap4

這樣的路由表是無法工作的。 按照路由表優先匹配原則，Tenant B 的數據包總是錯誤地被 Tenant A 的 router 路由。 例如 vlan102 上有數據包要發到 vlan103。 選擇路由時，會匹配路由表的第二個條目，結果數據被錯誤地發到了 vlan101。

使用 namespace 的場景

如果使用 namespace，網絡結構如下：

其特征是網關 IP 配置在 namespace 中的 veth interface 上。 每個 namespace 擁有自己的路由表。

router_100_101 的路由表內容如下：

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface 10.10.1.0                 *               255.255.255.0   U     0      0        0     qr-1 10.10.2.0                 *               255.255.255.0   U     0      0        0     qr-2

router_102_103 的路由表內容如下：

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface 10.10.1.0                 *               255.255.255.0   U     0      0        0     qr-3 10.10.2.0                 *               255.255.255.0   U     0      0        0     qr-4

這樣的路由表是可以工作的。

例如 vlan102 上有數據包要發到 vlan103。 選擇路由時，會查看 router_102_103 的路由表, 匹配第二個條目，數據通過 qr-4 被正確地發送到 vlan103。

同樣當 vlan100 上有數據包要發到 vlan101時，會匹配 router_100_101 路由表的第二個條目，數據通過 qr-2 被正確地發送到 vlan101。

可見，namespace 使得每個 router 有自己的路由表，而且不會與其他 router 沖突，所以能很好地支持網絡重疊。

好了，目前我們已經搞清楚了 Neutron 內部 subnet 之間是如何通信的了。
下一節我們將學習 OpenStack 內部網絡如何與外部網絡通信。