1、SDN

傳統(tǒng)的網(wǎng)絡設備是分布式和去中心化的，每臺設備可以通過自主學習和人工配置，可以知道如何轉發(fā)數(shù)據(jù)包，而不需要一個集中式的控制設備。

SDN這個詞本身就是軟件定義網(wǎng)絡（Software?Defined?Network），在虛擬網(wǎng)絡里，vSwitch和vRouter這些設備，通常都不用登錄上去敲命令（雖然也可以這么做），而是通過云平臺配置。云平臺通過API和SDN控制器交互，SDN控制器計算并下發(fā)轉發(fā)表到vSwitch和vRouter，完成配置。

SDN原理示意

所謂Overlay，是在傳統(tǒng)的物理網(wǎng)絡（Underlay）基礎之上，構建出一個虛擬的邏輯網(wǎng)絡。從技術上講，Overlay的二層數(shù)據(jù)包封裝在物理網(wǎng)絡的三層報文中傳輸，到達目的地之后再解封裝得到Overlay的二層報文。實際上，這就是一種“L2 over L3”的隧道封裝技術。這方面的協(xié)議比較多，主要有VxLAN（L2 over UDP）、NVGRE（L2 over GRE）、STT(L2 over TCP)等。

2、VxLAN

VxLAN（Virtual eXtensible Local Area Network，虛擬可擴展局域網(wǎng)）是實現(xiàn)Overlay網(wǎng)絡的主流技術，正是通過VxLAN，才實現(xiàn)了VPC（包括子網(wǎng)）的完美隔離。

大體而言，就是VM之間交互的數(shù)據(jù)包，在離開vSwitch時會加上封裝，形成隧道，不同子網(wǎng)帶有不同的隧道號標識。解隧道封裝的時候，看到隧道號不對，就會拋棄，這樣不同子網(wǎng)內的虛擬機無法進行直接通信（除非做了路由），這就實現(xiàn)了隔離。

VxLAN不僅解決了隔離的問題，還解決了傳統(tǒng)二層技術（如VLAN）難以解決的大規(guī)模二層互連的問題，由于通過三層傳輸，虛機的部署和遷移就不受二層物理網(wǎng)絡限制了。VxLAN是怎么將L2 over在L3之上呢，答案是：將以太網(wǎng)幀封裝在UDP包中。

VxLAN的包結構

如上圖所示，Overlay的二層數(shù)據(jù)幀被封裝在三層的IP包中（精確的說，是四層的UDP報文中），封裝的頭部是VxLAN Header，里面的主要內容就是24bit的VNI（VxLAN ID），每個子網(wǎng)都有一個VNI，這樣即便是同一臺主機上的兩臺VM，即便處于同一IP段，只要他們在不同的子網(wǎng)，就無法通信，因為子網(wǎng)的OVS看見不同的VNI就會拋棄掉。

做封裝和解封裝的端點被稱為VTEP，它同時也就是VxLAN隧道的起點和終點。VTEP通常是由OVS實現(xiàn)的，子網(wǎng)中VM向外發(fā)出的二層報文，會由OVS進行封裝，做成UDP包發(fā)出；同時OVS會在UDP特定端口監(jiān)聽，收到VxLAN報文后，如果VNI正確，則去掉封裝，將封裝前的二層報文轉發(fā)給相應的VM。

對于裸金屬（云管理的物理機）而言，由于它沒有OVS，它的Overlay通信要通過VxLAN網(wǎng)關（承擔VTEP功能）實現(xiàn)，或者可以在物理機上插一塊智能網(wǎng)卡，由智能網(wǎng)卡做VTEP。

VTEP有軟件和硬件兩種，前面講的OVS就是軟件VTEP，也有用硬件交換機做VTEP的。如果VTEP由軟件完成，這種Overlay就叫Host Overlay；如果由硬件設備完成，就叫Network Overlay；如果都有，就叫混合Overlay。

對于Host Overlay而言，物理交換機網(wǎng)絡中的Leaf和Spine僅進行IP報文的高速轉發(fā)，不處理VxLAN報文。

Overlay和Underlay示意

上圖中，VM1和VM2要通信的話（無論是否在同一子網(wǎng)），由OVS封裝成VxLAN報文，由leaf和spine交換機進行物理傳輸；對于在同一臺宿主機上的VM3和VM4，如果它們在同一VPC的同一子網(wǎng)，OVS就直接轉發(fā)了（不走VxLAN）；如果是同一VPC的不同子網(wǎng)，也不用走VxLAN，由vRouter和OVS轉發(fā)；但如果在不同VPC，就也要走VxLAN，因為不同VPC的隔離就是靠VxLAN實現(xiàn)的。