Post on 21-Mar-2016
description
© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.
OpenFlow とネットワーク仮想化Motonori Shindo <mshindo@nicira.com>Technical Director
© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.
• インターフェースの仮想化?• ワイヤーの仮想化?• 機器の仮想化?• ルータの仮想化?• 接続性の仮想化?
ネットワークの仮想化
VLAN
LAG
VPN
VSS
vyatta
VRF
PseudoWire
© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.
• 今使っている物理ネットワークと同等の機能と性能を“論理的”に作り出す事– 接続性– セキュリティー– SLA– ….
ネットワークの仮想化
© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.
OpenFlow Overview
© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.
• ネットワークに革新をもたらす可能性のある標準的なプロトコル?• スイッチのデータプレーンを遠隔から操作する事のできるシンプルなプトコル?• スイッチのフォワーディングテーブルやカウンターを読み書きするために設計されている?• 標準的かつプラットフォーム独立なスイッチのデータプレーン定義?• 既存のネットワーク管理手法より遥かに強力な管理手法?• ネットワーク仮想化ソリューション?
OpenFlow: ウソ?ホント?
© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.
OpenFlowは・・・• 便利な「ツール」であって「ソリューション」ではない!
Think about USB
© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.
• 時代が求めている?• Control Plane / Data Plane 分離?• プログラマブル性?• バランスのよい抽象化レベル
OpenFlowの流行の理由
© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.
• いろいろな事ができる(可能性がある)– トラフィックエンジニアリング– セキュリティー– 仮想ネットワーク– ….
• しかし、出来る事と得意な事は必ずしも一致しない!– 何をどのように実現するかが重要!
OpenFlowで実現できる事
© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.
• Hop-by-Hop 方式• Overlay 方式
OpenFlowの適用方法
© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.
OpenFlowコントローラクラスター
Hop-by-Hop 方式
新しいパケットコントローラに送られる
フローがプッシュされる物理トポロジーのスライス
コントローラから遠隔操作
全ノードがOpenFlow に対応する必要あり✗
コントローラがData Plane に
関わっている✗ 物理ネットワークがスライスさ
れている✗
物理トポロジー
論理ネットワークは物理ネットワークのサブセットに束縛されていて、 OpenFlow の境界を越える事はできない
© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.
OpenFlowコントローラクラスター
Overlay 方式
新しいパケット
フローテーブルをプッシュ論理ネットワーク
コントローラに遠隔操作を許可
エッジのみで構成 コントローラはData Plane に
参加しない
物理トポロジーが完全に仮想化される
物理トポロジー
論理ネットワークは物理ネットワークから完全に独立している
✔ ✔ ✔
© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.
今日のネットワークは課題だらけ
VM VM
VM VM
Pod Pod Pod Pod
IsolationSecurity
SLAs
Shared ServicesService Interposition
VLANs
VLANs
VLANs
VLANs
VLANsVLANs
VLANs VLANsACLs
ACLs
ACLs
ACLs
ACLsACLsQoSQoS
QoS
QoSQoSQoSQoS
QoS
PVLANs PVLANs
PVLANs
PVLANs
PVLANs
ServiceRouting
ServiceRouting
ServiceRouting
VM VM
VM VM
VM VM
VM VM
© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.
OpenFlowの生い立ち
VM VM
VM VM
Ingress Egress
物理スイッチ
Routing StateOperational State
Pod Pod Pod Pod
ルーティングプロトコル手動設定またはスクリプト
VM VM
VM VM
VM VM
VM VM
© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.
仮想分散ネットワーク
VM VM
VM VM
Open vSwitch Intelligent Edge
VM
VM
VM
ControllerCluster(API)
Pod Pod Pod Pod
L2, Security,QoS, Services
L2, Security,QoS, Service
TunnelsGRE, CAPWAP,STT, VXLAN
© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.
ハードウェア独立性
VM VM
VM VMVM
VM
VM
ControllerCluster(API)
Open
Flow
Pod Pod Pod Pod
VM VM
Open vSwitch Intelligent EdgeL2, Security,QoS, Services
L2, Security,QoS, Service
L3 + ECMP, MLAG, FP, TRILL
© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.
• Cisco / VMware / Arista らが提案• 仮想ネットワークの本命?救世主?• Yet Another Encapsulation!
VXLAN
© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.
• Nicira Networks が開発したトンネリング・プロトコル• TSO ( TCP Segmentation Offload )を利用可能なパフォーマンスに優れた L2 over L3トンネリング方式• http://www.ietf.org/id/draft-davie-stt-00.txt
STT (Stateless Transport Tunneling)
© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.
Nicira Networks
© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.
今日のクラウド物
理論
理
サーバー ストレージ ネットワーク
物理
論理
サーバー&ストレージの仮想化
© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.
今日のクラウド論
理
サーバー ストレージ ネットワーク
?リソースのプール化
自動化資源の有効利用
オペレーションの簡素化ワークロードの移動
物理
論理
サーバー&ストレージの仮想化
© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.
ハイパーバイザー
物理ネットワーク
論理ネットワーク
VMwareがサーバーに対して行った事ネットワーク・ハイパーバイザー
© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.
サーバー・ハイパーバイザー
新しいアプリケーションを動かすためには以下が必要: CPU サイクル メモリ ストレージ ネットワーク接続性
- 複数機器上で VLAN/Trunking 設定
© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.
ネットワーク・ハイパーバイザー
ネットワークを新しく設定するには以下が必要: 帯域 耐障害性効果 : 既存のネットワークの制限にとらわれない迅速なアプリケーション提供
© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.
NVPアーキテクチャ
Future
© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.
NVPアーキテクチャ (cont.d)
Future
© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.
物理ネットワークとは切り離された論理ネットワーク 接続性を維持したまま、自由に物理的位置の変更が可能 位置に依存しない QoS やセキュリティーポリシーの適用 ネットワーク全体を集中で監視 アドレス空間の分離 (L2 & L3) 物理的な MACs, IPs & VLANs 数を大幅( 95%+ )削減可能 API で外部からプログラム可能( Software Defined Network )
ネットワーク仮想化のメリット「サービス設定」とネットワーク・ハードウェアおよびトポロジーを切り離すことができる!
© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.
仮想ネットワークとサービス
任意の場所
物理ネットワーク仮想ネットワーク
あらゆるアプリケーションやデータ
L2, L3FW, LB, Etc…
L2, L3FW, LB, Etc…
ネットワークサービス
VMVM VM VMVM VM
論理ネットワーク
仮想ワークロード物理ワークロード
© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.
分散仮想ファイヤーウォール
VM VM VM VMVM VMVM VMVM VMVM VM
ファイヤーウォール
完全に分散化 APIで一括管理スケールアウト
が可能ボトルネックになりや
すい
複雑な設定が必要 スケールアップが必要
© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.
Firewall Demo
© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.
分散仮想ファイヤーウォールの利点• 集中管理が可能• 移動性のサポート– 設定ポリシーが VM 移動に自動追従
• ポリシーをプログラム的に配布可能– 手動設定やスクリプトなど必要性がなくなる
• 物理ネットワークからの独立 – ハードウェアの仕様による制限から解放される
• 設定可能な ACL 数( 1k vs 10k )、フィルター機能の差異、等
© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.
まとめ• 仮想ネットワークもいろいろです!– OpenFlow は仮想ネットワークを提供するに適した便利なツール– OpenFlow は非常に柔軟である。それ故に、正しく使う事が重要!