虚拟交换机的配置实训

引自免费微信小程序：皆我百晓生

对于配置虚拟交换机的实训项目，以下是一个基于Red Hat OpenShift的步骤指南：

实训目的：

1. 熟悉并掌握在虚拟交换机上的单臂路由配置方法。
2. 在交换机上配置信息，包括接入端口、子网掩码、VLAN、IP地址等，并验证其正确性。
3. 调整全局配置参数以支持不同的网络连通性和安全策略。
4. 在路由器上配置信息，实现与虚拟交换机之间的流量转发功能。

设计目标：

1. 在一个简单的物理网络环境中（例如，双机服务器集群），将用户主机分为两个虚拟的逻辑 VLAN，并实现它们之间的一对一映射关系，同时允许内部主机通过一个特定的端口访问外部网络。
2. 配置交换机及其相关功能，包括全局模式下的配置文件，以及针对每个 VLAN 的单臂路由配置。

设置环境

工具：

1. Red Hat OpenShift（兼容的版本如 Red Hat Enterprise Linux (RHEL) 7 或 CentOS 8）安装包
2. OpenSSL （用于加密和解密数据）
3. Nmap (用于探测网络资源，包括 IP 地址、路由表、协议类型等)
4. TCPdump (用于捕获和分析网络流量)
5. SSH客户端 (用于远程登录和管理虚拟机)
6. IDEA，Git，Hadoop，Spark等开发环境

步骤一：

1. 安装 Red Hat OpenShift：首先，确保已安装了 Red Hat Enterprise Linux (RHEL) 7 或 CentOS 8 系统。打开终端并执行 yum install -y redhat-openstack-client 来下载和安装 OpenShift。

2. 创建虚拟机集群和角色：使用 oc create cluster openstack -n test-cluster 创建一个新的虚拟机集群，然后在集群内创建一个角色（例如，admin）来代表管理员操作系统和应用程序。

步骤二：

1. 创建交换机和端口组：运行以下命令创建交换机和指定相应端口组：

oc new-network --type vrouter --network=openstack/test-cluster --network-policy=vrouter-policy.yaml
oc new-portgroup --vrouter-type=vrouter --port-group=sg1 --name sg1

上述命令创建了一个名为 sg1 的端口组，其中包含 vrouter 模块和一个名为 sg1 的端口，用于连接主机到外部网络。

步骤三：

1. 在交换机上配置信息： a. 将本地主机添加到交换机：

   oc create serviceaccount my-service-account --namespace=test-cluster
   oc login my-service-account@<your-internal-ip>:6443
   oc new-app nginx:application -n test-cluster --image=nginx:latest --hostname=my-router-app.example.com --https-access-auth-method=token --https-read-resource=/api/v1/project/my-project/volumes/nginx.conf
   

   b. 在 nginx 中配置单臂路由：

   server {
       listen 80;
       location / {
           internal;
           proxy_pass http://<my-router-ip>:<public-api-endpoint>;
           proxy_set_header Host $host;
           proxy_set_header X-Real-IP $remote_addr;
       }
   }
   

   c. 给交换机和端口组命名（例如，vrouter 和 sg1）：

   oc label selector app_name=vrouter app_id=<app-id> ingress=true active=True name="vrouter" forNetworks="sg1"
   oc label selector app_name=sg1 app_id=<app-id> ingress=true active=True name="sg1"
   

2. 将 Kubernetes 升级为 RHEL：在虚拟机集群内部执行以下命令更新 Kubernetes 环境：

oc upgrade version kubernetes.io/rhel7@sha256:3b8f7e49a6c6ab3853eb2d0dbb53a0855077ce025e6d85661aa9041e708af7a3

完成上述升级后，Kubernetes 版本应在 1.22 或更高版本中，即 v2.4.0 或更高版本，以便后续的跨网络桥接和扩展项工作正常。

步骤四：

1. 验证虚拟交换机配置： a. 使用 curl 测试对接口与外网通信：

   curl -X POST -H "Content-Type: application/json" -d '{"url": "<public-api-endpoint>"}' http://<your-router-ip>:80/v1/proxy/mapping
   

   b. 在 kubectl 中查看端口状态：

   kubectl get serviceports <my-router-ip>
   

   c. 使用 Nmap 工具扫描网络，确认交换机已连接到外部网络并被识别为 VRouter:

   nmap -p <port-range>:80 <your-router-ip> | grep 'vxlan'
   

   d. 使用 TCPdump 工具抓取交换机的内部流量，确认单臂路由配置是否成功，接口流量来源及方向：

   • Scenario 1: Inside the host machine (LAN), traffic is originated from a specific port and destined to an external host over an isolated network segment.
   • Scenario 2: Traffic flows from the guest machine's host interface to the router via its single-port interface.

步骤五：

1. 修改全局配置： a. 导入必要的 sysctl.d/ 文件夹中的 net.ipv4.ip_forward、net.ipv4.ip_v6 forwarding、net.ipv4.conf.all.forwarding 和 net.ipv4.conf.default.forwarding 等系统变量和键值对，以启用全局 VRF：

   sysctl add -w net.ipv4.ip_forward=1 net.ipv4.ip_v6_forward=1 net.ipv4.conf.all.forwarding=1 net.ipv4.conf.default.forwarding=1
   

2. 更新宿主机（VIP）配置： a. 配置宿主机（VIP）的网络接口（通常是虚拟接口）以指向交换机的内部端口：

   eth0 -> vrouter-sg1
   

3. 验证交换机转发规则： a. 使用 tcpdump 或类似工具观察端口之间的流量流动，确保单臂路由配置生效。

   tcpdump -i eth0 host | grep '<my-router-ip>:<public-api-endpoint>'
   

   b. 使用 curl 进行跨设备 ping 测试，确保内部主机能与外部主机进行双向通信：

   curl -X POST -H "Content-Type: application/json" -d '{"url": "<public-api-endpoint>"}' http://<your-router-ip>:80/v1/proxy/mapping
   

   c. 如果需要限制某个 VLAN 从另一个 VLAN 传输数据，可以在 <my-router-ip> 的端口匹配上应用 ACL 规则：

   sriov-acl veth0 deny from <virtual-ip-acl> to any
   

   d. 如果需要实现带宽限制，可以在端口上增加流量计数器：

   switch br-gateway br-policysvc GigabitEthernet1/0/0 promisc
   promisc enable
   system-event huawei-gigabitEthernet1/0/0:rx_bytes counter rate 50
   system-event huawei-gigabitEthernet1/0/0:tx_bytes counter rate 50
   

步骤六：

1. 重启服务： a. 执行以下命令重启交换机和相关的 Kubernetes 服务：

   oc scale --replicas=1 sharded-controller replicaCount=1
   oc scale --replicas=1 loadbalancer controller replicas=1
   oc delete --all-services my-service-account
   oc apply -f ./config-virtual-switch.yml
   

   b. 在 DNS 中配置虚拟主机：

   apiVersion: networking.k8s.io/v1
   kind: Service
   metadata:
     name: nginx-proxy
     labels:
       app_name: nginx-proxy
   spec:
     type: LoadBalancer
     selector:
       app_name: nginx-proxy
     ports:
     - protocol: TCP
       port: 80
       targetPort: 80
     networkInterfaces:
     - ipaddress: 192.168.1.1/24
       bridge: vrouter-sg1
   

   c. 在虚拟机中验证网络连接：

   • 通过 Telnet 利用 ssh 登录到虚拟机，确认对外部网络的访问已经成功。
   • 通过 HTTP 检查网络通配符指向的外部 IP，确保其应为交换机的外部公网 IP。

以上就是在虚拟交换机配置实训项目中的基本步骤，具体配置细节可能根据实际需求和项目边界调整。请注意遵循相应的运维最佳实践，定期检查和维护虚拟交换机以确保其稳定