跳到主要內容

透過 OVS Bridge 及 Docker 親手打造 SDN 實驗網路 (三) (無外部網路)

https://medium.com/@john.lin/%E9%80%8F%E9%81%8E-ovs-bridge-%E5%8F%8A-docker-%E8%A6%AA%E6%89%8B%E6%89%93%E9%80%A0-sdn-%E5%AF%A6%E9%A9%97%E7%B6%B2%E8%B7%AF-%E4%B8%89-%E7%84%A1%E5%A4%96%E9%83%A8%E7%B6%B2%E8%B7%AF-2f60a27e0f45


透過 OVS Bridge 及 Docker 親手打造 SDN 實驗網路 (三) (無外部網路)

操作概要(四步驟)

在詳細進入每個操作步驟之前,會先把全面性的概要操作方法列出來,才不會有種見樹不見林的感覺。
  1. 建立 OVS Bridge 名稱 ovsbr0
  2. 直接對 OVS Bridge 設定一個 Static IP address ,並啟動
  3. 產生兩個 Containers 來當 Hosts
  4. 透過 ovs-docker/pipework 工具將 Containers attach 上 OVS Bridges
在這邊會做了幾張圖,比較好瞭解 OVS 每道指令在 network stack 上發生什麼作用。
Fig1. Original Network Stack
在 vagrant ssh 登入到 VM 之後,我們的 VM 上目前的 Network Stack 如圖一所示,可以看到 IP Stack 直接連上 interface enp0s3。此時我們還沒透過 OVS 建置任何一個 Bridge。
在透過 OVS 的指令來加入 Bridge之前,我們必須要先拿到 root 的權限,方便做 OVS 指令的操作
$ [host] vagrant ssh
$ [guest] sudo -i
$ [guest] ovs-vsctl add-br ovsbr0 #Create OVS bridge
我們加入了一個名稱 ovsbr0 的 bridge 可以透過 ifconfig [interface name] 來確認,並且透過 ovs-vsctl show 來看 bridge 的資訊
root@ubuntu-xenial:~# ifconfig ovsbr0
ovsbr0    Link encap:Ethernet  HWaddr be:86:d5:cd:f9:4b
          BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
root@ubuntu-xenial:~# ovs-vsctl show
0a19b4a7-0279-452f-9916-b73655d5b122
    Bridge "ovsbr0"
        Port "ovsbr0"
            Interface "ovsbr0"
                type: internal
    ovs_version: "2.5.2"
此時我們的 network stack 變成如圖二所示,串接在 IP Stack上,但是尚未將它啟動。
Fig2. Network Stack with OVS Bridge
再來設定 OVS bridge (ovsbr0) 的 IP address ,並將這個 interface 啟動(注意我們剛剛只有創建一個 ovsbr0 並沒有指派給他IP 也沒有將它啟動)。
透過 ip 指令指派 IP 和啟動 ovsbr0
$ ip addr add dev ovsbr0 10.0.2.100/24 #Configure IP address
$ ip link set dev ovsbr0 up            #ovsbr0 interface up
接著要啟動兩個 containers 來模擬 hosts,這裡有兩個工具可以利用,一個是由開發者@jpetazzo 所開發的 pipework 另外一個是 OVS 官方對 docker 網路操作所釋出的工具 ovs-docker 兩套各有好處,這邊兩邊都會記錄,選一套操做即可。

ovs-docker [option1]

首先我們先啟動兩個 containers 這裡用 busybox 的 image 當範例因為只是要驗證網路的互通性,busybox 的 image 可以事先用 docker pull busybox 拉下來,或是直接跑 containers 它(docker) 找不到 local image 會自動去 DockerHub pull
$ docker pull busybox
$ docker run --name=container1 --cap-add=NET_ADMIN --net='none' -itd busybox /bin/sh
$ docker run --name=container2 --cap-add=NET_ADMIN --net='none' -itd busybox /bin/sh
幾個 options 稍微介紹一下,如果不了解可以去看 docker 官方指南
  • --name=container1: 指定docker 名稱
  • --cap-add=NET_ADMIN: 給予 network 最高權限
  • --net=’none’: 停掉所有 default 的 networking (我們不用docke0的bridge)
  • -itd busybox /bin/sh: 啟動 busybox 的 shell 並放入背景 (detach)
透過 ovs-docker 將 container attach 上 OVS bridge, container1 容器內給一個 interface eth0 指派 IP 10.0.2.30/24 又或者你可以不要給指派 IP 進去容器內後再用 DHCP (busybox: udhcpc, ubuntu: dhclient)去要 IP (因為我們是用 virtualbox 所以 enp0s3 外面會有一個 gateway 在發 IP)
$ ovs-docker add-port ovsbr0 eth0 container1 --ipaddress=10.0.2.30/24
$ ovs-docker add-port ovsbr0 eth0 container2 --ipaddress=10.0.2.40/24

Pipework [option2]

pipwork 更加簡潔,指令只要兩行就可以把網路串好且 docker 開好,原則上跟上面類似 $() 內會啟動 container 並且吐出 container ID 餵給 pipework
$ pipework ovsbr0 -i eth0 $(docker run --cap-add=NET_ADMIN --net='none' -itd busybox /bin/sh) 10.0.2.10/24
$ pipework ovsbr0 -i eth0 $(docker run --cap-add=NET_ADMIN --net='none' -itd busybox /bin/sh) 10.0.2.20/24
Fig3. Network Stack with OVS Bridge and Containers
當然,要開幾個 Containers 就一直 copy 指令改 IP 下去,反正docker 號稱 Lightweight 但還是要注意 VM 一開始所配的 RAM 跟 CPU (可以從 Vagrantfile 裏做修改)
大功告成,不管用的是 Option1 還是 Option2 我們的 Network Stack 都是變成圖三這個樣子,我們先來看一下 OVS 在 bridge 及 port 的資訊
root@ubuntu-xenial:~# ovs-vsctl show
80dfbd0a-f6b7-47d0-89a4-ca7906a86a92
    Bridge "ovsbr0"
        Port "43ad433deb9684_l"
            Interface "43ad433deb9684_l"
        Port "ovsbr0"
            Interface "ovsbr0"
                type: internal
        Port "veth0pl6094"
            Interface "veth0pl6094"
    ovs_version: "2.5.2"
我分別用了 pipework 及 ovs-docker 連上了 OVS bridge 在 list ports 可以發現他們命名的方式不同分別是 veth0pl6094 及 43ad433deb9684_l
root@ubuntu-xenial:~# ovs-vsctl list-ports ovsbr0
43ad433deb9684_l
veth0pl6094
驗證一下其結果透過 docker attach 指令進入任一個 container 試著 ping 另外一個 container 通了就代表 bridge 兩個 containers 成功!
$ docker attach 
$ ping 10.0.2.20  #ping container2
$ ping 10.0.2.100 #ping ovs
記得要離開 container 的時候先按下 Ctrl+P 然後再按 Ctrl+Q 離開(detach)容器這樣容器才不會停止。或者用 tmux 開兩個 sessions 每個 session 分別放不同的 container 透過 tmux detach 的方式暫時離開切換 session
接下來你可以將 SDN Controller 接上 OVS 開始控制網路流量 (可以將 SDN Controller 放到第三個容器內跟 OVS bridge 做 OpenFlow Protocol 的連線),但是你可能會發現到 Container 內網路沒辦法對外連線,不過如果實驗不需要外部網路,大概這樣就可以開始一個 SDN 的網路環境,對外網路連線會留到下一篇做介紹。
下一篇:透過 OVS Bridge 及 Docker 親手打造 SDN 實驗網路 (四) (設定外部連網)


留言

張貼留言

這個網誌中的熱門文章

opencv4nodejs Asynchronous OpenCV 3.x Binding for node.js   122     2715     414   0   0 Author Contributors Repository https://github.com/justadudewhohacks/opencv4nodejs Wiki Page https://github.com/justadudewhohacks/opencv4nodejs/wiki Last Commit Mar. 8, 2019 Created Aug. 20, 2017 opencv4nodejs           By its nature, JavaScript lacks the performance to implement Computer Vision tasks efficiently. Therefore this package brings the performance of the native OpenCV library to your Node.js application. This project targets OpenCV 3 and provides an asynchronous as well as an synchronous API. The ultimate goal of this project is to provide a comprehensive collection of Node.js bindings to the API of OpenCV and the OpenCV-contrib modules. An overview of available bindings can be found in the  API Documentation . Furthermore, contribution is highly appreciated....
張貼留言
閱讀完整內容

2017通訊大賽「聯發科技物聯網開發競賽」決賽團隊29強出爐!作品都在11月24日頒獎典禮進行展示

2017通訊大賽「聯發科技物聯網開發競賽」決賽團隊29強出爐!作品都在11月24日頒獎典禮進行展示 LIS   發表於 2017年11月16日 10:31   收藏此文 2017通訊大賽「聯發科技物聯網開發競賽」決賽於11月4日在台北文創大樓舉行,共有29個隊伍進入決賽,角逐最後的大獎,並於11月24日進行頒獎,現場會有全部進入決賽團隊的展示攤位,總計約為100個,各種創意作品琳琅滿目,非常值得一看,這次錯過就要等一年。 「聯發科技物聯網開發競賽」決賽持續一整天,每個團隊都有15分鐘面對評審團做簡報與展示,並接受評審們的詢問。在所有團隊完成簡報與展示後,主辦單位便統計所有評審的分數,並由評審們進行審慎的討論,決定冠亞季軍及其他各獎項得主,結果將於11月24日的「2017通訊大賽頒獎典禮暨成果展」現場公佈並頒獎。 在「2017通訊大賽頒獎典禮暨成果展」現場,所有入圍決賽的團隊會設置攤位,總計約為100個,展示他們辛苦研發並實作的作品,無論是想觀摩別人的成品、了解物聯網應用有那些新的創意、尋找投資標的、尋找人才、尋求合作機會或是單純有興趣,都很適合花點時間到現場看看。 頒獎典禮暨成果展資訊如下: 日期:2017年11月24日(星期五) 地點:中油大樓國光廳(台北市信義區松仁路3號) 我要報名參加「2017通訊大賽頒獎典禮暨成果展」>>> 在參加「2017通訊大賽頒獎典禮暨成果展」之前,可以先在本文觀看各團隊的作品介紹。 決賽29強團隊如下: 長者安全救星 可隨意描繪或書寫之電子筆記系統 微觀天下 體適能訓練管理裝置 肌少症之行走速率檢測系統 Sugar Robot 賽亞人的飛機維修輔助器 iTemp你的溫度個人化管家 語音行動冰箱 MR模擬飛行 智慧防盜自行車 跨平台X-Y視覺馬達控制 Ironmet 菸消雲散 無人小艇 (Mini-USV) 救OK-緊急救援小幫手 穿戴式長照輔助系統 應用於教育之模組機器人教具 這味兒很台味 Aquarium Hub 發展遲緩兒童之擴增實境學習系統 蚊房四寶 車輛相控陣列聲納環境偵測系統 戶外團隊運動管理裝置 懷舊治療數位桌曆 SeeM智能眼罩 觸...
張貼留言
閱讀完整內容

HTTP headers設置,讓網站更安全避免淪為挖礦機

https://meet.bnext.com.tw/articles/view/42595?utm_campaign=5741400&utm_source=SendPulse&utm_medium=push HTTP headers設置,讓網站更安全避免淪為挖礦機 梅干 2018/04/17 最近一位工程師好友,突然丟一個檢測平台的分數,起初梅干以為是SSL檢測,就進入測試一下,卻發現到,怎分數相當的低,最後研究了一下,原來網站不是有加入SSL憑證就代表安全無誤,就在今年的六月KeyCDN在官方部落格,發表了一篇關於站點HTTP headers配置,分別為X-XSS-Protection、X-Frame-Options、X-Content-Type-Options Content-Security-Policy、Strict-Transport-Security、Public-Key-Pins這六項進行安全的設定,讓網站更加的安全,不會淪為挖礦主機。 而要修正這個HTTP headers的配置,一點也不難,只需將設定參數加入.htaccess文件後,立即就可讓網站更加的安全,並且也可遠離挖礦惡意程式入侵主機,因此身為網站管理員,這個絕不容輕乎,因此也趕快來檢測看看,你的網站是否安全,以及要如何將網站進行修正。 HTTP headers檢測網站 網站名稱: securityheaders.io  網站連結: https://securityheaders.io Step1 首先,開啟.htaccess檔案後,並加入下方的參數設定。 # HTTP security settings start Header set Strict-Transport-Security: max-age=2592000; Header set X-Frame-Options: SAMEORIGIN Header set Referrer-Policy: no-referrer Header set X-XSS-Protection: "1; mode=block" Header set X-Content-Type-Options: nosniff # HTTP security settings end ...
張貼留言
閱讀完整內容