networking-sfc deep dive 1

介绍

SFC全称service function chain，RFC 7665 Service Function Chaining (SFC) Architecture对SFC的体系做了很详细的介绍。end to end流量中间要有序经过firewall,NAT,IDS等网络功能单元，对这些网络功能的定义和管理，以及指导流量如何有序经过这些网络功能单元就是SFC。为什么现在需要SFC，是因为以前firewall,NAT,IDS等网络功能单元是实体物理设备，它的部署位置是和网络拓扑强相关的，所有流量共享这些设备，而且流量经过这些设备的序列是固定死的，总结是不够灵活，而SFC可以自定义网络功能单元，自定义流量路径，很好给云计算网络提供了支撑。

SFC首先由classifier识别出要经过这条chain的流量，然后再不断地经过这条chain上的service function，从classifier到第一个sf和从上一下sf到下一个sf，报文都被封装SFC头，目前主推的就是RFC 8300 Network Service Header (NSH)，封装头一般包含chain id和chain上的位置，就是这个报文走的是哪个chain，现在在chain上走了几步了，这样靠这个头就可以保证报文走正确的chain，而且在chain上依次一个一个地走sf，不会重复走sf，也不会跳过一些sf。有些头可以包含更多字段，携带数据以便sf之间共享信息。

从上一个sf到下一个sf由sf forwarder来转发，sf又分为sfc-aware和sf-unaware，sfc-aware可以正确解析报文携带的SFC头，反之sfc-unaware就不能识别NSH等这样的头，需要sfc proxy把NSH等这头去掉，再发往sf中。

networking-sfc介绍

networking-sfc是openstack中实现sfc功能的一个项目，openstack neutron中port是一个很重要概念，所以networking-sfc就把port连在一起形成一条chain，就是service function chain，在opnestack中叫做port chain，RFC中并没有说SFF和SF怎么传递报文，port chain明确指出用port，而且分为ingress port和egress port，一下好理解多了，。

networking-sfc实现了neutron extension，对外提供api，service plugin负责真正干活，plugin又包含各种条样的driver，其中就有ovs driver，ovs driver和计算节点上opensvswitch agent 中的sfc extension用rpc通信。

networking-sfc中有如下几个重要概念：

port pair就是一个sf节点上一对口，一个port是ingress进sf，另一个port是egress出sf，ingress和egress可以是同一个port，这个port能进能出。

port pair group包含一个或者多个port pair，主要是为了做流量负载均衡，假如一条chain中有两个firewall sf，流量可以走任意一个firewall就可以，port pair group就是干这事的，指导流量在这两个firewall上负载均衡。

classifier识别流量的，定义一些规则，哪些流量走这条chain。

port chain把一些port pair group按顺序指定好，再加一个classifier识别出流量上第一个sf就形成了一个port chain。

service graph把几条chain组合在一起形成一个各复杂的流量多路径，流量经过一条chain后分叉，两个分支分别走不同的chain，理论上这个graph不能形成环路。

networking-sfc安装和配置

yum install python2-networking-sfc.noarch

控制节点: /etc/neutron/neutron.conf service_plugins=..., networking_sfc.services.flowclassifier.plugin.FlowClassifierPlugin,networking_sfc.services.sfc.plugin.SfcPlugin [sfc] drivers=ovs [flowclassifier] drivers=ovs 升级neutron db: $ neutron-db-manage --config-file /etc/neutron/neutron.conf --subproject networking-sfc upgrade head systemctl restart neutron-server.service

计算节点: /etc/neutron/plugins/ml2/openvswitch_agent.ini [agent] extensions=sfc systemctl restart neutron-openvswitch-agent.service

总结

提出一些高大上的概念容易，怎样用具体的技术能实现出来才是难点。SFC就是一些高大上的概念，networking-sfc把它实现出来了，而且借助现有neutron的技术，很好地融合在neutron中，真的非常了不起。