网易云网络服务研发实践—第2代云网络服务|网易云( 二 ) _vxlan

机房内网是第二代云网络服务提供的一个可选网络，由管理员为租户创建。云主机添加这个网络后，可以和现有的企业物理机房网络互通；也可以和其他添加了这个网络的云主机互通，以实现云主机的跨租户互相通信。
和私有网络不同的是，不同租户的机房内网IP不能复用。
不同租户间机房内网默认是不通的，如果需要跨租户互相访问需要手动添加ACL规则设置白名单。例如，图中租户A的云主机VM2，创建并加入机房内网（为其添加机房内网IP：10.64.132.9）并设置ACL规则后，企业物理机房网络中的物理服务器就可以访问VM2，同时租户B中加入了机房内网的云主机也可以访问VM2 。
在租户使用机房内网时，需要管理员手工设置它的ACL规则，通过源地址、目标地址来设置允许网络访问的白名单列表。和第一代云网络服务中的安全组对网络访问权限控制的作用类似，但是不同的地方是安全组控制的是流入（）流量，ACL控制的是流出（）流量。还是以图中租户A的云主机VM2为例，若租户A设置ACL规则源地址为10.64.132.9/32，目标地址10.64.133.2/32后，则云主机VM2可以访问租户B中的VM4，但是不能访问云主机VM5与云主机VM6 。若租户B同时也设置ACL规则源地址10.64.133.2/32，目标地址10.64.132.9/32后，则租户A的云主机VM2与租户B的云主机VM4可以通过机房内网互相通信。
和机房内网类似，外部网络也是第二代云网络服务提供的一个可选网络，由管理员为租户创建。当云主机加入到这个网络后，能够在公共互联网上被其他用户访问；也可以被其他云主机直接访问。例如，租户B中的云主机VM6添加外部网络(为其添加公网IP：17.13.1.114)后，就可以被互联网中的普通用户访问了。
第二代云网络服务默认会为每个租户绑定一个路由器（），在没有创建机房内网以及外部网络的情况下，租户的云主机可通过该路由器访问企业物理机房网络以及互联网。例如，图中租户A的云主机VM3只接入了一个私有网络，仍然可以通过路由器访问企业物理机房网络以及互联网，但VM3仍然不能被企业物理机房网络以及互联网上的用户访问到。
在租户云主机没有加入到外部网络时，它不能直接从外部连接访问。然而，正如图4中租户B的云主机VM5，通过使用云网络中的VPN服务，就能够允许用户从非云环境（特别是互联网环境）接入访问到租户的私有网络中。
技术选型
第二代云网络服务基于的组件进行研发，在社区技术选型上，我们使用了VXLAN隧道网络技术、社区Flat网络模型，利用了ML2 + OVS Agent的模式，同时开启了L2 特性。下面将具体介绍这些技术。
>>>>VXLAN网络技术
VXLAN (VLAN) 是Cisco、和等公司提出的一种用于解决大规模云计算环境中扩展性问题的虚拟网络技术。VXLAN使用UDP包封装二层以太帧，实现了类似VLAN的封装技术。中的VXLAN网络使用了VXLAN的封格式实现隔离的大二层虚拟网络，其中并没有使用VXLAN的控制层，而是由代替。其中，云网络服务中的私有网络使用了VXLAN网络技术。
>>>>Flat网络模式
中的Flat网络是类似于nova-中的Flat DHCP网络，所有云主机位于同一个二层网络中，由的DHCP服务分配IP 。在云网络服务中的外部网络使用了Flat网络模式。
>>>>ML2与Open (OVS) Agent
Layer 2 (ML2) 是中针对数据中心同时使用的大量L2技术设计的一个模块化框架，同时支持Linux 、Open 、Hyper-V等不同的L2。通过Type 和的设计，减少了后续增加新的网络技术和新的L2 Agent的成本。OVS Agent使用Open 实现L2服务，支持等特性，是目前广泛使用的一个L2 Agent 。
>>>>L2