Синергия решений Red Hat и Cisco при построении agile ИТ инфраструктур: от baremetal до Kubernetes

Александр СафоновАрхитектор решений || asafonov@redhat.com

Содержание

3© 2018 Cisco and/or its affiliates. All rights reserved.

Red Hat Introduction

Red Hat OpenStack Platform, Ceph Storage, Cisco NFVI

Red Hat OpenShift - CaaS & PaaS, Enterprise Kubernetes

Red Hat OpenShift + Cisco ACI

Red Hat Virtualization + Cisco ACI

Red Hat Ansible Tower

1

2

3

4

5

6

Мы на Facebook www.facebook.com/RedHatRussia

Материалы с Форума www.redhat.com/en/events/red-hat-forum-russia-2017

Red Hat Introduction

4© 2018 Cisco and/or its affiliates. All rights reserved.

Red Hat сегодня

5© 2018 Cisco and/or its affiliates. All rights reserved.

БОЛЕЕ

90%КОМПАНИЙ

FORTUNE

500

RED HAT

ИСПОЛЬЗУЮТПРОДУКТЫ И

РЕШЕНИЯ*

>11,000СОТРУДНИКОВ

85ОФИСОВ

S&P

500COMPANY

NYSE

RHT35СТРАН

*данные Red Hat и список Fortune 500, 2015

#1

$3

В МИРЕС ОБОРОТОМ

МЛРД.

OPENSOURCEВЕНДОР

Модель разработки продуктов

6© 2018 Cisco and/or its affiliates. All rights reserved.

Мы участвуем и создаем сообщества разработки

upstream проектов

УЧАСТИЕ ИНТЕГРАЦИЯ СТАБИЛИЗАЦИЯМы поддерживаем и

консолидируем upstream проекты

Мы «коммерциализируем» эти платформы, создавая экосистему и

поддерживая эксплуатацию

Что продает Red Hat - Ценность подписки

7© 2018 Cisco and/or its affiliates. All rights reserved.

24х7, сотрудники Red Hat

Любое количество обращений

Мультивендорные кейсы

1-ая линия поддержки – технические специалисты, 2-ая линия – разработчики

Поддержка эксплуатации продуктов до 10 лет

Команда по вопросам безопасности

Патчи

Обновления

Улучшения

Портал для заказчиков

База знаний

Доступ к техническим ресурсам

В рамках ТП доступны консультации как лучше и правильнее сделатьОбучающая программа (опционально)

Сертификация “железа”

Сертификация ПО

Сертификация для cloud-провайдеров

Гарантия прав на СПО

Техническая поддержка Непрерывная работа Экспертиза Обязательства

• Нет лицензионных платежей. Единица измерения подписки - год

• Red Hat продает поддержку, с передачей бинарного образа продукта, для которого и оказывается поддержка

Red Hat - не только Enterprise Linux

8© 2018 Cisco and/or its affiliates. All rights reserved.

Red Hat OpenStack Platform, Ceph Storage, Cisco NFVI

9© 2018 Cisco and/or its affiliates. All rights reserved.

Cisco + Red Hat - Bringing OpenStack To The Enterprise and Service Providers

10© 2018 Cisco and/or its affiliates. All rights reserved.

Red Hat OpenStack Platform: возможности публичных облаков в вашем ЦОД

11© 2018 Cisco and/or its affiliates. All rights reserved.

• Технологии на базе открытого кода, гибкие и легко интегрируемые

• “Драйвится” сообществом. Новые возможности появляются быстрее, чем у проприетарных продуктов

• Автоматизация, гибкое выделение ресурсов, отличное масштабирование

• Подготовлено для корпоративных пользователей

• Разработано совместно с Red Hat Enterprise Linux

• Встроенные утилиты развертывания, оркестрации и управления

• Утилиты управления жизненным циклом, мониторинга и аналитики

• Платформа для частных и публичных облаков, NFV, контейнеров

• Глобальная техническая поддержка, обучение, сертификация

Cisco NFV Solution Architecture & NFVI

12© 2018 Cisco and/or its affiliates. All rights reserved.

Cisco VIM & VIM Lifecycle Manager

13© 2018 Cisco and/or its affiliates. All rights reserved.

Сертифицированные под Red Hat продукты Cisco

14© 2018 Cisco and/or its affiliates. All rights reserved.

Red Hat Ceph Storage + Cisco UCS

15© 2018 Cisco and/or its affiliates. All rights reserved.

OpenStack

Система нового поколения, разработана с нуля с учетом предыдущего накопленного опыта разработки систем хранения данных

ОСНОВНЫЕ СЦЕНАРИИ:

● Хранилище по умолчанию● Cinder, Glance & Nova● Объектная система хранения

данных для тенантовОбъектная СХД для приложений● S3, S3a & Swift - совместимые API

Огромные возможности для настройки

Блочные, файловые и объектные интерфейсы

Red Hat OpenShift - CaaS & PaaS, Enterprise Kubernetes

16© 2018 Cisco and/or its affiliates. All rights reserved.

Red Hat OpenShift Container Platform

17© 2018 Cisco and/or its affiliates. All rights reserved.

• С использованием различных языков и технологий (PHP, Ruby, Python, Java, Spring, .NET, Node.js, PostgreSQL, MySQL, MongoDB,..)

• В изолированных окружениях (dev/test/QA/prod; front-/back-;..)

• С автоматической балансировкой нагрузки и отказоустойчивостью

Технологические основы

• Методы изоляции ядра Linux, Контейнеры в формате Docker. Рантайм CRI-O (OCI)

• Распределенное управление Kubernetes, SDN с Open vSwitch (VXLAN) и CNI плагины

Обеспечивает DevOps

• Самообслуживание

• Blue/Green deployment, A/B routing

• CI/CD, Интеграция с Jenkins

oc new app вместо десятков действий

Интегрированное решение для разработки и выполнения приложений, упакованных в контейнеры

Red Hat OpenShift - Архитектура

18© 2018 Cisco and/or its affiliates. All rights reserved.

Обеспечивает● Самообслуживание

для разработчиков● Автоматизация

сопровождения● Эластичность

JBoss Middleware как сервис

Gluster Container Native Storage

Red Hat OpenShift vs DIY Kubernetes

19© 2018 Cisco and/or its affiliates. All rights reserved.

PHYSICAL

ORCHESTRATION CLUSTER SERVICES

OPENSHIFT SERVICES SERVICE CATALOG

SELF-SERVICE

APPLICATION LIFECYCLE AUTOMATION

OPENSHIFT BUILDS OPENSHIFT DEPLOYMENTS

PACKAGING FORMAT

CONTAINER CONTAINERCONTAINER CONTAINER CONTAINER

VIRTUAL PRIVATE PUBLIC

RED HAT ENTERPRISE LINUX ATOMIC HOST

SECURITY REGISTRYTELEMETRY STORAGE NETWORKSTORAGE

ORCHESTRATION CLUSTER SERVICES

SECURITY

DEPLOYMENT STRATEGIES

NETWORK

Red Hat OpenShift Container Platform - UI

20© 2018 Cisco and/or its affiliates. All rights reserved.

CLI: oc <command>

git push; API; webhooks

Red Hat OpenShift + Cisco ACI

21© 2018 Cisco and/or its affiliates. All rights reserved.

Cisco ACI: Native Support for Container Application Platforms

22© 2018 Cisco and/or its affiliates. All rights reserved.

Why deploy Openshift on ACI?

23© 2018 Cisco and/or its affiliates. All rights reserved.

Видимость: мониторинг в APIC на уровне контейнеров и отслеживание «здоровья»

Единый транспорт для контейнеров, VM и baremetal серверов

Интегрированная в фабрику балансировка нагрузки между микросервисами для

отказоустойчивости и масштабирования

Безопасность многопользовательского окружения, с четкими зонами ответственности

Изоляция тенантов и интеграция сетевых политик

Kubernetes и политик ACI

OpenShift Container Networking and Network Security

24© 2018 Cisco and/or its affiliates. All rights reserved.

• Openshift SDN configures an overlay using Open vSwitch (OVS)

• NW isolation is performed by use of & in between VXLAN segments.

• All incoming HTTP/S traffic is proxied through a Router Pod

• Built-in service discovery with internal load-balancing

SERVICEapp=payroll role=frontend

POD

app=payroll

role=frontend

POD

app=payroll

role=frontend

Name: payroll-frontendIP: 172.10.1.23Port: 8080

POD

app=payroll

role=backend

version=1.0 version=1.0

OpenShift Container Networking and Network Security with ACI

25© 2018 Cisco and/or its affiliates. All rights reserved.

• Network policies supported using standard upstream

format but enforced through OpFlex / OVS using

APIC Host Protection Profiles.

• Simple developer driven workflow

• Openshift apps can be moved without modification

to/from ACI and non-ACI environments.

Embedded fabric and virtual switch load balancing:

• PBR in fabric for external service load balancing

• OVS used for internal service load balancing

VMM Domain for Openshift - with rich GUI:

• Stats per namespace, deployment, service, pod

• Physical to container correlation

Mapping Network Policy and EPGs

26© 2018 Cisco and/or its affiliates. All rights reserved.

Изоляция кластера Изоляция namespace Изоляция deployment

PodPod

Pod

PodPod

Pod

• Единая EPG для всего кластера Kubernetes

• Для внутреннего взаимодействия не нужны контракты

• Каждое namespace – своя EPG

• Для взаимодействия нужны контракты

• Каждое deployment – своя EPG

• Жёсткий контроль с помощью контрактов

PodPod

Pod

PodPod

Pod

PodPod

Pod

PodPod

Pod

PodPod

Pod

PodPod

Pod

Contract

PodPod

Pod

PodPod

Pod

PodPod

Pod

PodPod

Pod

Contract

Contract

Contract

Contract

Network Policy EPG

Red Hat Virtualization + Cisco ACI

27© 2018 Cisco and/or its affiliates. All rights reserved.

Red Hat Virtualization 4.2

28© 2018 Cisco and/or its affiliates. All rights reserved.

RHV: RHV-Manager + Red Hat Virtualization Hypervisor

• Гипервизор KVM - лидер по производительности

• Быстрота развертывания

• Безопасность и Масштабируемость

• Функционал корпоративного класса

• Естественный выбор для Linux, сертифицирована для MS Windows & Server

• Экономически эффективно

• Альтернатива дорогим платформам виртуализации

• Готовность к новым технологиям - интеграции с OpenStack, системами управления и оркестрации (Satellite, CloudForms), SDN (ACI)

• Поддержка контейнеров как гостей (RHEL Atomic, OpenShift)

GA - Май 2018. Темы: Новый GUI, DR, SDN

Red Hat Virtualization 4.2Функционал

29© 2018 Cisco and/or its affiliates. All rights reserved.

Core

Live Migration HA VMs Affinity / Anti-Affinity CPU Pinning

NUMA Support Resource Reservation Large Page support Memory page sharing

VM templates Hot Add Memory & CPU Migrate/Import VMs Overcommit

NetworkVLAN tagging PCI Passthrough OVS Network QoS

NIC bonding Jumbo frames IPV6 (guest) Network labels

Storage Storage Live Migration Thin/Thick Provisioning Live Snapshots/Merge SCSI, NFS, FC, GlusterFS

Security RBAC & Tiered Access Firewall/SELinux sVirt DR

Mgmt & APIs Browser Based Mgmt Python & Java SDKs REST APIs Backup API

SDN RHOSP Neutron import OVN Cisco ACI 3.1

APIC Provisions Logical Networks

• Dynamic Inventory & Correlation

• Security & Segmentation

• Multiple VMM on single APIC

• Migrate from proprietary VMM

RHV & Cisco ACI - процесс интеграции

30© 2018 Cisco and/or its affiliates. All rights reserved.

Create Network and/or App Policy

WebWebWeb App

HYPERVISOR HYPERVISOR

Clusters in DC

2

1

ACI Fabric

Map EPG To VMM Domain

Push Policy (pre-provision)

Cisco APIC connects to RHVM: • Finds Datacenter• Collects Hypervisor and

VM inventory

DB DBVirtualization Manager

3

4

Application Network Profile

APP DBWEBF/W l/b

APPNetwork

DBNetworkWEB Network

Create Networks and associate with all clusters in DC

4

Server admin Instantiates VMs,

Assign to Networks

5Network

automatically assigned to

labelled hosts

6

Fabric Admin

Server Admin

Red Hat Ansible Tower

31© 2018 Cisco and/or its affiliates. All rights reserved.

Ansible - Основные преимущества

32© 2018 Cisco and/or its affiliates. All rights reserved.

• Простой язык на основе YAML

• Не требует навыков

программирования

• Последовательное выполнение

задач

• Автоматизация для всех

• Развертывание приложений

• Управление изменениями

• Автоматизация рабочих

процессов

• Оркестрация между

различными платформами

• Не требует агента на

клиенте

• OpenSSH & WinRM в

качестве транспорта

• Эскалация привилегий

ПРОСТОТА В ИСПОЛЬЗОВАНИИ

ФУНКЦИОНАЛЬНЫЕ ВОЗМОЖНОСТИ

БЕЗОПАСНОСТЬ

ANSIBLE - THE MOST POPULAR OPEN SOURCE AUTOMATION PLATFORM

Goal: Unify provisioning, configuration, and application deployment

Result: Ansible. A python-based command line engine that interprets and executes YAML-based “Playbooks” that contain one or more “plays” or tasks.

Red Hat Ansible Automation

33© 2018 Cisco and/or its affiliates. All rights reserved.

RED HAT ANSIBLE TOWER

RED HAT ANSIBLE ENGINE

Scale + operationalize your automation

Support for your Ansible automation

CONTROL KNOWLEDGE DELEGATION

SIMPLE POWERFUL AGENTLESS

FUELED BY AN INNOVATIVE OPEN SOURCE COMMUNITY

Red Hat Ansible Tower

34© 2018 Cisco and/or its affiliates. All rights reserved.

Ansible - это

• Язык для автоматизации ИТ-инфраструктуры и

приложений с помощью сценариев

• Движок Ansible для запуска и работы сценариев

Ansible Tower предоставляет:

• возможность автоматизировать рабочие процессы

и определить взаимосвязь между сценариями

• ролевая модель доступа для запуска сценариев

• централизованное выполнение задач с

регистрацией событий и их статусом

• графический интерфейс и REST API

Red Hat Ansible Automation - Architecture I

35© 2018 Cisco and/or its affiliates. All rights reserved.

https://www.ansible.com/products/tower

Red Hat Ansible Automation - Architecture II

36© 2018 Cisco and/or its affiliates. All rights reserved.

Ansible - Project & Product

37© 2018 Cisco and/or its affiliates. All rights reserved.

Ansible Tower - Автоматизация

38© 2018 Cisco and/or its affiliates. All rights reserved.

• Запуск сценариев нажатием одной кнопки

• Импорт сценариев из SCM

• CLI, REST API, remote execution, интеграции с CI/CD tools

•

•

Ansible Tower - Контроль и RBAC

39© 2018 Cisco and/or its affiliates. All rights reserved.

• Регистрация всех действия в БД

• Статус выполнения сценариев

• История выполненных задач

• Управление на уровне организаций, рабочих групп

• Хранение пользовательских данных в шифрованном виде

• Не надо иметь учетки на клиентах

Ansible Tower - Управление

40© 2018 Cisco and/or its affiliates. All rights reserved.

• Динамическая инвентаризация клиентов

• Запуск сценариев по расписанию

• Использование опросника для задания доп. параметров

• Уведомления в режиме реального времени

Ansible Tower - Управление ‘workflow’

41© 2018 Cisco and/or its affiliates. All rights reserved.

Встроенный редактор рабочих процессов / workflow:

• Возможность группировать сценарии в зависимости от условий и результатов выполнения предыдущего

• Ролевая модель и результат выполнения задач

Provision → Configure → Deploy → Scale

Build → Test → Promote → Verify → Deploy

Ansible For Networking

42© 2018 Cisco and/or its affiliates. All rights reserved.

BUILD

• Get automating quickly

• Integrate multi-vendor

configurations

• Ideal for both brownfield and

greenfield

MANAGE

• Methodically track

configuration drift

• Make changes across any

set of network devices

• Validate changes were

successful

SCALE

• Ensure ongoing steady state

on a schedule

• Leverage role-based access

controls to specific teams

• Integrate external third-party

integrations with RESTful API

Configure, validate, and ensure continuous compliance

Automate discrete tasks Automate business processes

Orchestrate and operationalize automation

NETWORK AUTOMATION PROGRESS

43© 2018 Cisco and/or its affiliates. All rights reserved.

7 Platforms28 Modules

17 Platforms141 Modules

29 Platforms267 Modules

33 Platforms463 Modules

Persistent Connections

NETCONF Support

2.1May 2016

2.2Oct 2016

2.3Apr 2017

2.4Sep 2017

Declarative Intent

AggregateResources

Platform Agnostic

40 Platforms572 Modules

2.5Mar 2018

network_cliconnection

plug-in

NETCONFconnection

plug-in

BetterLogging

XMLFilters

MoreDocs

Полный список поддерживаемых Red Hat Ansible Engine Networking Add-On платформ и модулей:https://access.redhat.com/solutions/3184741

В том числе модули для Cisco ACI, AireOS, ASA, IOS, IOS-XR, NX-OS

https://www.ansible.com/overview/networking

Ansible Tower For Networking - UI

44© 2018 Cisco and/or its affiliates. All rights reserved.

https://www.ansible.com/resources/webinars-training/automating-your-network

Ansible Tower For Networking - UI

45© 2018 Cisco and/or its affiliates. All rights reserved.

https://www.ansible.com/resources/webinars-training/automating-your-network

Backup

46© 2018 Cisco and/or its affiliates. All rights reserved.

Dual level Policy Enforcement by ACI

47© 2018 Cisco and/or its affiliates. All rights reserved.

Support for OCP Network Policy in ACI

48© 2018 Cisco and/or its affiliates. All rights reserved.

• Specification of how selections of pods are allowed

to communicate with each other and other network

endpoints.

• Network namespace isolation using defined labels

• directional: allowed ingress pod-to-pod traffic

• filters traffic from pods in other projects

• can specify protocol and ports (e.g. tcp/80)

• In Openshift: Project admin controlled.

• Capabilities in Openshift moving forward:

(automated multitenant → network policy,

multitenant isolation as default, configure/edit/view

policies in UI)

Architecture: ACI + OCP

49© 2018 Cisco and/or its affiliates. All rights reserved.

Installation - ACI + OpenShift

50© 2018 Cisco and/or its affiliates. All rights reserved.

Prerequisites. Before installing the OpenShift integration,

the following is assumed:

• A working ACI fabric install on a version 3.1 or later

• An existing configured Vmware ESXi VMM Domain or

bare-metal servers

• An L3 Routed Outside, along with an L3 External

Network that serves as external access.

• Any required route reflector configuration for fabric.

• A next-hop router connected to the l3 external network

capable of doing SNAT and which can be configured

with the required routes.

Procedure

• Install acc-provision (provided as RPM and DEB

packages)

• Provision the fabric for OpenShift and save

deployment YAML file

• Install OpenShift

• Apply the deployment YAML file to use

ACI-Openshift CNI

• Update Openshift Router to use ACI fabric

https://www.cisco.com/c/en/us/td/docs/switches/datacenter/aci/apic/sw/kb/b_Cisco_ACI_and_OpenShift_Integration.html

Load-balanced Traffic Logical Path in OCP

51© 2018 Cisco and/or its affiliates. All rights reserved.

ACI-RHV: AutoCorrelation of Virt/Phys info

52© 2018 Cisco and/or its affiliates. All rights reserved.

Network administrator can see VM name, correlated to MAC/IP, physical

topology, encapsulation and and hypervisor node.

RHV Admin view of Virtual Machines:

APIC Admin view:

APIC automatically creates Logical Networks

53© 2018 Cisco and/or its affiliates. All rights reserved.

1. Create EPGs and associate with RHV VMM Domain

2. APIC automatically creates Logical Network and

dynamically assigns VLAN encapsulation

Fabric Admin

APIC automatically configures the VLAN assigned from a

dynamic VLAN pool

Оцените данную сессию в мобильном приложении конференции

www.facebook.com/CiscoRu

www.instagram.com/ciscoru

www.youtube.com/user/CiscoRussiaMedia

www.vk.com/ciscoКонтакты:

Тел.: +7 495 9611410www.cisco.com

Синергия решений Red Hat и Cisco при построении agile ИТ инфраструктур: от baremetal до Kubernetes

© 2018 Cisco and/or its affiliates. All rights reserved.

www.facebook.com/RedHatRussia