1、SDN

傳統(tǒng)的網(wǎng)絡(luò)設(shè)備是分布式和去中心化的，每臺設(shè)備可以通過自主學(xué)習(xí)和人工配置，可以知道如何轉(zhuǎn)發(fā)數(shù)據(jù)包，而不需要一個集中式的控制設(shè)備。

SDN這個詞本身就是軟件定義網(wǎng)絡(luò)（Software?Defined?Network），在虛擬網(wǎng)絡(luò)里，vSwitch和vRouter這些設(shè)備，通常都不用登錄上去敲命令（雖然也可以這么做），而是通過云平臺配置。云平臺通過API和SDN控制器交互，SDN控制器計算并下發(fā)轉(zhuǎn)發(fā)表到vSwitch和vRouter，完成配置。

SDN原理示意

所謂Overlay，是在傳統(tǒng)的物理網(wǎng)絡(luò)（Underlay）基礎(chǔ)之上，構(gòu)建出一個虛擬的邏輯網(wǎng)絡(luò)。從技術(shù)上講，Overlay的二層數(shù)據(jù)包封裝在物理網(wǎng)絡(luò)的三層報文中傳輸，到達(dá)目的地之后再解封裝得到Overlay的二層報文。實際上，這就是一種“L2 over L3”的隧道封裝技術(shù)。這方面的協(xié)議比較多，主要有VxLAN（L2 over UDP）、NVGRE（L2 over GRE）、STT(L2 over TCP)等。

2、VxLAN

VxLAN（Virtual eXtensible Local Area Network，虛擬可擴(kuò)展局域網(wǎng)）是實現(xiàn)Overlay網(wǎng)絡(luò)的主流技術(shù)，正是通過VxLAN，才實現(xiàn)了VPC（包括子網(wǎng)）的完美隔離。

大體而言，就是VM之間交互的數(shù)據(jù)包，在離開vSwitch時會加上封裝，形成隧道，不同子網(wǎng)帶有不同的隧道號標(biāo)識。解隧道封裝的時候，看到隧道號不對，就會拋棄，這樣不同子網(wǎng)內(nèi)的虛擬機(jī)無法進(jìn)行直接通信（除非做了路由），這就實現(xiàn)了隔離。

VxLAN不僅解決了隔離的問題，還解決了傳統(tǒng)二層技術(shù)（如VLAN）難以解決的大規(guī)模二層互連的問題，由于通過三層傳輸，虛機(jī)的部署和遷移就不受二層物理網(wǎng)絡(luò)限制了。VxLAN是怎么將L2 over在L3之上呢，答案是：將以太網(wǎng)幀封裝在UDP包中。

VxLAN的包結(jié)構(gòu)

如上圖所示，Overlay的二層數(shù)據(jù)幀被封裝在三層的IP包中（精確的說，是四層的UDP報文中），封裝的頭部是VxLAN Header，里面的主要內(nèi)容就是24bit的VNI（VxLAN ID），每個子網(wǎng)都有一個VNI，這樣即便是同一臺主機(jī)上的兩臺VM，即便處于同一IP段，只要他們在不同的子網(wǎng)，就無法通信，因為子網(wǎng)的OVS看見不同的VNI就會拋棄掉。

做封裝和解封裝的端點被稱為VTEP，它同時也就是VxLAN隧道的起點和終點。VTEP通常是由OVS實現(xiàn)的，子網(wǎng)中VM向外發(fā)出的二層報文，會由OVS進(jìn)行封裝，做成UDP包發(fā)出；同時OVS會在UDP特定端口監(jiān)聽，收到VxLAN報文后，如果VNI正確，則去掉封裝，將封裝前的二層報文轉(zhuǎn)發(fā)給相應(yīng)的VM。

對于裸金屬（云管理的物理機(jī)）而言，由于它沒有OVS，它的Overlay通信要通過VxLAN網(wǎng)關(guān)（承擔(dān)VTEP功能）實現(xiàn)，或者可以在物理機(jī)上插一塊智能網(wǎng)卡，由智能網(wǎng)卡做VTEP。

VTEP有軟件和硬件兩種，前面講的OVS就是軟件VTEP，也有用硬件交換機(jī)做VTEP的。如果VTEP由軟件完成，這種Overlay就叫Host Overlay；如果由硬件設(shè)備完成，就叫Network Overlay；如果都有，就叫混合Overlay。

對于Host Overlay而言，物理交換機(jī)網(wǎng)絡(luò)中的Leaf和Spine僅進(jìn)行IP報文的高速轉(zhuǎn)發(fā)，不處理VxLAN報文。

Overlay和Underlay示意

上圖中，VM1和VM2要通信的話（無論是否在同一子網(wǎng)），由OVS封裝成VxLAN報文，由leaf和spine交換機(jī)進(jìn)行物理傳輸；對于在同一臺宿主機(jī)上的VM3和VM4，如果它們在同一VPC的同一子網(wǎng)，OVS就直接轉(zhuǎn)發(fā)了（不走VxLAN）；如果是同一VPC的不同子網(wǎng)，也不用走VxLAN，由vRouter和OVS轉(zhuǎn)發(fā)；但如果在不同VPC，就也要走VxLAN，因為不同VPC的隔離就是靠VxLAN實現(xiàn)的。