思科ACI CNI容器网络解决方案
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络可视化
清晰的
Hale Waihona Puke Baidu管理边
• POD
Nexus 9000
APIC
领先的云架构交换平台
基于策略驱动的网络控制器
自动化
主动运维
Find root cause faster with granular details
安全
统一策略
Unified network Policy to all DC
可扩展
弹性扩展
Extend your network and recognize anomalies
Eth0
172.17.0.12
Container 1
Eth0
172.17.0.12
Container 2
Mapped Mode
单机网络
白银时代的容器组网方案– 三块布
Weave
Calico
Flannel
集群网络
组网方案和优缺点
网络能力由服务器实现/NFV
组网方式一:Underlay方案
Calico macvlan
Contract Contract
Contract
基于Deployment隔离
EPG
Network Policy
Pod Po d Pod
Contract
Pod Po d Pod
Pod Po d Pod
Contract
Pod Po d Pod
• 每个应用部署一个EPG • Contracts负责部应用署间的访问控制
DC physical-network
DC Cloud-network
性能好,流量可视化,无层级隔离、QOS
组网方式二:OverLay方案
Weave flannel
Static Label
BGP-LS BGP-LU
Backbone
BGP-LS BGP-LU
Customer_E-LINE
Static Label
现有容器网络技术方案
青铜时代的容器组网方案– Docker Networking
Host-1
eth0 iptables
docker0 Bridge
172.17.42.1
veth774786d
vethde4e22e
Eth0
172.17.0.12
Container 1
Eth0
172.17.0.13
Container 2
面向生产的容器网络
思科ACI CNI容器网络解决方案
Agenda
容器上生产在网络上的挑战 现有容器网络技术现状
思科容器网络解决方案
#CLUS
BRKSDN-2115
© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
易于组网、规模大,但性能差,封闭网络、无层级隔离
组网方案比较
挑 安全!
支持
战 运维!
可管理性
扩展性
8
7 6 5 4 3 2 1 0
性能 安全
Calico Weave Flannel MACVL AN
可视化
SDN融合
思科容器网络解决方案-ACI CNI
思科SDN解决方案 ACI
以应用为中心的基础架构 ACI
Bridge mode
Host-1
docker0 Bridge 172.17.42.1
veth774786d
Host-1
Eth0 (host interface) 192.168.0.2
Eth0
192.168.0.2
Container 1
Eth0
192.168.0.2
Container 2
Host Mode
统一的网络平台
ACI作为成熟的SDN网络 平台统一管理
• 容器
• 裸金属 • 虚机
• 云平台
BRKACI-3330
Bare Metal
15
容器网络模型及资源对应
K8S资源
Cluster namespace/deployment
POD
Network Policy
ACI资源
Tenant Epg
Endpoint
黄金时代
SDN(软件定义网络)
虚拟化网络的演进
容器上生产在网络上的挑战
挑战
安全和运维是主要挑战
75%
安全
71%
64%
62%
61%
扩展性
网络
集成
管理
需要商业产品级别的容器平台
Source: n= 151, Forrester Consulting, May 2016. Study commissioned by Red Hat
1 创建ACI网络 2 ACI与K8s集成 3 部署网络安全策略 4 网络日常监控管理
Infrastructure Policy Enforcement
17
灵活的安全策略
基于Cluster隔离
Pod Po d Pod
Pod Po d Pod
基于Namespace 隔离
Pod Po d Pod
Pod Po d Pod
2
以史为鉴,让我们回头看看…
VMware ESX V1.0 发布
思科 Nexus1000v 发布
VMware vswitch发 布
青铜时代
VMware vSphere 4.0发布
2001 2002
2008 2009
2013
白银时代
标准交换机(单机网络) 分布式交换机(集群网络)
思科ACI发布 VMware NSX发布
生产环境对容器云的基本需求
01
大规模容器集群实践
02
高可用、业务连续性
03
隔离域及多业务隔离
04
监控、监管、4A审计
05
IaaS和容器云统一管理
06
网络遵循现有网络管理模式
07
提供有状态服务能力
K8S 京东/谷歌/唯品会生产实践 K8S副本模式,Federation跨集群容灾 网络多租户、访问控制策略 ELK/普罗米修斯/zipkin监管监控 三方云管平台 – CloudCenter 二层接入、云间路由互通、职责清晰 数据库,持久化存储,StatusfulSET
Ovs Flow
安全策略部署流程
开发团队
1 创建容器
2 部署/扩展容器集群
`
3 注解策略
Opflex/OVS
Host level Policy Enforcement
WEB
APP
Server 1
WEB
APP
DB
Server 2
安全管理员
1 定义容器网 络安全策略
EPG
网络运维团队
清晰的 运维边
界
ACI Fabric
Pod Po d Pod
Pod Po d Pod
Pod Po d Pod
Pod Po d Pod
• 整个Cluster Mapping到一个EPG,默认行为 • 应用或POD间通过K8S Network Policy控制
• 每个NameSpace映射到一个独立的EPG • Contract控制NameSpace间访问 • K8s Network Policy负责POD访问控制