Introduction aux interfaces Linux pour la mise en réseau virtuelle

Introduction to Linux interfaces for virtual networking

Linux possède de riches capacités de mise en réseau virtuelle qui servent de base pour l'hébergement de machines virtuelles et de conteneurs, ainsi que d'environnements en nuage. Dans cet article, je vais présenter brièvement tous les types d'interfaces de réseau virtuel couramment utilisés. Il n'y a pas d'analyse de code, mais seulement une brève introduction aux interfaces et à leur utilisation sous Linux. Toute personne ayant une expérience des réseaux pourrait être intéressée par cet article de blog. Une liste des interfaces peut être obtenue en utilisant la commande ip link help.

Ce billet couvre les interfaces suivantes, fréquemment utilisées, et certaines interfaces qui peuvent facilement être confondues entre elles :

Bridge (Pont)

Bonded interface (Interface liée)

Team device (Dispositif d'équipe)

Dummy interface (Interface factice)

IFB

Ressources supplémentaires

netdevsim interface

Bridge

Interface liée

Dispositif d'équipe

VLAN (réseau local virtuel)

VXLAN (Virtual eXtensible Local Area Network)

MACVLAN

IPVLAN

MACVTAP/IPVTAP

MACsec (Sécurité du contrôle d'accès aux médias)

VETH (Ethernet virtuel)

VCAN (CAN virtuel)

VXCAN (tunnel CAN virtuel)

IPOIB (IP-over-InfiniBand)

NLMON (NetLink MONitor)

Interface factice

IFB (Intermediate Functional Block)

netdevsim

Après avoir lu cet article, vous saurez ce que sont ces interfaces, quelle est la différence entre elles, quand les utiliser et comment les créer.

Pour d'autres interfaces comme le tunnel, veuillez consulter An introduction to Linux virtual interfaces: Tunnels

Bridge (Pont)

Un pont Linux se comporte comme un commutateur de réseau. Il transmet les paquets entre les interfaces qui lui sont connectées. Il est généralement utilisé pour faire suivre des paquets sur des routeurs, sur des passerelles, ou entre des machines virtuelles et des espaces de noms de réseau sur un hôte. Il prend également en charge le STP, le filtre VLAN et l'espionnage multicast.

Bridge diagram

Utilisez un pont lorsque vous souhaitez établir des canaux de communication entre les VM, les conteneurs et vos hôtes.

Voici comment créer un pont :

# ip link add br0 type bridge

# ip link set eth0 master br0

# ip link set tap1 master br0

# ip link set tap2 master br0

# ip link set veth1 master br0

Cela crée un dispositif de pont appelé br0 et définit deux dispositifs TAP (tap1, tap2), un dispositif VETH (veth1) et un dispositif physique (eth0) comme ses esclaves, comme le montre le schéma ci-dessus.

Bonded interface (Interface liée)

Le pilote de liaison Linux fournit une méthode pour agréger plusieurs interfaces réseau en une seule interface logique "liée". Le comportement de l'interface liée dépend du mode ; en général, les modes fournissent soit des services de veille à chaud, soit des services d'équilibrage de charge.

Bonded interface

Utilisez une interface liée lorsque vous souhaitez augmenter la vitesse de votre lien ou faire un basculement sur votre serveur.

Voici comment créer une interface liée :

ip link add bond1 type bond miimon 100 mode active-backup

ip link set eth0 master bond1

ip link set eth1 master bond1

Cela crée une interface bondée appelée bond1 avec un mode de sauvegarde actif. Pour les autres modes, veuillez consulter la kernel documentation.

Team device (Dispositif d'équipe)

Semblable à une interface liée, le but d'un dispositif d'équipe est de fournir un mécanisme permettant de regrouper plusieurs NIC (ports) en une seule logique (teamdev) au niveau de la couche L2.

Team device

La principale chose à réaliser est qu'un dispositif d'équipe n'essaie pas de reproduire ou d'imiter une interface liée. Ce qu'il fait, c'est résoudre le même problème en utilisant une approche différente, par exemple en utilisant une voie TX/RX sans verrouillage (RCU) et une conception modulaire.

Mais il existe également des différences fonctionnelles entre une interface liée et une équipe. Par exemple, une équipe prend en charge l'équilibrage de charge LACP, la surveillance des liaisons NS/NA (IPV6), l'interface D-Bus, etc. qui sont absents dans le collage. Pour plus de détails sur les différences entre le bonding et l'équipe, voir Bonding vs. Team features.

Utilisez une équipe lorsque vous souhaitez utiliser certaines fonctionnalités que le bonding ne fournit pas.

Voici comment créer une équipe :

# teamd -o -n -U -d -t team0 -c '{"runner": {"name": "activebackup"},"link_watch": {"name": "ethtool"}}'

# ip link set eth0 down

# ip link set eth1 down

# teamdctl team0 port add eth0

# teamdctl team0 port add eth1

Cela crée une interface d'équipe appelée team0 avec un mode de sauvegarde actif, et ajoute eth0 et eth1 comme sous-interfaces de team0.

Un nouveau pilote appelé net_failover a été ajouté à Linux récemment. Il s'agit d'un autre périphérique réseau maître de basculement pour la virtualisation et il gère un périphérique réseau esclave primaire (passthru/VF [Virtual Function] device) et un périphérique réseau esclave de secours (l'interface paravirtuelle d'origine).

Net_failover driver

VLAN

Un VLAN, ou réseau local virtuel, sépare les domaines de diffusion en ajoutant des balises aux paquets du réseau. Les VLAN permettent aux administrateurs réseau de regrouper des hôtes sous un même commutateur ou entre différents commutateurs.

L'en-tête du VLAN ressemble à :

VLAN header

Utilisez un VLAN lorsque vous souhaitez séparer un sous-réseau en VM, espaces de noms ou hôtes.

Voici comment créer un VLAN :

# ip link add link eth0 name eth0.2 type vlan id 2

# ip link add link eth0 name eth0.3 type vlan id 3

Cela ajoute le VLAN 2 avec le nom eth0.2 et le VLAN 3 avec le nom eth0.3. La topologie ressemble à ceci :

VLAN topology

Remarque : lors de la configuration d'un VLAN, vous devez vous assurer que le commutateur connecté à l'hôte est capable de gérer les balises VLAN, par exemple en réglant le port du commutateur en mode "trunk".

VXLAN

VXLAN (Virtual eXtensible Local Area Network) est un protocole de tunneling conçu pour résoudre le problème des ID VLAN limités (4 096) dans l'IEEE 802.1q. Il est décrit par IETF RFC 7348.

Avec un ID de segment de 24 bits, alias VXLAN Network Identifier (VNI), VXLAN permet de créer jusqu'à 2^24 (16 777 216) réseaux locaux virtuels, soit 4 096 fois la capacité du VLAN.

Le VXLAN encapsule les trames de la couche 2 avec un en-tête VXLAN dans un paquet UDP-IP, qui ressemble à ceci :

VXLAN encapsulates Layer 2 frames with a VXLAN header into a UDP-IP packet

Le VXLAN est généralement déployé dans des centres de données sur des hôtes virtualisés, qui peuvent être répartis sur plusieurs baies.

Typical VXLAN deployment

Voici comment utiliser VXLAN :

# ip link add vx0 type vxlan id 100 local 1.1.1.1 remote 2.2.2.2 dev eth0 dstport 4789

Pour référence, vous pouvez lire la VXLAN kernel documentation ou this VXLAN introduction.

MACVLAN

Avec le VLAN, vous pouvez créer plusieurs interfaces en plus d'une seule et filtrer les paquets en fonction d'une balise VLAN. Avec MACVLAN, vous pouvez créer plusieurs interfaces avec différentes adresses de couche 2 (c'est-à-dire Ethernet MAC) sur une seule.

Avant MACVLAN, si vous vouliez vous connecter à un réseau physique à partir d'une VM ou d'un espace de noms, vous auriez dû créer des périphériques TAP/VETH et en attacher un côté à un pont et attacher une interface physique au pont sur l'hôte en même temps, comme indiqué ci-dessous..

Configuration before MACVLAN

Maintenant, avec MACVLAN, vous pouvez lier une interface physique associée à un MACVLAN directement à des espaces de noms, sans avoir besoin d'un pont.

Configuration with MACVLAN

Il existe cinq types de MACVLAN :

1. Privé : ne permet pas la communication entre les instances MACVLAN sur la même interface physique, même si le commutateur externe supporte le mode épingle à cheveux.

Private MACVLAN configuration

2. VEPA : les données d'une instance MACVLAN à l'autre sur la même interface physique sont transmises sur l'interface physique. Soit le commutateur attaché doit supporter le mode épingle à cheveux, soit il doit y avoir un routeur TCP/IP qui transmet les paquets afin de permettre la communication.

VEPA MACVLAN configuration

3. Pont : tous les points terminaux sont directement reliés entre eux par un simple pont via l'interface physique.

Bridge MACVLAN configuration

4. Passthru : permet de connecter une seule VM directement à l'interface physique.

Passthru MACVLAN configuration

5. Source : le mode source est utilisé pour filtrer le trafic sur la base d'une liste d'adresses MAC sources autorisées afin de créer des associations VLAN basées sur les MAC. Veuillez consulter le message de validation.

Le type est choisi en fonction des différents besoins. Le mode pont est le plus utilisé.

Utilisez un MACVLAN lorsque vous souhaitez vous connecter directement à un réseau physique à partir de conteneurs.

Voici comment mettre en place un MACVLAN :

# ip link add macvlan1 link eth0 type macvlan mode bridge

# ip link add macvlan2 link eth0 type macvlan mode bridge

# ip netns add net1

# ip netns add net2

# ip link set macvlan1 netns net1

# ip link set macvlan2 netns net2

Cela permet de créer deux nouveaux appareils MACVLAN en mode pont et d'assigner ces deux appareils à deux espaces de noms différents.

IPVLAN

Le réseau IPVLAN est similaire au réseau MACVLAN, à la différence que les points terminaux ont la même adresse MAC.

IPVLAN configuration

L'IPVLAN prend en charge les modes L2 et L3. Le mode L2 de l'IPVLAN agit comme un MACVLAN en mode pont. L'interface parent ressemble à un pont ou à un commutateur.

IPVLAN L2 mode

En mode IPVLAN L3, l'interface parent agit comme un routeur et les paquets sont acheminés entre les points d'extrémité, ce qui donne une meilleure évolutivité.

IPVLAN L3 mode

En ce qui concerne le moment où il faut utiliser un IPVLAN, la IPVLAN kernel documentation indique que le MACVLAN et l'IPVLAN "sont très similaires à bien des égards et le cas d'utilisation spécifique pourrait très bien définir le périphérique à choisir. Si l'une des situations suivantes définit votre cas d'utilisation, vous pouvez alors choisir d'utiliser l'ipvlan -

(a) L'hôte Linux qui est connecté au commutateur / routeur externe a une configuration de politique qui n'autorise qu'un seul mac par port.

(b) Aucun des dispositifs virtuels créés sur un maître ne dépasse la capacité du mac et met le NIC en mode de promiscuité et la dégradation des performances est préoccupante.

(c) Si le dispositif esclave doit être placé dans l'espace de noms du réseau hostile / non fiable où L2 sur l'esclave pourrait être changé / mal utilisé".

Voici comment mettre en place une instance IPVLAN :

# ip netns add ns0

# ip link add name ipvl0 link eth0 type ipvlan mode l2

# ip link set dev ipvl0 netns ns0

This creates an IPVLAN device named ipvl0 with mode L2, assigned to namespace ns0.

MACVTAP/IPVTAP

MACVTAP/IPVTAP est un nouveau pilote de périphérique destiné à simplifier la mise en réseau pontée virtualisée. Lorsqu'une instance MACVTAP/IPVTAP est créée au-dessus d'une interface physique, le noyau crée également un périphérique de caractères/dev/tapX à utiliser comme un périphérique TUN/TAP qui peut être directement utilisé par KVM/QEMU.

Avec MACVTAP/IPVTAP, vous pouvez remplacer la combinaison des pilotes TUN/TAP et de pont par un seul module :

MACVTAP/IPVTAP instance

En général, le MACVLAN/IPVLAN est utilisé pour faire apparaître l'invité et l'hôte directement sur le commutateur auquel l'hôte est connecté. La différence entre MACVTAP et IPVTAP est la même que pour MACVLAN/IPVLAN.

Voici comment créer une instance MACVTAP :

# ip link add link eth0 name macvtap0 type macvtap

MACsec

MACsec (Media Access Control Security) est une norme de l'IEEE pour la sécurité des réseaux locaux Ethernet câblés. Semblable à IPsec, en tant que spécification de couche 2, MACsec peut protéger non seulement le trafic IP, mais aussi l'ARP, la découverte des voisins et le DHCP. Les en-têtes MACsec ressemblent à ceci :

MACsec header

Le principal cas d'utilisation de MACsec est la sécurisation de tous les messages sur un réseau local standard, y compris les messages ARP, NS et DHCP.

MACsec configuration

Voici comment mettre en place une configuration MACsec :

# ip link add macsec0 link eth1 type macsec

Note : Ceci ajoute seulement un dispositif MACsec appelé macsec0 sur l'interface eth1. Pour des configurations plus détaillées, veuillez consulter la section “Configuration example” dans MACsec introduction by Sabrina Dubroca.

VETH

Le dispositif VETH (virtual Ethernet) est un tunnel Ethernet local. Les dispositifs sont créés par paires, comme le montre le schéma ci-dessous.

Les paquets transmis sur un dispositif de la paire sont immédiatement reçus sur l'autre dispositif. Lorsque l'un des dispositifs est hors service, l'état de la liaison de la paire est hors service.

Pair of VETH devices

Utilisez une configuration VETH lorsque les espaces de noms doivent communiquer avec l'espace de noms principal de l'hôte ou entre eux.

Voici comment mettre en place une configuration VETH :

# ip netns add net1

# ip netns add net2

# ip link add veth1 netns net1 type veth peer name veth2 netns net2

Cela crée deux espaces de noms, net1 et net2, et une paire de dispositifs VETH, et cela affecte veth1 à l'espace de noms net1 et veth2 à l'espace de noms net2. Ces deux espaces de noms sont reliés à cette paire de VETH. Attribuez une paire d'adresses IP, et vous pouvez faire un ping et communiquer entre les deux espaces de noms.