Cloud Operator Days Tokyo Contrail, Tungsten Fabric session

1. © 2020 Juniper Networks 1
APAC SSE Consulting Engineer 塚本 広海
コンテナネットワーキングと
多様なクラウド基盤の
ネットワークを構築し運用する方法
ジュニパーネットワークス株式会社

2. © 2020 Juniper Networks 2
Juniper Networks Disclaimer
“This plan of record and related information includes information on future
releases, future development, and new product introductions. The details
provided are based on Juniper's current development efforts and plans. These
development efforts and plans are subject to change at Junipers sole discretion.
There can be no assurance that Juniper will introduce the future products,
features or enhancements described in this presentation and Juniper assumes no
responsibility to introduce such products, features or enhancements. Purchasing
decisions should not be based on this POR and no purchases are contingent
upon Juniper Networks delivering any feature or functionality depicted in this
presentation.

3. © 2020 Juniper Networks 3
ジュニパー ネットワークス株式会社
⽶国カリフォルニア州
本社
1996年
創業
44億⽶ドル
2019年売上
9,300
従業員
88
拠点
43
カ国
24時間365⽇
サポート体制
++ +
10社中10社
世界トップの
通信事業者
1,400組織以上
世界の中央官庁
10校中7校
世界トップの
⾼等教育機関
12社中10社
世界トップの
テクノロジー企業
10社中9社
世界トップの
Webサービス
事業者
Connect Everything. Empower Everyone.
Engineering. Simplicity.
豊富な
導⼊実績
Contrail
Enterprise
Multicloud

4. © 2020 Juniper Networks 4
Agenda
§ Kubernetesネットワーク振り返り
§ Contrail Networking + Kubernetes
§ ユースケースサンプル
§ デモ
§ まとめ

5. © 2020 Juniper Networks 5

6. © 2020 Juniper Networks 6
Kubernetesの⼤きな課題のひとつは
ネットワーク
Networking
Security
Networking
Security
CNCF Survey 2018より
THE NEW STACK what are your challenges 2017より

7. © 2020 Juniper Networks 7
PODネットワーキング
pod1 pod2 pod3
10.1.1.10 10.1.1.11 10.1.1.12
Linux Bridge 10.1.1.1/24
eth0 192.168.1.1
pod1 pod2 pod3
10.2.1.10 10.2.1.11 10.2.1.12
Linux Bridge 10.2.1.1/24
eth0 192.168.1.2
ノード1 ノード2
ip route 10.1.1.10/24 192.168.1.1
ip route 10.2.1.10/24 192.168.1.2
PODの
アドレスは動的

8. © 2020 Juniper Networks 8
PODネットワーキング
pod1 pod2 pod3
10.1.1.10 10.1.1.11 10.1.1.12
Linux Bridge 10.1.1.1/24
eth0 192.168.1.1
pod1 pod2 pod3
10.2.1.10 10.2.1.11 10.2.1.12
Linux Bridge 10.2.1.1/24
eth0 192.168.1.2
ノード1 ノード2
CNI
Containet Networking Interface Plugin

9. © 2020 Juniper Networks 9
PODネットワーキング – オーバーレイ(Flannel etc.)
pod1 pod2 pod3
10.1.1.10 10.1.1.11 10.1.1.12
Linux Bridge 10.1.1.1/24
eth0 192.168.1.1
pod1 pod2 pod3
10.2.1.10 10.2.1.11 10.2.1.12
Linux Bridge 10.2.1.1/24
eth0 192.168.1.2
ノード1 ノード2
src:192.168.1.1
dst:192.168.1.2
src:10.1.1.10
dst:10.2.1.10

10. © 2020 Juniper Networks 10
PODネットワーキング – ルーティング(Calico etc.)
pod1 pod2 pod3
10.1.1.10 10.1.1.11 10.1.1.12
BGP
eth0 192.168.1.1
pod1 pod2 pod3
10.2.1.10 10.2.1.11 10.2.1.12
eth0 192.168.1.2
ノード1 ノード2
BGP
物理はL2かBGPピアを張る
10.1.1.10 dev calixx scope link
10.2.1.10 via eth0protocol bird BGP経路交換

11. © 2020 Juniper Networks 11
web-pod1 web-pod2 app-pod3
10.1.1.10 10.1.1.11 10.1.1.12
web-pod3 app-pod2 app-pod3
10.2.1.10 10.2.1.11 10.2.1.12
クラスタ内部 仮想IP Cluster IP
クラスタ外部 仮想IP Load Balancer(L4)100.1.1.1
172.16.1.1
K8s クラスタ 外部
SERVICEネットワーキング (L4ロードバランス)
kube-proxy
iptablesモード
IPVSモード
CNI
100.1.1.0/24

12. © 2020 Juniper Networks 12
SERVICEネットワーキング (L4ロードバランス)
web-pod1 web-pod2 app-pod3
10.1.1.10 10.1.1.11 10.1.1.12
web-pod3 app-pod2 app-pod3
10.2.1.10 10.2.1.11 10.2.1.12
クラスタ内部 仮想IP Cluster IP
クラスタ外部 仮想IP Load Balancer(L4)100.1.1.1
172.16.1.1
K8s クラスタ 外部
kube-proxy
iptablesモード
IPVSモード
CNI
100.1.1.0/24

13. © 2020 Juniper Networks 13
INGRESS ネットワーキング (L7ロードバランス)
webA-pod1webB-pod1 appA-pod1 webA-pod2 appA-pod2webB-pod1
Service A(L4)
クラスタ外部 L7 Load Balancer
Service B(L4)
Cluster IP A Cluster IP B
http://fpqd/webA
http://fpqd/webB
Nginx
HA proxy
Contour
etc.

14. © 2020 Juniper Networks 14
ネットワークポリシ – POD, Namespace, ingress フィルター
Service A(L4)
K8s クラスタ
外部
クラスタ外部 L7 Load Balancer
CNI
ノード内
NAMESPACE A NAMESPACE B
web1 web2 app1 DB1 app2 web3
☓
○
100. 10.0.0/24 からのみ許可
デフォルトは
全PODはフラット
相互通信可能
☓

15. © 2020 Juniper Networks 15
どのCNIがどの機能に対応している?
オーバーレイはパフォーマンス出ない︖
BGPの場合って物理も気にしないといけない?
何台ぐらいまで使えて、スケールするの︖
コンテナだけじゃなくて仮想マシンとか
既存環境とも接続しないといけないんだけど
PODアドレス固定じゃないし、
ネットワークの状態わからないと運⽤できない
既存のネットワークポリシー運⽤はどうすれば・・

16. © 2020 Juniper Networks 16
Agenda
§ Kubernetesネットワーク振り返り
§ Contrail Networking + Kubernetes
§ ユースケースサンプル
§ デモ
§ まとめ

17. © 2020 Juniper Networks 17
Tungesten FabricContrail Networking
安⼼してください。
k8s仮想ネットワーク(POD間、Service，Ingress, NetworkPolicy、Namespace)
すべてつかえます。
オープンソース(旧open contrail)

18. © 2020 Juniper Networks 18
オーバーレイ接続
⼤規模スケール
ハイパフォーマンス
Contrail コンテナ 仮想ネットワークオーケストレーション
CNIとして仮想ネットワークのオーバーレイとアンダーレイの⼀元管理
仮想ネットワーク(L2, L3, 外部通信)
vRouterの機能利⽤ (SNAT, QoS, IPAM,
LB-HA proxy, Service Chaining etc.)
セキュリティポリシー、NameSpace分割
マルチクラスタ・マルチテナント
コンテナと⾮コンテナ(VM,物理)の相互接続
可視化 : k8s/VM、仮想/物理ネットワーク

19. © 2020 Juniper Networks 19
オーバーレイ接続
⼤規模スケール
ハイパフォーマンス
Contrail コンテナ 仮想ネットワークオーケストレーション
CNIとして仮想ネットワークのオーバーレイとアンダーレイの⼀元管理
Virtual Networking
Security Policy
Visualization Analytics

20. © 2020 Juniper Networks 20
仮想ネットワークアサイン : VIRTUAL NETWORK
PODはannotationで利⽤するネットワークを指定
GREENネットワーク
10.2.0.0/24
Compute Node
RED ネットワーク
10.1.0.0/24

21. © 2020 Juniper Networks 21
k8s Network Policy – Contrail Security
アプリケーションエンジニアはタグを指定するだけ
必⽤なフィルターを動的に適⽤
ウェブ
サーバ
アプリケーション
サーバ
データベース
applicagion:app-1
label:web
セキュリティポリシー テンプレートの事前定義
port 80 port 8080
Applicagion:db-1
label:db
セキュリティフィルター状況可視化
・流れているトラフィックを解析しポリシー作成
・サービスチェイニングでcSRX(IPS,IDS etc)活⽤
port 3306
.
Contrail vRouterは5 tupleの
ステートフルファイアウォール
マイクロセグメンテーション

22. © 2020 Juniper Networks 22
Heatmap
対象項⽬
ネットワークノード
コンピュート
ノード
仮想マシン
POD
可視化・分析 – Contrail Insights
§ トポロジーマップ(ネットワーク、
コンピュート、仮想マシン/POD)
§ 仮想ネットワークのパス表示
§ 各リソース使用率のヒートマップ
§ 特定経路の利用率の高いアプリ
フローのランキング表示
§ 機械学習でベースラインを学習し
アノマリーをアラート
§ 履歴管理で問題があった時間の
状態を可視化
協賛バーチャルブースデモ動画あり
Troubleshooting Data Center Networks with Contrail Insights

23. © 2020 Juniper Networks 23
Agenda
§ Kubernetesネットワーク振り返り
§ Contrail Networking + Kubernetes
§ ユースケースサンプル
§ デモ
§ まとめ

24. © 2020 Juniper Networks 24
PODが既存環境やベアメタルとL2通信
課題
・アプリの要件としてk8sのPODと
既存環境でL2通信が必⽤。
解決策
1. オーバーレイを物理スイッチで
終端。
2. 各k8sノードから直接物理スイッチ
Gateway less mode/
Distributed SNAT 。

25. © 2020 Juniper Networks 25
PODやアプリ単位で アドレス固定して外部通信
POD
10.0.10.1
課題
・従来のポリシーとして
セキュリティと監査のためにPODの
アドレスを追随しなくてはいけない。
・外部のFWがアドレスでフィルターする
必⽤がある。
解決策
・特定のPODをFloating IPで固定して
外部通信。
・アプリケーションやプロジェクト毎に
異なるサブネットを割り当て。
サービス毎に固定のFloating IP。
203.0.113.1
10.0.10.1
Floatnig IP

26. © 2020 Juniper Networks 26
k8s ハードマルチテナント
課題
・k8s環境で複数部署/ユーザーが
利⽤するためマルチテナントが必⽤
・k8sマルチテナント機能はまだ
充分ではない
(Hierarchy namespace etc)
解決策
• マルチクラスタとして複数のk8s
クラスタをContrailで管理。
• クラスタ間通信制御可能。
Security Tag共有可能。
開発⽤ 商⽤A⽤ 商⽤B⽤

27. © 2020 Juniper Networks 27
ハイブリッドクラウド・マルチオーケストレーション
vsrx
オンプレミス・⾃社クラウド
課題
・ハイブリッドクラウド環境で
部署やプロジェクト毎に異なる
オーケストレーションを使って
いるが、ネットワーク接続は
必⽤、ネットワークセキュリティ
管理も必⽤で、個別に設定。
解決策
• マルチオーケストレーションで
仮想ネットワーク接続。
• セキュリティポリシーを共通化。
EKS CNI replace
(technical preview)

28. © 2020 Juniper Networks 28
エッジクラウド・エッジサイト
エッジクラウド
(regional)
DC
…
エッジクラウド
(remote)
• エッジサイトへのノード拡張。
• エッジのコンテナとDCの仮想マシン
仮想ネットワーク接続。
• アンダーレイの物理ファブリックと
オーバーレイの即時構築。
• サービスチェイニングとして
必⽤な通信のみ即時に
PNF, VNF, CNF(cSRX etc)を利⽤。
csrx

29. © 2020 Juniper Networks 29
Agenda
§ Kubernetesネットワーク振り返り
§ Contrail Networking + Kubernetes
§ ユースケースサンプル
§ デモ
§ まとめ

30. © 2020 Juniper Networks 30
Let's TRY
Day One Book
k8s and Contrail
・無償オンラインラボ
・Contrail + k8s
シナリオあり。
Juniper vLabs
Tungsten Fabric
・オープンソース
・AWSに即時展開する
quick sandboxあり
・Meetupも再開予定?
283ページの
k8sとContrailの解説書
日本語翻訳サイト
https://www.juniper.net/document
ation/jnbooks/ja/day-one-books
Contrail Networking
Architecture Guide
Contrail Networkingの
アーキテクチャ概要

31. © 2020 Juniper Networks 31
Thank You
Engineering.
Simplicity.
Contrail Networking

32. © 2020 Juniper Networks 32
Thank you