Интеграция инфраструктурных продуктов cisco для ЦОД и...
Post on 31-Jul-2015
110 Views
Preview:
TRANSCRIPT
Интеграция инфраструктурных продуктов Cisco для ЦОД и OpenStack
Максим Хаванкин системный архитектор, CCIE mkhavank@cisco.com
24 июня, 2015
Cisco Confidential 2 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Внимание, конкурс! По завершении данного семинара примите участие в конкурсе в наших социальных сообществах. Вам потребуется ответить на вопрос по теме вебинара, и возможно, именно вы станете счастливым обладателем сувенира от компании Cisco. Вопросы будут опубликованы сразу после нашей трансляции. Удачи! vk.com/cisco facebook.com/CiscoRu facebook.com/CiscoUA *призы разыгрываются в каждом сообществе **результаты публикуются раз в неделю.
Cisco Confidential 3 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ Cisco и OpenStack
§ Cisco Nexus plugin для Neutron
§ Интеграция ACI и OpenStack
§ Nexus 1000V для OpenStack
§ Virtual Topology System и OpenStack
§ Интеграция OpenStack и Cisco UCS
§ Cisco UCS Integrated Infrastructure for Red Hat Enterprise Linux OpenStack (UCSO)
§ Заключение
Содержание
Cisco Confidential 4 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ 101 OpenStack § Установка плагинов
§ Настройка механизмов интеграции
Что не входит в рамки мероприятия
Cisco Confidential 5 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Обзор OpenStack
§ Nova: развертывание VM § Glance: обнаружение и хранение образов VM § Swift: распределенное объектное
хранение данных § Cinder: block-ориентированное
хранение данных § Neutron: сетевой сервис § Keystone: аутентификация
СПО для создания публичных и частных облаков Состоит из набора взаимосвязанных компонент
Cisco Confidential 6 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential 7 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Вклад Cisco в OpenStack
#1 Contributor to Neutron более 52,000 строк кода
Top 5 OpenStack Member Более 450 участников
Top 6 code reviewer of OpenStack Juno release
Cisco Confidential 8 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Решения Cisco для ЦОД и OpenStack
ACI (ML2 & GBP)
Nexus & DCNM (Neutron)
VTS
Сеть передачи данных ЦОД
UCS
Converged Infrastructure
Storage
Вычислительная платформа
CIS (Cisco Intercloud
Services)
COPC (MetaCloud)
Решения для облака
фокус этой презентации
Cisco Confidential 9 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Партнеры OpenStack
Поддержка основных OpenStack дистрибутивов
Тестирование и интеграция Тесная работа с производителями дистрибутивов для
тестирования и квалификации
Простота развертывания Интеграция со средствами автоматизированного
развертывания для каждого из дистрибутивов
Кастомизация для решений Cisco Например поддержка аппаратных решений на базе ACI или UCS
Cisco Confidential 10 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential 11 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Архитектура OpenStack Neutron
Neutron Server
REST API
Neutron Core plugins
ML2
Cis
co (N
exus
, N
1Kv)
OV
S
Mor
e ve
ndor
pl
ugin
s Neutron Service
plugins
• Core + Extension REST API’s
• Message Queue для взаимодействия с Neutron агентами
• Core и Service Plugin
• Сore plugin-ы различных производителей
• Поддержка различных сетевых технологий
• ML2 plugin with Type and Mechanism Drivers
• Сервисные plugin-ы с backend драйверами
Core API Network Port Subnet
Resource and Attribute Extension API ProviderNetwork PortBinding Router Quotas SecurityGroups AgentScheduler LBaaS FWaaS VPNaaS ….
DHCP Agent
L3 Agent
Message Queue
IPTables on Network
Node
L2 Agent OVS on Compute
Node
Load
Bal
ance
r
Fire
wal
l
VP
N
HA
Pro
xy
IPTa
bles
Ope
nSw
an
L3 S
ervi
ces
Futu
res
Type Driver Mechanism Driver
VLA
N
GR
E
VX
LAN
Cis
co N
exus
OV
S
Ope
nDay
Ligh
t
AP
IC
Southbound interfaces
Mor
e ve
ndor
dr
iver
s
11
Cisco Confidential 12 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Core Plugin-ы
• Обеспечивается поддержка для plugin-ов производителей, которые реализуют своим уникальным образом стандартизированные вызовы к Neutron API
• Для исполнения логических запросов к API могут использоваться различные технологии
• Поддерживается только один core plugin
• Перечень core plugin-ов – Big Switch, Brocade, Cisco, Cloudbase, Linux Bridge, Mellanox, Midonet, ML2, NEC, Open vSwtich, PLUMgrid, Ryu, VMware NSX (список не полный!)
• Важное замечание: • Modular Layer 2 plugin дает возможность поддерживать решения нескольких производителей одновременно при помощи комбинации “mechanism driver” и “type driver”
12
Cisco Confidential 13 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Class MyNewTypeDriver(api.TypeDriver): def get_type(self): # возвращает тип сети например VLAN, FLAT.
def initialize(self): # вызывается в момент запуска neutron для инициализации драйвера def validate_provider_segment(self, segment): # проверяет что сегмент является провайдерским def reserve_provider_segment(self, session, segment): # резервирует провайдерский сегмент def allocate_tenant_segment(self, session): # выделяет сегмент для tenant-а из заранее определенного пула сегментов def release_segment(self, session, segment): # возвращает сегмент назад в пул (provider или tenant)
Type driver – настройка и API [ml2_type_vlan] network_vlan_ranges = default:100:2000
Cisco Confidential 14 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
class MyMechDriver(api.MechanismDriver): def initialize: # вызывается в момент запуска neutron для инициализации драйвера
def create/update/delete_network_pre/postcommit:# Network CRUD events def create/update/delete_subnet_pre/postcommit: # Subnet CRUD events def create/update/delete_port_pre/postcommit: # port CRUD events def bind_port : # port bind event
Mechanism driver – конфигурация и API [ml2_cisco]
vlan_name_prefix = q-
svi_round_robin = False
managed_physical_network = default
Cisco Confidential 15 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Развертывание Neutron
• В дополнение к neutron-server-у, в зависимости от конфигурации разворачиваются дополнительные агенты
• L3 agent, DHCP agent, Plugin agent
• Агенты могут быть развернуты на controller ноде или отдельной network ноде
15
Cisco Confidential 16 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
VM on a Compute Nodes
Neutron Cisco Nexus Plugin
16
Neutron Server
Neutron Core plugin (Cisco/ML2)
Cisco Nexus Plugin/Driver
Ncclient
Nexus
Nova
Compute Nodes
create/update port request sent to Neutron
Преимущества
• Работает с Nexus 3k/5k/6k/7k/9k
• Поддержка для Neutron Provider Networks
• Динамическая настройка VLAN и SVI (provisioning/deprovisioning) на ToR
• Поддержка оверлеев с использованием VXLAN
Nexus ToR
VM VM
Cisco Confidential 17 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
L2 сеть на основе VLAN без Nexus plugin-а
17
Nexus Switch nxk-tor-01
compute-server06
Tenant demo VM 1
10.0.1.x VLAN 251
br-int
eth0
br-eth1
eth1
Eth1/4
vswitch plugin agent
trunk allow vlan all
eth0
OpenStack Management Network VM Data Network
Tenant demo VM 2
10.0.0.x VLAN 250
eth0
qbr qbr
compute-server05
Tenant demo VM 1
10.0.0.x VLAN 250
eth1
vswitch plugin agent
qbr
Eth1/2
eth0
br-eth1
br-int
trunk allow vlan all
eth0
Передача всех VLAN со всех ToR коммутаторов в сторону всех вычислительных узлов приводит к неоптимальному использованию ресурсов сети
compute-server04
OpenStack Neutron Service
vswitch plugin
Cisco Confidential 18 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Сценарий № 1 – Один L2 сегмент на всех вычислительных узлах
18
compute-server04
Nexus Switch nxk-tor-01
compute-server06
br-int
OpenStack Neutron Service
vswitch plugin
br-eth1
eth1
Eth1/4
vswitch plugin agent
trunk allow vlan 250
eth0
eth1
Tenant demo VM 2
10.0.0.x VLAN 250
eth0
eth0
qbr
compute-server05
Tenant demo VM 1
10.0.0.x VLAN 250
eth1
vswitch plugin agent
qbr
Eth1/2
eth0
br-eth1
br-int
trunk allow vlan 250
eth0
Cisco Nexus plugin
OpenStack Management Network VM Data Network
• Динамическая настройка VLAN на ToR коммутаторе
• Динамическая настройка VLAN trunking на порту ToR коммутатора
Cisco Confidential 19 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Сценарий № 2 – различные L2 сегменты на различных вычислительных узлах
19
compute-server04
Nexus Switch nxk-tor-01
compute-server06
Tenant demo VM 1
10.0.1.x VLAN 251
br-int
eth0
OpenStack Neutron Service
vswitch plugin
br-eth1
eth1
Eth1/4
vswitch plugin agent
trunk allow vlan 250, 251
eth0
eth1
Tenant demo VM 2
10.0.0.x VLAN 250
eth0
eth0
qbr qbr
compute-server05
Tenant demo VM 1
10.0.0.x VLAN 250
eth1
vswitch plugin agent
qbr
Eth1/2
eth0
br-eth1
br-int
trunk allow vlan 250
eth0
Cisco Nexus plugin
OpenStack Management Network VM Data Network
• Динамическая настройка VLAN на ToR коммутаторе
• Динамическая настройка VLAN trunking на порту ToR коммутатора
• Используется механизм availability-zones
Cisco Confidential 20 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential 21 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Что представляет собой ACI?
ACI фабрика
Неблокируемая фабрика на базе оверлеев
App DB Web
Внешняя сеть передачи данных
(Tenant VRF)
QoS
Filter
QoS QoS
Filter
Application Policy Infrastructure
Controller
APIC
1. Профиль приложения
2. Кластер контроллеров
3. Cеть на базе Nexus 9000
Service
Filter
Service Сеть ЦОД на базе коммутаторов Nexus 9000 с централизованным
управлением при помощи контроллера на основе политик
Cisco Confidential 22 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Поддержка открытых API в APIC
APIC
Open REST APIs Support Integration With Any Software
Automation Enterprise Monitoring
Systems Manageme
nt Orchestration Frameworks
OVM
Hypervisor Management Applications
Северные интерфейсы взаимодействия
Южные интерфейсы взаимодействия
OpFlex: Fabric Attached Device API Device Package API: L4-7 Scripting
…
Cisco Confidential 23 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Два варианта использования OpenStack API
NEUTRON ROUTER
SECURITY
GROUP
NEUTRON NETWORK
Neutron API Group Policy API
NE
UTRO
N NE
TWOR
K
Port
Port
Tenant Tenant
Используется существующий Neutron API с контроллером APIC и
Cisco ACI фабрикой
Contract
GROUP
SERVICE CHAIN
GROUP
Конструкция Group Policy предлагает новый API который напрямую использует модель политик ACI (Juno Release)
Cisco Confidential 24 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
APIC драйвер отображает: • Network -> EPG • Router -> Context
OpenStack APIC Plugin – neutron (Фаза № 1)
APIC APIC Plugin
APIC Driver OVS Driver
Neutron Networking
Host 1
OVS
Network B V(X)LAN
101 10.0.1.0/24
Network A V(X)LAN
100 10.0.0.0/24
IPTables Host 2
OVS
Network C V(X)LAN
102 10.0.2.0/24
Network A V(X)LAN
100 10.0.0.0/24
IPTables Host 3
OVS
Network B V(X)LAN
101 10.0.1.0/24
Network A V(X)LAN
100 10.0.0.0/24
IPTables Host 4
OVS
Network C V(X)LAN
102 10.0.2.0/24
Network A V(X)LAN
100 10.0.0.0/24
IPTables
IP tables для контроля безопасности
ACI фабрика обеспечивает распределенный L2 и L3 (без L3 агента). Туннели терминируются на ToR коммутаторах.
OVS терминирует VLAN / VXLAN теги для каждой сети
OVS драйвер выбирает VLAN / VXLAN тег для каждой сети и настраивает OVS
APIC REST API
Cisco Confidential 25 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
OpenStack Managed Network Workflow
2
ACI Admin (manages physical
network, monitors tenant state)
L/B
EPG APP
EPG DB F/W
L/B
EPG WEB
Application Network Profile
Create End Point Groups (any-any allow)
3
5 ACI Fabric
Push Policy
APIC
OpenStack Tenant (Performs step 1,4) Instantiate VMs
Web Web Web Web App App 4
Create Network, Subnet, Security Groups
NEUTRON ROUTER
SECURITY GROUP
1
DB DB
HYPERVISOR HYPERVISOR HYPERVISOR
NOVA
NEUTRON
NEUTRON NETWORK
Automatically Push Network Profiles to APIC
Интеграция OpenStack и APIC (Фаза № 1)
Cisco Confidential 26 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
APIC Plugin: отображение сущностей Neutron и APIC (Фаза № 1)
Объект Neutron Объект APIC
Project Tenant
Network EPG
Subnet Subnet
Security Group + Rule N / A (handled by host)
Router Context
Network:external Outside
Cisco Confidential 27 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Как устроена абстракция сетевых подключений в OpenStack сегодня?
Модель Neutron
Network / subnet
Router
External Network
Network / subnet
• L2 / Broadcast в основе API! • Сетевые термины Network / routers /
subnets • Традиционные сетевые принципы
Сервис A
Сервис B Сервис C
Взгляд владельца приложения
• Никаких сетевых терминов, например broadcast / multicast / IP-адрес
• Разные слои/уровни приложения • Отказоустойчивость и непрерывность
Cisco Confidential 28 © 2013-2014 Cisco and/or its affiliates. All rights reserved. © 2014 Cisco and/or its affiliates. All rights reserved.
Операции по настройке сетевого подключения Разработчик приложения = сетевой инженер?
При помощи Neutron можно:
§ Создать subnet
§ Подключить subnet к provider network
§ Настроить routing
§ Выбрать external gateway
§ Определить security groups
§ Определить ports при настройке security groups
§ Настроить балансировку трафика, создать VIP при помощи LBaaS
§ Создать Floating IP для VIP
§ Защитить web-сервер при помощи FWaaS
§ Определить Firewall Policy для соответствия требованиям регулятора или политики безопасности
Затруднительно: • Как обеспечить балансировку после передачи
данных через МСЭl? • Группа виртуальных машин была заражена вирусом,
как оперативно поместить их в зону карантина? • Как подключиться к существующим
невиртуализированным сервисам? • Как портировать приложение? • Как сетевой администратор может
проинспектировать весь трафик web-сервера?
“do, do, do…” проблема
Cisco Confidential 29 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Что можно улучшить?
§ Определение сервисной цепочки по которым данные должны передаваться между компонентами приложения
Поддержка сетевых сервисов
§ Само-документирование взаимосвязей между различными компонентами приложения
Возможность определить взаимосвязи
Сервис A
СервисC
Сервис A потребляет ресурсы сервисов B и C
Сервис B
Сервис A
Сервис C
МЕЖСЕТЕВОЙ ЭКРАН
§ Разделение API на низко и высоко уровневые
§ Две зоны ответственности: tenant admin и operator
Разделение зон ответственности
Сервис A
Сервис C
Абстракция при помощи API
Низкоуровневые API
Operator / Admin
OpenStack Tenant
Cisco Confidential 30 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ 100% open source, проект по лицензии Apache для OpenStack
§ Интерфейс для описания желаемого состояния приложения
§ Создан сообществом разработчиков нескольких компаний
Представляем Group-Based Policy
Policy Rules Set Web Group
Classifier Action
FIREWALL
DB Group
Classifier Action
Service Chain
Модель групповых политик
Cisco Confidential 31 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Neutron Driver - отображает GBP на существующие Neutron API и обеспечивает совместимость с любым Neutron Plugin
Native Driver – существует для OpenDaylight а так же различных производителей (Cisco, Nuage Networks и One Convergence)
OpenStack GBP обзор
Group Policy
CLI Horizon Heat
Neutron Driver
Neutron Любой существующий плагин и ML2 драйвер
Открытая модель, обеспечивающая совместимость с физической и виртуальной
инфраструктурой
Native Driver 1
1
2
2
Архитектура на основе драйверов
Cisco Confidential 32 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Модель Group-Based Policy Policy Group: набор виртуальных машин с одинаковыми характеристиками. Например, компоненты приложения (application tier).
Policy RuleSet: Набор из Classifier / Actions описывающих взаимодействие между Policy Group.
Policy Classifier: фильтр для трафика, включает протокол, порт и направление передачи.
Policy Action: описывает набор действий, в случае если трафик отвечает условиям классификации, например трафик передается дальше без доп. действий “allow” или перенаправляется на сервисное устройство “redirect”
Service Chain: упорядоченный набор сервисных устройств через которые передается трафик
L2 Policy: определяет границы домена коммутации. Опциональное включение режима «broadcast»
L3 Policy: изолированное адресное пространство, содержащее L2 Policies / Подсети
L3 Policy
Policy Rule Set
Policy Rule Policy Rule
Service Chain
Classifier Action
Classifier Action
L2 Policy
Policy Group
Policy Target
Policy Target
Policy Target
Policy Group
Policy Target
Policy Target
Policy Target
L2 Policy
provide consume
Node Node
Cisco Confidential 33 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Как GBP решает архитектурные проблемы Pre-GBP GBP
Процедурные/Императивные сценарии Декларативный API
Сложность домена настройки презентуется разработчику ПО
Разработчик определяет группы и взаимоотношения между ними
Трудности с пониманием сетевых требований приложений
Все сетевые требования определены при помощи набора политик = Policy Rules Set
Отсутствует механизм разделения ролей App, Network, Service, Security Constructs
Недостаток конструкций для определения ограничений для операторов
Иерархические политики
Отсутствие механизмов выстраивания сервисов в цепочку
Механизм Service Chaining
Сложность портирования Портирование при помощи сетевых профилей приложений = Application Network Profile
Сложные конструкции для моделирования подключения к существующим сервисам
Применение набора политик = Policy Rules Set
Cisco Confidential 34 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Запуск совместно с ML2 / OVS на одной виртуальной машине § git clone http://github.com/group-policy/devstack -b juno-gbp
§ cd devstack;
§ stack.sh
Запуск совместно с ACI
https://wiki.openstack.org/wiki/GroupBasedPolicy/InstallCiscoACI
GBP установка
Cisco Confidential 35 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ Создание Classifier/ Rule § gbp policy-classifier-create web-traffic –protocol tcp –port-range 80 –direction in § gbp policy-rule-create web-policy-rule –classifier web-traffic –actions allow
§ Создание Policy RuleSet § gbp ruleset-create web-ruleset –policy-rules web-policy-rule
§ Создание группы § gbp group-create web
§ Ассоциация группы с правилом § gbp group-update web –provided-rulesets web-ruleset
§ Запуск виртуальной машины Web Server с использованием GBP-политики § gbp member-create –group web web-1
BGP CLI: основные шаги по настройке
Cisco Confidential 36 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
GBP UI: поддержка со стороны Horizon
Новая вкладка
Интерфейс для создания политик
Cisco Confidential 37 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
GBP оркестрация: поддержка со стороны Heat
# Creating a classifier for all tcp traffic any_tcp_classifier: type: OS::Neutron::PolicyClassifier properties: name: any_tcp_classifier protocol: tcp direction: in shared: True # Creating redirect action redirect_to_chain: type: OS::Neutron::PolicyAction properties: name: redirect_to_chain action_type: redirect action_value: { get_resource: sc_spec } shared: False
# Creating a policy rule set tcp_traffic_rule: type: OS::Neutron::PolicyRule properties: name: tcp_traffic_rule policy_classifier_id: { get_resource: any_tcp_classifier } policy_actions: [{ get_resource: redirect_to_chain }] shared: False tcp_rule_set: type: OS::Neutron::PolicyRuleSet properties: name: tcp_rule_set policy_rules: [{ get_resource: tcp_traffic_rule }] child_policy_rule_sets: [] shared: False
Cisco Confidential 38 © 2013-2014 Cisco and/or its affiliates. All rights reserved. © 2014 Cisco and/or its affiliates. All rights reserved.
Wiki: https://wiki.openstack.org/wiki/GroupBasedPolicy
Stackforge: https://github.com/stackforge/group-based-policy
Report, fix Bugs:https://bugs.launchpad.net/group-based-policy
Submit Blueprints:https://blueprints.launchpad.net/group-based-policy
GBP доступен СЕЙЧАС!
GBP с использование ML2/OVS в VM: git clone http://github.com/group-‐policy/devstack -‐b stable/juno-‐gbp
cd devstack; stack.sh
Статус релиза: § GBP поддерживается начиная с релиза Juno § Работает с любым neutron plugin/driver § Включает GBP драйверы для ODL, Cisco APIC, и других
§ Installer для Fedora/RHEL и Ubuntu
Как принять участие?
Cisco Confidential 39 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
APIC драйвер создает сетевой профиль приложения
OpenStack APIC Plugin – group Policy (Фаза № 2)
APIC
Host 1
OVS
Network B V(X)LAN
101 10.0.1.0/24
Network A V(X)LAN
100 10.0.0.0/24
IPTables Host 2
OVS
Network C V(X)LAN
102 10.0.2.0/24
Network A V(X)LAN
100 10.0.0.0/24
IPTables Host 3
OVS
Network B V(X)LAN
101 10.0.1.0/24
Network A V(X)LAN
100 10.0.0.0/24
IPTables Host 4
OVS
Network C V(X)LAN
102 10.0.2.0/24
Network A V(X)LAN
100 10.0.0.0/24
IPTables
IP tables для контроля безопасности
ACI фабрика обеспечивает распределенный L2 и L3 (без L3 агента). Туннели терминируются на ToR коммутаторах.
OVS терминирует VLAN / VXLAN теги для каждой сети
OVS драйвер выбирает VLAN / VXLAN тег для каждой сети и настраивает OVS
Group Policy Extensions
OVS Driver
Neutron Networking
APIC Group Driver
Group Policy extension расширяет существующий neutron APIs
APIC REST API
Cisco Confidential 40 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Group Based Policy Workflow
2
ACI Admin (manages physical
network, monitors tenant state)
L/B
EPG APP
EPG DB F/W
L/B
EPG WEB
Application Network Profile
Create Application Policy
3
5 ACI Fabric
Push Policy
APIC
OpenStack Tenant (Performs step 1,4) Instantiate VMs
Web Web Web Web App App 4
Create Application Network Profile
1
DB DB
HYPERVISOR HYPERVISOR HYPERVISOR
NOVA
NEUTRON
Automatically Push Network Profiles to APIC
L/B
EPG APP
EPG DB F/W
L/B
EPG WEB
Application Network Profile
Интеграция OpenStack и APIC (Фаза № 2)
Cisco Confidential 41 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential 42 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
VMs on Compute Node
N1Kv VEM
Compute Nodes
Neutron Cisco Nexus1000v Plugin (KVM)
42
Neutron Server
Neutron Core plugin (Cisco/ML2)
Cisco N1Kv Plugin
N1Kv VSM
Преимущества:
• Сетевые профили – VLAN, VXLAN (multicast/unicast), Trunk
• Профили политик – ACL, QoS
• VXLAN Gateway Service VM
• VSG – Virtual Security Gateway
REST API
Nova
Network Profile:Network Segment Pool Policy Profile:Port Profile
VM VM
Cisco Confidential 43 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Nexus 1000V для OpenStack
Физические серверы
VXLAN Gateway
Neutron
Tenant 1 Tenant n
Tenant 2
Физические сети (VLAN-ы)
Физические МСЭ
KVM
Компоненты решения
Nexus 1000V VSM Nexus 1000V VEM VXLAN Gateway Neutron Plugin
Виртуальные сети (VXLAN) или VLAN
Cisco Confidential 44 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Обзор решения N1KV для KVM • Neutron plugin с расширением N1KV
• Policy Profile
• Network profile
• Trunk profile
• Private VLAN
• VSM (HA пара)
• Consistent physical and virtual interface management
• Centralized Network controller for management and troubleshooting
• Integration with other NMS elements
• VEM (один на сервер)
• Optimized forwarder
• Features
• Service Nodes (optional)
• VXLAN GW – VXLAN to VLAN mappings
• VSG – Zone based firewall
Neutron
Nexus 1000V(VSM)
Rest API
N1KV Plugin
VSG VEM
хосты
VEM VEM
хосты
VEM VXLAN
GW
Tenant B Tenant A
VXLAN/VLANs
Puppet/Juju based installer
Cisco Confidential 45 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Архитектура Nexus 1000V VEM
User Space Data Path
Agent
Kernel Space
Fast Path Module
Data Path Module
• DataPath Agent: взаимодействие с VSM
• DataPath: обработка пакетов (1-ый пакет каждого flow) (Forwarding and Features) • поддержка Multi-threading
• FastPath: обработка пакетов на уровне kernel ( для тех flow, которые уже были детектированы и обработаны в модуле DataPath) • Разделение функций forwarding и feature lookup
Cisco Confidential 46 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Упрощение операционной модели
Nexus 1000V VEM
Server
Nexus 1000V VSM
OpenStack Controller
Nova Service
Network Mgmt
VM VM VM VM
Cloud Mgmt Horizon
Neutron Service
Other Services
Create policy-profiles 1
Policy-profiles are synced to Controller. Controller in turn uses Neutron API to create networks & subnets on VSM.
2
Create tenants, networks, subnets & VMs
3
4
Cisco Confidential 47 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Функциональность Cisco Nexus 1000V для KVM
Функция Описание
Коммутация L2 Switching, 802.1Q VLAN Tagging, Private VLANs, LACP, Port-channeling, VPC Host Mode, Multicast/IGMP Snooping, Jumbo-frame support, Uknown Unicast Flood Blocking, BUM traffic handling in the fast path
Безопасность Access Control Lists (L2–4 w/ Redirect), Port ACLs, ACL Statistics, RADIUS, TACACS+
VXLAN Unicast & multicast modes, Port-statistics, ACLs, Netflow, VXLAN to VLAN Gateway
Развертывание Integration with OpenStack Neutron APIs & Horizon dashboard, VM Policy Provisioning through port-profiles, Ability to create SLA-based network profiles
Мониторинг Netflow, Port-statistics, VM-level interface statistics, vTracker, SPAN/ERSPAN
Управляемость Cisco NX-OS CLI, SNMP (v.1, 2, 3), CDP, Syslog, NTP ISSU, SSH v2, Telnet, REST-APIs Centralized management through VSM
Cisco Confidential 48 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Поддержка оверлеев Передача VXLAN трафика в режимах multicast и unicast
48
VM VM VM VM VM VM
VSM
VTEP 1 VTEP 2 VTEP 3
VM VM VM VM VM VM
VTEP 1 VTEP 2 VTEP 3
Multicast Underlay G1 G2
G3
G1 G1 G3 G3 G2 G2 G – vtep2 R – vtep2 B- vtep2
G-vtep1, R-vtep1 B-vtep3
Unicast Underlay
Multi-destination трафик передается с
использованием multicast
Multi-destination трафик распространяется при помощи репликации (HER = Head-End
Replication)
G-vtep1,vtep2 R-vtep1,vtep2 B-vtep2, vtep2
Multicast Mode Unicast Mode
Cisco Confidential 49 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Сравнение решений на базе N1KV и OVS Функция VEM OVS Forwarding Model Mac based forwarding Flow based forwarding Number of active flows without features Unlimited Limited by the KLM table size
(default is 8K) Control traffic protection between slow and fast paths
Yes No
Unknown unicast flood protection Yes No Broadcast packet handling in fast path Yes No Multicast traffic handling In the fast path In the slow path Fast aging for short lived web/tcp traffic Yes No Admin based policies Yes No SLA based network policies Yes No Private VLAN Yes No
Cisco Confidential 50 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Сравнение решений на базе N1KV и OVS Функция N1KV OVS Centralized Management Yes (VSM based) No Unified physical and virtual interface Management
Yes No
Integration with network management tools
Yes No
Troubleshooting and Monitoring Centralized event logs, stats and show commands on VSM
Logs and comamnds on individual hosts
VXLAN to VLAN mapping Using VXLAN GW No vEth Trunk support Yes No LACP support Yes with various load-sharing
options Limited
Cisco Confidential 51 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Интеграция с дистрибутивами OpenStack Тесная интеграция работа по интеграции
Infrastructure manager -MAAS
Installer - Juju/Charms
Charms for N1KV components
Поддерживаемые версии:14.04 LTS + IceHouse
Infrastructure manager - Foremen
Installer – Staypuft/Puppet
Puppet modules for N1KV components
Поддерживаемые версии: RHEL 7.1 + OSP6 (Juno)
Cisco Confidential 52 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential 53 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Архитектура VTS
VCenter 3rd Party VM Manager
REST API
Virtual Topology System (VTS) MP-BGP
BGP-EVPN
VTF VTF OVS dVS
RESTCONF/Yang
MP-BGP
BGP-EVPN RR RR
Cisco NSO
IP / MPLS WAN
WAN / Internet 3rd Party Cloud
Bare Metal Workload
Virtualized Workloads with OVS
Virtualized Workloads with Feature Rich & High Performance Cisco VTF Solution
Virtualized Workloads with SR-IOV
Virtualized Workloads with dVS
DCI DCI
Data Plane
Control Plane
Management & Orchestration Plane
VTS GUI
ToR ToR
VM or VNF
VM or VNF
VM or VNF
VM or VNF
VM or VNF
VM or VNF
VM or VNF
VM or VNF
VM or VNF
VM or VNF
VM or VNF
VM or VNF
Cisco Confidential 54 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Пример виртуальной топологии на базе VTS
Network-‐1 (L2 VNID-‐1)
Tenant
Svc: NAT
Router-‐1 (L3 VNID-‐5)
Virtual Topology
VM VM VM
Subnet1
Network-‐2 (L2 VNID-‐2)
VM
Network-‐3 (L2 VNID-‐3)
Subnet3
Network-‐4 (L2 VNID-‐4)
Subnet4
Router-‐1 (L3 VNID-‐5)
External-‐net (Public)
Subnet2
Cisco Confidential 55 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
VTS 1.5 – интеграция с OpenStack
Обнаружение узлов и топологии
VTS VTS Plugin
REST API
1- Создание Tenant
2- Создание Tenant Network
3- Подключение VM к Tenant Net
Создание Tenant и Tenant Network
Выделение VNID из пула Настройка L2 VxLAN
сегментов/ EVPN
Настройка vSwitch (vlan assignment) 4- Создание Tenant Router
Настройка L3 VXLAN, Anycast GW / EVPN
Host-2 Host-1
VTEP VTEP
Назначение VLAN каждому VTEP
Consistent API across Openstack and VCenter�VTS не автоматизирует настройку underlay-сети – используйте DCNM
Cisco Confidential 56 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential 57 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ Bare Metal as a Service (BMaaS) – проект Ironic : § http://wikicentral.cisco.com/display/OPENSTACK/Ironic+Support § PXE boot сервер в составе OpenStack для серверов под контролем UCSM § Power control § Информация о статусе железа в Ceilometer
§ Neutron UCSM ML2 Mechanism Driver: § http://wikicentral.cisco.com/display/OPENSTACK/Neutron+UCS+Manager+ML2+mechanism
+Driver § Поддержка настройки портов SR-IOV назначаемых виртуальным машинам и соответствующая настройка Cisco VM-FEX
§ Не-SR-IOV порты так же поддерживаются
Cisco UCS + OpenStack
Cisco Confidential 58 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
• Автоматизация развертывания ironic узлов • Улучшенная безопасность по сравнению с
IPMI
• Модуль “vendor_passthrough” используется для создания Ironic DB и доступа к атрибутам сервера – все соответствующие узлы разворачиваются при помощи одной команды
• Команды по управлению питанием (on/off/restart) отправляются через UCSM а не через IPMI
• Процессы развертывания нагрузки в Ironic и Nova не изменяются
Преимущества решения
Детали работы
Horizon Dashboard
Bare-metal Request
Nova Compute
Ironic
IPMI Commands
Bare-metal Server
Поддержка Bare-Metal-as-a-Service (Ironic) Cisco UCS-Manager plugin для OpenStack Ironic
Cisco Confidential 59 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
• Автоматизация развертывания ironic узлов • Улучшенная безопасность по сравнению с
IPMI
• Модуль “vendor_passthrough” используется для создания Ironic DB и доступа к атрибутам сервера – все соответствующие узлы разворачиваются при помощи одной команды
• Команды по управлению питанием (on/off/restart) отправляются через UCSM а не через IPMI
• Процессы развертывания нагрузки в Ironic и Nova не изменяются
Преимущества решения Horizon Dashboard
Bare-metal Request
Nova Compute
Ironic
UCSM Request
Bare-metal Server
Детали работы
Поддержка Bare-Metal-as-a-Service (Ironic) Cisco UCS-Manager plugin для OpenStack Ironic
Cisco Confidential 60 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
• Автоматическое создание и настройка VLAN в рамках UCS домена
• Поддержка VM-FEX
• При добавлении новых потребителей (tenants) в облако OpenStack, требуемые VLAN-ы создаются и настраиваются автоматически
• Функции SR-IOV настраиваются на вычислительных узлах автоматически, при задействовании VM-FEX, что позволяет передавать данные напрямую между виртуальными машинами минуя коммутатор, встроенный в гипервизор
• VM-FEX обеспечивает прирост производительности сетевой подсистемы, а так же дополнительную изоляцию виртуальных машин для запущенных на UCS с целью реализации политики безопасности
Преимущества решения
Детали работы
Adapter FEX
VM-FEX
Автоматизация настройки VLAN и VM-FEX Cisco UCS-Manager plugin для OpenStack Neutron
Cisco Confidential 61 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential 62 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Интегрированные вычислительные стеки на базе UCS
Cisco UCS Cisco Nexus UCS Director
Vblock FlexPod HDS UCP Select VSPEX VersaStack
UCS for Red Hat OpenStack
UCS Integrated Infrastructure
SmartStack
Cisco Confidential 63 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
• Начальный бандл, который включает в себя сервера Cisco проверенной конфигурации для разворачивания частного облака на базе OpenStack и гипервизора KVM для вирутальных машин количеством 300-500
• Возможность развернуть Virtual Private Data Center с поддержкой Tenant-ов на серверах Cisco ü Red Hat OSP 5 ü Cisco UCS C240 M3 (Ceph Storage cluster) ü Cisco UCS C220 M3 (Compute, OpenStack) ü UCS Fabric Interconnects и UCS Manager ü Nexus 9000
• Starter бандл образует основу для последующих валидированных дизайнов «Advanced» и «Advanced-ACI»
• Разворачивается при участии Cisco Services.
UCS Integrated Infrastructure for Red Hat OpenStack Starter 1.0 Offering- обзор Intercloud
Virtual Private Data Center
Cisco Confidential 64 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Упрощение развертывания облака на базе OpenStack
Cisco и Red Hat совместно тестируют UCS и Red Hat Enterprise Linux OpenStack Platform UCSO) Starter Release доступен к заказу в виде бандла оборудования и предложения Cisco Advanced Services
• Starter (доступен) • Advanced (план) • Advanced-ACI (план)
Основные отличия предложения Cisco: • Снижение времени развертывания
• Снижение CAPEX с UCS
• Снижение риска с ипользованием проверенного дизайна
• База для Application-centric Infrastructure
Cisco Confidential 65 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Преимущества Red Hat Enterprise Linux OpenStack Platform l Все достоинства OpenStack и...
l Проверенный код Enterprise класса
l ко-инжиниринг и интеграция Red Hat Enterprise Linux
l Жизненный цикл ПО Enterprise класса
l Техническая поддержка
l Самая большая экосистема партнеров OpenStack
l OpenStack обучение и сертификация
l Интеграция с проверенным стеком Red Hat
- Red Hat Enterprise Virtualization
- Red Hat Storage
http://www.youtube.com/watch?v=1YBWt6CpbH0
Cisco Confidential 66 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Аппаратная платформа
Продукт Описание Кол-во
Функция
N9k-C9396PX
Nexus 9396 in NX-OS mode
1 ToR providing L2 and L3 switching
UCS-C220-M3S UCS C220 rackmount server
6 Host Openstack controller services and Ceph Monitor service, Host OpenStack VM’s, one node in preparation for Foreman/Stay Puft installer in Starter 2.0
UCS-C240-M3S UCS C240 rackmount server
3 Disks for Ceph storage cluster, hosts Ceph OSDs.
UCS-FI-6296 UCS Fabric Interconnects, 96-port model
2 Centralized management and deployment of UCS C-series servers
Cisco Confidential 67 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Программное обеспечение
*Includes Foreman nodes
Продукт Функция
Red Hat Enterprise Linux 7 Operating system for all physical servers
Red Hat Enterprise Linux OpenStack Platform 5.0
Red Hat Enterprise Linux OpenStack Icehouse distribution
Inktank Ceph Enterprise 1.2 by RedHat
Distributed storage virtualization
Cisco Confidential 68 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
UCSO Starter 1.0 топология
§ Port channel от каждого UCS fabric-interconnect в сторону ToR
§ Fabric-interconnect в режиме end-host, с динамической привязкой (dynamic pinning) серверных адаптеров vNIC к uplink port channel
Link aggregation на OVS, Load balancing
ovs agent Nova compute
Cisco Confidential 69 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Starter Edition • Cisco Validated Design • Совместная скоординированная поддержка центрами TAC Cisco и Red Hat
Advanced Edition
Простота и масштабирование частного облака
Starter Edition и: • Поддержка Intercloud • Автоматическое развертывание
• Использование портала для IaaS и PaaS
• Масшабируемость – тысячи виртуальных машин
Advanced ACI Edition
Advanced Edition и: • Инфраструктура сети ЦОД настраиваемая при помощи политик и Cisco APIC
Cisco UCS Integrated Infrastructure for OpenStack Планируемые редакции для Red Hat KVM
Использование политик для
развертывания масштабируемого
облака
Быстрота и простота
установки OpenStack на Cisco UCS
план план
Cisco Confidential 70 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Решения Cisco для ЦОД и OpenStack
Большой выбор плагинов для
самостоятельной интеграции
Сеть передачи данных ЦОД
Готовое решение на базе Cisco UCS и Cisco Nexus под управлением
OpenStack
Вычислительная платформа
Cisco управляет Вашим облаком на основе OpenStack
Решения для облака
Cisco Confidential 71 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ Neutron plugin для Nexus § простые и мощные функции
§ Интеграция ACI и OpenStack § Group Based Policy - изящество и простота
§ Nexus 1000V для OpenStack § Привычные сетевые функции, разделение ролей
§ VTS § Если ACI по каким то причинам не отвечает требованиям Заказчика
§ UCS - Ironic Project § Автоматизация установки ОС на UCS
§ UCSO § Готовая интеграция из коробки
Заключение
Cisco Confidential 72 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Полезные ссылки § Nexus 1000v: http://www.cisco.com/c/en/us/products/switches/nexus-1000v-kvm/index.html
§ Nexus 3000 and Higher: http://www.cisco.com/en/US/prod/collateral/switches/ps9441/ps11541/data_sheet_c78-727737.html
§ Cisco Nexus + OpenStack Deployment: http://docwiki.cisco.com/wiki/OpenStack:_Havana:_2-Role_Nexus
§ Project Ironic: https://wiki.openstack.org/wiki/Ironic
§ Cisco ACI with OpenStack: http://www.cisco.com/c/dam/en/us/solutions/collateral/data-center-virtualization/unified-fabric/solution-brief-c22-729865.pdf
§ Cisco APIC driver for OpenStack Neutron ML2: https://blueprints.launchpad.net/neutron/+spec/ml2-cisco-apic-mechanism-driver
Cisco Confidential 73 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Внимание, конкурс! По завершении данного семинара примите участие в конкурсе в наших социальных сообществах. Вам потребуется ответить на вопрос по теме вебинара, и возможно, именно вы станете счастливым обладателем сувенира от компании Cisco. Вопросы будут опубликованы сразу после нашей трансляции. Удачи! vk.com/cisco facebook.com/CiscoRu facebook.com/CiscoUA *призы разыгрываются в каждом сообществе **результаты публикуются раз в неделю.
Спасибо!
top related