孙涛 思科云计算TEAM
2018.6.9
思科开源容器网络方案-Contiv
传统容器网络组网方案和优缺点
Backbone
StaticLabel BGP-LS
BGP-LU
Customer_E-LINE
StaticLabel
BGP-LSBGP-LU
组网方式一:UnderLAY方案 组网方式二:OverLay方案
Calicomacvlan
性能好,流量可视化,无层级隔离、QOS 易于组网、规模大,但性能差,封闭网络、无层级隔离
网络能力由服务器实现/NFV
DCphysical-network DCCloud-network
Weaveflannel
01
02
03
04
05
06
07
大规模容器集群实践
高可用、业务连续性
隔离域及域内业务隔离
监控、监管、4A审计
IaaS和容器云统一管理
网络遵循现有网络管理模式
提供有状态服务能力
K8S 京东/谷歌/唯品会生产实践
K8S副本模式,Federation跨集群容灾
网络多租户、访问控制策略
ELK/普罗米修斯/zipkin监管监控
三方云管平台 – CloudCenter
二层接入、云间路由互通、职责清晰
数据库,持久化存储,StatusfulSET
今天金融用户对容器云基本需求
Contiv组件和特性
互联、外部链接、安全、可视化、性能、多租户、独立网络平面
CEPH/NFS持久化存储支持,分配,快照,磁盘管理,IO控制,
NodeLifecycle:自动发现ClusterManagement:健康监控
UIforOpsPoliciesandClusterManagement:CLI,REST,andGraphicalUserInterface,Role-BasedAccess
Network
Storage
Cluster
Contiv Manager
Availableathttp://contiv.github.io
Contiv容器网络框架
ContivCLI/UI
Node1ContivAgent
...Node2ContivAgent
Node-nContivAgent
ContivElements
容器网络支持 or:• Kubernetes,Mesos,Nomad,andSwamRoutedistributionusingBGPExportsdataabout:Appconnectivity,stats,peer
集群管理节点,负责集群管理功能定义容器化,无状态,平滑升级、重启、故障恢复网络配置、策略管理定义全局资源:IPAM,VLAN/VXLANpools
Contiv门户或命令行工具级,SDN网络管理网络部门或基础构架管理员使用
v 管理网络模型网络管理界面SDN控制器IPAM整合
v 容器上线/下线容器接口分配IP地址配置vlan tag标记
NetMaster
NetPlugin
Contiv三种网络部署模式
L3 Routing mode应用条件:• HOST和LEAF之间跑BGP协议.• 目前仅支持1个上联出口.• 目前仅支持物理主机.
L2 Bridge mode应用条件:• 支持vlan连接.• 预制SVI和IP接口地址.• 交换机接口trunk vlan ACI with Bridge mode应用条件:
•目前ACI vlan EPG• L3out预制或API实现• Ext contract预制或API实现
基于SDN网络部署模式基于传统络部署模式
Contiv网络模型
Tenant
subnet subnet
Group GroupGroup
AppProfile
IsolatePolicy
BandPolicy
SLB
ExtContract
l3out
v 网络视角
v 应用视角
租户 网络 应用组 SLB隔离策略
QOS策略 外部合约 外部路由 应用端点
租户 应用Profile应用组C C C CC C
应用端点
产品级的网络和安全策略 (TS/ASService)
多租户 网络安全隔离(White/BlackListRules)
流量优先级和带宽管理QOS
网络监控(LiveConnectivityGraphsandStats)
外部网络整合(Cloud|Nexus|CiscoACI)
独立网络控制平面NetworkGUI
IPAM整合,服务自动发现
性能和扩展性
Availableathttps://github.com/contiv/netplugin
Tenant
subnet
db-GroupWeb-Group
企业OA
web db
企业OA
Rule
qos
网络模型
应用模型
subnet profile1 profile2
web db
应用模型
CALICO网络模型
subnet
web db
应用模型
connect
WEAVE网络模型
subnet
企业OA
企业OA
Docker应用模型到网络模型映射
CONTIV
网络模型
WEAVE
网络模型
CALICO
网络模型
Rule
CONTIV网络模型
Tenant
subnet
subnet
Appprofile
Appprofile
Appprofile
web app db
web db
mysqlapache
OAmysqlapache
应用分组 应用标签
应用分层 应用名称 网络定义
Rule/QOS
Rule/QOS
v 职责分工明确 v 灵活应用访问控制 v 应用高度可视化 v 资源管控
Contiv网络资源控制模型讨论
l3out
网络出口
子网
业务管理 网络管理
自动化整合:应用意图和操作意图表达
PLACEHOLDERDockerCompose
PLACEHOLDERweb:
environment: prodnetworks:
security: -allow ports: 5000, 443
bandwidth: 5gbpslb selector:
- tier: webdb:networks:
security:allow ports: 3306 from web
volumes:pool: SSDIOPS: 10000
OpsIntent
OperationIntentProvideOperationalRequirementsandPoliciesforApplications
业务相关网络部署自动化 业务部署自动化
apiVersion: v1kind: Podmetadata:
labels:io.contiv.tenant: contivio.contiv.network: net0io.contiv.net-group: net0-
epgname: contiv-c3
spec: containers:
Contiv网络配置
思科Contiv-ACI和RancherK8S平台整合
【实现目标】• 基于K8S容器平台和思科SDN网络资源一键初始化
• 基于K8S容器平台和ACIPlugin一键式部署