面向生产的容器网络 思科ACI CNI.pptx
- 文档编号:226517
- 上传时间:2022-10-07
- 格式:PPTX
- 页数:25
- 大小:7.59MB
面向生产的容器网络 思科ACI CNI.pptx
《面向生产的容器网络 思科ACI CNI.pptx》由会员分享,可在线阅读,更多相关《面向生产的容器网络 思科ACI CNI.pptx(25页珍藏版)》请在冰豆网上搜索。
面向生产的容器网络,思科容器网络解决方案ACICNI,Agenda,容器上生产在网络上的挑战现有容器网络技术现状思科容器网络解决方案,2,BRKSDN-2115,以史为鉴,让我们回头看看,思科Nexus1000v发布,思科ACI发布VMwareNSX发布,VMwareESXV1.0发布VMwarevswitch发布青铜时代,20012002,2008,VMwarevSphere4.0发布20092013白银时代,标准交换机(单机网络)分布式交换机(集群,网络),黄金时代SDN(软件定义网络),虚拟化网络的演进,2017Ciscoand/oritsaffiliates.Allrightsreserved.CiscoConfidential,容器上生产在网络上的挑战,挑战安全和运维是主要挑战,75%71%64%62%61%,扩展性网络,集成管理,安全,需要商业产品级别的容器平台Source:
n=151,ForresterConsulting,May2016.StudycommissionedbyRedHat,2018Ciscoand/oritsaffiliates.Allrightsreserved.CiscoPublic,5,生产环境对容器云的基本需求,01,大规模容器集群实践,高可用、业务连续性,K8S京东/谷歌/唯品会生产实践,02,03,04,05,06,07,K8S副本模式,Federation跨集群容灾,隔离域及多业务隔离,网络多租户、访问控制策略,监控、监管、4A审计,ELK/普罗米修斯/zipkin监管监控,三方云管平台CloudCenter,IaaS和容器云统一管理,网络遵循现有网络管理模式,二层接入、云间路由互通、职责清晰,提供有状态服务能力,数据库,持久化存储,StatusfulSET,现有容器网络技术方案,青铜时代的容器组网方案DockerNetworking,eth0,Host-1,iptables,Host-1Eth0(hostinterface)192.168.0.2,docker0Bridge172.17.42.1veth774786dvethde4e22e,Eth0192.168.0.2,Eth0192.168.0.2,Eth0172.17.0.12,Et172.1,Host-1docker0Bridge172.17.42.1,Container1,Cont,veth774786d,Container1Container2HostMode,Bridgemode,单机网络,Eth0172.17.0.12,Eth0172.17.0.12,Container1Container2MappedMode,#CLUS,2018Ciscoand/oritsaffiliates.Allrightsreserved.CiscoPublic,9,白银时代的容器组网方案三块布,Flannel,集群网络,Weave,Calico,#CLUS,2018Ciscoand/oritsaffiliates.Allrightsreserved.CiscoPublic,10,组网方案和优缺点,网络能力由服务器实现/NFV,组网方式二:
OverLay方案,组网方式一:
Underlay方案,Calicomacvlan,Weaveflannel,StaticLabel,StaticLabel,BGP-LSBGP-LU,BGP-LSBGP-LU,Customer_E-LINE,DCphysical-network,DCCloud-network,Backbone,性能好,流量可视化,无层级隔离、QOS,易于组网、规模大,但性能差,封闭网络、无层级隔离,组网方案比较,扩展性876543210,支持,性能,安全!
运维!
挑战,可管理性,安全,可视化,SDN融合,CalicoWeaveFlannelMACVLAN,思科容器网络解决方案-ACICNI,思科SDN解决方案ACI,以应用为中心的基础架构ACI,Nexus9000,APIC,的网控制器,领换先的云架构交平台,基于策略驱动络,自动化,安全,可扩展,主动运维Findrootcausefasterwithgranulardetails,统一策略UnifiednetworkPolicytoallDC,弹性扩展Extendyournetworkandrecognizeanomalies,统一的网络平台,ACI作为成熟的SDN网络平台统一管理容器裸金属虚机云平台,BareMetal,2019Ciscoand/oritsaffiliates.Allrightsreserved.CiscoPublic,15,容器网络模型及资源对应,ACI资源TenantEpgEndpointOvsFlow,K8S资源Clusternamespace/deploymentPODNetworkPolicy,2019Ciscoand/oritsaffiliates.Allrightsreserved.CiscoPublic,清晰的运维边界,安全策略部署流程,开发团队,络维团队网运,安全管理员,创建ACI网络,ACI与K8s集成,1,2,1,2,创建容器,1定义容器网络安全策略,部署/扩展容器集群,部署网络安全策略,网络日常监控管理,3,4,3注解策略,EPG,Opflex/OVS,InfrastructurePolicyEnforcement,HostlevelPolicyEnforcement,WEB,APP,WEB,APP,DB,Server1,Server2,ACIFabric,2019Ciscoand/oritsaffiliates.Allrightsreserved.CiscoPublic,17,灵活的安全策略,EPG,NetworkPolicy,基于Cluster隔离,基于Namespace隔离,基于Deployment隔离,整个ClusterMapping到一个EPG,默认行为应用或POD间通过K8SNetworkPolicy控制,每个应用部署一个EPG,Contracts部用署的间访问控制负责应,每个NameSpace映射到一个独立的EPGContract控制NameSpace间访问K8sNetworkPolicy负责POD访问控制,清晰的管理边界,网络可视化,PODDeploymentServiceClusterNamespace,实现开发团队和网络团队运维工具的隔离!
可视化排错,Client,K8sPOD,2019Ciscoand/oritsaffiliates.Allrightsreserved.CiscoPublic,20,集成IPAM及高级负载均衡特性,APICprovisionsIPAManddistributedloadbalanceronOVS,WAN,ACILeaf,ACILeaf,K8s-masterOpF,S,K8s-node-01OpFle,K8s-node-02OpFl,-apiVersion:
v1kind:
Servicemetadata:
labels:
app:
nginxname:
nginxnamespace:
defaultspec:
ports:
-name:
80-tcpport:
80protocol:
TCPtargetPort:
80selector:
app:
nginxtype:
ClusterIP,POD,POD,POD,POD,POD,POD,POD,POD,POD,POD,POD,POD,将容器网络扩展至多数据中心,Inter-PodIPNetwork,Inter-PodIPNetwork,DCnPODn,DC1POD1,BDkube-node(K8sNodesAPIETDC)BDkube-pod(EPGsforcluster,namespace,deployment,etc.),POD,POD,POD,POD,POD,POD,KubernetesCluster,TheeasiestDCIsolutioninIndustry!
ACICNI与传统容器组网方案比较,扩展性987,6543210,支持性能,均衡!
可管理性,安全,CalicoWeaveFlannel,MACVLANACICNI,可视化,SDN融合,BetterTogather,KeyTakeaways,“容器网络成功部署的关键在于开发团队和运维团队的分工与合作”MoreInfo.关注容器网络安全关注网络整体运维和清晰的运维边界思科ACICNI容器网络解决方案,#CLUS,2018Ciscoand/oritsaffiliates.Allrightsreserved.CiscoPublic,25,BRKACI-2418,ThankYou!
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 面向生产的容器网络 思科ACI CNI 面向 生产 容器 网络 思科 ACI
![提示](https://static.bdocx.com/images/bang_tan.gif)