ovnのソースを読む(フローテーブル編)

[shun159]

フローを読む（概論)

3 の続き

物理的(OpenFlow的な)なフローテーブルを読む。

ovn-architectureでも記述されているが、ovnは以下のフローを扱っている。

ovn/controller/lflow.h

/* OpenFlow table numbers.
 *
 * These are heavily documented in ovn-architecture(7), please update it if
 * you make any changes. */
#define OFTABLE_PHY_TO_LOG            0
#define OFTABLE_LOG_INGRESS_PIPELINE 16 /* First of LOG_PIPELINE_LEN tables. */
#define OFTABLE_REMOTE_OUTPUT        32
#define OFTABLE_LOCAL_OUTPUT         33
#define OFTABLE_CHECK_LOOPBACK       34
#define OFTABLE_LOG_EGRESS_PIPELINE  48 /* First of LOG_PIPELINE_LEN tables. */
#define OFTABLE_SAVE_INPORT          64
#define OFTABLE_LOG_TO_PHY           65
#define OFTABLE_MAC_BINDING          66

/* The number of tables for the ingress and egress pipelines. */
#define LOG_PIPELINE_LEN 16

各論理パイプライン処理は16テーブル存在できることになっている。
入力は16から31、出力なら48から63の範囲となる。これらは、論理データパスごとに存在している。

論理スイッチ、ルータ、LB、ACL、DHCPサーバなどの処理がここに記述される。
それ以外は、共通的な転送処理を行う。

• PHY_TO_LOG: conntrackゾーンの初期化、入力ポートの物理(OpenFlowポート)からOVN論理ポートへ変換される
• LOG_INGRESS_PIPELINE: 論理的なネットワーク処理を行う入力パイプラインテーブル。何をするかは上の通り。
• REMOTE_OUTPUT: リモートハイパーバイザーへパケットを送信する。
• LOCAL_OUTPUT: ローカルハイパーバイザーへパケットを送信する。
• CHECK_LOOPBACK: 入力ポートへの出力を防ぐ用
• LOG_EGRESS_PIPELINE: 論理的なネットワーク処理を行う出力パイプラインテーブル。何をするかは上の通り。
• SAVE_INPORT: nxm_reg10の1bit目には、loopbackへの出力を許可するかどうかをbitフラグで設定できる。許可されている場合、in_portに0をset_fieldする.
• LOG_TO_PHY: 論理ポートから物理ポートへ変換。出力される。
• MAC_BINDING: 情報がないが、、、、おそらく、、ソースコードを読む限りでは, ipv(4|6)アドレスとmac_addressのペアとtunnel_idの構築に関連付け、アプリから参照するための一時的なテーブル(table 65で転送処理が終端していて、66は転送ようではない)

ovn/lib/logical-fields.h

/* Logical fields.
 *
 * These values are documented in ovn-architecture(7), please update the
 * documentation if you change any of them. */
#define MFF_LOG_DATAPATH MFF_METADATA /* Logical datapath (64 bits). */
#define MFF_LOG_FLAGS      MFF_REG10  /* One of MLF_* (32 bits). */
#define MFF_LOG_DNAT_ZONE  MFF_REG11  /* conntrack dnat zone for gateway router
                                       * (32 bits). */
#define MFF_LOG_SNAT_ZONE  MFF_REG12  /* conntrack snat zone for gateway router
                                       * (32 bits). */
#define MFF_LOG_CT_ZONE    MFF_REG13  /* Logical conntrack zone for lports
                                       * (32 bits). */
#define MFF_LOG_INPORT     MFF_REG14  /* Logical input port (32 bits). */
#define MFF_LOG_OUTPORT    MFF_REG15  /* Logical output port (32 bits). */

/* Logical registers.
 *
 * Make sure these don't overlap with the logical fields! */
#define MFF_LOG_REG0 MFF_REG0
#define MFF_N_LOG_REGS 10

NXM_NX_REG10は上の通り、Flag用フィールドとして利用されている。以下の通り：

• 1 bit ALLOW_LOOPBACK: Nested containerなどの通信を想定しているようだ。これはlflowで指定
• 2 bit RCV_FROM_VXLAN: OVNは、STTまたは、Geneveをハイパーバイザー内外の通信のヒントとなる,
  論理データパス、論理ポートなどをトンネル越しにさせる為に利用しているが、
  vxlanを使った場合、これをサポートしない為、出力ポートをテーブルから拾うように動作する。

補足であるが、openvswitch 2.6から16個の32bit register(nicira拡張)が利用可能となっている。
また、openflow 1.5から仕様に明記されている、8つの64bit のexteneded register(xreg)に加え、
4つの128bit extended extended register(xxreg)が利用可能となっている。
xreg及びxxregはそれぞれのサイズで、registerをオーバーライドしている.
例：xreg0を使えばreg0とreg1が、xxreg0ならばreg0から3までが利用されることになっている。

かいつまんで説明すれば良いが、もっともこのovn-controllerの解読をすすめる上で、
難関となるのが、論理フローの部分となる。

論理的(OVN的な)なフローテーブルを読む。

論理的なフローテーブルとは、上で触れた通り、
各論理データパスごとに異なる機能をOpenFlow的なフローで表現したフローエントリを、
「お気持ちの分」人間が読みやすいように抽象的にしたものであるが、ここでは論理テーブルパイプラインごとに、
定義されている処理をOpenFlow的におってみる.

また、今回は時間的な都合により省いているが、論理ルータのフローテーブルはmetadataに格納されている論理データパスが示す 論理スイッチか、またルータかによって同じ論理フローパイプライン上に存在することができるようになっている。

まず、論理データパスごとのテーブルパイプラインにどのようなものがあるかを見る。 上から、論理テーブル0から、、、

Logical_Switch

Ingress

• PORT_SEC_L2 (table_id: 16): vlan_vid == untagged かつ、src_mac != mcastなパケットをdrop。それ以外はresubmit(,17)となる。
• PORT_SEC_IP (table_id: 17): ipv4アドレスのフィルタ。lsp-set-port-securityで指定したIPアドレスとDHCPリスエストパケットを通すが、IPアドレス無指定の場合はresubmit(,18)となっている.
• PORT_SEC_ND (table_id: 18): NDフィルタ(ipv4 && ipv6共用)。lsp-set-addressで指定したIPアドレスがある場合、ipv4アドレスの場合,arp\_spa, ipv6の場合はnd_{sll|tll}がチェック対象となる.次はPRE_ACLresubmit(,19)
• PRE_ACL (table_id: 19): チェック対象のプロトコルを次のテーブルに渡す前に、xxregの97bit(つまりreg0の1bit)目にヒントを書いて次のテーブルに通す。次はPRE_LBresubmit(,20)
• PRE_LB (table_id: 20): VIP宛に来たIPアドレスに対して、xxregの97bit(つまりreg0の1bit)目にヒントを書く。次PRE_STATEFULresubmit(,21)
• PRE_STATEFUL (table_id: 21): OpenvSwitchのctアクションは各ゾーンごとのconntrackテーブルからエントリを引っ張ってきて、openflowテーブルで処理するにはrecircをおこなう必要がある。ovnの場合では、22へrecircしている.次ACL(ct(table=22))
• ACL (table_id: 22): チェック対象のプロトコルについて、新規セッションかどうかを見る処理をする。既存セッションならxxregの98bit(つまりreg0の2bit)目にヒントを書く,次はQOS_MARKresubmit(,23)
• QOS_MARK (table_id: 23): 飛ばす。次はLBresubmit(,24)
• LB (table_id: 24): group tableを使ったLB。 group_id=1,type=select,bucket=weight:100,actions=ct(commit,table=25,zone=NXM_NX_REG13[0..15],nat(dst=10.0.0.1)),bucket=weight:100,actions=ct(commit,table=25,zone=NXM_NX_REG13[0..15],nat(dst=10.0.0.2))
• STATEFUL (table_id: 25): (?)
• ARP_ND_RSP (table_id: 25): ARPハンドリング。ここで返すのではなく、 resubmit(26)するかresubmit(32)する
• DHCP_OPTIONS (table_id: 26):
• DHCP_RESPONSE (table_id: 27):
• L2_LKUP (table_id: 28): FDBが格納されている。マッチしなければ論理ポートにffffが格納され、resubmit(32)する。

Egress

• PRE_LB: (table_id: ):
• PRE_ACL: (table_id: ):
• PRE_STATEFUL: (table_id: ):
• LB: (table_id: ):
• ACL: (table_id: ):
• QOS_MARK: (table_id: ):
• STATE_FUL: (table_id: ):
• PORT_SEC_IP:(table_id: ):
• PORT_SEC_L2:(table_id: ):

TODO: ovn/actions.cとovn/controller/lflowを読んで解説をかく

[shun159]

論理構成は以下の通りとなっているはずである。

Ingress Flow tableを図にすると以下の通りになる。 各フィールドの変化を追って書いてみたものだ。

[Da1sukeKud0]

初めまして。現在自分はOpenFlowに関する研究の一環として、（各スイッチの時刻同期を行い）各スイッチが”同期されたスイッチ内部時刻によって参照するフローテーブルを変更可能”となる様にOVSを拡張したいと考えております。貴方の記事を拝見し、OVSの内部構造に明るいとお見受けし、軽くご質問させて頂ければと思いました。上記の様な拡張が実現出来そうかどうか、ぜひご意見頂戴できればと考えております。

[shun159]

その研究がよくわかってないので、的確なことを言えないので申し訳ありません。

その場合OVSに手を入れるのは大変辛い作業になるかと思うのですが、 Openflowか何かを喋るアプリケーション側で作り込んだほうが幸せでは無いでしょうか。

”同期されたスイッチ内部時刻によって参照するフローテーブルを変更可能”

「同期された〜内部時刻〜」の辺りですが、ほしいのはvector clockかその類でしょうか。

[Da1sukeKud0]

曖昧な説明で申し訳御座いません。 時分割多重化を用いたリアルタイム通信方式（時間的制約が厳しい）をOpenFlowにより実現しようという試みなのですが、プロジェクト自体かなり漠然としている現状です。見据えている最終到達点としては、（独自メッセージにて）スイッチ間の高精度な時刻同期を行い、スイッチ側はその同期された時刻に基づいて入力パケットが一次参照するフローテーブル番号を（即時）変更する様にしたいというものであります。

OVS自体を変更するのはかなり高難易度であるのは承知しておりますので、shun159様のおっしゃる様にOVSとの対話ツール(例：https://github.com/digitalocean/go-openvswitch)の様な形で、”vectorclock等から時刻取得し参照するフローテーブルを変更する（もしくは丸ごと書き換える）”為の外部制御機構を作成しようと考えております。 ただ、時間制約が厳しいので、OVSの内部変更ではなく外部制御だと実行時間がネックになるかと心配しています。

長々と申し訳御座いません。まだ手探りなので、前述した様な外部機構を作成する方向性で行ってみようと思っております。ご返信ありがとう御座います。

[shun159]

OVSの内部変更ではなく外部制御だと実行時間が

openvswitchのkernel moduleはnetlinkを喋れるので、 vswitchdの速度が心配でしたら、netlink(odp)を使ってやるのも手かもしれませんね。 midokuraのmidonet等などはscalaかjavaか覚えていませんが、vswitchdが遅いということで、odp経由で操作していました。また、これはわかりませんが、OVNのコードを読んでもらえばわかるとおりですが、openflowやovs-ofctlコマンド経由ではなく、直接OpenvswitchのC APIを叩いてやっても良いかもしれませんね。

なにか助けになれば幸いです。研究、頑張ってください！

いえいえ、こちらこそありがとうございました。

[Da1sukeKud0]

シミュレーションレベルであればnetlinkで充分かも知れないです。 netlinkと直API双方について方法を探ってみたいと思います。

自分の稚拙な説明に対し懇切丁寧なご返答をいただき誠に有り難うございます。 頑張ります！