前言
理解了OVN logical flow,对流量转发行为和路径分析来说有很大帮助。
ovn-trace命令就是工作在logical_flow层面的,从这个角度来看,我们可以忽略logical_flow 转换成ovs flow后是什么样子的,我们相信翻译之后的流表会按logical flow中定义的规则那样工作,因此,我们把重心放在logical flow中规则的设计与分析(以上是自己理解)。
概述
Logical_Flow 表中的每一行代表一条logical flow,ovn-northd通过向这个表中注入logical flow来实现在OVN_Northbound 数据库中定义的2、 3层拓扑结构。
每个hypervisor,会通过ovn-controller 把logical flow翻译成OpenFlow流并落到Open vSwitch中。
logical flow是通过OVN指定格式来表达的,下面会详细描述。
一个逻辑datapath 流很像一个OpenFlow流,只是逻辑流都写在逻辑port和逻辑datapath,
而不是物理port和物理datapath。逻辑和物理流之间的翻译有助于确保逻辑datapath之间的隔离。(逻辑流抽象也让OVN中心化组件负担更小,因为它不用分别计算并push物流到各个chassis。
下面这些描述说的好像是OVN自身执行了这些步骤,但事实上是OVN(ovn-controller)通过OpenFlow和OVSDB协议,在操控着Open vSwitch来使它按照自己的意图工作。
在高层次上,OVN把包转到logical datapath的逻辑入pipeline,之后可能输出包到一个或多个逻辑端口或逻辑组播组。而对于每个出端口,OVN把包转到logical datapath的 逻辑出pipeline,之后要么drop要么转到目的地。在入pipeline到出pipeline之间,到逻辑组播组的输出会被扩展成多个普通逻辑出端口,这样出pipeline阶段就可以简单的一次处理一个逻辑出端口。同样,在入pipeline到出pipeline之间,如果需要的话,OVN也会封包到tunnels来跨 hypervisor转发。
更详细的说,对于一个包,OVN首先在table 0搜索相应的logical_datapath, a pipeline of ingress 以及match字段匹配的row,如果找到多行,则选择优先级最高的。然后OVN执行该行的actions(按顺序),一些action会改变包头,然后指定next和output actions。
next指令会递归执行上面的过程,只不过这次搜索当前table_id+1.
logical flow中的字段
logical_datapath: 指的是某个Datapath_Binding,表示logical flow所属的逻辑datapath。
pipeline:(ingress或者egress)。首先决定一个包的目的地是ingress flows。 ACL规则实在egress阶段实现的。
table_id: 这个OpenFlow中table id很像。
priority:int(0~65535) 。值越大优先级越高。如果有两个优先级一样的都匹配了,那么最终执行的到底是哪一条是不确定的。
match:一个匹配表达式。
OVN提供了OpenFLow匹配能力的超集。语法很像普通编程语言的bool表达式。
大多数条件是符号和常量的比较。例如:ip4.dst 192.168.0.1, ip.proto == 6, arp.op == 1, eth.type == 0x800。 用&& 和||能够组成更大的表达式。
表达式也支持通过括号来分组。逻辑非用!表示true和false用1和0表示。
符号:
type:有两种类型。int和string。int有位宽。
kinds:有三种符号:
fields:字段:字段代表一个包的头字段或者metadata字段。例如,vlan.tci就代表包的VLAN TCI字段。
subfields 子字段:为了表达字段中的某几位方便。比如vlan.vid可能和vlan.tci[0..11]是等价的。
predicates 谓词:它是一个bool表达式的速记表示。predicates用起来更像是1-bit的字段。例如:ip4等价于eth.type0x800. 也是为了方便表示。
Prerequisites :一个Symbol可能会有先决条件。
用这个sysmbol的时候就暗示了这个附加条件。
例如。icmp.type符号的先决条件就是icmp4,它可能被翻译成icmp4.type==0 && icmp4 , 同样地又会扩展成icmp4.type == 0 && eth.type == 0x800 && ip4.proto == 1
关系操作符:所有标准的关系操作符都支持,如==,!=,>,>=.
常量:整形常量可以用十进制或十六进制表示(0x)。
杂项:顺序 tcp.src == 80 and 80 == tcp.src 都可以。
范围可以用例如1024=tcp.src=49151表示。
注释:可以用/* */,但不支持多行。
符号:
大部分符号是整形的。inport和outport是string类型。inport代表一个lofical port,因此它的值是Port_Binding表中logical_port 的name。output可能是Port_Binding中的portname,也可能是Multicast_Group表中的逻辑组播组的name。
形如 regX 的符号是32-bit的int。而xxregX是128-bit的int。它覆盖了于4个32-bit int。例如xxreg0覆盖了reg0reg3(reg0是最高位,reg3是最低位)。类似的,xxreg1代表reg4reg7.
支持的symbol如下:
· reg0...reg9
· xxreg0 xxreg1
· inport outport
· flags.loopback
· eth.src eth.dst eth.type
· vlan.tci vlan.vid vlan.pcp vlan.present
· ip.proto ip.dscp ip.ecn ip.ttl ip.frag
· ip4.src ip4.dst
· ip6.src ip6.dst ip6.label
· arp.op arp.spa arp.tpa arp.sha arp.tha
· tcp.src tcp.dst tcp.flags
· udp.src udp.dst
· sctp.src sctp.dst
· icmp4.type icmp4.code
· icmp6.type icmp6.code
· nd.target nd.sll nd.tll
· ct_mark ct_label
· ct_state, which has the following Boolean subfields:
· ct.new: True for a new flow
· ct.est: True for an established flow
· ct.rel: True for a related flow
· ct.rpl: True for a reply flow
· ct.inv: True for a connection entry in a bad state
ct_state 和它的子字段在遇到ct_next的时候会被初始化,下面会描述.
支持的谓词predicates如下:
· eth.bcast expands to eth.dst == ff:ff:ff:ff:ff:ff
· eth.mcast expands to eth.dst[40]
· vlan.present expands to vlan.tci[12]
· ip4 expands to eth.type == 0x800
· ip4.mcast expands to ip4.dst[28..31] == 0xe
· ip6 expands to eth.type == 0x86dd
· ip expands to ip4 || ip6
· icmp4 expands to ip4 && ip.proto == 1
· icmp6 expands to ip6 && ip.proto == 58
· icmp expands to icmp4 || icmp6
· ip.is_frag expands to ip.frag[0]
· ip.later_frag expands to ip.frag[1]
· ip.first_frag expands to ip.is_frag &&& !ip.later_frag
· arp expands to eth.type == 0x806
· nd expands to icmp6.type == {135, 136} && icmp6.code == 0 && ip.ttl == 255
· nd_ns expands to icmp6.type == 135 && icmp6.code == 0 && ip.ttl == 255
· nd_na expands to icmp6.type == 136 && icmp6.code == 0 && ip.ttl == 255
· tcp expands to ip.proto == 6
· udp expands to ip.proto == 17
· sctp expands to ip.proto == 132
actions:(string类型)
当logical flow中最高优先级的flow被匹配时,将会执行它的actions。
actions列和match列用同样的语法。actions字段留空或是只有'drop;',都会造成匹配的包被drop。否则这一列就应该包含由分号分隔的多个action。
目前支持下面这些action:
output:
在入pipeline阶段,这个action会开始执行出pipeline,如果outport是logical port的名字,那么出pipeline会被执行一次,如果是multical group,则会对group中每个logical port分别执行一次出pipeline。
在出pipeline阶段,这个action 才代表真正的要输出的logical port (备注:出pipeline的outport只能是logical port的名字,不能是组播组的名字)。
默认情况下,如果outport==inport,output这个action相当于一个空操作。有时候覆盖这个默认行为是有用的,比如为一个arp请求做arp回应,用了一个flags.loopback=1,这样就允许从某个端口如的报文被pipeling处理后再从这个入端口出去。
next:
next(table):
执行 另一个逻辑datapath的table 作为子过程。不指定table参数的话,会执行当前table_id+1的表,指定table的话就会跳到指定table执行当前pipeline。
field = constant:
给字段赋值。如:outport = “vif0”可以修改outport的值,要想设置一个字段的某些bits的话,可以用如vlan.pcp[2] = 1设置某一位;或是用vlan.pcp = 4/4;指定 VLAN PCP的最高位。
对一个隐含有先决条件的字段赋值会添加需要match的先决条件,因此,比如一个设置了tcp.dst的flow只会应用到tcp流。而不管是否匹配tcp的其他字段。
并不是所有的字段都能够修改(如eth.type和ip.proto就是只读的),另外并不是所有的可修改字段都可以给部分bits赋值(比如ip.ttl就必须整体赋值)。还有些特殊的,比如output字段在ingress pipeline阶段可以修改,但是在egress pipeline就不能修改。
field1=field2:
用一个字段的值给另一个字段赋值。如reg0=ip4.src;也可以为某些bits赋值,如vlan.pcp = reg0[0..2]; 。
field1和field2必须是同类型的,即都是string或int。另外如果都是int的话,位宽必须一样。
有些隐含先决条件的字段,隐含的回去匹配先决条件,这种情况下,可能会出现互相矛盾的赋值语句,比如ip4.src=ip6.src[0..31],这意味着这条流永远不会被匹配到。
field1 <-> field2;
交换两个字段的值(必须两个字段都是可修改的)。
ip.ttl--
对Ipv4或ipv6的ttl减一。如果减一之后=0,就会停止包处理过程,后面的action也不会被继续执行。(为了合理的处理这种情况,我们可以设置一条高优先级的flow来匹配ip.ttl=={0,1})
ct_next:
应用connection tracking到flow中,初始化CS_state以匹配后面的tables。自动跳转到下一个talbe(类似于后面跟了一个next action)
有一个负面影响就是,分片的ip包需要重组之后才能匹配。如果分片的包被输出的话,那么它将带有重叠的碎片。由于contrack状态被复制到了logical port, 因此可是使用重叠的地址,为了使相关的流量都能匹配,需要执行ct_commit.
ct_next后面也可能带有下面的这些actions,但是这些不会有副作用,通常用处也不大。
ct_commit;
ct_commit(ct_mark=value[/mask]);
ct_commit(ct_label=value[/mask]);
ct_commit(ct_mark=value[/mask], ct_label=value[/mask]);
通过先调用ct_next,然后再执行这些action,可以把一个flow提交到与它关联的contrack表项。当用到ct_mark=value[/mask] and/or ct_label=value[/mask]的时候,这些值会被设置到contrack表项中。ct_mark是一个32-bit的字段。ct_label是128-bit的。value[/mask]如果超过64bits的话应该用hex string表示。
注意:如果执行完ct_commt之后希望包能够被接下来的table继续处理,那么后面要跟一个next action;你也可以不加next,这样的话contrack状态被提交之后就会drop这个包。有些场景可能会这么用,比如drop一个包之间设置一下contrack表项的ct_mark.
ct_nat;
ct_dnat(IP);
ct_dnat 会根据contrack表DNAT zone发包或是unDNAT一个反向包,之后这个包被 送到下一个table(类似于后面跟了个next action)。下一个表能够看到之前connection tracker做的修改。
ct_nat(IP)把包送到DNAT zone(dst IP变成括号中的IP)然后提交这个connection。同样这个包被 送到下一个table(类似于后面跟了个next action)。下一个表能够看到之前connection tracker做的修改。
ct_snat;
cs_snat(IP);
和dnat过程类似。
arp{action;...};
临时替换ipv4包为arp包,然后针对这个arp包执行里面嵌套定义的每个action。arp里面定义的action会应用到原始包。
这些actions所作用的arp包是基于原来的ipv4包初始化生成的。下面列出了嵌套的action可能会修改的一些字段:
· eth.src unchanged
· eth.dst unchanged
· eth.type = 0x0806
· arp.op = 1 (ARP request)
· arp.sha copied from eth.src
· arp.spa copied from ip4.src
· arp.tha = 00:00:00:00:00:00
· arp.tpa copied from ip4.dst
arp包和ip包有相同的VLAN头(如果有的话)。
get_arp(P, A);
参数P(string): logical port
参数A(int):32-bit IP address。
在P的mac binding 表中查找A,如果查到的话,存储它的Ethernet address到eth.dst.否则存储为00:00:00:00:00:00.
用法举例:get_arp(outport, ip4.dst);
put_arp(P, A, E);
参数P(string): logical port
参数A(int):32-bit IP address。
参数E(int) :48-bit Ethernet address
添加或更新P的mac binding表的IP address A的48-bit Ethernet address E。
例子:put_arp(inport, arp.spa, arp.sha);
下面三个是ipv6 邻居发现相关的操作,暂不研究。
nd_na{action...};
get_nd(P, A);
put_nd(P,A,E);
R = put_dhcp_opts(offerip = IP, D1 = V1, D2 = V2, ..., Dn = Vn);
设置dhcp选项。
Example: reg0[0] = put_dhcp_opts(offerip = 10.0.0.2, router = 10.0.0.1,
netmask = 255.255.255.0, dns_server = {8.8.8.8,7.7.7.7});
ct_lb;
ct_lb(ip[: port] ...);
负载均衡相关,暂不研究。
icmpv4{action;。。。}
临时替换一个ipv4包为一个icmpv4包,并执行里面嵌套的action。action可能会修改下面的一些字段:
· ip.proto = 1 (ICMPv4)
· ip.frag = 0 (not a fragment)
· icmp4.type = 3 (destination unreachable)
· icmp4.code = 1 (host unreachable)
tcp_request;
这个action根据下面的伪代码的逻辑转换当前的tcp 包:
if (tcp.ack) {
tcp.seq = tcp.ack;
} else {
tcp.ack = tcp.seq + length(tcp.payload);
tcp.seq = 0;
}
tcp.flags = RST;
然后,这个action丢掉所有的tcp选项和payload数据,更新tcp校验和checksum.
external_ids:
stage-name(option string):当前所处阶段的可读性表示,如ls_out_port_sec_ip、ls_out_acl等。主要是方便查看。
参考链接: http://openvswitch.org/support/dist-docs/ovn-sb.5.html