新しい仮想ネットワーク アーキテクチャ - ケーブルの導入

この記事では主に、さまざまなオーケストレーション システムのネットワーク モジュールの管理を統合し、仮想ネットワーク機能の開発プロセスを簡素化するために、仮想ネットワーク ワーキング グループによって実装された新しい仮想ネットワーク アーキテクチャである Cable について紹介します。

序文

OpenStack アーキテクチャでは、Neutron は仮想マシンのネットワークを管理する仮想ネットワーク モジュールです。コンテナ技術の発展に伴い、Kubernetes などのコンテナ オーケストレーション システムに導入されるアプリケーションがますます増えており、Kubernetes にも Flannel、Calico などの独自のネットワーク管理モジュールがあります。OpenStack と Kubernetes のネットワーク モジュールを個別に管理すると、管理コストが増加するだけでなく、仮想マシンとコンテナ間のネットワーク相互運用性などの要件を満たすことができなくなります。異なるオーケストレーション システムのネットワーク モジュールの管理を統一し、仮想ネットワーク機能の開発プロセスを簡素化するために、仮想ネットワーク ワーキング グループは新しい仮想ネットワーク アーキテクチャ Cable を実装しました。

背景

同社の現在の仮想ネットワーク アーキテクチャには、次のような欠陥があります。

1. 物理マシン、仮想マシン、コンテナ ネットワークは個別に管理され、直接相互接続することはできません。

2. Neutronagent の DHCP とメタデータは集中型サービスを使用しますが、これは十分に堅牢ではありません。

3. vxlan の実装には外部ルーターのサポートが必要であり、これはより複雑です。

新しいネットワーク アーキテクチャは、直接の相互接続を実現するために、物理マシン、仮想マシン、コンテナ ネットワークの統合管理の要件を満たす必要があります。 Neutronagent を簡素化し、分散アーキテクチャを使用して DHCP、メタデータ、その他の機能を実装します。仮想ネットワーク レベルで vxlan を実装します。トラフィックミラーリングなどの新しい機能を提供します。

ソリューションの実装

ケーブル全体構成図

上記の要件を満たすために、ケーブルアーキテクチャは次の2つの重要なポイントを実装します。

1. 仮想データプレーン

仮想データ プレーンは OVS をベースとせず、より機能豊富な仮想ルーター vrouter.ko を使用します。 vrouter.ko は、Juniper の仮想ネットワーク アーキテクチャ OpenContrail のオープン ソース データ モジュールです。 OVS の単純なパケット転送と比較して、vrouter.ko は仮想ネットワーク ルーティング、vxlan、フロー テーブル構成セキュリティ グループ、フロー テーブル構成 nat/snat、トラフィック ミラーリングなどの機能をサポートします。豊富なデータプレーン機能により、ネットワーク機能モジュールの開発の難易度が軽減されます。

2. 自社開発の管理プレーン

管理プレーンを社内で再開発します。管理プレーンは、OpenStack と Kubernetes のネットワーク モジュールを統一的に管理します。 Kubernetes の watch メソッドを使用して、プラットフォーム リソースの変更を積極的に監視し、関連する操作を実行します。 DHCP を分散方式で実装します。また、vrouter.ko のフロー機能を使用して、NAT、セキュリティ グループなどを実装します。

3. ケーブルワークフロー

ユーザー要求が NeutronServer に到達すると、ContrailNeutronPlugin は要求をケーブル制御ノード (ControlNode) に転送します。制御ノードのプロキシ変換要求は API に送信され、API は受信した要求を対応するモジュールに送信します。ここで、コントローラは具体的な計算と割り当て作業を担当し、IPAM モジュールはネットワーク アドレスの管理を担当します。 Cableagent は各コンピューティング ノードに展開され、RestAPI を通じて ControlNode のリソースを監視します。リソースの変更が検出されると、vrouter.ko が呼び出され、対応する要求 (ネットワーク情報の追加/削除/変更) が実行されます。

Openstackと互換性あり

Cable は、Neutron が新しいアーキテクチャにスムーズに移行できるように、既存の仮想ネットワーク構造との互換性を確保する方法を考慮する必要があります。したがって、元の Neutron インターフェースは変更せずに、Neutron の db を etcd に置き換え、DHCP エージェント、メタデータ エージェント、および l3 エージェントを統合されたケーブル エージェントに置き換えます。 Neutron を Cable に置き換えた後も、OpenStack の関連コマンドラインと Restful API は変更されず、シームレスな切り替えが可能になり、運用と保守の管理が容易になります。

Cable が Neutron に取って代わった後のアーキテクチャ図

要約する

新しい仮想ネットワーク アーキテクチャは、さまざまなネットワーク プレーンと互換性があり、ネットワーク機能モジュールを簡素化し、ネットワークをより堅牢にします。現在、ケーブルの全体的なアーキテクチャは基本的に開発されており、DHCP、メタデータ、VLAN アーキテクチャ ネットワークが実現されています。今後は、セキュリティグループやVXLANなどの機能が追加され、自動デプロイメントや監視機能の向上も実現される予定です。

[この記事は、51CTOコラムニスト360 Technology、WeChatパブリックアカウント「360 Technology（id: qihoo_tech）」からのオリジナル記事です]

この著者の他の記事を読むにはここをクリックしてください