vNF租户隔离方案总结

导读

• 物理拓扑图
• 逻辑拓扑图
• 部署方案
• OpenStack的约束

物理拓扑图

• 两个计算节点，一个网络节点的OpenStack集群
• 物理交换机、IPS、防火墙、路由器等

物理拓扑图

逻辑拓扑图

• 两个租户网络的逻辑拓扑，通过vNF实现租户隔离

逻辑拓扑图

部署方案

1. 准备OpenStack虚拟化版本的vNF镜像
2. 为每个租户启动一个vNF，并且为vNF绑定两块位于不同子网的网卡。其中，下行网卡与对应租户的VM处于一个子网，上行网卡所处的子网用于与OpenStack vRouter传输数据

注 经测试，在OpenStack GUI启动VM时，不能指定网卡处于同一个租户网络内哪个子网。这个功能可能需要在OpenStack后台操作，命令如下：

# 创建一个租户网络net1中子网subnet1的port，且指定IP地址为172.16.0.1，port名字为port1
# 根据具体OpenStack网络拓扑替换下面命令中的net1, subnet1, ip-address
openstack port create --network net1 --fixed-ip subnet=subnet1,ip-address=172.16.0.1 port1

3. 配置租户所有的VM的默认路由为vNF的下行网口的IP，配置vNF的默认路由为上行网口对应的vRouter内部的IP
4. vRouter配置静态路由或策略路由：

• 东西向流量，策略路由，下一跳为另一个租户vNF的上行网卡的IP
• 南北向流量，默认路由

OpenStack的约束

1. OpenStack Neutron的安全组默认会对每个网口开启MAC/IP过滤功能（防arp欺骗），不是该网口的MAC/IP发出的包会被宿主机丢弃。这种限制会导致vNF的上行网口转发的数据包被丢弃，无法到达vRouter。关闭安全组有两种方法

• 第一种是整体关闭

# /etc/neutron/plugins/ml2/openvswitch_agent.ini
firewall_driver=None

整体关闭的弊端是所有的端口不在受安全组保护，私有云尚且可以，公有云会带来安全隐患

• 局部关闭
  OpenStack Neutron的MAC/IP过滤是利用宿主机的iptables实现的，因此可以通过修改iptables配置来达到局部关闭的效果，具体步骤如下：
  • 为每个租户创建完毕vNF后，从后台进入宿主机，找到对应网口的tap设备，记下tap后面的id，例如sc5695d00-9。
  • iptables --line-numbers -nvL | grep ${id}查看对应的条目
  • 利用iptables -D ...删除掉对应条目

注 另一种比较优雅的局部关闭方法是使用OpenStack Cli，可以关闭指定的port的安全组:
opnestack port set --no-security-group
openstack port set --disable-port-security
也可以为port添加允许通过的MAC/IP
openstack port set --allowed-address ip=address=, mac-address=

2. OpenStack vRouter是利用Linux内核转发和路由表实现的，因此受到Linux反向路由过滤的限制。所谓的反向路由过滤，就是指网卡处理数据包之前，Linux会检验反向数据包的下一跳是否是从该网卡发出。如果不是，则丢弃。
   回到逻辑拓扑图可知，租户网络之间的东西向流量的反向路由方向并不是与vNF同网段的网口，因此在开启反向路由过滤的情况下，数据包转发会失败。
   关闭方法：

# 在网络节点，查看vRouter namespace的名称
$ ip netns
qdhcp-*
...
qrouter-*
...
$ ip netns exec qrouter-* sysctl -w net.ipv4.conf.all.rp_filter=0
$ ip netns exec qrouter-* sysctl -w net.ipv4.conf.default.rp_filter=0