Habilite el reenvío de estructura IP y TDR de origen de estructura
Cloud-Native Contrail Networking admite el reenvío de estructura IP y TDR de origen de estructura. El reenvío de estructura IP proporciona a los clústeres que se ejecutan en la red superpuesta con una ruta para acceder a la red subyacente a través de la red virtual externa. El TDR de origen de la estructura permite que un dispositivo de puerta de enlace en una estructura traduzca la dirección IP de origen del tráfico de nodo del plano de datos que sale de la estructura a una dirección IP de lado público.
Puede usar el reenvío de estructura IP y TDR de origen de estructura en entornos de red en la nube para proporcionar acceso a la red subyacente. El acceso a la red subyacente proporcionado por el reenvío de estructura IP y TDR de origen de estructura permite que los recursos dentro de pods accedan directamente a Internet o extraan artefactos externos de la red subyacente. Este acceso de red subyacente se proporciona sin agregar una complejidad de red significativa, como otras opciones de red subyacente, como topologías BGP complejas o configuraciones de firewall.
Descripción general: Reenvío de estructura IP
A partir de la versión 22.1, Cloud-Native Contrail Networking admite el reenvío de estructura IP.
Habilita el reenvío de estructura IP dentro de redes virtuales que tienen acceso a la red externa. Estas redes virtuales requieren acceso directo a la red subyacente.
Una red virtual que tiene acceso a la red externa se denomina de default-externalnetwork forma predeterminada. Si así lo desea, puede crear un nombre de red externo definido por el usuario personalizado. Cuando habilita el reenvío de estructura IP, la ruta a la red subyacente está directamente disponible para los clústeres que se ejecutan en la red superpuesta a través de esta red virtual externa. Esta conexión directa entre la red superpuesta y la red subyacente da a los hosts en la red superpuesta acceso a la red subyacente. Dado que el reenvío de estructura IP permite que una red virtual abarque tanto la red superpuesta como la red subyacente, los paquetes de datos que atraviesan las dos redes no se encapsulan ni se desencapsulan. Por lo tanto, el procesamiento de paquetes es más eficiente.
El reenvío de estructura IP también es extremadamente útil para equilibrar la carga del tráfico de red. Un servicio LoadBalancer detecta automáticamente cualquier red virtual externa que haya habilitado el reenvío de estructura IP al equilibrar la carga del tráfico de red externo.
Descripción general: TDR de origen de la estructura
A partir de la versión 22.1, Cloud-Native Contrail Networking admite TDR de origen de estructura. El TDR de origen de la estructura proporciona un método para que el tráfico desde un nodo de plano de datos en un entorno de Kubernetes acceda directamente a Internet sin atravesar un firewall TDR independiente. También puede usar TDR de origen para extraer artefactos externos en pods cuando sea necesario.
El tráfico desde nodos de plano de datos destinados a Internet debe atravesar un dispositivo de puerta de enlace. Este dispositivo de puerta de enlace es un dispositivo miembro de la estructura que también tiene al menos una interfaz conectada a la red pública. Cuando se habilita TDR de origen de estructura, el dispositivo de puerta de enlace traduce la dirección IP de origen del paquete de origen del nodo del plano de datos en su propia dirección IP del lado público. Esta traducción de direcciones permite que el tráfico desde el nodo del plano de datos acceda a Internet.
La traducción de dirección IP que realiza el TDR de origen también actualiza el puerto de origen del paquete. Varios nodos del plano de datos pueden llegar a la red pública a través de una sola dirección IP pública de puerta de enlace mediante TDR de origen de estructura.
Necesita TDR de origen de estructura para traducir las direcciones IP del tráfico que sale de la estructura a Internet. No está utilizando TDR para traducir el tráfico entrante de Internet con esta función.
Ejemplo: Configurar TDR de origen de estructura
El TDR de origen de estructura está deshabilitado de forma predeterminada en las redes virtuales creadas por el usuario.
Puede habilitar TDR de origen de estructura manualmente en cualquier red virtual individual estableciendo la fabricSNAT: variable en el VirtualNetwork objeto como true. Puede deshabilitar TDR de origen de estructura estableciendo este valor en false.
En el siguiente ejemplo, se muestra un objeto de red virtual que ha habilitado TDR de origen de estructura. En este ejemplo, se supone que un objeto de subred denominado virtual-network-subnet1 está configurado en un archivo YAML independiente.
apiVersion: core.contrail.juniper.net/v2
kind: VirtualNetwork
metadata:
name: virtualnetwork1
namespace: namespace1
labels:
vn: virtualnetwork1
annotations:
core.juniper.net/display-name: virtualnetwork1
core.juniper.net/description:
Virtual Network 1 is a collection of end points that can communicate with each other.
spec:
v4SubnetReference:
apiVersion: core.contrail.juniper.net/v2
kind: Subnet
namespace: namespace1
name: virtual-network-subnet1
fabricSNAT: true
También puede configurar su entorno para habilitar TDR de origen de estructura en cualquier red virtual creada por el usuario cuando se crea la red virtual. Si desea habilitar TDR de origen de estructura en cualquier red virtual creada por el usuario tras la creación, establezca la enableSNAT variable en el ApiServer recurso en true cuando implemente inicialmente su entorno.
Debe establecer esta configuración en el recurso durante la ApiServer implementación inicial. No puede cambiar esta configuración en su entorno después de aplicar el archivo YAML de implementación. Si desea cambiar la configuración TDR de origen de estructura para una red virtual individual después de la implementación inicial, debe cambiar la configuración manualmente para esa red virtual.
La siguiente es una configuración de archivo YAML representativa:
kind: ApiServer
metadata:
...
spec:
enableSNAT: true
common:
containers:
...
El TDR de origen de estructura se habilita en cualquier red virtual creada por el usuario al crearse cuando la enableSNAT variable es verdadera. Puede deshabilitar TDR de origen de estructura cuando se crean redes virtuales creadas por el usuario estableciendo la enableSNAT variable en false. TDR de origen de estructura está deshabilitado de forma predeterminada.
El TDR de origen de la estructura selecciona automáticamente las direcciones IP para la traducción. No es necesario configurar grupos de direcciones para TDR de origen de estructura en la mayoría de los casos de uso de Contrail Networking nativos de la nube. Sin embargo, los grupos de direcciones se pueden configurar mediante la portTranslationPools: jerarquía del GlobalVrouterConfig recurso.
Ejemplo: Configurar redes externas con reenvío de estructura IP
El reenvío de estructura IP está deshabilitado de forma predeterminada.
Puede habilitar el reenvío de estructura IP en cualquier red virtual estableciendo la fabricForwarding: variable en true.
En el siguiente ejemplo, se muestra cómo habilitar el reenvío de estructura IP en una red virtual externa que accede a Internet a través de una puerta de enlace IPv4:
apiVersion: core.contrail.juniper.net/v2
kind: VirtualNetwork
metadata:
namespace: contrail
name: external-vn
labels:
service.contrail.juniper.net/externalNetworkSelector: default-external
annotations:
core.juniper.net/display-name: Sample Virtual Network
core.juniper.net/description:
VirtualNetwork is a collection of end points (interface or ip(s) or MAC(s))
that can communicate with each other by default. It is a collection of
subnets whose default gateways are connected by an implicit router.
spec:
v4SubnetReference:
apiVersion: core.contrail.juniper.net/v2
kind: Subnet
namespace: contrail
name: external-subnet
fabricForwarding: true
También puede habilitar el reenvío de estructura IP mientras crea la red virtual externa que tiene una ruta a Internet.
Puede configurar la ruta de una red virtual a una red externa a través del Kubemanager recurso en entornos mediante CN2.
Puede habilitar el acceso externo para una red virtual mediante la conexión de la red virtual a una dirección de subred IP de puerta de enlace IPv4 o IPv6. Habilita el reenvío de estructura IP para el tráfico externo en la red virtual mediante el mismo Kubemanager recurso.
Debe configurar las subredes de red externas y esta configuración de reenvío de estructura IP durante la implementación inicial de Cloud-Native Contrail. No puede configurar estos parámetros después de aplicar el archivo YAML de implementación inicial.
En el siguiente ejemplo, se muestra un archivo YAML usado para configurar un Kubemanager recurso que crea una red virtual con acceso de red externo. La red virtual de este ejemplo se ejecuta con reenvío de estructura IP. Tendría que confirmar este archivo YAML durante la implementación inicial.
kind: Kubemanager
metadata:
...
spec:
externalNetworkV4Subnet: # Fill V4 Subnet of an external network if any
externalNetworkV6Subnet: # Fill V6 Subnet of an external network if any
ipFabricFowardingExtSvc: true
common:
containers:
...
Puede especificar la subred IPv4 o la subred IPv6 de la red externa mediante el uso de la externalNetworkV4Subnet o externalNetworkV6Subnet: variable en este archivo YAML. La dirección de subred es una dirección IP del lado público que se puede acceder desde Internet a través del dispositivo de puerta de enlace. Cuando configure un recurso Kubemanager mediante este archivo YAML, se crea una nueva red virtual en la red externa especificada. Esta red virtual se denomina default-externalnetwork en el espacio de nombres predeterminado de CN2.
El reenvío de estructura IP se ejecuta en la red virtual con acceso de red externo cuando la ipFabricFowardingExtSvc variable es verdadera. Puede deshabilitar el reenvío de estructura IP para la subred externa estableciendo la ipFabricFowardingExtSvc variable en false.