© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.

OpenFlow とネットワーク仮想化Motonori Shindo <mshindo@nicira.com>Technical Director

© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.

• インターフェースの仮想化？• ワイヤーの仮想化？• 機器の仮想化？• ルータの仮想化？• 接続性の仮想化？

ネットワークの仮想化

VLAN

LAG

VPN

VSS

vyatta

VRF

PseudoWire

© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.

• 今使っている物理ネットワークと同等の機能と性能を“論理的”に作り出す事– 接続性– セキュリティー– SLA– ….

ネットワークの仮想化

© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.

OpenFlow Overview

© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.

• ネットワークに革新をもたらす可能性のある標準的なプロトコル？• スイッチのデータプレーンを遠隔から操作する事のできるシンプルなプトコル？• スイッチのフォワーディングテーブルやカウンターを読み書きするために設計されている？• 標準的かつプラットフォーム独立なスイッチのデータプレーン定義？• 既存のネットワーク管理手法より遥かに強力な管理手法？• ネットワーク仮想化ソリューション？

OpenFlow: ウソ？ホント？

© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.

OpenFlowは・・・• 便利な「ツール」であって「ソリューション」ではない！

Think about USB

© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.

• 時代が求めている？• Control Plane / Data Plane 分離？• プログラマブル性？• バランスのよい抽象化レベル

OpenFlowの流行の理由

© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.

• いろいろな事ができる（可能性がある）– トラフィックエンジニアリング– セキュリティー– 仮想ネットワーク– ….

• しかし、出来る事と得意な事は必ずしも一致しない！– 何をどのように実現するかが重要！

OpenFlowで実現できる事

© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.

• Hop-by-Hop 方式• Overlay 方式

OpenFlowの適用方法

© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.

OpenFlowコントローラクラスター

Hop-by-Hop 方式

新しいパケットコントローラに送られる

フローがプッシュされる物理トポロジーのスライス

コントローラから遠隔操作

全ノードがOpenFlow に対応する必要あり✗

コントローラがData Plane に

関わっている✗ 物理ネットワークがスライスさ

れている✗

物理トポロジー

論理ネットワークは物理ネットワークのサブセットに束縛されていて、 OpenFlow の境界を越える事はできない

© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.

OpenFlowコントローラクラスター

Overlay 方式

新しいパケット

フローテーブルをプッシュ論理ネットワーク

コントローラに遠隔操作を許可

エッジのみで構成 コントローラはData Plane に

参加しない

物理トポロジーが完全に仮想化される

物理トポロジー

論理ネットワークは物理ネットワークから完全に独立している

✔ ✔ ✔

© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.

今日のネットワークは課題だらけ

VM VM

VM VM

Pod Pod Pod Pod

IsolationSecurity

SLAs

Shared ServicesService Interposition

VLANs

VLANs

VLANs

VLANs

VLANsVLANs

VLANs VLANsACLs

ACLs

ACLs

ACLs

ACLsACLsQoSQoS

QoS

QoSQoSQoSQoS

QoS

PVLANs PVLANs

PVLANs

PVLANs

PVLANs

ServiceRouting

ServiceRouting

ServiceRouting

VM VM

VM VM

VM VM

VM VM

© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.

OpenFlowの生い立ち

VM VM

VM VM

Ingress Egress

物理スイッチ

Routing StateOperational State

Pod Pod Pod Pod

ルーティングプロトコル手動設定またはスクリプト

VM VM

VM VM

VM VM

VM VM

© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.

仮想分散ネットワーク

VM VM

VM VM

Open vSwitch Intelligent Edge

VM

VM

VM

ControllerCluster(API)

Pod Pod Pod Pod

L2, Security,QoS, Services

L2, Security,QoS, Service

TunnelsGRE, CAPWAP,STT, VXLAN

© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.

ハードウェア独立性

VM VM

VM VMVM

VM

VM

ControllerCluster(API)

Open

Flow

Pod Pod Pod Pod

VM VM

Open vSwitch Intelligent EdgeL2, Security,QoS, Services

L2, Security,QoS, Service

L3 + ECMP, MLAG, FP, TRILL

© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.

• Cisco / VMware / Arista らが提案• 仮想ネットワークの本命？救世主？• Yet Another Encapsulation!

VXLAN

© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.

• Nicira Networks が開発したトンネリング・プロトコル• TSO （ TCP Segmentation Offload ）を利用可能なパフォーマンスに優れた L2 over L3トンネリング方式• http://www.ietf.org/id/draft-davie-stt-00.txt

STT (Stateless Transport Tunneling)

© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.

Nicira Networks

© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.

今日のクラウド物

理論

理

サーバー ストレージ ネットワーク

物理

論理

サーバー＆ストレージの仮想化

© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.

今日のクラウド論

理

サーバー ストレージ ネットワーク

?リソースのプール化

自動化資源の有効利用

オペレーションの簡素化ワークロードの移動

物理

論理

サーバー＆ストレージの仮想化

© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.

ハイパーバイザー

物理ネットワーク

論理ネットワーク

VMwareがサーバーに対して行った事ネットワーク・ハイパーバイザー

© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.

サーバー・ハイパーバイザー

新しいアプリケーションを動かすためには以下が必要： CPU サイクル メモリ ストレージ ネットワーク接続性

- 複数機器上で VLAN/Trunking 設定

© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.

ネットワーク・ハイパーバイザー

ネットワークを新しく設定するには以下が必要： 帯域 耐障害性効果 : 既存のネットワークの制限にとらわれない迅速なアプリケーション提供

© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.

NVPアーキテクチャ

Future

© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.

NVPアーキテクチャ (cont.d)

Future

© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.

物理ネットワークとは切り離された論理ネットワーク 接続性を維持したまま、自由に物理的位置の変更が可能 位置に依存しない QoS やセキュリティーポリシーの適用 ネットワーク全体を集中で監視 アドレス空間の分離 (L2 & L3) 物理的な MACs, IPs & VLANs 数を大幅（ 95%+ ）削減可能 API で外部からプログラム可能（ Software Defined Network ）

ネットワーク仮想化のメリット「サービス設定」とネットワーク・ハードウェアおよびトポロジーを切り離すことができる！

© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.

仮想ネットワークとサービス

任意の場所

物理ネットワーク仮想ネットワーク

あらゆるアプリケーションやデータ

L2, L3FW, LB, Etc…

L2, L3FW, LB, Etc…

ネットワークサービス

VMVM VM VMVM VM

論理ネットワーク

仮想ワークロード物理ワークロード

© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.

分散仮想ファイヤーウォール

VM VM VM VMVM VMVM VMVM VMVM VM

ファイヤーウォール

完全に分散化 APIで一括管理スケールアウト

が可能ボトルネックになりや

すい

複雑な設定が必要 スケールアップが必要

© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.

Firewall Demo

© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.

分散仮想ファイヤーウォールの利点• 集中管理が可能• 移動性のサポート– 設定ポリシーが VM 移動に自動追従

• ポリシーをプログラム的に配布可能– 手動設定やスクリプトなど必要性がなくなる

• 物理ネットワークからの独立 – ハードウェアの仕様による制限から解放される

• 設定可能な ACL 数（ 1k vs 10k ）、フィルター機能の差異、等

© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.© 2012 Nicira Networks. All rights reserved. CONFIDENTIAL.

まとめ• 仮想ネットワークもいろいろです！– OpenFlow は仮想ネットワークを提供するに適した便利なツール– OpenFlow は非常に柔軟である。それ故に、正しく使う事が重要！