孙涛 思科云计算TEAM

2018.6.9

思科开源容器网络方案-Contiv

传统容器网络组网方案和优缺点

Backbone

StaticLabel BGP-LS

BGP-LU

Customer_E-LINE

StaticLabel

BGP-LSBGP-LU

组网方式一：UnderLAY方案 组网方式二：OverLay方案

Calicomacvlan

性能好，流量可视化，无层级隔离、QOS 易于组网、规模大，但性能差，封闭网络、无层级隔离

网络能力由服务器实现/NFV

DCphysical-network DCCloud-network

Weaveflannel

01

02

03

04

05

06

07

大规模容器集群实践

高可用、业务连续性

隔离域及域内业务隔离

监控、监管、4A审计

IaaS和容器云统一管理

网络遵循现有网络管理模式

提供有状态服务能力

K8S 京东/谷歌/唯品会生产实践

K8S副本模式，Federation跨集群容灾

网络多租户、访问控制策略

ELK/普罗米修斯/zipkin监管监控

三方云管平台 – CloudCenter

二层接入、云间路由互通、职责清晰

数据库，持久化存储，StatusfulSET

今天金融用户对容器云基本需求

Contiv组件和特性

互联、外部链接、安全、可视化、性能、多租户、独立网络平面

CEPH/NFS持久化存储支持,分配,快照,磁盘管理,IO控制,

NodeLifecycle:自动发现ClusterManagement:健康监控

UIforOpsPoliciesandClusterManagement:CLI,REST,andGraphicalUserInterface,Role-BasedAccess

Network

Storage

Cluster

Contiv Manager

Availableathttp://contiv.github.io

Contiv容器网络框架

ContivCLI/UI

Node1ContivAgent

...Node2ContivAgent

Node-nContivAgent

ContivElements

容器网络支持 or:• Kubernetes,Mesos,Nomad,andSwamRoutedistributionusingBGPExportsdataabout:Appconnectivity,stats,peer

集群管理节点，负责集群管理功能定义容器化，无状态，平滑升级、重启、故障恢复网络配置、策略管理定义全局资源:IPAM,VLAN/VXLANpools

Contiv门户或命令行工具级，SDN网络管理网络部门或基础构架管理员使用

v 管理网络模型网络管理界面SDN控制器IPAM整合

v 容器上线/下线容器接口分配IP地址配置vlan tag标记

NetMaster

NetPlugin

Contiv三种网络部署模式

L3 Routing mode应用条件:• HOST和LEAF之间跑BGP协议.• 目前仅支持1个上联出口.• 目前仅支持物理主机.

L2 Bridge mode应用条件:• 支持vlan连接.• 预制SVI和IP接口地址.• 交换机接口trunk vlan ACI with Bridge mode应用条件:

•目前ACI vlan EPG• L3out预制或API实现• Ext contract预制或API实现

基于SDN网络部署模式基于传统络部署模式

Contiv网络模型

Tenant

subnet subnet

Group GroupGroup

AppProfile

IsolatePolicy

BandPolicy

SLB

ExtContract

l3out

v 网络视角

v 应用视角

租户 网络 应用组 SLB隔离策略

QOS策略 外部合约 外部路由 应用端点

租户 应用Profile应用组C C C CC C

应用端点

产品级的网络和安全策略 (TS/ASService）

多租户 网络安全隔离(White/BlackListRules)

流量优先级和带宽管理QOS

网络监控(LiveConnectivityGraphsandStats)

外部网络整合(Cloud|Nexus|CiscoACI)

独立网络控制平面NetworkGUI

IPAM整合,服务自动发现

性能和扩展性

Availableathttps://github.com/contiv/netplugin

Tenant

subnet

db-GroupWeb-Group

企业OA

web db

企业OA

Rule

qos

网络模型

应用模型

subnet profile1 profile2

web db

应用模型

CALICO网络模型

subnet

web db

应用模型

connect

WEAVE网络模型

subnet

企业OA

企业OA

Docker应用模型到网络模型映射

CONTIV

网络模型

WEAVE

网络模型

CALICO

网络模型

Rule

CONTIV网络模型

Tenant

subnet

subnet

Appprofile

Appprofile

Appprofile

web app db

web db

mysqlapache

OAmysqlapache

应用分组 应用标签

应用分层 应用名称 网络定义

Rule/QOS

Rule/QOS

v 职责分工明确 v 灵活应用访问控制 v 应用高度可视化 v 资源管控

Contiv网络资源控制模型讨论

l3out

网络出口

子网

业务管理 网络管理

自动化整合：应用意图和操作意图表达

PLACEHOLDERDockerCompose

PLACEHOLDERweb:

environment: prodnetworks:

security: -allow ports: 5000, 443

bandwidth: 5gbpslb selector:

- tier: webdb:networks:

security:allow ports: 3306 from web

volumes:pool: SSDIOPS: 10000

OpsIntent

OperationIntentProvideOperationalRequirementsandPoliciesforApplications

业务相关网络部署自动化 业务部署自动化

apiVersion: v1kind: Podmetadata:

labels:io.contiv.tenant: contivio.contiv.network: net0io.contiv.net-group: net0-

epgname: contiv-c3

spec: containers:

Contiv网络配置

思科Contiv-ACI和RancherK8S平台整合

【实现目标】• 基于K8S容器平台和思科SDN网络资源一键初始化

• 基于K8S容器平台和ACIPlugin一键式部署