OpenStack 仮想ネットワーク
簡単構築!
OpenStack 仮想ネットワーク
ファブリックスイッチ2台から簡単構築できるBrocade OpenStack 仮想ネットワーク。
Neutronとの連携により、L2/L3ネットワークに加え
FWaaS/LBaaS等のネットワークサービスも柔軟かつ迅速に提供が可能になります。
従来の各ベンダーのハードウェアに強く依存する構成では、サービスのマイグレー
L2
ます。
そこで、
これからのクラウド基盤では、
まずサーバ、
ストレージ、
ネットワークなど
ファイア
ウォール
ルータ
ネット
ワーク
ションやハードウェアの交換が困難で、柔軟かつ効率的なリソース活用に制限があり
ロード
バランサ
のハードウェアを抽象化します。
さらに、
パフォーマンスを劣化させることなく、
ハード
ウェアへの依存を完全に排除した形でサービスを展開できることが求められます。
OpenStack 仮想ネットワーク導入メリット
1
インフラ運用に人、手間を掛けないクラウド基盤を実現
2
抽象化を実現し、最新ハードウェアの性能向上を即座に享受
3
その時々に最適な製品をテナントに意識させることなく導入
4
データセンターライフサイクルマネジメントの実現
①利用効率の向上
②消費電力の低減
③パフォーマンスの向上
5
部分最適化ではなく全体的な最適化を実現
ネットワークの完全抽象化
ハードウェア
Brocade 仮想ネットワークの特徴
1
2
3
4
5
VDX2台から始められるスモールスタート構成
要件によりハードウェアとソフトウェアを自在に選択
高度かつ柔軟な仮想ネットワークサービスを提供
シンプルさを維持しながら高い通信性能と安定性を確保
サービス断の無いリソース追加、
ネットワーク拡張
ソフトウェア
LBaaS
ADX(LB)
vADX(LB)
FWaaS
VDX(ACL)
Vyatta(ファイアウォール)
L3
VDX(VE/VRRP)
Vyatta(ルータ、
ゲートウェイ、Floating IP)
L2
VDX(VLAN)
Brocade OpenStack Plug-in
Brocade OpenStack 対応製品
イーサネットファブリックとは?
Brocade VDX6740
?
●
●
●
クラウドへの進化により発生する
ネットワークの新たな課題に
どのように対応するべきか
増加し続けるデータセンター内トラフィック
トラフィック・フローの流動化・複雑化
システム・インフラ全体の運用体制の変化
イーサネット・ファブリック で
データセンター全体を最適化
Brocade VDX8770
●
●
Brocade VDX 6740は、10G/40Gに対応
したクラウド・ネットワーキングに最適な
イーサネット・ファブリックスイッチ。ポー
ト・オンデマンドで最少24ポートから最大
64ポートまで、8ポートずつ柔軟に拡張が
可能です。
高い拡張性を持ち、
Brocade VDX 8770は、
100 GbEにも対応。
4スロット8U型と8スロッ
ト15U型を提供しています。
●
●
低遅延、
高スループット
最適なリソース利用の実現
スモールスタート可能な基盤
マルチベンダーのオープン性
既存の資産を活かしながら
ビジネスの競争力を加速!
●
●
●
●
高可用性、
高信頼性
オープン性により既存資産との親和性を実現
災害対策など付加サービスを実現
SLAの向上
Brocade Vyatta vRouterは、迅速な導入かつ柔
軟性が求められる時代に対応したx86サーバ上
で動くIntel DPDK対応の高速仮想ルータ。
最新のvPlaneテクノロジを採用し、ルータのコ
ントロール・プレーンをデータ・プレーンから分
Brocade Vyatta vRouter 離し、ハードウェア機器に匹敵するルーティング
性能をソフトウェア・ベースの製品で実現します。
利用例
仮想OSPF/BGP ルータ
仮想ルート・リフレクタ
Brocade ADX1000
仮想ファイアウォール
仮想VPNゲートウェイ
仮想CPE
仮想PE/CE
Brocade ADXシリーズは、物理と仮想の両プラッ
ア
トフォームに対応したロードバランサーです。
プリケーションの性能を最大限に高める分散
アーキテクチャの上に構築されており、
マネジメ
ント・プレーンとデータ・プレーンを物理的に完
全に切り離しています。
Brocade Vyatta vADX
Brocade vADX 仮想アプライアンス
Intel DPDK対応
仮想環境上で容易に活用可能
● L4SLBおよびL7SLB
OpenScriptによる柔軟な負荷分散制御
キャパシティオンデマンドによる
スケールアップ
●
●
●
●
L2、L3、ファイアウォールの抽象化
VDX FWaaSプラグイン
ファイアウォール作成
テナントユーザがルール、
ポリシー、
ファイアウォールを設定すると、
自動的にテナントのL3インタフェース上にACLが適用されます。
VDX FWaaSプラグインは、IP ACLを用いて、FWaasルールを実現します。
● テナントあたり、
ひとつのファイアウォールが設定できます。
● Firewallのアップデートの際には、
一度ACLはクリアされて、
再適用されます。
● ACLのデフォルトアクションはドロップとなります。
● 管理者がシステム全体向けのファイアウォールルールを適用することもできます。
sw0# sh ru rbridge-id 1 interface Ve 101
rbridge-id 1
interface Ve 101
ip access-group openstack-acl-dd7a86fd2df26003 out
ip address 10.0.3.1/24
no shutdown
!
sw0# sh ru ip access-list
ip access-list extended openstack-acl-dd7a86fd2df26003
seq 100000 permit tcp 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255
count log
!
設定
Neutron設定ファイルでVDX FWaaSプラグインを有効後、
ML2のBrocade設定ファイルを編集します。
% cat /etc/neutron/plugins/ml2/ml2_conf_brocade.ini
[Fwaas]
seq_ids=100000:200000
#direction can be configured as egress/ingress/both
#by default direction will be both
direction=both|in|out
#user can enable count the number of acl hits and log it by below flags
#by default these flags are false
count = True
log=True
プラグイン
VDX L3/VE(Virtual Ethernet)
テナントルータをサポートし、
VDX L3/VEプラグインでは、
ハードウェアベース・ルーティングの自動設定をすることができます。
no shutdown
sw0# show running-config rbridge-id 2
rbridge-id 2
...
interface Ve 101
ip address 10.0.3.3/24
vrrp-group 1
virtual-ip 10.0.3.1
priority 2
no shutdown
!
interface Ve 102
ip address 10.0.2.2/24
vrrp-group 1
virtual-ip 10.0.2.1
priority 2
no shutdown
設定
ML2 のブロケード設定ファイルで、実際にL3 ルーティングを行うVDXノード
(rbridge ID)
を指定します。
この時、2つのrbridgeを指定すると、
自動で冗長設定
されます。
% cat /etc/neutron/plugins/ml2/ml2_conf_brocade.ini
[ml2_brocade]
rbridge_id= 1,2
ルータ/インタフェースの作成
テナントユーザがルータおよびインタフェースを作成すると、VDX上にVRRPの
設定を含んだL3インタフェースが2台のVDXに対して自動で作成されます。
sw0# show running-config rbridge-id 1
rbridge-id 1
....
interface Ve 101
ip address 10.0.3.2/24
vrrp-group 1
virtual-ip 10.0.3.1
priority 1
no shutdown
!
interface Ve 102
ip address 10.0.2.2/24
vrrp-group 1
virtual-ip 10.0.2.1
priority 1
ルータ/インタフェースの削除
テナントユーザがルータのインタフェースを削除すると、
設定されていた
L3インタフェースが削除されます。
VDX ML2プラグイン
ML2プラグインでは、ハードウェアスイッチの設定を行うメカニズムドライバーが必要と
なります。ML2のBrocade メカニズムドライバーは、NETCONFを使い、バックエンドの
Brocade VDXスイッチの設定を行います。現在このメカニズムドライバのサポートは
VLANのみとなっています。
Neutron
Neutron
ML2
plugin
Brocade
メカニズム
ドライバ
NETCONF
設定
プラグインを使うために、Brocade設定ファイルを編集します。
% cat /etc/neutron/plugins/ml2/ml2_conf_brocade.ini
[switch]
username = admin
password = password
address = <switch mgmt ip address>
ostype = NOS
physical_networks = phys1
また、Brocadeメカニズムドライバを利用でき
るようにML2設定ファイルの編集を行います。
また、
テナントへ割り当てるVLANのレンジもこ
こで指定します。
Brocade
VDX67xx
VDX87xx
% cat /etc/neutron/plugins/ml2/ml2_conf.ini
[ml2]
tenant_network_types = vlan
type_drivers = local,flat,vlan,gre,vxlan
mechanism_drivers = openvswitch,brocade
# OR mechanism_drivers = openvswitch,linuxbridge,hyperv,brocade
[ml2_type_vlan]
network_vlan_ranges = physnet1:101:600
Vyatta FWaaSプラグイン
ゾーンベースのステートフルファイアウォールを用いて、FWaaSルールを実現します。
VDX FWaaSプラグインは、
ファイアウォール作成
テナントユーザがルール、
ポリシー、
ファイアウォールを設定すると、
自動的にVyatta vRouterにFirewall、Zone Policyが適用されます。
vyatta@test# sh firewall
name fw1 {
rule 1 {
action accept
destination {
address 10.0.2.0/24
port 80
}
protocol tcp
source {
address 10.0.0.0/14
}
}
}
state-policy {
established {
action accept
}
related {
action accept
}
}
[edit]
name fw1
}
}
interface eth1
vyatta@test# sh zone-policy
zone External_Untrust {
from Internal_Trust {
firewall {
}
zone Internal_Trust {
from External_Untrust {
firewall {
name fw1
}
}
interface eth2
}
[edit]
Vyatta L3プラグイン
クラウド環境での、Vyatta vRouter デプロイを自動で行います。またテナント
ルータ、
ゲートウェイ機能(SNAT)、FloatingIP(DNAT)をサポートしています。
テナ
ントルータは、
ネットワークノードではなく、
コンピュートノード上で起動します。
設定
各コンピュートノードで、管理用セグメント
( br-mng) 、VM 間通信用セグメント
(br-ex)を作成します。
(br-int)、外部セグメント
vRouter設定ファイルは、下記のように編集します。
% cat /etc/neutron/plugins/brocade/vyatta/vrouter.ini
[vrouter]
tenant_admin_name = admin
tenant_admin_password = password
tenant_id = xxxxx
keystone_url = http://xxxx:5000/v2.0
image_id = xxxxx
flavor = 2
management_network_id = xxxx
Floating IP 機能
VMへFloating IPを設定すると、Vyatta vRouterにDNATが自動的に設定されます。
ルータの作成
テナントユーザがルータを作成するとVyatta vRouterのイメージがコンピュート
ノード上に自動で起動されます。
ルータインタフェースの作成
テナントユーザがルータインタフェースを作成すると、起動している Vyatta
このとき、vRouterはプラグアンド
vRouterにインタフェースがアサインされます。
プレイより追加されたインタフェースを認識できるため、VMの再起動の必要は
ありません。
ゲートウェイ機能
テナントユーザはルータにゲートウェイを設定することで外部ネットワーク
(パブ
リックネットワーク)へアクセスできるようになります。このとき、V y a t t a
vRouterにSNATが自動的に設定されます。
ネットワークの作成
テナントユーザがネットワークを作成し、VMを起動すると、該当のポートに
VLANが自動的に割り当てられます。
sw0# show running-config interface ten
1/0/1
interface TenGigabitEthernet 1/0/1
switchport
switchport mode trunk
switchport trunk allowed vlan add 102,104
no shutdown
!
vyatta@test# sh nat
source {
rule 4001 {
outbound-interface eth1
source {
address 10.0.101.0/24
}
translation {
address 10.0.0.61
}
}
}
[edit]
vyatta@test# sh nat
destination {
rule 1 {
destination {
address 10.0.0.62
}
inbound-interface eth1
translation {
address 10.0.101.3
}
}
}
ネットワークの削除
テナントユーザが VMとネットワークを削除すると、該当のポートのVLANが
自動的に削除されます。
sw0# show running-config interface ten 1/0/1
interface TenGigabitEthernet 1/0/1
switchport
switchport mode trunk
switchport trunk allowed vlan add 102
no shutdown
!
Bondingインタフェースへの対応
サーバが接続するインタフェースは、Bondingで2台の
スイッチへ接続でき、複数のポートをvLAG を含めて
自動的に設定できます。
vLAG
Bonding
ロードバランサーの抽象化
B ro
ca de
AD
X
B ro
Physical
ADX
AD
ca de
ADX/vADX LBaaSプラグイン
X
Physical
ADX
ハードウェアベースLBaaS
ADX/vADX LBaaSプラグインは、ハードウェアのADX、仮想ア
プライアンスのvADXの両方に対応しています。LBaaSプラグ
インにより、Virtual IP(VIP)、
メンバー、
ヘルスモニターの設定を
自動化することができます。
サポートされる機能
プロトコル : HTTPS、HTTP、TCP
ADX・vADXの設定
ADX/vADXの基本設定(インタフェース、ルーティングなど) 負荷分散方式 : ROUND_ROBIN、LEAST_CONNECTIONS
は事前に手動で行い、NeutronからADX/vADXの登録を行い セッション永続性 : SOURCE_IP
ます。
モニター : TCP、HTTP、HTTPS
telnet@ServerIronADX 1000#sh
ru
!Building configuration...
!Current configuration : 1288
bytes
!
…
!
server real 10.0.3.2 10.0.3.2
port http
port http url"HEAD /"
!
Virtual
ADX
メンバー、
ヘルスモニターの作成
VIP、
テナントユーザが VIP 、メンバー、ヘルスモニターの設定を行
うと、ADX/vADXへ自動的に設定が適用されます。
server real 10.0.3.4 10.0.3.4
port http
port http url"HEAD /"
!
server group-real pool1
!
server virtual vip1 10.0.2.252
predictor round-robin
port http sticky
bind http 10.0.3.2 http
10.0.3.4 http
Virtual
ADX
ソフトウェアベースLBaaS
Yahoo! JAPAN パフォーマンス比較事例
オープンにコミットするブロケードをパートナーに。
プラグインの活用によって性能ロスのない仮想ネットワークとFWaaSを実現
ネットワーク部分
OpenStackを軸に据えたクラウド基盤の設計を進めていたヤフーでは、
検証結果 50VM に対して
の設計にあたり、
「共に創る=共創」
の取り組みができるかどうかを軸に、
ネットワークベ
通信速度
ンダーの選定を実施。
その結果、同社の大規模なApache Hadoop 基盤を支えるネット
20.0
ワークでの導入実績はもとより、会社としてのオープンな技術への積極的な取組みとコ
15.0
ミットメントを評価し、
ブロケードをパートナーとして選定した。
10.0
同社のOpenStack基盤では、
データセンターの上位ネットワークを支えるコアスイッチに
5.0
(以下、
ラック群を集約するアグリ
Brocade MLXe スイッチング・ルータ
Brocade MLXe)、
ゲーション・スイッチとラック内のトップオブラック
(ToR)
スイッチにBrocade VDX シリー
ズスイッチ
(以下、
を組み合わせている。
Brocade VDX)
0.0
OpenStackでは、OpenStack Networking(Neutron)がネットワークの抽象化を担ってい
るが、ヤフーの OpenStack 基盤では、ヤフーとブロケードが共同開発した Brocade
Neutron Plugin for VDX/VCSを活用することで性能ロスのない仮想ネットワークサービ
スとFWaaS(Firewall-asa-Service)
を実現している。同社の計測によれば、
ソフトウェア
ベースのGRE(Generic Routing Encapsulation)
トンネリングと比較して8倍のスルー
プットと2分の1のレイテンシを達成している。
ブロケード コミュニケーションズ システムズ株式会社
転送速度
3000
Kpps
Gbps
8倍
9倍
1000
gre tunnel
VDX
応答時間
3.00
ms
1.00
0
gre tunnel
構成
Kernel
Open
vSwitch
ML2
driver
gre tunnel
VDX
今回の検証 構成
1
倍
2
2.00
0.00
2000
VDX
Open
vSwitch
+ VDX
2.6.32
Open
vSwitch
+ gre tunnel
2.6.32
2.3
2.3
Open
vSwitch
+ VDX Plugin
Open
vSwitch
ブロケードに関するより詳しい情報は、以下のWebサイトをご覧ください。
© 2015 Brocade Communications Systems, Inc. All rights reserved. 01/15
ADX, Brocade, Brocade Assurance, the B-wing シンボル、DCX, Fabric OS, HyperEdge, ICX, MLX, MyBrocade, OpenScript, VCS, VDX, Vyatta は登録商標であり
The Effortless Network and The On-Demand Data Centerは米国またはその他の国における Brocade Communications Systems, Inc.,の商標です。
その他のブランド、製品名、サービス名は各所有者の製品またはサービスを示す商標またはサービスマークである場合があります。
注意:本ドキュメントは情報提供のみを目的としており、Brocadeが提供しているか、今後提供する機器、機器の機能、サービスに関する明示的、暗示的な保証を行うものではありません。Brocadeは、本ドキュメントをいつでも予告なく変更す
る権利を留保します。また、本ドキュメントの使用に関しては一切責任を負いません。本ドキュメントには、現在利用することのできない機能についての説明が含まれている可能性があります。機能や製品の販 売/サポート状 況については、
Brocadeまでお問い合わせください。
![Brocade FastIron SX シリーズ [日本語:PDF:1.08MB]](http://s1.jadocz.com/store/data/000649061_1-8809f354f029cae7cfb9d5583b509fbb-250x500.png)
![ヤフー株式会社:OpenStack [日本語:PDF:1.72MB]](http://s1.jadocz.com/store/data/000667857_1-3e1f012d31717078202cee8a5eb5e6ac-250x500.png)
© Copyright 2024