openvswitch的原理和常用命令

一.Openvswitch工作原理

　　openvSwitch是一個高質量的、多層虛擬交換機，使用開源Apache2.0許可協議，由 Nicira Networks開發，主要實現代碼為可移植的C代碼。它的目的是讓大規模網絡自動化可以通過編程擴展,同時仍然支持標准的管理接口和協議（例如NetFlow, sFlow, SPAN, RSPAN, CLI, LACP, 802.1ag）。此外,它被設計位支持跨越多個物理服務器的分布式環境，類似於VMware的vNetwork分布式vswitch或Cisco Nexus 1000 V。Open vSwitch支持多種linux 虛擬化技術，包括Xen/XenServer， KVM和VirtualBox。
　　openvswitch是一個虛擬交換軟件，主要用於虛擬機VM環境，作為一個虛擬交換機，支持Xen/XenServer，KVM以及virtualBox多種虛擬化技術。在這種虛擬化的環境中，一個虛擬交換機主要有兩個作用：傳遞虛擬機之間的流量，以及實現虛擬機和外界網絡的通信。
　　內核模塊實現了多個“數據路徑”（類似於網橋），每個都可以有多個“vports”（類似於橋內的端口）。每個數據路徑也通過關聯一下流表（flow table）來設置操作，而這些流表中的流都是用戶空間在報文頭和元數據的基礎上映射的關鍵信息，一般的操作都是將數據包轉發到另一個vport。當一個數據包到達一個vport，內核模塊所做的處理是提取其流的關鍵信息並在流表中查找這些關鍵信息。當有一個匹配的流時它執行對應的操作。如果沒有匹配，它會將數據包送到用戶空間的處理隊列中（作為處理的一部分，用戶空間可能會設置一個流用於以后碰到相同類型的數據包可以在內核中執行操作）。

1.OpenvSwitch的組成

　ovs的主要組成模塊如下圖所示：

• ovs-vswitchd：OVS守護進程是，OVS的核心部件，實現交換功能，和Linux內核兼容模塊一起，實現基於流的交換（flow-based switching）。它和上層 controller 通信遵從 OPENFLOW 協議，它與 ovsdb-server 通信使用 OVSDB 協議，它和內核模塊通過netlink通信，它支持多個獨立的 datapath（網橋），它通過更改flow table 實現了綁定和VLAN等功能。
  　　
• ovsdb-server：輕量級的數據庫服務，主要保存了整個OVS 的配置信息，包括接口啊，交換內容，VLAN啊等等。ovs-vswitchd 會根據數據庫中的配置信息工作。它於 manager 和 ovs-vswitchd 交換信息使用了OVSDB(JSON-RPC)的方式。
  　　

• ovs-dpctl：一個工具，用來配置交換機內核模塊，可以控制轉發規則。 　

• ovs-vsctl：主要是獲取或者更改ovs-vswitchd 的配置信息，此工具操作的時候會更新ovsdb-server 中的數據庫。 　

• ovs-appctl：主要是向OVS 守護進程發送命令的，一般用不上。

• ovsdbmonitor：GUI 工具來顯示ovsdb-server 中數據信息。 　

• ovs-controller：一個簡單的OpenFlow 控制器 　

• ovs-ofctl：用來控制OVS 作為OpenFlow 交換機工作時候的流表內容。

2. OpenvSwitch的工作流程

　　下圖通過ovs實現虛擬機和外部通信的過程，通信流程如下：

　　1.VM實例 instance 產生一個數據包並發送至實例內的虛擬網絡接口 VNIC，圖中就是 instance 中的 eth0.
　　2.這個數據包會傳送到物理機上的VNIC接口，如圖就是vnet接口．
　　3.數據包從 vnet NIC 出來，到達橋（虛擬交換機） br100 上.
　　4.數據包經過交換機的處理，從物理節點上的物理接口發出，如圖中物理機上的 eth0 .
　　5.數據包從 eth0 出去的時候，是按照物理節點上的路由以及默認網關操作的，這個時候該數 據包其實已經不受你的控制了．
　　注：一般 L2 switch 連接 eth0 的這個口是一個 trunk 口, 因為虛擬機對應的 VNET 往往會設置 VLAN TAG, 可以通過對虛擬機對應的 vnet 打 VALN TAG 來控制虛擬機的網絡廣播域. 如果跑多個虛擬機的話, 多個虛擬機對應的 vnet 可以設置不同的 vlan tag, 那么這些虛擬機的數據包從 eth0(4)出去的時候, 會帶上TAG標記. 這樣也就必須是 trunk 口才行。

3.OpenvSwitch簡單應用實例

　　如下圖所示，創建從物理機到物理機的網絡拓撲：

　　通過以下命令即可實現：

root[@localhost](https://my.oschina.net/u/570656):~# ovs-vsctl add-br br0 
root[@localhost](https://my.oschina.net/u/570656):~# ovs-vsctl add-port br0 eth0 
root[@localhost](https://my.oschina.net/u/570656):~# ovs-vsctl add-port br0 eth1

4.Openvswitch常見操作

# 添加網橋：
ovs-vsctl add-br br0  
　　
# 列出所有網橋：
ovs-vsctl list-br
　　
# 判斷網橋是否存在：
ovs-vsctl br-exists br0
　　
# 將物理網卡掛載到網橋上：
ovs-vsctl add-port br0 eth0
　　
# 列出網橋中的所有端口：
ovs-vsctl list-ports br0
　　
# 列出所有掛載到網卡的網橋：
ovs-vsctl port-to-br eth0
　　
# 查看ovs的網絡狀態：
ovs-vsctl show
　　
# 刪除網橋上已經掛載的網口：
ovs-vsctl del-port br0 eth0
　　
# 刪除網橋：
ovs-vsctl del-br br0
　　
# 設置控制器：
ovs-vsctl set-controller br0 tcp:ip:6633
　　
# 刪除控制器：
ovs-vsctl del-controller br0
　　
# 設置支持OpenFlow Version 1.3：
ovs-vsctl set bridge br0 protocols=OpenFlow13  
　　
# 刪除OpenFlow支持設置：
ovs-vsctl clear bridge br0 protocols 
　　
# 設置vlan標簽：
ovs-vsctl add-port br0 vlan3 tag=3 -- set interface vlan3 type=internal
　　
# 刪除vlan標簽：
ovs-vsctl del-port br0 vlan3 
　　
# 查詢 VLAN：
ovs-vsctl show 
ifconfig vlan3 
　　
# 查看網橋上所有交換機端口的狀態：
ovs-ofctl dump-ports br0
　　
# 查看網橋上所有的流規則：
ovs-ofctl dump-flows br0
　　
# 查看ovs的版本：
ovs-ofctl -V

# 給端口配置tag
ovs-vsctl set port br-ex tag=101

 

二.Neutron使用openvswitch網絡通信的基本原理

　　Openstack在創建虛擬機進行網絡配置的時候大致分為兩個步驟：

　　1、Nova-compute通過調度在主機側創建虛擬機，並且創建好linux bridge，是否創建linux網橋取決於是否把安全組的功能打開，創建好bridge和veth類型的點對點端口，連接bridge設備和br-int網橋。

　　2、Neutron-ovs-agent周期任務掃描到網橋上的端口發送rpc請求到neutron-server側，獲取端口的詳細信息，進行網絡配置，當然，不同類型的網絡會進行不同的處理，OVS當前支持，vlan、vxlan、flat、gre類型的網絡。

　　具體虛擬機通信分為以下兩種情況：

• 同板虛擬機通信

　　在報文入口方向打上vlan，在br-int網橋上進行二層的隔離，對neutron-ovs-agent來說，這個是一個內部vlan，因此，很顯然，對於這個主機使用的network來說，在主機側neutron-ovs-agent都會維護一個內部vlan，並且是一一對應的，用於不同network的虛擬機在板上的互相隔離，由於板內虛擬機通信不經過物理網口，因此，也不會受到網口帶寬和物理交換機性能的影響。

• 跨板虛擬機通信：

　　這里以vlan類型網絡舉例，network的segment_id為100，即vlan為100，虛擬機出來的報文在進入br-int網橋上被打上內部的vlan，舉例來說打上vlan 3，下行的流量在經過對應的網絡平面后，vlan會進行對應的修改，通過ovs的flow table把vlan修改成真實的vlan值100；上行流量在br-int網橋上通過flow table把vlan 100修改成內部的vlan 3，flat網絡原理類似，下行流量會在br-eth通過flow table strip_vlan送出網口,vxlan類型的網絡稍有不同，不過原理也是類似。

 

這里再來一張我自己畫的圖

 

    1. 添加兩個虛擬端口，互為peer  
    ip link add mgmt-eth2 type veth peer name eth2-mgmt  
    ip link set mgmt-eth2 up  
    ip link set eth2-mgmt up  
      
    2. 把上面的兩個端口加到橋上  
    ovs-vsctl add-port br-mgmt mgmt-eth2  
    修改ovs的數據庫  
    ovs-vsctl set interface mgmt-eth2 type=patch  
    ovs-vsctl set interface mgmt-eth2 options:peer=eth2-mgmt  
      
    3. 把上面的兩個端口加到橋上  
    ovs-vsctl add-port br-eth2 eth2-mgmt  
    ovs-vsctl set interface eth2-mgmt type=patch  
    ovs-vsctl set interface eth2-mgmt options:peer=mgmt-eth2  
      
    4. ovs-vsctl add-port br-eth2 eth2  
      
    注意通過上面的方法添加完后，會在ifconfig中把上面的新加的port(如：mgmt-eth2, eth2-mgmt)一並顯示出來  
      
      
    上面的1~4可以用下面的步驟來代替，且新加的veth不會出現在ifconfig中：  
    ovs-vsctl add-br br-mgmt  
    ovs-vsctl add-br br-eth2  
    ovs-vsctl add-port br-mgmt mgmt-eth2 -- set Interface mgmt-eth2 type=patch options:peer=eth2-mgmt  











##############

ovs-vsctl add-port br-eth2 eth2-mgmt -- set Interface eth2-mgmt type=patch options:peer=mgmt-eth2  
ovs-vsctl add-port br-eth2 eth2  
      
      
      
    ******************************************  
移除  
ovs-vsctl del-fail-mode ovs-br  
設置fail-mode  
ovs-vsctl set-fail-mode br-ex secure  
設置tag  
ovs-vsctl set port eth0-stor tag=102  


清除tag  
ovs-vsctl clear port br-eth1--br-mgmt tag  



ovs設置網橋MAC  
ovs-vsctl set bridge br-storage other-config:hwaddr=fa:16:3e:fe:8f:79