思科容器网络ACI-CNI解决方案

林清轩&ZMENG
思科容器网络ACI CNI 解决方案
面向生产的容器网络
#CLUS
2
容器上生产在网络上的挑战现有容器网络技术现状 思科容器网络解决方案
Agenda
思科ACI发布 VMware NSX发布
VMware ESX V1.0 发布
思科 Nexus1000v 发布
标准交换机(单机网络)
ACI CNI与传统容器组网方案比较
6543210
扩展性987
安全
SDN融合
可视化
可管理性
支持 性能
Calico Weave Flannel MACVLAN ACI CNI
均衡！
Better Togather
Key Takeaways
“容器网络成功部署的关键在于开发团队和运维 团队的分工与合作”More Info …..
数据库，持久化存储，StatusfulSET
生产环境对容器云的基本需求
现有容器网络技术方案
#CLUS
青铜时代的容器组网方案– Docker Networking
9
Host-1
Container 1
Eth0172.17.0.12
Container 2
Eth0172.17.0.13
docker0 Bridge 172.17.42.1
每个NameSpace映射到一个独立的EPGContract控制NameSpace间访问K8s Network Policy负责POD访问控制
每个应用部署一个EPGContracts负责部应用署间的访问控制
Pod
Po
d
Pod
Pod
Po
d
Pod
Pod
Po
d
Pod
Pod
Po
d
Pod
Pod
Po
d
Pod
Pod
eth0
iptables
Host-1docker0 Bridge 172.17.42.1
Eth0172.17.0.12
Eth0172.17.0.12
Bridge mode
Host-1Eth0 (host interface) 192.168.0.2
Eth0192.168.0.2
Eth0192.168.0.2
DC Cloud-network
Weave flannel
组网方案比较
扩展性 876543210
性能
安全
SDN融合
可视化
可管理性
支持
Calico Weave Flannel MACVLAN
安全！ 运维！
挑 战
思科容器网络解决方案-ACI CNI
领先的云架构交换平台
Nexus 9000
基于策略驱动的网络控制器
62%
61%
安全
管理
扩展性 网络 集成需要商业产品级别的容器平台
Source: n= 151, Forrester Consulting, May 2016. Study commissioned by Red Hat
5
01020304050607
大规模容器集群实践
高可用、业务连续性
隔离域及多业务隔离
以应用为中心的基础架构 ACI
统一的网络平台
15
BRKACI-3330
Bare Metal
ACI作为成熟的SDN网络 平台统一管理容器裸金属虚机
云平台
容器网络模型及资源对应
Cluster
namespace/deployment
POD
Network Policy
Tenant
Epg
Endpoint
Ovs Flow
APIC
自动化
安全
可扩展
弹性扩展Extend your networkand recognize anomalies
统一策略Unified network Policyto all DC
主动运维Find root cause fasterwith granular details
思科SDN解决方案 ACI
关注容器网络安全关注网络整体运维和清晰的运维边界思科ACI CNI 容器网络解决方案
26
Thank You!
分布式交换机（集群网络）
黄金时代SDN(软件定义网络)
青铜时代
2013
以史为鉴，让我们回头看看…
虚拟化网络的演进
VMware vswitch发 布
2001 2002
VMware vSphere 4.0发布
2008 2009白银时代
容器上生产在网络上的挑战
挑战
安全和运维是主要挑战
75%
71%
64%
APIC provisions IPAM and distributed load balancer on OVS
将容器网络扩展至多数据中心
Kubernete
s Cluster
BD kube-node
(K8s Node
s – API – ETDC)
BD kube-pod (EPGs for cl
清晰的 管理边 界
可视化排错
Client
K8s POD
20
集成IPAM及高级负载均衡特性
K8s-node-01
POD
POD
POD
POD
K8s-node-02
POD
POD
POD
POD
WAN
K8s-master
POD
POD
POD
POD
---apiVersion: v1kind: Service metadata:labels:app: nginx name: nginx namespace: defaultspec:ports:- name: 80-tcp port: 80 protocol: TCP targetPort: 80selector:app: nginxtype: ClusterIP
安全管理员
Infrastructure Policy Enforcement
1定义容器网络安全策略
安全策略部署流程
17
清晰的 运维边 界
基于Cluster隔离
灵活的安全策略
基于Namespace 隔离
基于Deployment隔离
Pod
Po
d
Pod
er Mapping到一个EPG，默认行为应用或POD间通过K8S Network Policy控制
uster, nam
espace, deployment, etc.)
Inter-Pod IP Network
Inter-Pod IP Network
DC1 – POD1
DCn – PODn
POD
POD
POD
POD
POD
POD
The easiest DCI solution in Industry!
Static Label
BGP-LS BGP-LUCustomer_E-LINE
组网方式一：Underlay方案
组网方式二：OverLay方案
Calico macvlan
性能好，流量可视化，无层级隔离、QOS
易于组网、规模大，但性能差，封闭网络、无层级隔离
网络能力由服务器实现/NFV
DC physical-network
Po
d
Pod
Contract
Pod
Po
d
Pod
Pod
Po
d
Pod
Pod
Po
d
Pod
Pod
Po
d
Pod
Contract
Contract
Contract
Contract
EPG
Network Policy
网络可视化
PODDeploymentServiceClusterNamespace
实现开发团队和网络团队运维工具的隔离！
Container 1 Container 2Host Mode
Container 1 Container 2Mapped Mode
单机网络
#CLUS
白银时代的容器组网方案– 三块布
10
Weave
Flannel
Calico
集群网络
组网方案和优缺点
Backbone
Static Label
BGP-LS BGP-LU
K8S资源
ACI资源
`
1
2
部署/扩展容器集群
创建容器
WEB APP
Server 1
Server 2
Opflex/OVS
Host level Policy Enforcement
ACI Fabric
ACI与K8s集成
创建ACI网络
2
1
部署网络安全策略
3
网络日常监控管理
4
注解策略
3
EPG
开发团队
网络运维团队
监控、监管、4A审计
IaaS和容器云统一管理
网络遵循现有网络管理模式
提供有状态服务能力
K8S 京东/谷歌/唯品会生产实践
K8S副本模式，Federation跨集群容灾
网络多租户、访问控制策略
ELK/普罗米修斯/zipkin监管监控
三方云管平台 – CloudCenter
二层接入、云间路由互通、职责清晰