Интеграция инфраструктурных продуктов Cisco для ЦОД и OpenStack

Интеграция инфраструктурных продуктов
Cisco для ЦОД и OpenStack
Максим Хаванкин
системный архитектор, CCIE
mkhavank@cisco.com
24 июня, 2015

Cisco Confidential 2© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Внимание, конкурс!
По завершении данного семинара примите участие в
конкурсе в наших социальных сообществах.
Вам потребуется ответить на вопрос по теме вебинара,
и возможно, именно вы станете счастливым
обладателем сувенира от компании Cisco.
Вопросы будут опубликованы сразу после нашей
трансляции.
Удачи!
vk.com/cisco
facebook.com/CiscoRu
facebook.com/CiscoUA
*призы разыгрываются в каждом сообществе
**результаты публикуются раз в неделю.

§  Cisco и OpenStack
§  Cisco Nexus plugin для Neutron
§  Интеграция ACI и OpenStack
§  Nexus 1000V для OpenStack
§  Virtual Topology System и OpenStack
§  Интеграция OpenStack и Cisco UCS
§  Cisco UCS Integrated Infrastructure for Red Hat Enterprise Linux OpenStack
(UCSO)
§  Заключение
Содержание

§  101 OpenStack
§  Установка плагинов
§  Настройка механизмов интеграции
Что не входит в рамки мероприятия

Обзор OpenStack
§  Nova: развертывание VM
§  Glance: обнаружение и хранение образов VM
§  Swift: распределенное объектное
хранение данных
§  Cinder: block-ориентированное
хранение данных
§  Neutron: сетевой сервис
§  Keystone: аутентификация
СПО для создания публичных и
частных облаков
Состоит из набора взаимосвязанных
компонент

Вклад Cisco в OpenStack
#1 Contributor to Neutron
более 52,000 строк кода
Top 5 OpenStack Member
Более 450 участников
Top 6 code reviewer of OpenStack
Juno release

Решения Cisco для ЦОД и OpenStack
ACI
(ML2 & GBP)
Nexus & DCNM
(Neutron)
VTS
Сеть передачи
данных ЦОД
UCS
Converged
Infrastructure
Storage
Вычислительная
платформа
CIS
(Cisco Intercloud
Services)
COPC
(MetaCloud)
Решения для
облака
фокус этой презентации

Партнеры OpenStack
Поддержка основных OpenStack дистрибутивов
Тестирование и интеграция
Тесная работа с
производителями
дистрибутивов для
тестирования и квалификации
Простота развертывания
Интеграция со средствами
автоматизированного
развертывания для каждого
из дистрибутивов
Кастомизация для решений Cisco
Например поддержка аппаратных
решений на базе ACI или UCS

Архитектура OpenStack Neutron
Neutron Server
REST API
Neutron Core
plugins
ML2
Cisco(Nexus,
N1Kv)
OVS
Morevendor
plugins Neutron Service
plugins
•  Core + Extension REST API’s
•  Message Queue для взаимодействия с
Neutron агентами
•  Core и Service Plugin
•  Сore plugin-ы различных производителей
•  Поддержка различных сетевых
технологий
•  ML2 plugin with Type and Mechanism
Drivers
•  Сервисные plugin-ы с backend
драйверами
Core API
Network Port Subnet
Resource and Attribute Extension API
ProviderNetwork PortBinding Router Quotas SecurityGroups AgentScheduler LBaaS FWaaS VPNaaS ….
DHCP Agent
L3 Agent
Message Queue
IPTables on
Network
Node
L2 Agent
OVS on
Compute
Node
LoadBalancer
Firewall
VPN
HAProxy
IPTables
OpenSwan
L3ServicesFuturesType Driver Mechanism Driver
VLAN
GRE
VXLAN
CiscoNexus
OVS
OpenDayLight
APIC
Southbound interfaces
Morevendor
drivers

Core Plugin-ы
•  Обеспечивается поддержка для plugin-ов производителей, которые реализуют своим
уникальным образом стандартизированные вызовы к Neutron API
•  Для исполнения логических запросов к API могут использоваться различные технологии
•  Поддерживается только один core plugin
•  Перечень core plugin-ов – Big Switch, Brocade, Cisco, Cloudbase, Linux Bridge, Mellanox,
Midonet, ML2, NEC, Open vSwtich, PLUMgrid, Ryu, VMware NSX (список не полный!)
•  Важное замечание:
•  Modular Layer 2 plugin дает возможность поддерживать решения нескольких производителей
одновременно при помощи комбинации “mechanism driver” и “type driver”

Class MyNewTypeDriver(api.TypeDriver):
def get_type(self): # возвращает тип сети например VLAN, FLAT.
def initialize(self): # вызывается в момент запуска neutron для инициализации драйвера
def validate_provider_segment(self, segment): # проверяет что сегмент является
провайдерским
def reserve_provider_segment(self, session, segment): # резервирует провайдерский
сегмент
def allocate_tenant_segment(self, session): # выделяет сегмент для tenant-а из
заранее определенного пула сегментов
def release_segment(self, session, segment): # возвращает сегмент назад в пул
(provider или tenant)
Type driver – настройка и API
[ml2_type_vlan]
network_vlan_ranges = default:100:2000

class MyMechDriver(api.MechanismDriver):
def initialize: # вызывается в момент запуска neutron для инициализации
драйвера
def create/update/delete_network_pre/postcommit:# Network CRUD
events
def create/update/delete_subnet_pre/postcommit: # Subnet CRUD events
def create/update/delete_port_pre/postcommit: # port CRUD events
def bind_port : # port bind event
Mechanism driver – конфигурация и API
[ml2_cisco]
vlan_name_prefix = q-
svi_round_robin = False
managed_physical_network = default

Развертывание Neutron
•  В дополнение к neutron-server-у, в
зависимости от конфигурации
разворачиваются дополнительные
агенты
•  L3 agent, DHCP agent, Plugin agent
•  Агенты могут быть развернуты на
controller ноде или отдельной
network ноде

VM on a Compute
Nodes
Neutron Cisco Nexus Plugin
16
Neutron Server
Neutron Core
plugin (Cisco/ML2)
Cisco Nexus Plugin/
Driver
Ncclient
Nexus
Nova
Compute Nodes
create/update
port request
sent to Neutron
Преимущества
•  Работает с Nexus 3k/5k/6k/7k/9k
•  Поддержка для Neutron Provider Networks
•  Динамическая настройка VLAN и SVI
(provisioning/deprovisioning) на ToR
•  Поддержка оверлеев с использованием
VXLAN
Nexus ToR
VM VM

L2 сеть на основе VLAN без Nexus plugin-а
Nexus Switch
nxk-tor-01
compute-server06
Tenant demo
VM 1
10.0.1.x
VLAN 251
br-int
eth0
br-eth1
eth1
Eth1/4
vswitch
plugin agent
trunk
allow vlan all
eth0
OpenStack Management Network
VM Data Network
Tenant demo
VM 2
10.0.0.x
VLAN 250
eth0
qbr qbr
compute-server05
Tenant demo
VM 1
10.0.0.x
VLAN 250
eth1
vswitch
plugin agent
qbr
Eth1/2
eth0
br-eth1
br-int
trunk
allow vlan all
eth0
Передача всех VLAN со всех ToR
коммутаторов в сторону всех
вычислительных узлов
приводит к неоптимальному
использованию ресурсов сети
compute-server04
OpenStack
Neutron Service
vswitch plugin

Сценарий № 1 – Один L2 сегмент на всех вычислительных
узлах
compute-server04
Nexus Switch
nxk-tor-01
compute-server06
br-int
OpenStack
Neutron Service
vswitch
plugin
br-eth1
eth1
Eth1/4
vswitch
plugin agent
trunk
allow vlan 250
eth0
eth1
Tenant demo
VM 2
10.0.0.x
VLAN 250
eth0
eth0
qbr
compute-server05
Tenant demo
VM 1
10.0.0.x
VLAN 250
eth1
vswitch
plugin agent
qbr
Eth1/2
eth0
br-eth1
br-int
trunk
allow vlan 250
eth0
Cisco
Nexus
plugin
VM Data Network
•  Динамическая настройка VLAN на
ToR коммутаторе
•  Динамическая настройка VLAN
trunking на порту ToR коммутатора

Сценарий № 2 – различные L2 сегменты на различных
вычислительных узлах
compute-server04
Nexus Switch
nxk-tor-01
compute-server06
Tenant demo
VM 1
10.0.1.x
VLAN 251
br-int
eth0
OpenStack
Neutron Service
vswitch
plugin
br-eth1
eth1
Eth1/4
vswitch
plugin agent
trunk
allow vlan 250, 251
eth0
eth1
Tenant demo
VM 2
10.0.0.x
VLAN 250
eth0
eth0
qbr qbr
compute-server05
Tenant demo
VM 1
10.0.0.x
VLAN 250
eth1
vswitch
plugin agent
qbr
Eth1/2
eth0
br-eth1
br-int
trunk
allow vlan 250
eth0
Cisco
Nexus
plugin
VM Data Network
•  Динамическая настройка VLAN на
ToR коммутаторе
•  Динамическая настройка VLAN
trunking на порту ToR коммутатора
•  Используется механизм
availability-zones

Что представляет собой ACI?
ACI фабрика
Неблокируемая фабрика на базе оверлеев
App DBWeb
Внешняя сеть
передачи данных
(Tenant VRF)
QoS
Filter
QoSQoS
Filter
Application Policy
Infrastructure
Controller
APIC
1. Профиль
приложения
2. Кластер
контроллеров
3. Cеть на базе
Nexus 9000
Service
Filter
ServiceСеть ЦОД на базе коммутаторов
Nexus 9000 с централизованным
управлением при помощи
контроллера на основе политик

Поддержка открытых API в APIC
APIC
Open REST APIs Support Integration With Any Software
Automation
Enterprise
Monitoring
Systems
Manageme
nt
Orchestration
Frameworks
OVM
Hypervisor
Management Applications
Северные
интерфейсы
взаимодействия
Южные
интерфейсы
взаимодействия
OpFlex: Fabric Attached Device API Device Package API: L4-7 Scripting
…

Два варианта использования OpenStack API
NEUTRON ROUTER
SECURITY
GROUP
NEUTRON NETWORK
Neutron API Group Policy API
NEUTRON
NETWORK
Port
Port
Tenant Tenant
Используется существующий
Neutron API с контроллером APIC и
Cisco ACI фабрикой
Contract
GROUP
SERVICE
CHAIN
GROUP
Конструкция Group Policy
предлагает новый API который
напрямую использует модель
политик ACI (Juno Release)

APIC драйвер
отображает:
•  Network -> EPG
•  Router -> Context
OpenStack APIC Plugin – neutron (Фаза № 1)
APIC
APIC Plugin
APIC
Driver
OVS Driver
Neutron
Networking
Host 1
OVS
Network B
V(X)LAN
101
10.0.1.0/24
Network A
V(X)LAN
100
10.0.0.0/24
IPTables
Host 2
OVS
Network C
V(X)LAN
102
10.0.2.0/24
Network A
V(X)LAN
100
10.0.0.0/24
IPTables
Host 3
OVS
Network B
V(X)LAN
101
10.0.1.0/24
Network A
V(X)LAN
100
10.0.0.0/24
IPTables
Host 4
OVS
Network C
V(X)LAN
102
10.0.2.0/24
Network A
V(X)LAN
100
10.0.0.0/24
IPTables
IP tables для
контроля
безопасности
ACI фабрика
обеспечивает
распределенный
L2 и L3 (без L3
агента). Туннели
терминируются на
ToR
коммутаторах.
OVS терминирует
VLAN / VXLAN
теги для каждой
сети
OVS драйвер
выбирает VLAN /
VXLAN тег для
каждой сети и
настраивает OVS
APIC REST API

OpenStack Managed Network Workflow
2
ACI Admin
(manages physical
network, monitors tenant
state)
L/B
EPG
APP
EPG DB
F/W
L/B
EPG
WEB
Application Network Profile
Create End Point Groups
(any-any allow)
3
5 ACI
Fabric
Push Policy
APIC
OpenStack Tenant
(Performs step 1,4) Instantiate VMs
Web WebWebWeb AppApp4
Create Network, Subnet,
Security Groups
NEUTRON ROUTER
SECURITY
GROUP
1
DB DB
HYPERVISOR HYPERVISOR HYPERVISOR
NOVANEUTRON
NEUTRON NETWORK
Automatically Push
Network Profiles to
APIC
Интеграция OpenStack и APIC (Фаза № 1)

APIC Plugin: отображение сущностей Neutron и APIC (Фаза № 1)
Объект Neutron Объект APIC
Project Tenant
Network EPG
Subnet Subnet
Security Group + Rule N / A (handled by host)
Router Context
Network:external Outside

Как устроена абстракция сетевых подключений в
OpenStack сегодня?
Модель Neutron
Network /
subnet
Router
External
Network
Network /
subnet
•  L2 / Broadcast в основе API!
•  Сетевые термины Network / routers /
subnets
•  Традиционные сетевые принципы
Сервис A
Сервис B Сервис C
Взгляд владельца приложения
•  Никаких сетевых терминов, например
broadcast / multicast / IP-адрес
•  Разные слои/уровни приложения
•  Отказоустойчивость и непрерывность

Cisco Confidential 28© 2013-2014 Cisco and/or its affiliates. All rights reserved.© 2014 Cisco and/or its affiliates. All rights reserved.
Операции по настройке сетевого подключения
Разработчик приложения = сетевой инженер?
При помощи Neutron можно:
§  Создать subnet
§  Подключить subnet к provider network
§  Настроить routing
§  Выбрать external gateway
§  Определить security groups
§  Определить ports при настройке security groups
§  Настроить балансировку трафика, создать VIP при помощи
LBaaS
§  Создать Floating IP для VIP
§  Защитить web-сервер при помощи FWaaS
§  Определить Firewall Policy для соответствия требованиям
регулятора или политики безопасности
Затруднительно:
•  Как обеспечить балансировку после передачи
данных через МСЭl?
•  Группа виртуальных машин была заражена вирусом,
как оперативно поместить их в зону карантина?
•  Как подключиться к существующим
невиртуализированным сервисам?
•  Как портировать приложение?
•  Как сетевой администратор может
проинспектировать весь трафик
web-сервера?
“do, do, do…” проблема

Что можно улучшить?
§  Определение сервисной
цепочки по которым данные
должны передаваться между
компонентами приложения
Поддержка сетевых
сервисов
§  Само-документирование
взаимосвязей между
различными
компонентами
Возможность
определить
взаимосвязи
Сервис
A
Сервис
C
Сервис A потребляет
ресурсы сервисов B и C
Сервис B
Сервис
A
Сервис
C
МЕЖСЕТЕВОЙ
ЭКРАН
§  Разделение API на низко и
высоко уровневые
§  Две зоны ответственности:
tenant admin и operator
Разделение зон
ответственности
Сервис
A
Сервис
C
Абстракция при помощи API
Низкоуровневые API
Operator /
Admin
OpenStack
Tenant

§  100% open source, проект по
лицензии Apache для
OpenStack
§  Интерфейс для описания
желаемого состояния
§  Создан сообществом
разработчиков нескольких
компаний
Представляем Group-Based Policy
Policy Rules Set
Web
Group
Classifier Action
FIREWALL
DB
Group
Classifier Action
Service
Chain
Модель групповых политик

Neutron Driver -
отображает GBP на
существующие Neutron
API и обеспечивает
совместимость с любым
Neutron Plugin
Native Driver –
существует для
OpenDaylight а так же
различных
производителей (Cisco,
Nuage Networks и One
Convergence)
OpenStack GBP обзор
Group Policy
CLI Horizon Heat
Neutron Driver
Neutron
Любой существующий
плагин и ML2 драйвер
Открытая модель, обеспечивающая
совместимость с физической и виртуальной
инфраструктурой
Native Driver
1
1
2
2
Архитектура на основе драйверов

Модель Group-Based Policy
Policy Group: набор виртуальных машин с
одинаковыми характеристиками. Например,
компоненты приложения (application tier).
Policy RuleSet: Набор из Classifier / Actions
описывающих взаимодействие между Policy
Group.
Policy Classifier: фильтр для трафика,
включает протокол, порт и направление
передачи.
Policy Action: описывает набор действий, в
случае если трафик отвечает условиям
классификации, например трафик
передается дальше без доп. действий “allow”
или перенаправляется на сервисное
устройство “redirect”
Service Chain: упорядоченный набор
сервисных устройств через которые
передается трафик
L2 Policy: определяет границы домена
коммутации. Опциональное включение
режима «broadcast»
L3 Policy: изолированное адресное
пространство, содержащее L2 Policies /
Подсети
L3 Policy
Policy
Rule Set
Policy Rule
Policy Rule
Service Chain
Classifier Action
Classifier Action
L2 Policy
Policy
Group
Policy Target
Policy Target
Policy Target
Policy
Group
Policy Target
Policy Target
Policy Target
L2 Policy
provide consume
Node Node

Как GBP решает архитектурные проблемы
Pre-GBP GBP
Процедурные/Императивные сценарии Декларативный API
Сложность домена настройки презентуется разработчику
ПО
Разработчик определяет группы и
взаимоотношения между ними
Трудности с пониманием сетевых требований
приложений
Все сетевые требования определены при
помощи набора политик = Policy Rules Set
Отсутствует механизм разделения ролей App, Network, Service, Security Constructs
Недостаток конструкций для определения ограничений
для операторов
Иерархические политики
Отсутствие механизмов выстраивания сервисов в
цепочку
Механизм Service Chaining
Сложность портирования Портирование при помощи сетевых профилей
приложений = Application Network Profile
Сложные конструкции для моделирования подключения к
существующим сервисам
Применение набора политик = Policy Rules Set

Запуск совместно с ML2 / OVS на одной виртуальной машине
§  git clone http://github.com/group-policy/devstack -b juno-gbp
§  cd devstack;
§  stack.sh
Запуск совместно с ACI
https://wiki.openstack.org/wiki/GroupBasedPolicy/InstallCiscoACI
GBP установка

§  Создание Classifier/ Rule
§  gbp policy-classifier-create web-traffic –protocol tcp –port-range 80 –direction in
§  gbp policy-rule-create web-policy-rule –classifier web-traffic –actions allow
§  Создание Policy RuleSet
§  gbp ruleset-create web-ruleset –policy-rules web-policy-rule
§  Создание группы
§  gbp group-create web
§  Ассоциация группы с правилом
§  gbp group-update web –provided-rulesets web-ruleset
§  Запуск виртуальной машины Web Server с использованием GBP-политики
§  gbp member-create –group web web-1
BGP CLI: основные шаги по настройке

GBP UI: поддержка со стороны Horizon
Новая вкладка
Интерфейс для
создания политик

GBP оркестрация: поддержка со стороны Heat
# Creating a classifier for all tcp traffic
any_tcp_classifier:
type: OS::Neutron::PolicyClassifier
properties:
name: any_tcp_classifier
protocol: tcp
direction: in
shared: True
# Creating redirect action
redirect_to_chain:
type: OS::Neutron::PolicyAction
properties:
name: redirect_to_chain
action_type: redirect
action_value: { get_resource: sc_spec }
shared: False
# Creating a policy rule set
tcp_traffic_rule:
type: OS::Neutron::PolicyRule
properties:
name: tcp_traffic_rule
policy_classifier_id: { get_resource:
any_tcp_classifier }
policy_actions: [{ get_resource: redirect_to_chain }]
shared: False
tcp_rule_set:
type: OS::Neutron::PolicyRuleSet
properties:
name: tcp_rule_set
policy_rules: [{ get_resource: tcp_traffic_rule }]
child_policy_rule_sets: []
shared: False

Cisco Confidential 38© 2013-2014 Cisco and/or its affiliates. All rights reserved.© 2014 Cisco and/or its affiliates. All rights reserved.
Wiki:
https://wiki.openstack.org/wiki/GroupBasedPolicy
Stackforge:
https://github.com/stackforge/group-based-policy
Report, fix Bugs:
https://bugs.launchpad.net/group-based-policy
Submit Blueprints:
https://blueprints.launchpad.net/group-based-policy
GBP доступен СЕЙЧАС!
GBP с использование ML2/OVS в VM:
git
clone
http://github.com/group-‐policy/devstack
-‐b
stable/juno-‐gbp

cd
devstack;
stack.sh
Статус релиза:
§  GBP поддерживается начиная с релиза Juno
§  Работает с любым neutron plugin/driver
§  Включает GBP драйверы для ODL, Cisco APIC, и других
§  Installer для Fedora/RHEL и Ubuntu
Как принять участие?

APIC драйвер создает
сетевой профиль
OpenStack APIC Plugin – group Policy (Фаза № 2)
APIC
Host 1
OVS
Network B
V(X)LAN
101
10.0.1.0/24
Network A
V(X)LAN
100
10.0.0.0/24
IPTables
Host 2
OVS
Network C
V(X)LAN
102
10.0.2.0/24
Network A
V(X)LAN
100
10.0.0.0/24
IPTables
Host 3
OVS
Network B
V(X)LAN
101
10.0.1.0/24
Network A
V(X)LAN
100
10.0.0.0/24
IPTables
Host 4
OVS
Network C
V(X)LAN
102
10.0.2.0/24
Network A
V(X)LAN
100
10.0.0.0/24
IPTables
IP tables для контроля
безопасности
ACI фабрика
обеспечивает
распределенный
L2 и L3 (без L3
агента). Туннели
терминируются на
ToR
коммутаторах.
OVS терминирует
VLAN / VXLAN теги
для каждой сети
OVS драйвер
выбирает VLAN /
VXLAN тег для
каждой сети и
настраивает OVS
Group Policy Extensions
OVS Driver
Neutron
Networking
APIC Group Driver
Group Policy extension
расширяет существующий
neutron APIs
APIC REST API

Group Based Policy Workflow
2
ACI Admin
(manages physical
network, monitors tenant
state)
L/B
EPG
APP
EPG DB
F/W
L/B
EPG
WEB
Create Application Policy
3
5
ACI
Fabric
Push Policy
APIC
OpenStack Tenant
(Performs step 1,4) Instantiate VMs
Web WebWebWeb AppApp4
Create Application Network Profile
1
DB DB
HYPERVISOR HYPERVISOR HYPERVISOR
NOVANEUTRON
Automatically Push
Network Profiles to
APIC
L/B
EPG
APP
EPG DB
F/W
L/B
EPG
WEB
Интеграция OpenStack и APIC (Фаза № 2)

VMs on Compute
Node
N1Kv VEM
Compute Nodes
Neutron Cisco Nexus1000v Plugin (KVM)
42
Neutron Server
Neutron Core
plugin (Cisco/ML2)
Cisco N1Kv Plugin
N1Kv VSM
Преимущества:
•  Сетевые профили – VLAN, VXLAN
(multicast/unicast), Trunk
•  Профили политик – ACL, QoS
•  VXLAN Gateway Service VM
•  VSG – Virtual Security Gateway
REST API
Nova
Network Profile:Network Segment Pool
Policy Profile:Port Profile
VM VM

Nexus 1000V для OpenStack
Физические
серверы
VXLAN
Gateway
Neutron
Tenant 1 Tenant n
Tenant 2
Физические сети (VLAN-ы)
Физические
МСЭ
KVM
Компоненты
решения
Nexus 1000V VSM Nexus 1000V VEM VXLAN Gateway Neutron Plugin
Виртуальные сети (VXLAN)
или VLAN

Обзор решения N1KV для KVM
•  Neutron plugin с расширением N1KV
•  Policy Profile
•  Network profile
•  Trunk profile
•  Private VLAN
•  VSM (HA пара)
•  Consistent physical and virtual interface management
•  Centralized Network controller for management and
troubleshooting
•  Integration with other NMS elements
•  VEM (один на сервер)
•  Optimized forwarder
•  Features
•  Service Nodes (optional)
•  VXLAN GW – VXLAN to VLAN mappings
•  VSG – Zone based firewall
Neutron
Nexus 1000V(VSM)
Rest API
N1KV Plugin
VSG VEM
хосты
VEM VEM
хосты
VEM
VXLAN
GW
Tenant B
Tenant A
VXLAN/VLANs
Puppet/Juju based
installer

Архитектура Nexus 1000V VEM
User Space
Data Path
Agent
Kernel Space
Fast Path
Module
Data Path
Module
•  DataPath Agent: взаимодействие с VSM
•  DataPath: обработка пакетов (1-ый пакет
каждого flow)
(Forwarding and Features)
•  поддержка Multi-threading
•  FastPath: обработка пакетов на уровне kernel
( для тех flow, которые уже были
детектированы и обработаны в модуле
DataPath)
•  Разделение функций forwarding и feature lookup

Упрощение операционной модели
Nexus
1000V
VEM
Server
Nexus 1000V
VSM
OpenStack Controller
Nova Service
Network
Mgmt
VM VM VM VM
Cloud
Mgmt
Horizon
Neutron Service
Other Services
Create policy-profiles1
Policy-profiles are synced to Controller. Controller in turn
uses Neutron API to create networks & subnets on VSM.
2
Create tenants,
networks, subnets &
VMs
3
4

Функциональность Cisco Nexus 1000V для KVM
Функция Описание
Коммутация L2 Switching, 802.1Q VLAN Tagging, Private VLANs, LACP, Port-channeling,
VPC Host Mode, Multicast/IGMP Snooping, Jumbo-frame support, Uknown
Unicast Flood Blocking, BUM traffic handling in the fast path
Безопасность Access Control Lists (L2–4 w/ Redirect), Port ACLs, ACL Statistics, RADIUS,
TACACS+
VXLAN Unicast & multicast modes, Port-statistics, ACLs, Netflow,
VXLAN to VLAN Gateway
Развертывание Integration with OpenStack Neutron APIs & Horizon dashboard, VM Policy
Provisioning through port-profiles, Ability to create SLA-based network profiles
Мониторинг Netflow, Port-statistics, VM-level interface statistics, vTracker, SPAN/ERSPAN
Управляемость Cisco NX-OS CLI, SNMP (v.1, 2, 3), CDP, Syslog, NTP
ISSU, SSH v2, Telnet, REST-APIs
Centralized management through VSM

Поддержка оверлеев
Передача VXLAN трафика в режимах multicast и unicast
48
VM
VM
VM
VM
VM
VM

VSM
VTEP 1 VTEP 2 VTEP 3
VM
VM
VM
VM
VM
VM

VTEP 1 VTEP 2 VTEP 3
Multicast Underlay
G1 G2
G3
G1 G1 G3 G3G2 G2
G – vtep2
R – vtep2
B- vtep2
G-vtep1, R-vtep1
B-vtep3
Unicast Underlay
Multi-destination трафик
передается с
использованием multicast
Multi-destination трафик
распространяется при помощи
репликации (HER = Head-End
Replication)
G-vtep1,vtep2
R-vtep1,vtep2
B-vtep2, vtep2
Multicast Mode Unicast Mode

Сравнение решений на базе N1KV и OVS
Функция VEM OVS
Forwarding Model Mac based forwarding Flow based forwarding
Number of active flows without features Unlimited Limited by the KLM table size
(default is 8K)
Control traffic protection between slow and
fast paths
Yes No
Unknown unicast flood protection Yes No
Broadcast packet handling in fast path Yes No
Multicast traffic handling In the fast path In the slow path
Fast aging for short lived web/tcp traffic Yes No
Admin based policies Yes No
SLA based network policies Yes No
Private VLAN Yes No

Сравнение решений на базе N1KV и OVS
Функция N1KV OVS
Centralized Management Yes (VSM based) No
Unified physical and virtual interface
Management
Yes No
Integration with network management
tools
Yes No
Troubleshooting and Monitoring Centralized event logs, stats
and show commands on VSM
Logs and comamnds on
individual hosts
VXLAN to VLAN mapping Using VXLAN GW No
vEth Trunk support Yes No
LACP support Yes with various load-sharing
options
Limited

Интеграция с дистрибутивами OpenStack
Тесная интеграция работа по интеграции
Infrastructure manager -MAAS
Installer - Juju/Charms
Charms for N1KV components
Поддерживаемые версии:
14.04 LTS + IceHouse
Infrastructure manager -
Foremen
Installer – Staypuft/Puppet
Puppet modules for N1KV
components
Поддерживаемые версии:
RHEL 7.1 + OSP6 (Juno)

Архитектура VTS
VCenter
3rd Party VM
Manager
REST API
Virtual Topology System
(VTS)MP-BGP
BGP-EVPN
VTFVTFOVS dVS
RESTCONF/Yang
MP-BGP
BGP-EVPNRR RR
Cisco NSO
IP / MPLS
WAN
WAN / Internet
3rd Party Cloud
Bare Metal
Workload
Virtualized
Workloads with OVS
Virtualized Workloads with Feature Rich &
High Performance Cisco VTF Solution
Virtualized
Workloads with SR-IOV
Virtualized
Workloads with dVS
DCI DCI
Data Plane
Control Plane
Management &
Orchestration Plane
VTS GUI
ToR ToR
VM or
VNF
VM or
VNF
VM or
VNF
VM or
VNF
VM or
VNF
VM or
VNF
VM or
VNF
VM or
VNF
VM or
VNF
VM or
VNF
VM or
VNF
VM or
VNF

Пример виртуальной топологии на базе VTS
Network-‐1

(L2
VNID-‐1)

Tenant

Svc:
NAT

Router-‐1

(L3
VNID-‐5)

Virtual Topology
VM VM VM
Subnet1
Network-‐2

(L2
VNID-‐2)

VM
Network-‐3

(L2
VNID-‐3)

Subnet3
Network-‐4

(L2
VNID-‐4)

Subnet4
Router-‐1

(L3
VNID-‐5)

External-‐net
(Public)

Subnet2

VTS 1.5 – интеграция с OpenStack
Обнаружение узлов и
топологии
VTS
VTS Plugin
REST API
1- Создание Tenant
2- Создание Tenant
Network
3- Подключение VM к
Tenant Net
Создание Tenant и
Tenant Network
Выделение VNID из
пула Настройка L2 VxLAN
сегментов/ EVPN
Настройка vSwitch
(vlan assignment)
4- Создание Tenant Router
Настройка L3 VXLAN,
Anycast GW / EVPN
Host-2Host-1
VTEP VTEP
Назначение VLAN
каждому VTEP
Consistent API across Openstack and VCenter
VTS не автоматизирует
настройку underlay-сети –
используйте DCNM

§  Bare Metal as a Service (BMaaS) – проект Ironic :
§  http://wikicentral.cisco.com/display/OPENSTACK/Ironic+Support
§  PXE boot сервер в составе OpenStack для серверов под контролем UCSM
§  Power control
§  Информация о статусе железа в Ceilometer
§  Neutron UCSM ML2 Mechanism Driver:
§  http://wikicentral.cisco.com/display/OPENSTACK/Neutron+UCS+Manager+ML2+mechanism
+Driver
§  Поддержка настройки портов SR-IOV назначаемых виртуальным машинам и
соответствующая настройка Cisco VM-FEX
§  Не-SR-IOV порты так же поддерживаются
Cisco UCS + OpenStack

•  Автоматизация развертывания ironic узлов
•  Улучшенная безопасность по сравнению с
IPMI
•  Модуль “vendor_passthrough” используется
для создания Ironic DB и доступа к
атрибутам сервера – все соответствующие
узлы разворачиваются при помощи одной
команды
•  Команды по управлению питанием (on/off/
restart) отправляются через UCSM а не через
IPMI
•  Процессы развертывания нагрузки в Ironic и
Nova не изменяются
Преимущества решения
Детали работы
Horizon
Dashboard
Bare-metal
Request
Nova
Compute
Ironic
IPMI
Commands
Bare-metal
Server
Поддержка Bare-Metal-as-a-Service (Ironic)
Cisco UCS-Manager plugin для OpenStack Ironic

•  Автоматизация развертывания ironic узлов
•  Улучшенная безопасность по сравнению с
IPMI
•  Модуль “vendor_passthrough” используется
для создания Ironic DB и доступа к
атрибутам сервера – все соответствующие
узлы разворачиваются при помощи одной
команды
•  Команды по управлению питанием (on/off/
restart) отправляются через UCSM а не через
IPMI
•  Процессы развертывания нагрузки в Ironic и
Nova не изменяются
Преимущества решения Horizon
Dashboard
Bare-metal
Request
Nova
Compute
Ironic
UCSM
Request
Bare-metal
Server
Поддержка Bare-Metal-as-a-Service (Ironic)
Cisco UCS-Manager plugin для OpenStack Ironic

•  Автоматическое создание и настройка VLAN
в рамках UCS домена
•  Поддержка VM-FEX
•  При добавлении новых потребителей (tenants) в
облако OpenStack, требуемые VLAN-ы создаются
и настраиваются автоматически
•  Функции SR-IOV настраиваются на
вычислительных узлах автоматически, при
задействовании VM-FEX, что позволяет
передавать данные напрямую между
виртуальными машинами минуя коммутатор,
встроенный в гипервизор
•  VM-FEX обеспечивает прирост
производительности сетевой подсистемы, а так
же дополнительную изоляцию виртуальных
машин для запущенных на UCS с целью
реализации политики безопасности
Преимущества решения
Adapter
FEX
VM-FEX
Автоматизация настройки VLAN и VM-FEX
Cisco UCS-Manager plugin для OpenStack Neutron

Интегрированные вычислительные стеки на базе UCS
Cisco UCS Cisco Nexus
UCS Director
VblockFlexPod
HDS UCP
SelectVSPEX VersaStack
UCS for Red
Hat OpenStack
UCS Integrated Infrastructure
SmartStack

•  Начальный бандл, который включает в себя сервера
Cisco проверенной конфигурации для разворачивания
частного облака на базе OpenStack и гипервизора KVM
для вирутальных машин количеством 300-500
•  Возможность развернуть Virtual Private Data Center с
поддержкой Tenant-ов на серверах Cisco
ü  Red Hat OSP 5
ü  Cisco UCS C240 M3 (Ceph Storage cluster)
ü  Cisco UCS C220 M3 (Compute, OpenStack)
ü  UCS Fabric Interconnects и UCS Manager
ü  Nexus 9000
•  Starter бандл образует основу для последующих
валидированных дизайнов «Advanced» и «Advanced-
ACI»
•  Разворачивается при участии Cisco Services.
UCS Integrated Infrastructure for Red Hat OpenStack
Starter 1.0 Offering- обзор Intercloud

Virtual Private Data Center

Упрощение развертывания облака на базе OpenStack
Cisco и Red Hat совместно тестируют UCS и Red Hat Enterprise Linux
OpenStack Platform UCSO)
Starter Release доступен к заказу в виде бандла оборудования и предложения Cisco
Advanced Services
•  Starter (доступен)
•  Advanced (план)
•  Advanced-ACI (план)
Основные отличия предложения
Cisco:
•  Снижение времени развертывания
•  Снижение CAPEX с UCS
•  Снижение риска с ипользованием
проверенного дизайна
•  База для Application-centric
Infrastructure

Преимущества Red Hat Enterprise Linux OpenStack
Platform
l  Все достоинства OpenStack и...
l  Проверенный код Enterprise класса
l  ко-инжиниринг и интеграция Red Hat
Enterprise Linux
l  Жизненный цикл ПО Enterprise класса
l  Техническая поддержка
l  Самая большая экосистема партнеров
OpenStack
l  OpenStack обучение и сертификация
l  Интеграция с проверенным стеком Red
Hat
-  Red Hat Enterprise Virtualization
-  Red Hat Storage
http://www.youtube.com/watch?v=1YBWt6CpbH0

Аппаратная платформа
Продукт Описание Кол-
во
Функция
N9k-C9396PX Nexus 9396 in NX-OS
mode
1 ToR providing L2 and L3 switching
UCS-C220-M3S UCS C220 rackmount
server
6 Host Openstack controller services and
Ceph Monitor service, Host OpenStack
VM’s, one node in preparation for
Foreman/Stay Puft installer in Starter
2.0
UCS-C240-M3S UCS C240 rackmount
server
3 Disks for Ceph storage cluster, hosts
Ceph OSDs.
UCS-FI-6296 UCS Fabric
Interconnects, 96-port
model
2 Centralized management and
deployment of UCS C-series servers

Программное обеспечение
*Includes Foreman nodes
Продукт Функция
Red Hat Enterprise Linux 7 Operating system for all physical servers
Red Hat Enterprise Linux
OpenStack Platform 5.0
Red Hat Enterprise Linux OpenStack Icehouse
distribution
Inktank Ceph Enterprise 1.2 by
RedHat
Distributed storage virtualization

UCSO Starter 1.0 топология
§  Port channel от каждого UCS fabric-
interconnect в сторону ToR
§  Fabric-interconnect в режиме end-host, с
динамической привязкой (dynamic
pinning) серверных адаптеров vNIC к
uplink port channel
Link aggregation на OVS,
Load balancing
ovs agent Nova compute

Starter Edition
•  Cisco Validated Design
•  Совместная
скоординированная
поддержка центрами
TAC Cisco и Red Hat
Advanced Edition
Простота и
масштабирование
частного облака
Starter Edition и:
•  Поддержка Intercloud
•  Автоматическое
развертывание
•  Использование портала
для IaaS и PaaS
•  Масшабируемость –
тысячи виртуальных
машин
Advanced ACI
Edition
Advanced Edition и:
•  Инфраструктура сети
ЦОД настраиваемая
при помощи политик и
Cisco APIC
Cisco UCS Integrated Infrastructure for OpenStack
Планируемые редакции для Red Hat KVM
Использование
политик для
развертывания
масштабируемого
облака
Быстрота и
простота
установки OpenStack
на Cisco UCS
план план

Решения Cisco для ЦОД и OpenStack
Большой выбор
плагинов для
самостоятельной
интеграции
Сеть передачи
данных ЦОД
Готовое решение
на базе Cisco
UCS и Cisco
Nexus под
управлением
OpenStack
Вычислительная
платформа
Cisco управляет
Вашим облаком
на основе
OpenStack
Решения для
облака

§  Neutron plugin для Nexus
§  простые и мощные функции
§  Интеграция ACI и OpenStack
§  Group Based Policy - изящество и простота
§  Nexus 1000V для OpenStack
§  Привычные сетевые функции, разделение ролей
§  VTS
§  Если ACI по каким то причинам не отвечает требованиям Заказчика
§  UCS - Ironic Project
§  Автоматизация установки ОС на UCS
§  UCSO
§  Готовая интеграция из коробки
Заключение

Полезные ссылки
§  Nexus 1000v: http://www.cisco.com/c/en/us/products/switches/nexus-1000v-kvm/index.html
§  Nexus 3000 and Higher:
http://www.cisco.com/en/US/prod/collateral/switches/ps9441/ps11541/data_sheet_c78-727737.html
§  Cisco Nexus + OpenStack Deployment:
http://docwiki.cisco.com/wiki/OpenStack:_Havana:_2-Role_Nexus
§  Project Ironic: https://wiki.openstack.org/wiki/Ironic
§  Cisco ACI with OpenStack:
http://www.cisco.com/c/dam/en/us/solutions/collateral/data-center-virtualization/unified-fabric/solution-
brief-c22-729865.pdf
§  Cisco APIC driver for OpenStack Neutron ML2:
https://blueprints.launchpad.net/neutron/+spec/ml2-cisco-apic-mechanism-driver

Внимание, конкурс!
По завершении данного семинара примите участие в
конкурсе в наших социальных сообществах.
Вам потребуется ответить на вопрос по теме вебинара,
и возможно, именно вы станете счастливым
обладателем сувенира от компании Cisco.
Вопросы будут опубликованы сразу после нашей
трансляции.
Удачи!
vk.com/cisco
facebook.com/CiscoRu
facebook.com/CiscoUA
*призы разыгрываются в каждом сообществе
**результаты публикуются раз в неделю.

Интеграция инфраструктурных продуктов Cisco для ЦОД и OpenStack

More Related Content

What's hot (20)

Similar to Интеграция инфраструктурных продуктов Cisco для ЦОД и OpenStack (20)

More from Cisco Russia (20)

Интеграция инфраструктурных продуктов Cisco для ЦОД и OpenStack