SlideShare a Scribd company logo

OpenStack and ACI

Takao Setaka, profile picture
Takao Setaka

What is Cisco ACI? and Hot to integrate ACI with OpenStack?

Technology
1 of 57
Downloaded 95 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
OpenStackとACICisco Application Centric Infrastructure (ACI)
Agenda 1. ファブリック、オーバーレイ、そしてACI。 2. Application Centric Infrastructure (ACI) 3. OpenStackとACI 4. まとめ~ネットワークはポリシーによって面白くなる。
ファブリック、オーバーレイ、そして、ACI。
これまでのネットワーク基本構成(モジュラー型デザイン)の課題 • サーバが統合基盤に集約され、かつ「論理的」・「動的」な ものとなること(クラウド化?)によって、表面化してきたこと • 冗長性の制約 (ペア構成) • 横方向通信の帯域限界 • ACL管理の限界 • STP影響範囲管理の限界 • L2/L3境界 拡張性の限界 • ポート収容数の限界 • サーバ配置の制約
モジュラー型からファブリック型へ • デザイン時の基本思想:スケールアップ→スケールアウトへ 3階層モジュラー型デザイン ファブリック型デザイン • 従来型 • スケールアップ型 • ディストリビューション層でのRouting/Serviceの集約 • 1+1 の冗長性と負荷分散 • 新たなファブリック型デザイン • スケールアウト型 • Routing/Services のLeafレイヤーで拡張 • 任意の数(N-way)の冗長性と負荷分散 コア ディストリビューション アクセス Spine Leaf
ファブリック型デザインにより解決したいこと • ネットワークに対する新たなニーズへの対応 → Ciscoはこうしたニーズを満たす ファブリック技術を提供しています。 • 拡張性 • 安定性 • シンプル • モビリティ (どこにでも配置、どこへでも移動可能) • 様々なワークロードへの対応
Ciscoのファブリック技術の発展 • 局所的なファブリック技術 → ①Fabric Extender ②Virtual Port Channel • ネットワーク全体のL2ファブリック技術 → ③Fabric Path • ネットワーク全体のL3ファブリック技術 → ④Dynamic Fabric Automation (DFA)
①Fabric Extender (FEX) • 物理的な分離+論理的な統合 + Nexus 5000 / 6000 / 7000 / 9000 親スイッチ Nexus 2000 FEX(Fabric Extender) = Nexus 仮想スイッチ
②Virtual Port-Channel (vPC) • STPブロッキングポートを排除しつつ可用性を実現 物理的には 論理的には L2 SiSi vPCで、2つの物理スイッチをまたいだ ポートチャネルを構成することが可能に これまで SiSi STP BLK • L2 アクセス-ディストリビューションから STP ブロッキングポートを排除 • より多くの帯域を使用可能 • シンプルで拡張性のあるレイヤー2ネットワークデザイン
①FEX + ②vPC • ToR物理構成はそのままに、集中制御を実現 Nexus 5000/6000 /7000/9000 FEX= Nexus 2000 1GE サーバ クライアント 10 GE サーバ GE /10 GE ブレードスイッチ (パススルー) 10 GE サーバー 親スイッチへ 直接接続 • 大量のToRを集中制御 • 柔軟な配線デザインに対応 • ケーブリングの最適化によるコスト削減 • 100MB, 1G, 10G SFP+, 10GT 柔軟なサーバ収容オプション vPC
ファブリック型ネットワークの基礎 • Spine-Leaf トポロジー Spine Leaf • シンプル • スケールアウト (必要な部分を必要なタイミングで拡張) • ボトルネックとなるポイントの排除 • 高い拡張性と低遅延 • 偏りのない帯域性能
③Fabric Path - L2 Fabricが必要とされる理由 • シンプルでフラットな大規模L2ネットワークへの要望の高まり ネットワーク管理者 • STPから脱却 (L2ルーティング) • 慣れたL3ネットワーク管理の手法で シンプルにL2ネットワーク管理 (いままではできなかった) サーバ担当者 • サーバ配置(仮想・物理)の自由 • 移動してもIPアドレスの変更が不要 • サーバ接続時のネットワーク作業の簡素化 Ethernet FabricVLAN Cisco Fabric Path
L2 Fabricの課題 • クラウド的な機能要求の高まり 要求事項 • マイクロセグメント化 • 自動化/プログラマビリティ 制約 • 4000 VLAN • オーバーレイ機能 物理 フロントセグメント1 セグメント2 セグメント3 web app db App OS App OS 仮想
L2 Fabricの課題 • L2/L3境界問題 制約 • どんなにL2が広がってもL3境界で 拡張性に限界がある • オーバーレイを使っても性能限界が ある • どこかでオーバーレイとアンダーレイ を結びつけるゲートウェイが必要 Ethernet Fabric VLAN VLAN VLAN
④DFA - L3 Fabricへの発展 • Leaf層での分散ゲートウェイ 制約への対応 • 分散L3ゲートウェイ • 管理の一元化 • ファブリックの自動構成・拡張対応 既存技術の活用 • 内部的にはFabric Pathを使用 • Nexusシリーズをそのまま使って構成 可能 Dynamic Fabric Automation
オーバーレイ技術 – VXLAN, GRE, ... • オーバーレイ技術に何を期待しますか? • Underlayネットワークの構成に依存しないネットワークの構成 Underlayネットワーク(IP網) Overlayネットワーク(L2) VXLAN トンネル VTEP VTEP VTEP
オーバーレイの課題 • オーバーレイネットワークとアンダーレイネットワークの分離 • Underlayネットワークの構成を意識しない(できない) =通信経路の最適化や可用性、ボトルネック回避などはアンダーレイに依存 Underlayネットワーク(IP網) Overlayネットワーク(L2) VXLAN トンネル VTEP VTEP VTEP
オーバーレイの課題 • オーバーレイネットワークとアンダーレイネットワークの接続 • Underlayネットワークとの間では何らかの接続ポイントが必要 Underlayネットワーク(IP網) VXLAN VXLAN VXLAN 仮想化されていないサーバ VLANベースのネットワーク IPネットワーク(WAN) VXLAN ゲートウェイ
オーバーレイの課題 • マルチキャスト依存 • 結局はL2 Broadcastドメインを疑似的にL3 Multicast方式に 置き換えているに過ぎない Underlayネットワーク(IP網) Overlayネットワーク(L2) 端末 MACアドレス 位置 MAC-A VTEP-A MAC-B VTEP-B Overlayのコントロールプレーン 端末の発見はUnderlayでMuticastにより、 従来のL2 Flood&Learn方式を擬似 VXLAN トンネル VTEP-B VTEP-B VTEP ARPブロードキャスト (MAC-Bはどこ?) MAC-BMAC-A Underlayでマルチキャスト配送
オーバーレイの課題 • 標準化されていないユニキャスト方式 • 各ベンダー独自の仕組みで実現しているためマルチベンダーで 使用できない (Cisco Nexus 1000Vの場合は、VSM管理範囲内で使用可能) VSM-1 Cisco N1K VXLAN 10.1.1.1 10.2.1.1 Controller 10.4.1.1 10.6.1.1 VM-A-1 VM-A-2 VM-A-3 VM-B-1 VM-B-2 VM-B-4 VM-B-5 VEM-11 VEM-12 VTEP-21 VTEP-23 10.5.1.1 VM-B-3 VTEP-22 10.3.1.1 VM-A-4 VM-A-5 VEM-13 ? Vender ## VXLAN
オーバーレイの課題 • Cisco Nexus 1000V BGP方式 (標準化提案中) • Nexus 1000V の VSM 間で BGP を使ってVXLANセグメント情報 を交換することにより、VXLANを広範囲で使用可能。 VSM-1 Cisco N1K VXLAN 10.1.1.1 10.2.1.1 VSM-2 10.4.1.1 10.6.1.1 VM-A-1 VM-A-2 VM-A-3 VM-B-1 VM-B-2 VM-B-4 VM-B-5 VEM-11 VEM-12 VEM-21 VEM-23 10.5.1.1 VM-B-3 VEM-22 10.3.1.1 VM-A-4 VM-A-5 VEM-13 BGP Cisco N1K VXLAN
Application Centric Infrastructure (ACI)
ACI ってなに? - そもそもの目的に立ち返ってみる • ビジネス→アプリケーション→インフラストラクチャ Business • アプリケーション=ツールとしての利用者 • 使いたいときに、使えることこそが重要 Application • アプリケーション=サービス • 必要なリソースが、必要なだけ提供されることが重要 Infrastructure • Hardware & Software (OS, Driver, Middleware) • Server, Network, Storage, Facility
ACI ってなに? - そもそもの目的に立ち返ってみる • ファブリックネットワークの良さ = シンプルでスケールアウトする Spine (枝) Leaf (葉)
ACI ってなに? - そもそもの目的に立ち返ってみる • オーバーレイネットワークの良さ = 自由な接続性の構成 Underlayネットワーク(IP網) Overlayネットワーク(L2) VXLAN トンネル VTEP VTEP VTEP
ACI ってなに? - そもそもの目的に立ち返ってみる • しかし、問題はネットワークの見え方の部分にこそ存在する IaaS/PaaS DB APP WEB アプリケーションレベルのデザイン DB (ベアメタル) APP (仮想マシン) WEB (仮想マシン) ユーザー アクセス用L3 ユーザー アクセス用L2 ユーザー アクセス用FW ユーザー アクセス用LB WEB-APP 間FW APP用LB WEB-APP間 Private L3 APP-DB 間FW APP-DB間 Private L2 サブネット プロトコル ACL QoS LB設定 仮想 ルーティング VLAN VXLAN FW設定 ネットワークレベルでのデザインと実装
ACI ってなに? - アプリケーションとネットワーク • なぜネットワークの設定には時間がかかってしまうのか? 従来のネットワークへのアプローチ QoS(優先制御) L3ネットワーク(VRF, FHRP, ルーティング) アプリケーション要件 アクセス制御, ファイアウォール, ロギング モニタリング ロード バランシング L2ネットワーク(VLAN, STP, L2マルチパス) スイッチ設計・設定 QoS 設計・設定 ルータ設計・設定 負荷分散装置 設計・設定 FW/ACL 設計・設定 設定すべきポイント
ACI ってなに? - アプリケーションとネットワーク • ネットワークに対するアプローチの根本的革新 従来のネットワークでのアプローチ QoS(優先制御) L3ネットワーク(VRF, FHRP, ルーティング) アプリケーション要件 アクセス制御, ファイアウォール, ロギング モニタリング ロード バランシング L2ネットワーク(VLAN, STP, L2マルチパス) アプリケーション要件 Cisco ACIにおけるアプローチ ポリシー (どうなって欲しいか)
ACI ってなに? - ネットワークの実現手法 • 設計・設定対象を、ファブリック/オーバーレイそのものではなく、 ポリシーへ Fabric and/or Overlay 設計・設定
ACI ってなに? - ネットワークの実現手法 • 設計・設定対象を、ファブリック/オーバーレイそのものではなく、 ポリシーへ ACIポリシーベース オーバーレイファブリック (既存技術の活用) Fabric + Overlay ACIコントローラ = APIC (Application Policy Infrastructure Controller) Policy
ACI ってなに? - ポリシーベースのファブリック • ポリシーとファブリック DNSAD Outside Connectivity FirewallFirewall Policy ポリシーを実現するネットワークの自動構成 APIC Application Policy Infrastructure Controller APIC App DBWeb 外部 ネットワーク接続 Firewall QoS Firewall QoS Firewall Load Balance Policy Fabric + Overlay
• APIC = ACIの管理ポイント REST/API(JSON/XML) ハードウェア管理 論理構成管理 (テナント、ポリシー、etc...) APIC (Application Policy Infrastructure Controller) Nexus 9000 Fabric CLI (SSH) ACIってなに? – APIC APIC GUI 管理ツールREST/API
• APICは、各スイッチの構成そのものを管理していない ACIってなに? – APICはポリシーを管理している
テナント A ACI ってなに? - アプリケーション視点のデザイン • EPG (End Point Group) と Contract アプリケーション B Appサーバ DBサーバ利用者 Webサーバ EPG EPG EPGEPG Contract Contract Contract
ACI ってなに? - アプリケーション視点のデザイン 外部ネットワーク EPG Webサーバ EPG Appサーバ EPG DBサーバ EPG Application Network Profile (ANP) テナント 外部–Web間 コントラクト Web-App間 コントラクト App-DB間 コントラクト
OpenStackとACI
OpenStack Neutron アーキテクチャ Neutron Server REST API Neutron Core plugins ML2 Cisco (Nexus,N1Kv) OVS Morevendor plugins Neutron Service plugins • コア+拡張 REST API • Message Queue を使った Neutron Agent との通信構成 • コア+サービスプラグイン • ベンダー毎のコアプラグイン • 様々なネットワーク方式をサポート • ML2プラグインによるタイプドライバとメカニズム ドライバを使った拡張方式 • バックエンドドライバのためのサービスプラグイン コア API Network / Port / Subnet Resource and Attribute Extension API ProviderNetwork PortBinding Router Quotas SecurityGroups AgentScheduler LBaaS FWaaS VPNaaS … DHCP Agent L3 Agent Message Queue IPTables on Network Node L2 Agent OVS on Compute Node LoadBalancer Firewall VPN HAProxy IPTables OpenSwan L3ServicesFuturesType Drivers Mechanism Drivers VLAN GRE VXLAN CiscoNexus OVS OpenDaylight APIC Morevendor drivers
ACI と OpenStack 連携 – フェーズ1 • Neutron API による連携 • ML2ドライバに含まれるメカニズムドライバとして提供 • OpenStack → ACI の制御 (APIC経由) • プロジェクトをテナントに紐づける • EPGをネットワークに紐づける • ACIファブリックとコンピュートノードのOpen vSwitchの 間でVLANに基づく連携が自動的に定義される • セキュリティはコンピュートノード側で構成される → L2スイッチング、L3ルーティングはすべて ACIファブリック側で処理される ※IceHouse 以降で対応
テナント A = プロジェクト アプリケーション B Appサーバ DBサーバ利用者 Webサーバ EPG=VLAN Contract =iptables Contract =iptables Contract =iptables ACI と OpenStack 連携 – フェーズ1 EPG=VLAN EPG=VLANEPG=VLAN • 既存のOpenStackの仕組みに合わせる実装
ACI と OpenStack 連携 – フェーズ1
ACI と OpenStack 連携 – フェーズ2 • Group-Based Policy (GBP) API による連携 • Neutron を拡張する GBP API の1実装として提供 • OpenStack → ACI の制御 (APIC経由) • プロジェクトをテナントに紐づける • EPGとContractの関係そのものが定義される • セキュリティはACI側で構成される → ACIにおけるポリシーモデルに 基づく管理性がOpenStack 環境から構成することが可能に ※ Juno (2014.2) 以降で対応 ただしGBPのリリースは2015/1 https://wiki.openstack.org/wiki/GroupBasedPolicy
テナント A = プロジェクト アプリケーション B Appサーバ DBサーバ利用者 Webサーバ EPG=Group Contract =Application Policy ACI と OpenStack 連携 – フェーズ2 EPG=Group EPG=GroupEPG=Group • ポリシーという概念をOpenStackの仕組みに実装 Contract =Application Policy Contract =Application Policy
ACI と OpenStack - GBP • Group-Based Policy (GBP) アーキテクチャ • シスコは GBP に対するネイティブドライバを提供 Neutron ML2 ドライバ その他拡張プラグイン 等 Neutron Neutron ドライバ Group-Based Policy GBP ネイティブドライバ APIC ドライバ
ACI と OpenStack - GBP • Application Policy / Policy Rule Set = Contract
ACI と OpenStack - GBP • Application Policy / Policy Rules = Filter
ACI と OpenStack - GBP • Policy Classifiers = Filter Entry
ACI と OpenStack - GBP • Application Policy / Policy Actions
ACI と OpenStack - GBP • グループ = EPG と Contract
ACI と OpenStack 連携 – フェーズ2
ACI と OpenStack - GBP • GBP構成例 (コマンド) “Web” EPG VM End Points Provides “Web” Policy “App” EPG VM End Points Provides “App” Policy Consumes “App” Policy “DB” EPG VM End Points Provides “DB” Policy Consumes “DB” Policy外部 ネットワーク EPG Consumes “Web” Policy neutron policy-rule-create web-rule --direction ingress --protocol tcp --port 80 neutron policy-rule-create all-rule --direction ingress --protocol tcp --port all neutron policy-rule-create db-rule --direction ingress --protocol tcp --port 3306 neutron contract-create web --policy-rule web-rule neutron contract-create app --policy-rule all-rule neutron contract-create db --policy-rule db-rule neutron endpoint-group-create DB --provide db neutron endpoint-group-create APP --provide app --consume db neutron endpoint-group-create WEB --provide web --consume app neutron endpoint-group-create OUTSIDE --consume web
GBPによって、ACIとOpenStackはより強く連携する “Web” EPG VM End Points Provides “Web” Policy “App” EPG VM End Points Provides “App” Policy Consumes “App” Policy “DB” EPG VM End Points Provides “DB” Policy Consumes “DB” Policy外部 ネットワーク EPG Consumes “Web” Policy
ACI と OpenStack – 用語整理 Neutron ACI Project Tenant Network EPG + Bridge Domain (BD) Subnet Subnet Security Group + Rule Contract Router BD + Private Network Network:external Outside
まとめ
ネットワークはポリシーによって面白くなる。 • ACIの表側:すべては、APIで。 ポリシーによるネットワークのデザインと構成 • ACIの裏側:既存技術も活用しつつ、確実に。  ファブリック技術とオーバーレイ技術の融合
ネットワークはポリシーによって面白くなる。 • どんなにスケールしていったとしても、管理はシンプルに。 • 仮想・物理・コンテナ、OpenStack, vSphere, Hyper-V… どんな技術を組み合わせたとしても柔軟に。
OpenStack and ACI
参考情報. • Installing the Cisco APIC OpenStack Driver http://www.cisco.com/c/en/us/td/docs/switches/datacenter/aci/apic/sw/1- x/api/openstack/b_Cisco_APIC_OpenStack_Driver_Install_Guide.html • APIC OpenStack Plugin Datasheet http://www.cisco.com/c/en/us/solutions/collateral/data-center-virtualization/openstack- at-cisco/datasheet-c78-732353.html • Group-Based Policy (GBP ACI integration White Paper) http://www.cisco.com/c/en/us/solutions/collateral/data-center-virtualization/application- centric-infrastructure/white-paper-c11-733126.html • Group-Based Policy Driver for Cisco APIC Controller http://specs.openstack.org/openstack/neutron-specs/specs/juno/group-policy-apic- driver.html • Cisco ACI Fabric Documentation Roadmap http://www.cisco.com/c/en/us/td/docs/switches/datacenter/aci/apic/sw/1- x/roadmap/b_ACI_Fabric_Documentation_Roadmap.html

More Related Content

PDF
知っておいて損はない AWS法務関連
Kieko Sakurai
 
PDF
Kafka on Kubernetes: Keeping It Simple (Nikki Thean, Etsy) Kafka Summit SF 2019
confluent
 
PDF
SDN입문 (Overlay and Underlay)
NAIM Networks, Inc.
 
PPTX
차세대 데이터센터 네트워크 전략
Woo Hyung Choi
 
PPTX
FIWARE IoTデバイスを保護する方法
fisuda
 
PDF
ネットワークエンジニア的Ansibleの始め方
akira6592
 
PDF
성공적인 하이브리드 클라우드를 위한 레드햇의 전략
rockplace
 
PDF
kubernetes-meetup-tokyo-20210624-kubevirt
Yukinori Sagara
 
知っておいて損はない AWS法務関連
Kieko Sakurai
 
Kafka on Kubernetes: Keeping It Simple (Nikki Thean, Etsy) Kafka Summit SF 2019
confluent
 
SDN입문 (Overlay and Underlay)
NAIM Networks, Inc.
 
차세대 데이터센터 네트워크 전략
Woo Hyung Choi
 
FIWARE IoTデバイスを保護する方法
fisuda
 
ネットワークエンジニア的Ansibleの始め方
akira6592
 
성공적인 하이브리드 클라우드를 위한 레드햇의 전략
rockplace
 
kubernetes-meetup-tokyo-20210624-kubevirt
Yukinori Sagara
 

What's hot (20)

PPTX
Network automation (NetDevOps) with Ansible
Bangladesh Network Operators Group
 
PDF
さいきんの InnoDB Adaptive Flushing (仮)
Takanori Sejima
 
PDF
Say Bye to VMware PowerCLI ! Time to "GOVC"
Ajeet Singh Raina
 
PDF
基本に戻ってInnoDBの話をします
yoku0825
 
PPTX
VMware Advance Troubleshooting Workshop - Day 2
Vepsun Technologies
 
PPTX
VMware VSAN Technical Deep Dive - March 2014
David Davis
 
PDF
さくらのクラウドインフラの紹介
SAKURA Internet Inc.
 
PDF
WebSocket / WebRTCの技術紹介
Yasuhiro Mawarimichi
 
PDF
BETTER TOGETHER 〜VMware NSXとJuniperデバイスを繋いでみよう!〜
Juniper Networks (日本)
 
PDF
【さくらのクラウド】VPCルータ
さくらインターネット株式会社
 
PDF
自宅ネットワーク構築
asuka y
 
PDF
KubeVirt (Kubernetes and Cloud Native Toronto)
Stephen Gordon
 
PDF
초보자를 위한 네트워크/VLAN 기초
Open Source Consulting
 
PDF
初心者でもわかるActive directoryの基本
Sho Okada
 
PDF
Database Encryption and Key Management for PostgreSQL - Principles and Consid...
Masahiko Sawada
 
PDF
「これからはじめるNGINX技術解説~基本編」セミナー (NGINX Back to Basic in JP)
NGINX, Inc.
 
PPTX
[CB16] WireGuard:次世代耐乱用性カーネルネットワークトンネル by Jason Donenfeld
CODE BLUE
 
PDF
半日でわかる コンテナー技術 (入門編)
Toru Makabe
 
PDF
Java SE 再入門
minazou67
 
PPTX
[자바카페] Elasticsearch Aggregation (2018)
용호 최
 
Network automation (NetDevOps) with Ansible
Bangladesh Network Operators Group
 
さいきんの InnoDB Adaptive Flushing (仮)
Takanori Sejima
 
Say Bye to VMware PowerCLI ! Time to "GOVC"
Ajeet Singh Raina
 
基本に戻ってInnoDBの話をします
yoku0825
 
VMware Advance Troubleshooting Workshop - Day 2
Vepsun Technologies
 
VMware VSAN Technical Deep Dive - March 2014
David Davis
 
さくらのクラウドインフラの紹介
SAKURA Internet Inc.
 
WebSocket / WebRTCの技術紹介
Yasuhiro Mawarimichi
 
BETTER TOGETHER 〜VMware NSXとJuniperデバイスを繋いでみよう!〜
Juniper Networks (日本)
 
【さくらのクラウド】VPCルータ
さくらインターネット株式会社
 
自宅ネットワーク構築
asuka y
 
KubeVirt (Kubernetes and Cloud Native Toronto)
Stephen Gordon
 
초보자를 위한 네트워크/VLAN 기초
Open Source Consulting
 
初心者でもわかるActive directoryの基本
Sho Okada
 
Database Encryption and Key Management for PostgreSQL - Principles and Consid...
Masahiko Sawada
 
「これからはじめるNGINX技術解説~基本編」セミナー (NGINX Back to Basic in JP)
NGINX, Inc.
 
[CB16] WireGuard:次世代耐乱用性カーネルネットワークトンネル by Jason Donenfeld
CODE BLUE
 
半日でわかる コンテナー技術 (入門編)
Toru Makabe
 
Java SE 再入門
minazou67
 
[자바카페] Elasticsearch Aggregation (2018)
용호 최
 
Ad

Viewers also liked (20)

PDF
Cisco ACI と 仮想化連携 (vSphere / Hyepr-V)
Takao Setaka
 
PDF
Netapp_innovation_2015_Cisco_抜粋修正版
Takao Setaka
 
PDF
Microsoft tech fielders_cisco_20150126_配布版
Takao Setaka
 
PDF
Cisco ACI and OpenStack - Group-based Policy (GBP) & OpFlex
Takao Setaka
 
PDF
BMP Test Results
Taiji Tsuchiya
 
PPTX
OpenStackネットワーク入門 – OpenStack最新情報セミナー 2015年4月
VirtualTech Japan Inc.
 
PDF
Introduction to NetOpsCoding#2
Taiji Tsuchiya
 
PDF
教えて前村先生
Taiji Tsuchiya
 
PDF
クラウド型データセンタにおけるSDNの適用事例
Taiji Tsuchiya
 
PDF
Introduction to NetOpsCoding#3
Taiji Tsuchiya
 
PDF
インターネットの舞台裏
Taiji Tsuchiya
 
PPTX
Net opscoding#4発表資料
Kenta Hattori
 
PDF
【Sb】「if 自動化するなら then stack stormを使おう」 展開用
Kazunori Shimura(kojima)
 
PDF
StackStormを用いたネットワーク機器の制御
yskitagawa
 
PDF
JSNAPyとPyEZで作る次世代ネットワークオペレーションの可能性
Taiji Tsuchiya
 
PDF
ITエンジニアのための英語勉強法
Etsuji Nakai
 
PPTX
Event driven-automation and workflows
Dmitri Zimine
 
PDF
ネットワーク運用自動化の実際〜現場で使われているツールを調査してみた〜
Taiji Tsuchiya
 
PDF
Agile OpenStack Networking with Cisco Solutions
Cisco DevNet
 
PDF
StackStorm で実現する、複数システムに対する統一インターフェイス提供と運用一元化の取り組み - OpenStack最新情報セミナー(2017年3月)
VirtualTech Japan Inc.
 
Cisco ACI と 仮想化連携 (vSphere / Hyepr-V)
Takao Setaka
 
Netapp_innovation_2015_Cisco_抜粋修正版
Takao Setaka
 
Microsoft tech fielders_cisco_20150126_配布版
Takao Setaka
 
Cisco ACI and OpenStack - Group-based Policy (GBP) & OpFlex
Takao Setaka
 
BMP Test Results
Taiji Tsuchiya
 
OpenStackネットワーク入門 – OpenStack最新情報セミナー 2015年4月
VirtualTech Japan Inc.
 
Introduction to NetOpsCoding#2
Taiji Tsuchiya
 
教えて前村先生
Taiji Tsuchiya
 
クラウド型データセンタにおけるSDNの適用事例
Taiji Tsuchiya
 
Introduction to NetOpsCoding#3
Taiji Tsuchiya
 
インターネットの舞台裏
Taiji Tsuchiya
 
Net opscoding#4発表資料
Kenta Hattori
 
【Sb】「if 自動化するなら then stack stormを使おう」 展開用
Kazunori Shimura(kojima)
 
StackStormを用いたネットワーク機器の制御
yskitagawa
 
JSNAPyとPyEZで作る次世代ネットワークオペレーションの可能性
Taiji Tsuchiya
 
ITエンジニアのための英語勉強法
Etsuji Nakai
 
Event driven-automation and workflows
Dmitri Zimine
 
ネットワーク運用自動化の実際〜現場で使われているツールを調査してみた〜
Taiji Tsuchiya
 
Agile OpenStack Networking with Cisco Solutions
Cisco DevNet
 
StackStorm で実現する、複数システムに対する統一インターフェイス提供と運用一元化の取り組み - OpenStack最新情報セミナー(2017年3月)
VirtualTech Japan Inc.
 
Ad

Similar to OpenStack and ACI (20)

PDF
ITpro EXPO 2014: Cisco ACI  ~データセンター運用の効率化と迅速なアプリケーション展開~
シスコシステムズ合同会社
 
PDF
Cisco Systems ACI概要 とCitrix NetScaler との連携
Citrix Systems Japan
 
PDF
[G-Tech2014講演資料] シスコのSDN最新動向とITインフラエンジニアに求められるスキル - シスコシステムズ合同会社
Trainocate Japan, Ltd.
 
PDF
【Interop tokyo 2014】 Citrix NetScalerとCisco ACIとの融合がもたらす次世代インフラのコンセプト
シスコシステムズ合同会社
 
PDF
【Cisco Data Center Forum 2015】 データ センター ネットワークの動向と Cisco ACI の戦略
シスコシステムズ合同会社
 
PDF
【Cisco Data Center Forum 2015】 Cisco ACI 活用例
シスコシステムズ合同会社
 
PDF
【Interop tokyo 2014】 Cisco ACIとOpenStackで実現するネットワークプロビジョニングとは?
シスコシステムズ合同会社
 
PDF
ITPro Expo 2014: Cisco Application Centric Infrastructure と Openstack による統合イン...
シスコシステムズ合同会社
 
PDF
PCCC23:日本オラクル株式会社 テーマ1「OCIのHPC基盤技術と生成AI」
PC Cluster Consortium
 
PDF
Mk vpp for-containers-vppug
Miya Kohno
 
PDF
【Interop Tokyo 2015】 DC 5: Cisco ACI とエンタープライズ アプリケーション
シスコシステムズ合同会社
 
PDF
[AKIBA.AWS] re:invent 2017アップデート:ついてこられるか?AWSネットワークの進化
Shuji Kikuchi
 
PDF
【Cisco Data Center Forum 2014】 Cisco ACI (Application Centric Infrastructure)...
シスコシステムズ合同会社
 
PDF
Microsoft conference 2014_Cisco_session_非公式配布版
Takao Setaka
 
PDF
FlexPod Day 2016 - Cisco session (Publish edition)
Takao Setaka
 
PDF
ITPro Expo 2014: Cisco Application Centric Infrastructure (Cisco ACI ) 概要
シスコシステムズ合同会社
 
PDF
ITpro EXPO 2014: クラウド統合基盤 ソリューション ~ Cisco / RedHat 統合基盤 UCSO ~
シスコシステムズ合同会社
 
PDF
Dockerのエンタープライズ運用を支える技術 - FlexPod Day 2017 Tokyo
Takao Setaka
 
PDF
Cisco Connect Japan 2014: 実践 Cisco ACI (Application Centric Infrastructure)
シスコシステムズ合同会社
 
PDF
CloudStack Ecosystem Day - OpenStack/Swift
irix_jp
 
ITpro EXPO 2014: Cisco ACI  ~データセンター運用の効率化と迅速なアプリケーション展開~
シスコシステムズ合同会社
 
Cisco Systems ACI概要 とCitrix NetScaler との連携
Citrix Systems Japan
 
[G-Tech2014講演資料] シスコのSDN最新動向とITインフラエンジニアに求められるスキル - シスコシステムズ合同会社
Trainocate Japan, Ltd.
 
【Interop tokyo 2014】 Citrix NetScalerとCisco ACIとの融合がもたらす次世代インフラのコンセプト
シスコシステムズ合同会社
 
【Cisco Data Center Forum 2015】 データ センター ネットワークの動向と Cisco ACI の戦略
シスコシステムズ合同会社
 
【Cisco Data Center Forum 2015】 Cisco ACI 活用例
シスコシステムズ合同会社
 
【Interop tokyo 2014】 Cisco ACIとOpenStackで実現するネットワークプロビジョニングとは?
シスコシステムズ合同会社
 
ITPro Expo 2014: Cisco Application Centric Infrastructure と Openstack による統合イン...
シスコシステムズ合同会社
 
PCCC23:日本オラクル株式会社 テーマ1「OCIのHPC基盤技術と生成AI」
PC Cluster Consortium
 
Mk vpp for-containers-vppug
Miya Kohno
 
【Interop Tokyo 2015】 DC 5: Cisco ACI とエンタープライズ アプリケーション
シスコシステムズ合同会社
 
[AKIBA.AWS] re:invent 2017アップデート:ついてこられるか?AWSネットワークの進化
Shuji Kikuchi
 
【Cisco Data Center Forum 2014】 Cisco ACI (Application Centric Infrastructure)...
シスコシステムズ合同会社
 
Microsoft conference 2014_Cisco_session_非公式配布版
Takao Setaka
 
FlexPod Day 2016 - Cisco session (Publish edition)
Takao Setaka
 
ITPro Expo 2014: Cisco Application Centric Infrastructure (Cisco ACI ) 概要
シスコシステムズ合同会社
 
ITpro EXPO 2014: クラウド統合基盤 ソリューション ~ Cisco / RedHat 統合基盤 UCSO ~
シスコシステムズ合同会社
 
Dockerのエンタープライズ運用を支える技術 - FlexPod Day 2017 Tokyo
Takao Setaka
 
Cisco Connect Japan 2014: 実践 Cisco ACI (Application Centric Infrastructure)
シスコシステムズ合同会社
 
CloudStack Ecosystem Day - OpenStack/Swift
irix_jp
 

More from Takao Setaka (14)

PDF
10G/40G gen to 25G/100G gen, and go forward (HPVI community meetup)
Takao Setaka
 
PDF
Cisco ACI and_Ansible
Takao Setaka
 
PDF
Cisco ACI 情報源
Takao Setaka
 
PDF
Cisco C9364C and C9348GC-FXP
Takao Setaka
 
PDF
Cisco の Azure Stack を15分でまるっとご紹介
Takao Setaka
 
PDF
進化し続けるFlexPod - Cisco UCSのドコがイケているのか
Takao Setaka
 
PDF
ACI3.0(1k) Release
Takao Setaka
 
PDF
デバイスパッケージを開発してみた @沖縄オープンラボ
Takao Setaka
 
PDF
Tetration友の会資料 20170523
Takao Setaka
 
PDF
Contiv 20160914
Takao Setaka
 
PDF
Tokyo meetup 20160224
Takao Setaka
 
PDF
Contiv on vagrant_20160224
Takao Setaka
 
PDF
What is visor_fs_201207_customize
Takao Setaka
 
PDF
Whats ACI API?
Takao Setaka
 
10G/40G gen to 25G/100G gen, and go forward (HPVI community meetup)
Takao Setaka
 
Cisco ACI and_Ansible
Takao Setaka
 
Cisco ACI 情報源
Takao Setaka
 
Cisco C9364C and C9348GC-FXP
Takao Setaka
 
Cisco の Azure Stack を15分でまるっとご紹介
Takao Setaka
 
進化し続けるFlexPod - Cisco UCSのドコがイケているのか
Takao Setaka
 
ACI3.0(1k) Release
Takao Setaka
 
デバイスパッケージを開発してみた @沖縄オープンラボ
Takao Setaka
 
Tetration友の会資料 20170523
Takao Setaka
 
Contiv 20160914
Takao Setaka
 
Tokyo meetup 20160224
Takao Setaka
 
Contiv on vagrant_20160224
Takao Setaka
 
What is visor_fs_201207_customize
Takao Setaka
 
Whats ACI API?
Takao Setaka
 

OpenStack and ACI

  • 2. Agenda 1. ファブリック、オーバーレイ、そしてACI。 2. Application Centric Infrastructure (ACI) 3. OpenStackとACI 4. まとめ~ネットワークはポリシーによって面白くなる。
  • 4. これまでのネットワーク基本構成(モジュラー型デザイン)の課題 • サーバが統合基盤に集約され、かつ「論理的」・「動的」な ものとなること(クラウド化?)によって、表面化してきたこと • 冗長性の制約 (ペア構成) • 横方向通信の帯域限界 • ACL管理の限界 • STP影響範囲管理の限界 • L2/L3境界 拡張性の限界 • ポート収容数の限界 • サーバ配置の制約
  • 5. モジュラー型からファブリック型へ • デザイン時の基本思想:スケールアップ→スケールアウトへ 3階層モジュラー型デザイン ファブリック型デザイン • 従来型 • スケールアップ型 • ディストリビューション層でのRouting/Serviceの集約 • 1+1 の冗長性と負荷分散 • 新たなファブリック型デザイン • スケールアウト型 • Routing/Services のLeafレイヤーで拡張 • 任意の数(N-way)の冗長性と負荷分散 コア ディストリビューション アクセス Spine Leaf
  • 6. ファブリック型デザインにより解決したいこと • ネットワークに対する新たなニーズへの対応 → Ciscoはこうしたニーズを満たす ファブリック技術を提供しています。 • 拡張性 • 安定性 • シンプル • モビリティ (どこにでも配置、どこへでも移動可能) • 様々なワークロードへの対応
  • 7. Ciscoのファブリック技術の発展 • 局所的なファブリック技術 → ①Fabric Extender ②Virtual Port Channel • ネットワーク全体のL2ファブリック技術 → ③Fabric Path • ネットワーク全体のL3ファブリック技術 → ④Dynamic Fabric Automation (DFA)
  • 8. ①Fabric Extender (FEX) • 物理的な分離+論理的な統合 + Nexus 5000 / 6000 / 7000 / 9000 親スイッチ Nexus 2000 FEX(Fabric Extender) = Nexus 仮想スイッチ
  • 9. ②Virtual Port-Channel (vPC) • STPブロッキングポートを排除しつつ可用性を実現 物理的には 論理的には L2 SiSi vPCで、2つの物理スイッチをまたいだ ポートチャネルを構成することが可能に これまで SiSi STP BLK • L2 アクセス-ディストリビューションから STP ブロッキングポートを排除 • より多くの帯域を使用可能 • シンプルで拡張性のあるレイヤー2ネットワークデザイン
  • 10. ①FEX + ②vPC • ToR物理構成はそのままに、集中制御を実現 Nexus 5000/6000 /7000/9000 FEX= Nexus 2000 1GE サーバ クライアント 10 GE サーバ GE /10 GE ブレードスイッチ (パススルー) 10 GE サーバー 親スイッチへ 直接接続 • 大量のToRを集中制御 • 柔軟な配線デザインに対応 • ケーブリングの最適化によるコスト削減 • 100MB, 1G, 10G SFP+, 10GT 柔軟なサーバ収容オプション vPC
  • 11. ファブリック型ネットワークの基礎 • Spine-Leaf トポロジー Spine Leaf • シンプル • スケールアウト (必要な部分を必要なタイミングで拡張) • ボトルネックとなるポイントの排除 • 高い拡張性と低遅延 • 偏りのない帯域性能
  • 12. ③Fabric Path - L2 Fabricが必要とされる理由 • シンプルでフラットな大規模L2ネットワークへの要望の高まり ネットワーク管理者 • STPから脱却 (L2ルーティング) • 慣れたL3ネットワーク管理の手法で シンプルにL2ネットワーク管理 (いままではできなかった) サーバ担当者 • サーバ配置(仮想・物理)の自由 • 移動してもIPアドレスの変更が不要 • サーバ接続時のネットワーク作業の簡素化 Ethernet FabricVLAN Cisco Fabric Path
  • 13. L2 Fabricの課題 • クラウド的な機能要求の高まり 要求事項 • マイクロセグメント化 • 自動化/プログラマビリティ 制約 • 4000 VLAN • オーバーレイ機能 物理 フロントセグメント1 セグメント2 セグメント3 web app db App OS App OS 仮想
  • 14. L2 Fabricの課題 • L2/L3境界問題 制約 • どんなにL2が広がってもL3境界で 拡張性に限界がある • オーバーレイを使っても性能限界が ある • どこかでオーバーレイとアンダーレイ を結びつけるゲートウェイが必要 Ethernet Fabric VLAN VLAN VLAN
  • 15. ④DFA - L3 Fabricへの発展 • Leaf層での分散ゲートウェイ 制約への対応 • 分散L3ゲートウェイ • 管理の一元化 • ファブリックの自動構成・拡張対応 既存技術の活用 • 内部的にはFabric Pathを使用 • Nexusシリーズをそのまま使って構成 可能 Dynamic Fabric Automation
  • 16. オーバーレイ技術 – VXLAN, GRE, ... • オーバーレイ技術に何を期待しますか? • Underlayネットワークの構成に依存しないネットワークの構成 Underlayネットワーク(IP網) Overlayネットワーク(L2) VXLAN トンネル VTEP VTEP VTEP
  • 19. オーバーレイの課題 • マルチキャスト依存 • 結局はL2 Broadcastドメインを疑似的にL3 Multicast方式に 置き換えているに過ぎない Underlayネットワーク(IP網) Overlayネットワーク(L2) 端末 MACアドレス 位置 MAC-A VTEP-A MAC-B VTEP-B Overlayのコントロールプレーン 端末の発見はUnderlayでMuticastにより、 従来のL2 Flood&Learn方式を擬似 VXLAN トンネル VTEP-B VTEP-B VTEP ARPブロードキャスト (MAC-Bはどこ?) MAC-BMAC-A Underlayでマルチキャスト配送
  • 20. オーバーレイの課題 • 標準化されていないユニキャスト方式 • 各ベンダー独自の仕組みで実現しているためマルチベンダーで 使用できない (Cisco Nexus 1000Vの場合は、VSM管理範囲内で使用可能) VSM-1 Cisco N1K VXLAN 10.1.1.1 10.2.1.1 Controller 10.4.1.1 10.6.1.1 VM-A-1 VM-A-2 VM-A-3 VM-B-1 VM-B-2 VM-B-4 VM-B-5 VEM-11 VEM-12 VTEP-21 VTEP-23 10.5.1.1 VM-B-3 VTEP-22 10.3.1.1 VM-A-4 VM-A-5 VEM-13 ? Vender ## VXLAN
  • 21. オーバーレイの課題 • Cisco Nexus 1000V BGP方式 (標準化提案中) • Nexus 1000V の VSM 間で BGP を使ってVXLANセグメント情報 を交換することにより、VXLANを広範囲で使用可能。 VSM-1 Cisco N1K VXLAN 10.1.1.1 10.2.1.1 VSM-2 10.4.1.1 10.6.1.1 VM-A-1 VM-A-2 VM-A-3 VM-B-1 VM-B-2 VM-B-4 VM-B-5 VEM-11 VEM-12 VEM-21 VEM-23 10.5.1.1 VM-B-3 VEM-22 10.3.1.1 VM-A-4 VM-A-5 VEM-13 BGP Cisco N1K VXLAN
  • 23. ACI ってなに? - そもそもの目的に立ち返ってみる • ビジネス→アプリケーション→インフラストラクチャ Business • アプリケーション=ツールとしての利用者 • 使いたいときに、使えることこそが重要 Application • アプリケーション=サービス • 必要なリソースが、必要なだけ提供されることが重要 Infrastructure • Hardware & Software (OS, Driver, Middleware) • Server, Network, Storage, Facility
  • 24. ACI ってなに? - そもそもの目的に立ち返ってみる • ファブリックネットワークの良さ = シンプルでスケールアウトする Spine (枝) Leaf (葉)
  • 25. ACI ってなに? - そもそもの目的に立ち返ってみる • オーバーレイネットワークの良さ = 自由な接続性の構成 Underlayネットワーク(IP網) Overlayネットワーク(L2) VXLAN トンネル VTEP VTEP VTEP
  • 26. ACI ってなに? - そもそもの目的に立ち返ってみる • しかし、問題はネットワークの見え方の部分にこそ存在する IaaS/PaaS DB APP WEB アプリケーションレベルのデザイン DB (ベアメタル) APP (仮想マシン) WEB (仮想マシン) ユーザー アクセス用L3 ユーザー アクセス用L2 ユーザー アクセス用FW ユーザー アクセス用LB WEB-APP 間FW APP用LB WEB-APP間 Private L3 APP-DB 間FW APP-DB間 Private L2 サブネット プロトコル ACL QoS LB設定 仮想 ルーティング VLAN VXLAN FW設定 ネットワークレベルでのデザインと実装
  • 27. ACI ってなに? - アプリケーションとネットワーク • なぜネットワークの設定には時間がかかってしまうのか? 従来のネットワークへのアプローチ QoS(優先制御) L3ネットワーク(VRF, FHRP, ルーティング) アプリケーション要件 アクセス制御, ファイアウォール, ロギング モニタリング ロード バランシング L2ネットワーク(VLAN, STP, L2マルチパス) スイッチ設計・設定 QoS 設計・設定 ルータ設計・設定 負荷分散装置 設計・設定 FW/ACL 設計・設定 設定すべきポイント
  • 28. ACI ってなに? - アプリケーションとネットワーク • ネットワークに対するアプローチの根本的革新 従来のネットワークでのアプローチ QoS(優先制御) L3ネットワーク(VRF, FHRP, ルーティング) アプリケーション要件 アクセス制御, ファイアウォール, ロギング モニタリング ロード バランシング L2ネットワーク(VLAN, STP, L2マルチパス) アプリケーション要件 Cisco ACIにおけるアプローチ ポリシー (どうなって欲しいか)
  • 29. ACI ってなに? - ネットワークの実現手法 • 設計・設定対象を、ファブリック/オーバーレイそのものではなく、 ポリシーへ Fabric and/or Overlay 設計・設定
  • 30. ACI ってなに? - ネットワークの実現手法 • 設計・設定対象を、ファブリック/オーバーレイそのものではなく、 ポリシーへ ACIポリシーベース オーバーレイファブリック (既存技術の活用) Fabric + Overlay ACIコントローラ = APIC (Application Policy Infrastructure Controller) Policy
  • 31. ACI ってなに? - ポリシーベースのファブリック • ポリシーとファブリック DNSAD Outside Connectivity FirewallFirewall Policy ポリシーを実現するネットワークの自動構成 APIC Application Policy Infrastructure Controller APIC App DBWeb 外部 ネットワーク接続 Firewall QoS Firewall QoS Firewall Load Balance Policy Fabric + Overlay
  • 32. • APIC = ACIの管理ポイント REST/API(JSON/XML) ハードウェア管理 論理構成管理 (テナント、ポリシー、etc...) APIC (Application Policy Infrastructure Controller) Nexus 9000 Fabric CLI (SSH) ACIってなに? – APIC APIC GUI 管理ツールREST/API
  • 34. テナント A ACI ってなに? - アプリケーション視点のデザイン • EPG (End Point Group) と Contract アプリケーション B Appサーバ DBサーバ利用者 Webサーバ EPG EPG EPGEPG Contract Contract Contract
  • 35. ACI ってなに? - アプリケーション視点のデザイン 外部ネットワーク EPG Webサーバ EPG Appサーバ EPG DBサーバ EPG Application Network Profile (ANP) テナント 外部–Web間 コントラクト Web-App間 コントラクト App-DB間 コントラクト
  • 37. OpenStack Neutron アーキテクチャ Neutron Server REST API Neutron Core plugins ML2 Cisco (Nexus,N1Kv) OVS Morevendor plugins Neutron Service plugins • コア+拡張 REST API • Message Queue を使った Neutron Agent との通信構成 • コア+サービスプラグイン • ベンダー毎のコアプラグイン • 様々なネットワーク方式をサポート • ML2プラグインによるタイプドライバとメカニズム ドライバを使った拡張方式 • バックエンドドライバのためのサービスプラグイン コア API Network / Port / Subnet Resource and Attribute Extension API ProviderNetwork PortBinding Router Quotas SecurityGroups AgentScheduler LBaaS FWaaS VPNaaS … DHCP Agent L3 Agent Message Queue IPTables on Network Node L2 Agent OVS on Compute Node LoadBalancer Firewall VPN HAProxy IPTables OpenSwan L3ServicesFuturesType Drivers Mechanism Drivers VLAN GRE VXLAN CiscoNexus OVS OpenDaylight APIC Morevendor drivers
  • 38. ACI と OpenStack 連携 – フェーズ1 • Neutron API による連携 • ML2ドライバに含まれるメカニズムドライバとして提供 • OpenStack → ACI の制御 (APIC経由) • プロジェクトをテナントに紐づける • EPGをネットワークに紐づける • ACIファブリックとコンピュートノードのOpen vSwitchの 間でVLANに基づく連携が自動的に定義される • セキュリティはコンピュートノード側で構成される → L2スイッチング、L3ルーティングはすべて ACIファブリック側で処理される ※IceHouse 以降で対応
  • 39. テナント A = プロジェクト アプリケーション B Appサーバ DBサーバ利用者 Webサーバ EPG=VLAN Contract =iptables Contract =iptables Contract =iptables ACI と OpenStack 連携 – フェーズ1 EPG=VLAN EPG=VLANEPG=VLAN • 既存のOpenStackの仕組みに合わせる実装
  • 40. ACI と OpenStack 連携 – フェーズ1
  • 41. ACI と OpenStack 連携 – フェーズ2 • Group-Based Policy (GBP) API による連携 • Neutron を拡張する GBP API の1実装として提供 • OpenStack → ACI の制御 (APIC経由) • プロジェクトをテナントに紐づける • EPGとContractの関係そのものが定義される • セキュリティはACI側で構成される → ACIにおけるポリシーモデルに 基づく管理性がOpenStack 環境から構成することが可能に ※ Juno (2014.2) 以降で対応 ただしGBPのリリースは2015/1 https://wiki.openstack.org/wiki/GroupBasedPolicy
  • 42. テナント A = プロジェクト アプリケーション B Appサーバ DBサーバ利用者 Webサーバ EPG=Group Contract =Application Policy ACI と OpenStack 連携 – フェーズ2 EPG=Group EPG=GroupEPG=Group • ポリシーという概念をOpenStackの仕組みに実装 Contract =Application Policy Contract =Application Policy
  • 43. ACI と OpenStack - GBP • Group-Based Policy (GBP) アーキテクチャ • シスコは GBP に対するネイティブドライバを提供 Neutron ML2 ドライバ その他拡張プラグイン 等 Neutron Neutron ドライバ Group-Based Policy GBP ネイティブドライバ APIC ドライバ
  • 44. ACI と OpenStack - GBP • Application Policy / Policy Rule Set = Contract
  • 45. ACI と OpenStack - GBP • Application Policy / Policy Rules = Filter
  • 46. ACI と OpenStack - GBP • Policy Classifiers = Filter Entry
  • 47. ACI と OpenStack - GBP • Application Policy / Policy Actions
  • 48. ACI と OpenStack - GBP • グループ = EPG と Contract
  • 49. ACI と OpenStack 連携 – フェーズ2
  • 50. ACI と OpenStack - GBP • GBP構成例 (コマンド) “Web” EPG VM End Points Provides “Web” Policy “App” EPG VM End Points Provides “App” Policy Consumes “App” Policy “DB” EPG VM End Points Provides “DB” Policy Consumes “DB” Policy外部 ネットワーク EPG Consumes “Web” Policy neutron policy-rule-create web-rule --direction ingress --protocol tcp --port 80 neutron policy-rule-create all-rule --direction ingress --protocol tcp --port all neutron policy-rule-create db-rule --direction ingress --protocol tcp --port 3306 neutron contract-create web --policy-rule web-rule neutron contract-create app --policy-rule all-rule neutron contract-create db --policy-rule db-rule neutron endpoint-group-create DB --provide db neutron endpoint-group-create APP --provide app --consume db neutron endpoint-group-create WEB --provide web --consume app neutron endpoint-group-create OUTSIDE --consume web
  • 51. GBPによって、ACIとOpenStackはより強く連携する “Web” EPG VM End Points Provides “Web” Policy “App” EPG VM End Points Provides “App” Policy Consumes “App” Policy “DB” EPG VM End Points Provides “DB” Policy Consumes “DB” Policy外部 ネットワーク EPG Consumes “Web” Policy
  • 52. ACI と OpenStack – 用語整理 Neutron ACI Project Tenant Network EPG + Bridge Domain (BD) Subnet Subnet Security Group + Rule Contract Router BD + Private Network Network:external Outside
  • 57. 参考情報. • Installing the Cisco APIC OpenStack Driver http://www.cisco.com/c/en/us/td/docs/switches/datacenter/aci/apic/sw/1- x/api/openstack/b_Cisco_APIC_OpenStack_Driver_Install_Guide.html • APIC OpenStack Plugin Datasheet http://www.cisco.com/c/en/us/solutions/collateral/data-center-virtualization/openstack- at-cisco/datasheet-c78-732353.html • Group-Based Policy (GBP ACI integration White Paper) http://www.cisco.com/c/en/us/solutions/collateral/data-center-virtualization/application- centric-infrastructure/white-paper-c11-733126.html • Group-Based Policy Driver for Cisco APIC Controller http://specs.openstack.org/openstack/neutron-specs/specs/juno/group-policy-apic- driver.html • Cisco ACI Fabric Documentation Roadmap http://www.cisco.com/c/en/us/td/docs/switches/datacenter/aci/apic/sw/1- x/roadmap/b_ACI_Fabric_Documentation_Roadmap.html