转载

如何在Docker中使用Open vSwitch

【编者的话】Open vSwitch是一个虚拟交换软件，主要用于虚拟机VM环境，提供网络的虚拟化。本篇文档重点介绍如何在Docker中使用Open vSwitch。

这个文档描述了如何在Docker（大于或等于1.9.0版本）中使用Open vSwitch。我们假设你已经安装好了Open vSwitch和Docker。请没有安装好的读者可以根据 INSTALL.md 和 www.docker.com 的指导来进行安装。

Docker 1.9.0开始支持多主机网络（multi-host networking）。我们可以通过OVNOpen vSwitch virtual network）来将Docker的网络和Open vSwitch结合起来。

简介

对于OVN和Docker的多主机网络（multi-host networking），Docker需要分布式键值对存储的支持。假设我们这里采用consul来提供分布式键值对存储，并且你的主机IP地址为$HOST_IP。用户可以使用下面的命令来启动Docker进程：

docker daemon --cluster-store=consul://127.0.0.1:8500 /
 --cluster-advertise=$HOST_IP:0

OVN为容器提供了网络虚拟化技术。OVN和Docker的结合使用存在两种模式—underlay模式和overlay模式。

在underlay模式下，OVN要求配置OpenStack来提供容器网络。在这个模式下，用户可以创建逻辑网络，并且让运行在虚拟机中的容器、独立的虚拟机（没有容器运行在其中）和物理机器连接到同一个逻辑网络上。这是一种多租户、多主机的解决办法。

在overlay模式下，OVN可以为运行跨主机的容器们提供一个逻辑网络。这是一种单租户（是否能扩展到多租户取决于安全特性）、多主机的解决办法。在这种模式下，你并不需要预创建好的OpenStack。

值得注意的是，用户必须在他想要运行容器的虚拟机或主机上安装并运行Open vSwitch。

Overlay 模式

Overlay模式下，需要Open vSwitch 2.5版本或后续版本的支持。

启动核心模块
OVN架构中会有一个核心的模块来存储网络信息。因此你需要在你其中一台主机（IP地址为$CENTRAL_IP，并且已经安装和启动了Open vSwitch）上启动相关的核心服务。
首先我们让ovsdb-server监听一个TCP端口：
```
ovs-appctl -t ovsdb-server ovsdb-server/add-remote ptcp:6640
```
接下来，启动ovn-northd后台进程。这个进程负责将来自Docker的网络信息（存储在OVN_Northbound 数据库中）转换成逻辑流存储于OVN_Southbound数据库。
```
/usr/share/openvswitch/scripts/ovn-ctl start_northd
```
一次性配置
在每一个你打算创建容器的主机上，你需要运行以下的命令（如果你的OVS数据库被清空，你需要再次运行这个命令。除此之外，重复运行这个命令都是没有任何影响的）。
其他的主机可以通过$LOCAL_IP地址来访问到这个主机，它就相当于本地通道的端点。
$ENCAP_TYPE是指用户想使用的通道的类型。它可以是”geneve“或者”stt“。（注意，你的内核需要支持以上两个类型，用户可以通过运行以下命令来检测内核是否支持以上类型：“lsmod | grep $ENCAP_TYPE"）
```
ovs-vsctl set Open_vSwitch . external_ids:ovn-remote="tcp:$CENTRAL_IP:6640" 
 external_ids:ovn-encap-ip=$LOCAL_IP external_ids:ovn-encap-type="$ENCAP_TYPE"
```
最后，启动ovn-controller（你需要在每一次启动时运行以下命令）：
```
/usr/share/openvswitch/scripts/ovn-ctl start_controller
```
启动Open vSwitch网络驱动
在默认情况下，Docker使用Linux网桥，但它支持外扩展。为了替换Linux网桥，我们需要先启动Open vSwitch驱动。
Open vSwitch驱动使用了Python Flask模块来监听Docker的网络API请求。因此，用户需要先安装Python 的Flask模块。
```
easy_install -U pip
 pip install Flask
```
在每一个你想要创建容器的主机上启动Open vSwitch驱动：
```
ovn-docker-overlay-driver --detach
```
Docker内部包含了一些模块，这些模块拥有类似于OVN的逻辑交换机和逻辑端口的概念。请读者仔细阅读Docker的文档来查找相关的命令。这里我们给出了一些案例：
- 创建用户自己的逻辑交换机
  
  下面的命令创建了一个名为”foo“的逻辑交换机，它的网段为”192.168.1.0/24”：
```
NID=`docker network create -d openvswitch --subnet=192.168.1.0/24 foo`
```
- 显示已有逻辑交换机
```
docker network ls
```
你也可以通过以下命令从OVN的northbound数据库中查找到这个逻辑交换机：
```
ovn-nbctl --db=tcp:$CENTRAL_IP:6640 lswitch-list
```
- Docker创建逻辑端口，并且将这个端口附加到逻辑网络上
  
  比如说，将一个逻辑端口添加到容器busybox的“foo”网络上：
```
docker run -itd --net=foo --name=busybox busybox
```
- 显示所有的逻辑端口
  
  Docker现在并没有一个CLI命令来罗列所有的逻辑端口，但是你可以从OVN的数据库中找到它们：
```
ovn-nbctl --db=tcp:$CENTRAL_IP:6640 lport-list $NID
```
- 用户也可以创建一个逻辑端口，并将它添加到一个运行中的容器上：
```
docker network create -d openvswitch --subnet=192.168.2.0/24 bar
 docker network connect bar busybox
```
用户可以删除逻辑端口，或者将它们从运行容器上分离出来：
```
docker network disconnect bar busybox
```
- 用户也可以删除逻辑交换机：
```
docker network rm bar
```
Underlay模式
在这个模式下，OVN要求用户预安装好OpenStack。
一次性配置
一个OpenStack的租户创建了一个虚拟机，这个虚拟机拥有单张或多张网卡。如果租户想要发送虚拟机中容器的网络包，他需要获取这些网卡的port-id。port-id可以通过以下命令获得：
```
nova list
```
然后运行：
```
neutron port-list --device_id=$id
```
在虚拟机中，下载OpenStack的RC文件，这些文件包含了租户的信息（我们用openrc.sh来指代它）。编辑这个文件，并且将之前获取到的port-id以 export OS_VIF_ID=$port-id的格式加入到文件中。文件的内容如下：

!/bin/bash
export OS_AUTH_URL=http://10.33.75.122:5000/v2.0
export OS_TENANT_ID=fab106b215d943c3bad519492278443d
export OS_TENANT_NAME="demo"
export OS_USERNAME="demo"
export OS_VIF_ID=e798c371-85f4-4f2d-ad65-d09dd1d3c1c9
创建Open vSwitch网桥
如果用户的虚拟机只有一个以太网接口（比如说eth0），你需要将这个设备作为一个端口加入到Open vSwitch的”breth0”网桥上，并且移除它的IP地址，将其他相关的信息转移到这个网桥上。（如果有多个网路接口，用户自己创建Open vSwitch网桥，并且添加接口到网桥上）
如果你使用DHCP来获取IP地址，你需要关闭监听eth0的DHCP客户端，并且开启一个监听Open vSwitch breth0网桥的DHCP客户端。
你可以让以上的步骤持久化，比如说你的虚拟机是Debian/Ubuntu，你可以参考 openvswitch-switch.README.Debian，如果你的虚拟机基于RHEL，你可以阅读 README.RHEL完成持久化。
开启Open vSwitch网络驱动
Open vSwitch驱动使用了Python Flask模块来监听Docker的网络API调用。这个驱动还使用了OpenStack的python-neutronclient库。因此，如果你的主机还没有安装Python Flask或者python-neutronclient，你需要使用以下命令来安装：
```
easy_install -U pip
 pip install python-neutronclient
 pip install Flask
```
运行openrc文件：
```
../openrc.sh
```
开启网络驱动，并且提供OpenStack租户的密码：
```
ovn-docker-underlay-driver --bridge breth0 --detach
```
从现在开始，你可以使用和overlay模式类似的Docker命令了。请阅读“man ovn-architecture”来理解OVN的技术细节。