cloud workshop enterprise sdn 27 oct2015

© 2015 IBM Corporation

Katsushi Yamashita IBM Distinguished Engineer, Global Technology Service [email protected]

27 OCT 2015

Enterprise SDN(Software Defined Network)


本⽇の内容エンタープライズSDN

§ クラウド環境を利⽤する企業や企業グループが⼀般化するなかで、これまでのIT資産とクラウド環境を統合するハイブリッドな利⽤形態が増えてきました。企業内のネットワークとインターネットを基本としたクラウドネットワークを統合するキーテクノロジーとなるのがSDN（Software Defined Network）です。

このセッションではパブリッククラウドネットワークにおけるSDN活⽤やOpenStackなどを活⽤したプライベートクラウドネットワークにおけるSDN活⽤のユースケースについて議論します。このセッションを通じて、SDNは”これまでと同じネットワーク機能を安いスイッチで置き換える”というようなユースケースだけではなく、これからのクラウド環境に必要な技術であるという事を理解して欲しいと考えています

2


エンタープライズ・ネットワークの課題

3

全社／技術／DMZで物理的に分離されたNW NW変更は手作業で時間がかかり高価 →　ビジネスの変化に対応しにくいNW

職⼈芸的に構築された固定的な静的ネットワーク


職⼈芸（嫌いじゃないです）→ ⾃動化を受けいれない

4

⾼価でインテリジェントなネットワーク機器を分散配置したネットワーク

VLAN数などの既存の物理ネットワークの制限を前提に設計された柔軟度の低いネットワーク

全て事前に設計/テストされ、導⼊時に決定し⼿動による変更が必要な、固定的なネットワーク

物理的なネットワーク変更は⼊念なテストが必要

サーバーは仮想化したが、インスタンスの増加についていけない。

FW, IDS/IPS, WAFなどの⾼度なセキュリティ技術が必須に。


こんな仮想サーバーデータセンターです

5

HypervisorvSwitch

Guest VM

VLAN XX

VLAN XX

HypervisorvSwitch

Guest VM

VLAN XXVLAN XX

HypervisorvSwitch

Guest VM

VLAN XXVLAN ZZ

物理サーバー

接続スイッチ

VLAN YY

VLAN ZZ

VLAN XX

複数VLANを接続（トランク接続）

InternetFirewall Load

balancerVPN

WAN

ROUTER ROUTER

HypervisorvSwitch

Guest VM

VLAN 55VLAN 00

セキュリティ構造を決定する物理的な配線

テナント毎にVLAN発⾏

VLAN数は最⼤4096

爆発的なインスタンスの増加

別のデータセンターデータセンター

同じテナントでも違う

ネットワーク

物理ルーターによるIPネットワークの接続


仮想スイッチによるサーバーサイドネットワークの課題点

§  これまでの仮想スイッチ技術だけでは、サーバーの⾼集積度に伴うGuest VMの増加に対してMacアドレス登録や必要なVLANの数に対応できない。それを避けるためにL3接続されるとサービスネットワークの透過性が失われ、ネットワークの管理負荷が⾮常に⾼くなってしまう。

– サーバー筐体からのネットワークインターフェースには管理ネットワークとサービスネットワークが接続される。サービスネットワークはVMの増加に伴って柔軟な運⽤が求められる。

– VMの追加、削除、移動などの作業が⾃動化されていても、物理的なネットワークでのVLANサービスはネットワークハードウェアの操作が必要（管理上あるいはVLAN数上の制約から通常は全てのVLANを透過的に利⽤しない）

§  ソフトウェアによるサービスネットワークの管理が必要となる。

6


求められるのは、柔軟性

7

物理ネットワークを抽象化した動的な⾃律型ネットワーク

物理ネットワークが抽象化・プール化され、これらの制限を受けない、柔軟でスケーラブルな仮想ネットワーク

スモールスタートや迅速なデプロイメント、動的ネットワーク変更、⾃動化が可能な⾃律型ネットワーク

低コストに実現可能な⼀元管理可能な仮想ネットワーク


求めるのは、スケールとスピード

8

迅速なディプロイメント

（設定追加時タスク数※1）

628 14

4,094 16,000,000

1/45

優れたスケーラビリティ

（最⼤仮想ドメイン数）

• 設定機器数は24 •  VLAN定義、アクセスポート割当、ト

ランクポート割当、仮想スイッチ設定、NIC設定、集約スイッチへの定義（トランク、経路）など

• 設定機器数は3 •  ドメイン定義、VNID追加、サブネット

追加、ゲートウェイ定義、集約スイッチへの定義（経路）など

※1　10台のラックにそれぞれ2台のToRスイッチ（計20スイッチ）と12台のサーバー（計120サーバー）、各サーバー毎に2枚のNIC（計240NIC）を搭載したケースでの弊社試算 ※2　120台の2ソケットサーバー（計240ソケット）と、既存ネットワークとのゲートウェイ製品、サポート料金を加味した場合の弊社試算

•  IEEE802.1Q VLANで利用されるVLAN ID（12ビット）の上限値

•  SDNで利用するVNID（24ビット）の上限値

• 初期リリースでは16,000ドメインまでをサポート

従来型ネットワークor 他ソリューション SDN – Ethernet Overlay

tasks

VLANs domains

tasks

☓4,000


SDNのアプローチは、ルーターをソフトウェア化するか、イーサネットをソフトウェア化するか

9

SDN OpenFlow 仮想オーバーレイ⼆つの実装

特徴ソフトウェアによる経路制御を⾏う。通信の経路や帯域の監視や変更を動的かつ柔軟に、サーバーを介してアプリケーションから⾏える

仮想スィッチ同⼠を、既設のIPネットワークを活⽤して仮想化接続する。どこでも同じネットワークが利⽤でき、ソフトウェアで制御できる。

メリット • 動的かつ柔軟な経路制御• ネットワーク機器に対する標準化されたプロトコルによる管理

• OpenFlow対応スイッチによる現⾏ネットワークの再構築

• ハードウェアの制約が少ない• 既存ネットワーク上に構築できる• インターネットクラウドやグローバ

ル拠点にまたがる、単⼀のセキュアなネットワークをプロビジョニング


ソフトウェアでエミュレートされたサービスネットワーク

10

HypervisorSDN VｘLAN

Guest VM


Guest VM


Guest VM 物理サーバー


Guest VM

別のデータセンターデータセンター

同じテナントで同じネットワーク

接続スイッチ

ROUTER ROUTER

WAN

離れたラック

IP IP IP IP

物理サーバー間はIPネットワーク通信のみ⾏う↓

物理ネットワークはサービスネットワークのVLAN構成を切り離し、単純なIPネットワークのみ管理する


物理ネットワークはなんでもOKです。Softlayerのバックボーンネットワークを利⽤することもできる。

11

VM W

are

SDN

VM W

are

SDN

Guest VM

Service Network(Virtual Eth)

VM W

are

SDN

Guest VM

VM W

are

SDN

VM W

are

SDN

Guest VM

VM W

are

SDN

VM Ware

SDN Vyatta

VM Ware

SDN Vyatta

Nearest SL DC Primary PoP

(HKG)

Backup SL DC Secondary PoP

(SGP)

(HKG) (DAL) (SJC)

Customer WAN

ROUTERROUTER

SDN-VE and Vyatta configuration provide BYOIP and dynamic routing capability on SoftLayer baremetal services. Customer can easily create secure hybrid cloud data center with this solution. And this solution enables global data center deployment quick. Dynamic high availability connection between data center, and server allocation mobility will be brought by SDN technologies. L2 Extension over multiple data centers with BYOIP Server mobility, HA configuration over the sites


* Subject to available capacity and network availability

Data center and Point of Presence

Planned data centers (not yet available as of Nov 2014)

Network Point of Presence

India

China

Tokyo

Hong Kong

Singapore

Melbourne

Seattle

San Jose

Los Angeles

Mexico City

Chicago

Montreal

Brazil

New York City

Miami

London Frankfurt

Amsterdam

Paris

Sydney

Atlanta

Denver

Dallas

Houston

Toronto

Washington D.C.

§  Key markets for expansion: Japan, India, China, Mexico1

§  Data centers are subject to available capacity at time of order. §  Toronto and London data centers are equipped with dual redundant 10GigE networks; dual

redundant 1GigE networks are provided at other locations. 1Plans are subject to change without notice.

SoftLayer® data centers are located around the world, and our global footprint is expanding to support even greater infrastructure access.


天空の城ラピュタ

13


Design pattern for multi-tenant service provider (1)Virtual Segmentation on SDN Domain

VM Ware　ESX

SDN VM Ware　ESX

SDN VM Ware　ESX VM Ware　ESX

SDN

VMWare -vCenter

SDN-VE -DCS -UC -v5000

Controllers

Multi Domain

vSwitch

DMZ Fortinet - Internet

Customer Premise

Physical Router (Direct Connect)

SDN-VE supports multiple domain which stands independently logically in virtualized network. Each domain can have each gateway which are implemented on single or multiple ESXi servers. You can deploy one domain for one layer. The layer can be deployed anywhere on physical servers. Higher utilization and flexibility deployment of resources are expected because guest VM can be located on everywhere in ESXi cluster.


Design pattern for multi-tenant service provider (2)Backbone connection

VM Ware　ESX

SDN

VM Ware　ESX

SDN

VM Ware　ESX VM Ware　ESX

SDN

VMWare -vCenter

SDN-VE -DCS -UC -v5000

Controllers

Single Domain

DMZ Fortinet - Internet

VM Ware　ESX

SDNVM Ware　ESX

SDN

VM Ware　ESX

SDNVM Ware　ESX

SDN

VM Ware　ESX

SDNVM Ware　ESX

SDN

vSwitch

VM Ware　ESX

SDN

VM Ware　ESX

SDN

VM Ware　ESX

SDN

vSwitch

vSwitch

vSwitch

Customer Premise

Physical Router (Direct Connect)

To establish harder barrier built by separation of hardware, you can implement SDN-VE/Vmware pair to each layer. Each layer can have complete set of VMWare, SDN-VE, Vyatta supported by individual physical servers. Each layers are separated with hardware boundary.


IBM Cloud OpenStack Service

17


IBM Cloud OpenStack Service

18

IBMの管理冗長化構成 24x7サポート99.95%のSLA

お客様の管理

…

… ビッグ・データ/ アナリティクス

Web/ モバイル

OpenStack API OpenStack Horizonポータル

OpenStackクラウド管理ソフトウェア

ハイパーバイザーオブジェクト・ストレージ

SoftLayerの全世界に展開されたデータ・センターで専用ベアメタル・サーバー、ストレージ、ネットワーク・ゲートウェイを提供

インターネット

ネットワーク・ゲートウェイ、Firewall

VPN

お客様

ブロック・ストレージ

お客様のアプリケーション

Web、モバイル、アナリティクスなどお客様のアプリケーションのホスティング環境を短時間で用意

SoftLayerのベアメタル・サーバーを利用したハイパフォーマンスでスケールアウト可能なお客様専用のインフラストラクチャー

IBMがサーバー、ストレージ、OpenStack管理システム、ネットワーク・ゲートウェイ、ストレージ、ハイパーバイザーを運用管理


OpenStack – Set of Building Block Component

19


IBM Cloud OpenStack Services runs on OpenStack Icehouseto provide an environment built on current open standards.

Other OpenStack components included: §  Heat – for pattern orchestration §  Ceilometer – for reporting, metering

OpenStack experimental projects not available at this time: §  Trove §  Sahara

(Optional service)

Block storage

Network

Dashboard

Object storage

Compute Image

Provides Auth for

Horizon

Swift

Nova

Glance

Keystone

Neutron

Cinder

Provides UI* for

Provides UI for

Provides UI for

Provides UI for

Provides UI for

Provides volumes for

Provides Auth for

Provides Auth for

Store disk files in

Provides Auth for

Provides Auth for

Provides Auth for

Provides network connectivity for

Store images in

Identity

*User interface (UI)


Software-defined networking (SDN) provides a multi-tier network architecture with dynamic configuration and self service.

Project 2

Project 1

VM1 VM VM VM

Hypervisor

SDN vSwitch

VM VM VM VM

Hypervisor

SDN vSwitch

VM VM VM VM

Hypervisor

SDN vSwitch

Virtual network 1

Virtual network 2

Virtual network 3

Virtual network 4

Ope

nSta

ck

Neu

tron

API

s

IP Network

•  Virtual networks & L3 routers are provisioned and managed by Project Admin using OpenStack •  Virtual networks in a Project can use their own IP addressing (BYOIP) that overlaps other Projects •  Fine grained access control using L3 routers and Security Groups

21


IBM Cloud OpenStack Servicesのネットワーク構造

22


Network configuration IBM Cloud OpenStack Services

SL-Public-Netw

ork

SL-Private-Netw

ork

Shared-Flat-Netw

ork1

Shared-Flat-Netw

ork2

Shared-Flat-Netw

ork3

Shared-Flat-Netw

ork4

Shared-Flat-Netw

ork5

Shared-Custom-N

etwork

158.85.108.224 / 27

10.114.82.0 / 26

192.168.100.0 / 24

192.168.0.0 / 24

192.168.1.0 / 24

192.168.2.0 / 24

192.168.3.0 / 24

10.10.10.0 / 24

① ② ④③① SL-Public-Network ② SL-Private-Network ③ Shared-Custom-Network ④ Shared-Flat-Network ⑤ Private Network

：インターネットと接続： SoftLayerのサービスと接続：お客さま環境と接続（要定義）：プロジェクト間で共有するネットワーク：プロジェクト内で利用するネットワーク

Private-Netw

ork1

⑤

Private-Netw

ork2

External Network Local Network


ICOS - Dedicated: Load Balancer as a ServiceFull Neutron CLIs supported

§  Creation of a load balancer pool

§  Creation and applying a health monitor for instance

§  Creation a virtual IP (VIP) address that, when accessed through the load balancer, directs the requests to one of the pool members

§  Add instances to a pool leveraging Heat auto scaling

Typical Client Use Cases

§  Test new application before completely replacing the existing application using weighting function.

§  Isolation of networks between VIP and backend severs

§  Dynamic sized pool based on load


OpenStack Neutron SDN SolutionVMWare NSX, CISCO ACIに加え、OpenStack SDNもラインナップ

25

Customer WAN

Bare MetalKVM

OVS

Compute Node

Bare MetalKVM

OVS

Compute Node

Bare MetalKVM

OVS

Compute Node

FWaaS

Neutron Server

Bare Metal

Horizon

LBaaS

Bare MetalKVM

OVS

Guest VM Guest VM Guest VM Guest VM

Customer Gateway(Vya*aRouter/Firewall)

OpenStack SDN

BYOIP (Customer IP Scheme)

IPsec VPN Tunnel

Customer IP

SL DC

10G

VXLANTunnel

Customer IP

SL　IP

Controller/Network Node

Compute Node

VPNaaS

Customer IP Customer IP Customer IP

Direct Link DHCPAgentL3Agent


仮想化のVMWareSDNのNSX


OpenStack, the fastest growing open source-based software, is feature rich and easy to implement for public and private clouds.

Open source software for building private and public clouds

Standard hardware

OpenStack shared services

Your applications

OpenStack Cloud Operating System OpenStack

Dashboard

Compute Networking Storage

APIs Growing community of technologists, developers, researchers, corporations and cloud computing specialists contributing highly functional, usable, quality code

April

2012 Over 2600

people Sept

2014 Over 19000

people

Source: openstack.org


http://japan.zdnet.com/extra/ibm_sdn_201403/35044804/http://japan.zdnet.com/extra/ibm_hybridit_sdn_201508/35068402/