SlideShare a Scribd company logo

OpenStack Network-as-a-Service - Neutron

Giuseppe Casale
Giuseppe Casale

Seminario alle funzionalità offerte da Neutron OpenStack (Network-as-a-Service)

Technology
1 of 30
Download to read offline
Seminario OpenStack Network-as-a-Service: Neutron di Giuseppe Casale
IL MONDO DI OPENSTACK
MIGRAZIONE Principali motivazioni: Esigenza di «Alleggerire» la funzione di Compute; Assicurare che gli elementi del piano di controllo possano continuare a lavorare; Assicurare che un operatore possa eseguire aggiornamenti dei singoli componenti;
INTERAZIONI di NEUTRON CON L’UNIVERSO OPENSTACK
NEUTRON DAL PUNTO DI VISTA LOGICO…
…E FISICO
ARCHITETTURA NEUTRON Architettura di Riferimento:  ML2 plugin;  Open vSwitch edges;  GRE tunnels transport;
MODULAR LAYER-2 PLUGIN • Type Drivers: Usato per gestire i Transport Type (es. GRE, VLAN, …); • Mechanism Drivers: Fornisce funzionalità aggiuntive o Ottimizzazioni (es. L2-Polulation);  Consente di cambiare la tecnologia di back-end agevolmente;  Consente di usare un qualcosa di diverso per il Layer-3; Driver-based Vs. Monolitico; 2 Tipi di Drivers:
RESPONSABILITA’ DELL’AGENTE OVS • Crea Tunnel Mesh GRE - Alternativamente VxLAN o No Mesh se le VLAN sono usate come trasport network; • Popola la MAC Forwarding Table per un veloce Look-up delle istanze (L2-Population); • Effettua wiring delle VIFs all’appropriata rete virtuale; • Sicurezza sulle Interfacce Virtuali: - Regole di base per l’Anti-Spoofing (ARP, MAC, IP); - Security Groups; • Gira su ogni Hypervisor; • Comunica con il server usando RPC attraverso il Bus AMQP;
ARCHITETTURA DELL’AGENTE OVS Rappresentazione concettuale dell’Agente OVS - Non mappa i componenti reali / processi.
THE GRE TUNNEL OVELAY MESH • Una Full Mesh tra Hosts ha complessità di n (n – 1) Tunnels; • Il Tunnel è una struttura di incapsulamento L2 in L3: - Permette di destinare il traffico direttamente all’Host di destinazione; - Consente di ignorare la Struttura sottostante; • Soffre di Overhead a causa dell’incapsulamento: - Assenza Hardware TSO (TCP Segmentation Offload), quindi fatta in software; • Concetti applicabili sia a GRE che VxLAN;
HANDLING BUMS: L2-POPULATION • BUMs = Broadcast, Unknown Unicast & Multicast - Serio problema per le grandi reti; • Conoscenza di Neutron sulla destinazione delle instanze nelle VM - Pre-Popolazione delle Forwarding Table MAC; - Riduzione e quindi Ottimizzazione del Carico nei Tunnels GRE e VxLAN; • Implementazione L2-Population: - Server side Driver; - Ogni Host possiede localmente un ARP Responde e una Forwarding Table;
TUNNEL MESH CON L2-POPULATION
Wiring & security interfaces
I SERVIZI DI LAYER-3 Fondamentalmente 3 Servizi:  East / West Routing: Per la comununicazione tra diverse reti all’interno della stessa Cloud;  External Gateway: Per consentire alla VM di andare su Internet;  Floating IP: associando ad ogni IP pubblico un IP privato delle nostre istanze;
NETWORK NAMESPACE • Copia isolata dello Stack di Networking: - Clonati dal «Root Namespace»; - Scope limitato al Namespace; - Le Veth collegano tra loro i Namespace; - Possibilità di riutilizzare: Indirizzi IP, Regole IP Table e Routes; • Gli Agenti: Layer-3, DHCP e Metadata - Si avvalgono dei Namespace per fornire Router virtuali multipli e indipendenti;
ESEMPIO DEL NETWORK NAMESPACE • veth pair ip netns add A ip link add tapA-root type veth peer name tapA-ns ip link set tapA-ns netns A ovs-vsctl add-port br-int tapA-root • OVS internal interface ip netns add B ip link add tapB-int ip link set tapB-int netns B ovs-vsctl add-port br-int tapB-int – set Interface tapB-int type=internal
RESPONSABILITA’ DEGLI AGENTI LAYER-3 1. Gestire le notifiche dal Server per i cambi di stato dei Router - Ad esempio: Aggiunta / Rimozione Interfacce, Floating IP; 2. L’Agente interroga il Server per avere i dettagli sullo stato corrente - L’agente si assicura di avere sempre uno stato coerente col Server; - Fonde diversi cambiamenti in poco tempo; 3. Applica la configurazione sugli Host - Aggiunge le interfacce dei Router nel Namespace; - Imposta le regole SNAT di default per l’External Gateway; - Riconfigura le regole di NATting per i Floating IPs; - Applica le extra static route al Network Namespace;
COME LAVORA IL LAYER-3 • Si Opera all’interno del Namespace; • Ogni Router ha il suo Namespace specifico; • Interfacce interne per le reti dei Tenant - Creare interfacce, Configurare IP, ma non fa il Port Wiring; • Interfacce Gateway per gli uplink alla rete esterna; • Regole IP table all’interno della tabella del NAT per il default Gateway e Floating IP;
AGENTI DI CONFIGURAZIONE: DHCP • Riceve notifiche dal Server tramite RCP per: - Cambi di Stato nelle Subnet; - Cambia una coppia di indirizzi IP / MAC; • Gli indirizzi vengono distribuiti con DNSMASQ - E’ comunque consentito implementare altri driver; • L’Isolamento è assicurato tramite i Network Namespace - Overlapping Ips;
COME FUNZIONA IL DHCP AGENT
AGENTI DI CONFIGURAZIONE: METADATA • Unico Agente che fa un Bridging tra la rete del Tenant e la Management Network; • Richieste Proxy al Nova Metadata Server; • Il Namespace Proxy aquisisce le richieste all’indirizzo 169.254.169.254; • Il Metadata Agent inoltra le richieste a Nova; • Due Modi di Funzionamento: 1) Routed Networks: Incluso nel Router Namespace e l’istanza raggiunge l’indirizzo 169.254.169.254 come route di default; 2) Non-Routed Networks: Proxy in esecuzione nel DHCP Namespace e le route statiche vengono aggiunte con le DHCP Option X;
COME FUNZIONA IL METADATA AGENT
I SERVIZI AVANZATI • Migrazione in 4 Repository: 1) Networking di Base L2 / L3; 2) LoadBalancer-as-a-Service; 3) Firewall-as-a-Service; 4) VPN-as-a-Service; • Vantaggi:  Maggiore flessibilità di esecuzione dei servizi offerti;  Rapidi cambi di Iterazione dei Servizi al di fuori del Core di Neutron;  Riduzione complessità in fase di testing;  Tutti i cambi avvengono senza modifiche alle Interfacce API o CLI;
LOADBALANCER-AS-A-SERVICE
LBaaS: CARATTERISTICHE • Metodi per Distribuire il Carico: 1) Round Robin: Ruota le richieste in modo uniforme tra le varie Istanze; 2) IP di Origine: Le richieste da un IP univoco vanno alla stessa Istanza; 3) Minime Connessioni: Alloca le richieste all’Istanza con meno Connessioni Attive; Caratteristiche:  Monitor: Stabiliscono se i membri di un Pool possono gestire le richieste - Metodi di Ping, TCP, http e HTTPS Get;  Utilizza insieme di Tools per l’Amministrazione Programmatica e Scripts - Gli Utenti li eseguono attraverso le CLI o la Dashboard;  Limite di Connessione al Traffico in Ingresso - Regola il Carico di Lavoro e Mitica il problema del DoS;  Sessione Persistente - supporta le decisioni di routing basate su Cookies e l’indirizzo IP di origine.
FIREWALL-AS-A-SERVICE • Implementazione basata su IP Table; • Uniche regole di Filtraggio per Tutti i Routers di un Progetto; • Gestione disponibile direttamente dalla Dashboard di Openstack; • Tutti i Permessi Negati alla prima attivazione; • Progetto ancora SPERIMENTALE !!!
VPN-AS-A-SERVICE
CREDIT Giuseppe Casale peppecasale@virgilio.it

Recommended

Architettura VoIP con FreeSWITCH + gazzurbo
Architettura VoIP con FreeSWITCH + gazzurboArchitettura VoIP con FreeSWITCH + gazzurbo
Architettura VoIP con FreeSWITCH + gazzurbo
Alessandro Antani
 
Il protocollo MQTT e il paradigma publish-subscribe. Applicazioni nell'Intern...
Il protocollo MQTT e il paradigma publish-subscribe. Applicazioni nell'Intern...Il protocollo MQTT e il paradigma publish-subscribe. Applicazioni nell'Intern...
Il protocollo MQTT e il paradigma publish-subscribe. Applicazioni nell'Intern...
Andrea Grossi
 
Traffic Shaping Su Linux
Traffic Shaping Su LinuxTraffic Shaping Su Linux
Traffic Shaping Su LinuxMajong DevJfu
 
CisCon 2018 - Progetto di integrazione Enterprises Network Datacenters
CisCon 2018 - Progetto di integrazione Enterprises Network DatacentersCisCon 2018 - Progetto di integrazione Enterprises Network Datacenters
CisCon 2018 - Progetto di integrazione Enterprises Network Datacenters
AreaNetworking.it
 
Routing: trattazione dei protocolli RIP, OSPF e BGP
Routing: trattazione dei protocolli RIP, OSPF e BGPRouting: trattazione dei protocolli RIP, OSPF e BGP
Routing: trattazione dei protocolli RIP, OSPF e BGP
Lorenzo Sfarra
 
Webinar NETGEAR - Le reti virtuali VLAN con gli switch Prosafe
Webinar NETGEAR - Le reti virtuali VLAN con gli switch ProsafeWebinar NETGEAR - Le reti virtuali VLAN con gli switch Prosafe
Webinar NETGEAR - Le reti virtuali VLAN con gli switch Prosafe
Netgear Italia
 
Azure IoTHub - Roboval 2018
Azure IoTHub - Roboval 2018Azure IoTHub - Roboval 2018
Azure IoTHub - Roboval 2018
Andrea Tosato
 
Smau Milano 2016 - Seeweb, Marco d'Itri
Smau Milano 2016 - Seeweb, Marco d'ItriSmau Milano 2016 - Seeweb, Marco d'Itri
Smau Milano 2016 - Seeweb, Marco d'Itri
SMAU
 

Recommended

Architettura VoIP con FreeSWITCH + gazzurbo
Architettura VoIP con FreeSWITCH + gazzurboArchitettura VoIP con FreeSWITCH + gazzurbo
Architettura VoIP con FreeSWITCH + gazzurbo
Alessandro Antani
 
Il protocollo MQTT e il paradigma publish-subscribe. Applicazioni nell'Intern...
Il protocollo MQTT e il paradigma publish-subscribe. Applicazioni nell'Intern...Il protocollo MQTT e il paradigma publish-subscribe. Applicazioni nell'Intern...
Il protocollo MQTT e il paradigma publish-subscribe. Applicazioni nell'Intern...
Andrea Grossi
 
Traffic Shaping Su Linux
Traffic Shaping Su LinuxTraffic Shaping Su Linux
Traffic Shaping Su LinuxMajong DevJfu
 
CisCon 2018 - Progetto di integrazione Enterprises Network Datacenters
CisCon 2018 - Progetto di integrazione Enterprises Network DatacentersCisCon 2018 - Progetto di integrazione Enterprises Network Datacenters
CisCon 2018 - Progetto di integrazione Enterprises Network Datacenters
AreaNetworking.it
 
Routing: trattazione dei protocolli RIP, OSPF e BGP
Routing: trattazione dei protocolli RIP, OSPF e BGPRouting: trattazione dei protocolli RIP, OSPF e BGP
Routing: trattazione dei protocolli RIP, OSPF e BGP
Lorenzo Sfarra
 
Webinar NETGEAR - Le reti virtuali VLAN con gli switch Prosafe
Webinar NETGEAR - Le reti virtuali VLAN con gli switch ProsafeWebinar NETGEAR - Le reti virtuali VLAN con gli switch Prosafe
Webinar NETGEAR - Le reti virtuali VLAN con gli switch Prosafe
Netgear Italia
 
Azure IoTHub - Roboval 2018
Azure IoTHub - Roboval 2018Azure IoTHub - Roboval 2018
Azure IoTHub - Roboval 2018
Andrea Tosato
 
Smau Milano 2016 - Seeweb, Marco d'Itri
Smau Milano 2016 - Seeweb, Marco d'ItriSmau Milano 2016 - Seeweb, Marco d'Itri
Smau Milano 2016 - Seeweb, Marco d'Itri
SMAU
 
Protocol Rollercoaster: da HTTP a AMQP, passando per CoAP e MQTT
Protocol Rollercoaster: da HTTP a AMQP, passando per CoAP e MQTTProtocol Rollercoaster: da HTTP a AMQP, passando per CoAP e MQTT
Protocol Rollercoaster: da HTTP a AMQP, passando per CoAP e MQTT
Stefano Valle
 
MQTT: il protocollo che rende possibile l'Internet of Things (Ott. 2015)
MQTT: il protocollo che rende possibile l'Internet of Things (Ott. 2015)MQTT: il protocollo che rende possibile l'Internet of Things (Ott. 2015)
MQTT: il protocollo che rende possibile l'Internet of Things (Ott. 2015)
Omnys
 
9 Intranetting
9 Intranetting9 Intranetting
9 Intranettingacapone
 
Hacking Access Point con Firmware Open Source
Hacking Access Point con Firmware Open SourceHacking Access Point con Firmware Open Source
Hacking Access Point con Firmware Open Source
Claudio Cardinali
 
[Ldna 2019 marcello marino] mt's driver ravenna aes67 audio contribution over...
[Ldna 2019 marcello marino] mt's driver ravenna aes67 audio contribution over...[Ldna 2019 marcello marino] mt's driver ravenna aes67 audio contribution over...
[Ldna 2019 marcello marino] mt's driver ravenna aes67 audio contribution over...
Marcello Marino
 
Analisi dei limiti dell'implementazione di Wi-Fi Direct in Android per Reti O...
Analisi dei limiti dell'implementazione di Wi-Fi Direct in Android per Reti O...Analisi dei limiti dell'implementazione di Wi-Fi Direct in Android per Reti O...
Analisi dei limiti dell'implementazione di Wi-Fi Direct in Android per Reti O...
Stefano Cappa
 
zeroconf
zeroconfzeroconf
zeroconfvportare
 
SCTP
SCTPSCTP
SCTPcdestro
 
Sistemi e reti : Il livello di trasporto
Sistemi e reti : Il livello di trasportoSistemi e reti : Il livello di trasporto
Sistemi e reti : Il livello di trasporto
Stefano Scarpellini
 
Presentazione retibt
Presentazione retibtPresentazione retibt
Presentazione retibt
greed92
 
Network configuration - IPTables firewall
Network configuration - IPTables firewall Network configuration - IPTables firewall
Network configuration - IPTables firewall
Fulvio Corno
 
IPv6 - Breve panoramica tra mito e realtà
IPv6 - Breve panoramica tra mito e realtàIPv6 - Breve panoramica tra mito e realtà
IPv6 - Breve panoramica tra mito e realtà
Consulthinkspa
 
VMware SRM - Una visione architetturale
VMware SRM - Una visione architetturaleVMware SRM - Una visione architetturale
VMware SRM - Una visione architetturale
VMUG IT
 
fk.delhi
fk.delhifk.delhi
fk.delhiFaisal Khan
 
Calendario 1ª fase 2015 2016
Calendario 1ª fase 2015 2016Calendario 1ª fase 2015 2016
Calendario 1ª fase 2015 2016
Alberto Aguilera
 
Attachement 4: General innovation
Attachement 4: General innovationAttachement 4: General innovation
Attachement 4: General innovation
ESF Vlaanderen
 
Huellas labiales invisibles
Huellas labiales invisiblesHuellas labiales invisibles
Huellas labiales invisibles
W.E O.R
 
cv
cvcv
cvSam Hemmings
 
Attachement 2: Public
Attachement 2: PublicAttachement 2: Public
Attachement 2: Public
ESF Vlaanderen
 
NHK WORLD
NHK WORLDNHK WORLD
NHK WORLDs1210119s
 
Individualni konsalting za menadžere
Individualni konsalting za menadžereIndividualni konsalting za menadžere
Individualni konsalting za menadžere
Neda Mirkovic
 
Online science labs nc3 adl
Online science labs nc3 adlOnline science labs nc3 adl
Online science labs nc3 adl
Nahel Awadallah
 

More Related Content

What's hot

Protocol Rollercoaster: da HTTP a AMQP, passando per CoAP e MQTT
Protocol Rollercoaster: da HTTP a AMQP, passando per CoAP e MQTTProtocol Rollercoaster: da HTTP a AMQP, passando per CoAP e MQTT
Protocol Rollercoaster: da HTTP a AMQP, passando per CoAP e MQTT
Stefano Valle
 
MQTT: il protocollo che rende possibile l'Internet of Things (Ott. 2015)
MQTT: il protocollo che rende possibile l'Internet of Things (Ott. 2015)MQTT: il protocollo che rende possibile l'Internet of Things (Ott. 2015)
MQTT: il protocollo che rende possibile l'Internet of Things (Ott. 2015)
Omnys
 
9 Intranetting
9 Intranetting9 Intranetting
9 Intranettingacapone
 
Hacking Access Point con Firmware Open Source
Hacking Access Point con Firmware Open SourceHacking Access Point con Firmware Open Source
Hacking Access Point con Firmware Open Source
Claudio Cardinali
 
[Ldna 2019 marcello marino] mt's driver ravenna aes67 audio contribution over...
[Ldna 2019 marcello marino] mt's driver ravenna aes67 audio contribution over...[Ldna 2019 marcello marino] mt's driver ravenna aes67 audio contribution over...
[Ldna 2019 marcello marino] mt's driver ravenna aes67 audio contribution over...
Marcello Marino
 
Analisi dei limiti dell'implementazione di Wi-Fi Direct in Android per Reti O...
Analisi dei limiti dell'implementazione di Wi-Fi Direct in Android per Reti O...Analisi dei limiti dell'implementazione di Wi-Fi Direct in Android per Reti O...
Analisi dei limiti dell'implementazione di Wi-Fi Direct in Android per Reti O...
Stefano Cappa
 
Sistemi e reti : Il livello di trasporto
Sistemi e reti : Il livello di trasportoSistemi e reti : Il livello di trasporto
Sistemi e reti : Il livello di trasporto
Stefano Scarpellini
 
Presentazione retibt
Presentazione retibtPresentazione retibt
Presentazione retibt
greed92
 
Network configuration - IPTables firewall
Network configuration - IPTables firewall Network configuration - IPTables firewall
Network configuration - IPTables firewall
Fulvio Corno
 
IPv6 - Breve panoramica tra mito e realtà
IPv6 - Breve panoramica tra mito e realtàIPv6 - Breve panoramica tra mito e realtà
IPv6 - Breve panoramica tra mito e realtà
Consulthinkspa
 
VMware SRM - Una visione architetturale
VMware SRM - Una visione architetturaleVMware SRM - Una visione architetturale
VMware SRM - Una visione architetturale
VMUG IT
 

What's hot (13)

Protocol Rollercoaster: da HTTP a AMQP, passando per CoAP e MQTT
Protocol Rollercoaster: da HTTP a AMQP, passando per CoAP e MQTTProtocol Rollercoaster: da HTTP a AMQP, passando per CoAP e MQTT
Protocol Rollercoaster: da HTTP a AMQP, passando per CoAP e MQTT
 
MQTT: il protocollo che rende possibile l'Internet of Things (Ott. 2015)
MQTT: il protocollo che rende possibile l'Internet of Things (Ott. 2015)MQTT: il protocollo che rende possibile l'Internet of Things (Ott. 2015)
MQTT: il protocollo che rende possibile l'Internet of Things (Ott. 2015)
 
9 Intranetting
9 Intranetting9 Intranetting
9 Intranetting
 
Hacking Access Point con Firmware Open Source
Hacking Access Point con Firmware Open SourceHacking Access Point con Firmware Open Source
Hacking Access Point con Firmware Open Source
 
[Ldna 2019 marcello marino] mt's driver ravenna aes67 audio contribution over...
[Ldna 2019 marcello marino] mt's driver ravenna aes67 audio contribution over...[Ldna 2019 marcello marino] mt's driver ravenna aes67 audio contribution over...
[Ldna 2019 marcello marino] mt's driver ravenna aes67 audio contribution over...
 
Analisi dei limiti dell'implementazione di Wi-Fi Direct in Android per Reti O...
Analisi dei limiti dell'implementazione di Wi-Fi Direct in Android per Reti O...Analisi dei limiti dell'implementazione di Wi-Fi Direct in Android per Reti O...
Analisi dei limiti dell'implementazione di Wi-Fi Direct in Android per Reti O...
 
zeroconf
zeroconfzeroconf
zeroconf
 
SCTP
SCTPSCTP
SCTP
 
Sistemi e reti : Il livello di trasporto
Sistemi e reti : Il livello di trasportoSistemi e reti : Il livello di trasporto
Sistemi e reti : Il livello di trasporto
 
Presentazione retibt
Presentazione retibtPresentazione retibt
Presentazione retibt
 
Network configuration - IPTables firewall
Network configuration - IPTables firewall Network configuration - IPTables firewall
Network configuration - IPTables firewall
 
IPv6 - Breve panoramica tra mito e realtà
IPv6 - Breve panoramica tra mito e realtàIPv6 - Breve panoramica tra mito e realtà
IPv6 - Breve panoramica tra mito e realtà
 
VMware SRM - Una visione architetturale
VMware SRM - Una visione architetturaleVMware SRM - Una visione architetturale
VMware SRM - Una visione architetturale
 

Viewers also liked

Calendario 1ª fase 2015 2016
Calendario 1ª fase 2015 2016Calendario 1ª fase 2015 2016
Calendario 1ª fase 2015 2016
Alberto Aguilera
 
Attachement 4: General innovation
Attachement 4: General innovationAttachement 4: General innovation
Attachement 4: General innovation
ESF Vlaanderen
 
Huellas labiales invisibles
Huellas labiales invisiblesHuellas labiales invisibles
Huellas labiales invisibles
W.E O.R
 
Attachement 2: Public
Attachement 2: PublicAttachement 2: Public
Attachement 2: Public
ESF Vlaanderen
 
Individualni konsalting za menadžere
Individualni konsalting za menadžereIndividualni konsalting za menadžere
Individualni konsalting za menadžere
Neda Mirkovic
 
Online science labs nc3 adl
Online science labs nc3 adlOnline science labs nc3 adl
Online science labs nc3 adl
Nahel Awadallah
 
Relación binaria entre conjuntos
Relación binaria entre conjuntosRelación binaria entre conjuntos
Relación binaria entre conjuntos
Luis Antonio Siza
 
THE STATE OF THE GLOBAL ISLAMIC ECONOMY REPORT 2015/16
THE STATE OF THE GLOBAL ISLAMIC ECONOMY REPORT 2015/16THE STATE OF THE GLOBAL ISLAMIC ECONOMY REPORT 2015/16
THE STATE OF THE GLOBAL ISLAMIC ECONOMY REPORT 2015/16
Link 2007 - Cooperazione in rete
 
Linked in slideshare
Linked in slideshareLinked in slideshare
Linked in slideshareMary Cardillo
 
Presentation1 (2)
Presentation1 (2)Presentation1 (2)
Presentation1 (2)
mam141931
 
Ingles
InglesIngles
Ingles
tivo789
 
Wwd presentation
Wwd presentationWwd presentation
Wwd presentation
hermine123
 
Reported speech (2)
Reported speech (2)Reported speech (2)
Reported speech (2)
hermine123
 
Reported speech
Reported speechReported speech
Reported speech
hermine123
 
Why Choose Social Studies?
Why Choose Social Studies? Why Choose Social Studies?
Why Choose Social Studies?
kcor0005
 

Viewers also liked (20)

fk.delhi
fk.delhifk.delhi
fk.delhi
 
Calendario 1ª fase 2015 2016
Calendario 1ª fase 2015 2016Calendario 1ª fase 2015 2016
Calendario 1ª fase 2015 2016
 
Attachement 4: General innovation
Attachement 4: General innovationAttachement 4: General innovation
Attachement 4: General innovation
 
Huellas labiales invisibles
Huellas labiales invisiblesHuellas labiales invisibles
Huellas labiales invisibles
 
cv
cvcv
cv
 
Attachement 2: Public
Attachement 2: PublicAttachement 2: Public
Attachement 2: Public
 
NHK WORLD
NHK WORLDNHK WORLD
NHK WORLD
 
Individualni konsalting za menadžere
Individualni konsalting za menadžereIndividualni konsalting za menadžere
Individualni konsalting za menadžere
 
Online science labs nc3 adl
Online science labs nc3 adlOnline science labs nc3 adl
Online science labs nc3 adl
 
Relación binaria entre conjuntos
Relación binaria entre conjuntosRelación binaria entre conjuntos
Relación binaria entre conjuntos
 
THE STATE OF THE GLOBAL ISLAMIC ECONOMY REPORT 2015/16
THE STATE OF THE GLOBAL ISLAMIC ECONOMY REPORT 2015/16THE STATE OF THE GLOBAL ISLAMIC ECONOMY REPORT 2015/16
THE STATE OF THE GLOBAL ISLAMIC ECONOMY REPORT 2015/16
 
Linked in slideshare
Linked in slideshareLinked in slideshare
Linked in slideshare
 
Aabe964d69
Aabe964d69Aabe964d69
Aabe964d69
 
Presentation1 (2)
Presentation1 (2)Presentation1 (2)
Presentation1 (2)
 
Ingles
InglesIngles
Ingles
 
Zahid Khattak's CV
Zahid Khattak's CVZahid Khattak's CV
Zahid Khattak's CV
 
Wwd presentation
Wwd presentationWwd presentation
Wwd presentation
 
Reported speech (2)
Reported speech (2)Reported speech (2)
Reported speech (2)
 
Reported speech
Reported speechReported speech
Reported speech
 
Why Choose Social Studies?
Why Choose Social Studies? Why Choose Social Studies?
Why Choose Social Studies?
 

Similar to OpenStack Network-as-a-Service - Neutron

Lezione InternetWorking: Switches e Funzionalità
Lezione InternetWorking: Switches e FunzionalitàLezione InternetWorking: Switches e Funzionalità
Lezione InternetWorking: Switches e Funzionalità
Luca Matteo Ruberto
 
Realizzazione di un modello di router ottico in ambiente open source
Realizzazione di un modello di router ottico in ambiente open sourceRealizzazione di un modello di router ottico in ambiente open source
Realizzazione di un modello di router ottico in ambiente open source
Raul Cafini
 
Presentazione csp-ambient intelligence
Presentazione csp-ambient intelligencePresentazione csp-ambient intelligence
Presentazione csp-ambient intelligenceCSP Scarl
 
Iaa s con openstack per l'analisi di bigdata
Iaa s con openstack per l'analisi di bigdataIaa s con openstack per l'analisi di bigdata
Iaa s con openstack per l'analisi di bigdata
Vincenzo Fogliaro
 
Sistemi Middleware - Communications
Sistemi Middleware - CommunicationsSistemi Middleware - Communications
Sistemi Middleware - Communications
Federico Barocci
 
Un metodo di progettazione di reti locali con esigenze di qualità del servizio
Un metodo di progettazione di reti locali con esigenze di qualità del servizioUn metodo di progettazione di reti locali con esigenze di qualità del servizio
Un metodo di progettazione di reti locali con esigenze di qualità del servizio
Claudio Bortone
 
OCP Paas_ultima
OCP Paas_ultimaOCP Paas_ultima
OCP Paas_ultima
opencityplatform
 
OCP-Architettura e caratteristiche della PaaS
OCP-Architettura e caratteristiche della PaaSOCP-Architettura e caratteristiche della PaaS
OCP-Architettura e caratteristiche della PaaS
opencityplatform
 
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFSLa nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
Morlini Gabriele
 
Network essentials
Network essentialsNetwork essentials
Network essentials
Alkemy S.p.A. Milan, Italy
 
Composizione dinamica di funzioni di rete virtuali in ambiente cloud
Composizione dinamica di funzioni di rete virtuali in ambiente cloudComposizione dinamica di funzioni di rete virtuali in ambiente cloud
Composizione dinamica di funzioni di rete virtuali in ambiente cloud
Francesco Foresta
 
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
Imola Informatica
 
Open Source Day 2015 - DBaaS con Docker: un caso di studio
Open Source Day 2015 - DBaaS con Docker: un caso di studioOpen Source Day 2015 - DBaaS con Docker: un caso di studio
Open Source Day 2015 - DBaaS con Docker: un caso di studio
Par-Tec S.p.A.
 
Dal requisito all'implementazione @ CD2010
Dal requisito all'implementazione @ CD2010Dal requisito all'implementazione @ CD2010
Dal requisito all'implementazione @ CD2010
Mauro Servienti
 
Reti di computer e protocolli
Reti di computer e protocolliReti di computer e protocolli
Reti di computer e protocolli
filibertodicarlo
 
Soluzioni per la difesa da attacchi DoS nelle reti SDN
Soluzioni per la difesa da attacchi DoS nelle reti SDNSoluzioni per la difesa da attacchi DoS nelle reti SDN
Soluzioni per la difesa da attacchi DoS nelle reti SDN
Matteo D'Amore
 
Distribuzione Upi Ed Architetture
Distribuzione Upi Ed ArchitettureDistribuzione Upi Ed Architetture
Distribuzione Upi Ed Architetturebedosella
 
IoT: protocolli, dispositivi, architetture
IoT: protocolli, dispositivi, architettureIoT: protocolli, dispositivi, architetture
IoT: protocolli, dispositivi, architetture
Stefano Valle
 

Similar to OpenStack Network-as-a-Service - Neutron (20)

Lezione InternetWorking: Switches e Funzionalità
Lezione InternetWorking: Switches e FunzionalitàLezione InternetWorking: Switches e Funzionalità
Lezione InternetWorking: Switches e Funzionalità
 
Realizzazione di un modello di router ottico in ambiente open source
Realizzazione di un modello di router ottico in ambiente open sourceRealizzazione di un modello di router ottico in ambiente open source
Realizzazione di un modello di router ottico in ambiente open source
 
Presentazione csp-ambient intelligence
Presentazione csp-ambient intelligencePresentazione csp-ambient intelligence
Presentazione csp-ambient intelligence
 
Iaa s con openstack per l'analisi di bigdata
Iaa s con openstack per l'analisi di bigdataIaa s con openstack per l'analisi di bigdata
Iaa s con openstack per l'analisi di bigdata
 
Sistemi Middleware - Communications
Sistemi Middleware - CommunicationsSistemi Middleware - Communications
Sistemi Middleware - Communications
 
Un metodo di progettazione di reti locali con esigenze di qualità del servizio
Un metodo di progettazione di reti locali con esigenze di qualità del servizioUn metodo di progettazione di reti locali con esigenze di qualità del servizio
Un metodo di progettazione di reti locali con esigenze di qualità del servizio
 
OCP Paas_ultima
OCP Paas_ultimaOCP Paas_ultima
OCP Paas_ultima
 
OCP-Architettura e caratteristiche della PaaS
OCP-Architettura e caratteristiche della PaaSOCP-Architettura e caratteristiche della PaaS
OCP-Architettura e caratteristiche della PaaS
 
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFSLa nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
 
Network essentials
Network essentialsNetwork essentials
Network essentials
 
Composizione dinamica di funzioni di rete virtuali in ambiente cloud
Composizione dinamica di funzioni di rete virtuali in ambiente cloudComposizione dinamica di funzioni di rete virtuali in ambiente cloud
Composizione dinamica di funzioni di rete virtuali in ambiente cloud
 
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
La nostra infrastruttura di produzione a container con Docker, Rancher e ZFS
 
Open Source Day 2015 - DBaaS con Docker: un caso di studio
Open Source Day 2015 - DBaaS con Docker: un caso di studioOpen Source Day 2015 - DBaaS con Docker: un caso di studio
Open Source Day 2015 - DBaaS con Docker: un caso di studio
 
Dal requisito all'implementazione @ CD2010
Dal requisito all'implementazione @ CD2010Dal requisito all'implementazione @ CD2010
Dal requisito all'implementazione @ CD2010
 
Reti di computer e protocolli
Reti di computer e protocolliReti di computer e protocolli
Reti di computer e protocolli
 
3 H2 N Parte3
3 H2 N Parte33 H2 N Parte3
3 H2 N Parte3
 
Soluzioni per la difesa da attacchi DoS nelle reti SDN
Soluzioni per la difesa da attacchi DoS nelle reti SDNSoluzioni per la difesa da attacchi DoS nelle reti SDN
Soluzioni per la difesa da attacchi DoS nelle reti SDN
 
Distribuzione Upi Ed Architetture
Distribuzione Upi Ed ArchitettureDistribuzione Upi Ed Architetture
Distribuzione Upi Ed Architetture
 
Reti
RetiReti
Reti
 
IoT: protocolli, dispositivi, architetture
IoT: protocolli, dispositivi, architettureIoT: protocolli, dispositivi, architetture
IoT: protocolli, dispositivi, architetture
 

OpenStack Network-as-a-Service - Neutron

  • 2. IL MONDO DI OPENSTACK
  • 3. MIGRAZIONE Principali motivazioni: Esigenza di «Alleggerire» la funzione di Compute; Assicurare che gli elementi del piano di controllo possano continuare a lavorare; Assicurare che un operatore possa eseguire aggiornamenti dei singoli componenti;
  • 4. INTERAZIONI di NEUTRON CON L’UNIVERSO OPENSTACK
  • 5. NEUTRON DAL PUNTO DI VISTA LOGICO…
  • 7. ARCHITETTURA NEUTRON Architettura di Riferimento:  ML2 plugin;  Open vSwitch edges;  GRE tunnels transport;
  • 8. MODULAR LAYER-2 PLUGIN • Type Drivers: Usato per gestire i Transport Type (es. GRE, VLAN, …); • Mechanism Drivers: Fornisce funzionalità aggiuntive o Ottimizzazioni (es. L2-Polulation);  Consente di cambiare la tecnologia di back-end agevolmente;  Consente di usare un qualcosa di diverso per il Layer-3; Driver-based Vs. Monolitico; 2 Tipi di Drivers:
  • 9. RESPONSABILITA’ DELL’AGENTE OVS • Crea Tunnel Mesh GRE - Alternativamente VxLAN o No Mesh se le VLAN sono usate come trasport network; • Popola la MAC Forwarding Table per un veloce Look-up delle istanze (L2-Population); • Effettua wiring delle VIFs all’appropriata rete virtuale; • Sicurezza sulle Interfacce Virtuali: - Regole di base per l’Anti-Spoofing (ARP, MAC, IP); - Security Groups; • Gira su ogni Hypervisor; • Comunica con il server usando RPC attraverso il Bus AMQP;
  • 10. ARCHITETTURA DELL’AGENTE OVS Rappresentazione concettuale dell’Agente OVS - Non mappa i componenti reali / processi.
  • 11. THE GRE TUNNEL OVELAY MESH • Una Full Mesh tra Hosts ha complessità di n (n – 1) Tunnels; • Il Tunnel è una struttura di incapsulamento L2 in L3: - Permette di destinare il traffico direttamente all’Host di destinazione; - Consente di ignorare la Struttura sottostante; • Soffre di Overhead a causa dell’incapsulamento: - Assenza Hardware TSO (TCP Segmentation Offload), quindi fatta in software; • Concetti applicabili sia a GRE che VxLAN;
  • 12. HANDLING BUMS: L2-POPULATION • BUMs = Broadcast, Unknown Unicast & Multicast - Serio problema per le grandi reti; • Conoscenza di Neutron sulla destinazione delle instanze nelle VM - Pre-Popolazione delle Forwarding Table MAC; - Riduzione e quindi Ottimizzazione del Carico nei Tunnels GRE e VxLAN; • Implementazione L2-Population: - Server side Driver; - Ogni Host possiede localmente un ARP Responde e una Forwarding Table;
  • 13. TUNNEL MESH CON L2-POPULATION
  • 14. Wiring & security interfaces
  • 15. I SERVIZI DI LAYER-3 Fondamentalmente 3 Servizi:  East / West Routing: Per la comununicazione tra diverse reti all’interno della stessa Cloud;  External Gateway: Per consentire alla VM di andare su Internet;  Floating IP: associando ad ogni IP pubblico un IP privato delle nostre istanze;
  • 16. NETWORK NAMESPACE • Copia isolata dello Stack di Networking: - Clonati dal «Root Namespace»; - Scope limitato al Namespace; - Le Veth collegano tra loro i Namespace; - Possibilità di riutilizzare: Indirizzi IP, Regole IP Table e Routes; • Gli Agenti: Layer-3, DHCP e Metadata - Si avvalgono dei Namespace per fornire Router virtuali multipli e indipendenti;
  • 17. ESEMPIO DEL NETWORK NAMESPACE • veth pair ip netns add A ip link add tapA-root type veth peer name tapA-ns ip link set tapA-ns netns A ovs-vsctl add-port br-int tapA-root • OVS internal interface ip netns add B ip link add tapB-int ip link set tapB-int netns B ovs-vsctl add-port br-int tapB-int – set Interface tapB-int type=internal
  • 18. RESPONSABILITA’ DEGLI AGENTI LAYER-3 1. Gestire le notifiche dal Server per i cambi di stato dei Router - Ad esempio: Aggiunta / Rimozione Interfacce, Floating IP; 2. L’Agente interroga il Server per avere i dettagli sullo stato corrente - L’agente si assicura di avere sempre uno stato coerente col Server; - Fonde diversi cambiamenti in poco tempo; 3. Applica la configurazione sugli Host - Aggiunge le interfacce dei Router nel Namespace; - Imposta le regole SNAT di default per l’External Gateway; - Riconfigura le regole di NATting per i Floating IPs; - Applica le extra static route al Network Namespace;
  • 19. COME LAVORA IL LAYER-3 • Si Opera all’interno del Namespace; • Ogni Router ha il suo Namespace specifico; • Interfacce interne per le reti dei Tenant - Creare interfacce, Configurare IP, ma non fa il Port Wiring; • Interfacce Gateway per gli uplink alla rete esterna; • Regole IP table all’interno della tabella del NAT per il default Gateway e Floating IP;
  • 20. AGENTI DI CONFIGURAZIONE: DHCP • Riceve notifiche dal Server tramite RCP per: - Cambi di Stato nelle Subnet; - Cambia una coppia di indirizzi IP / MAC; • Gli indirizzi vengono distribuiti con DNSMASQ - E’ comunque consentito implementare altri driver; • L’Isolamento è assicurato tramite i Network Namespace - Overlapping Ips;
  • 21. COME FUNZIONA IL DHCP AGENT
  • 22. AGENTI DI CONFIGURAZIONE: METADATA • Unico Agente che fa un Bridging tra la rete del Tenant e la Management Network; • Richieste Proxy al Nova Metadata Server; • Il Namespace Proxy aquisisce le richieste all’indirizzo 169.254.169.254; • Il Metadata Agent inoltra le richieste a Nova; • Due Modi di Funzionamento: 1) Routed Networks: Incluso nel Router Namespace e l’istanza raggiunge l’indirizzo 169.254.169.254 come route di default; 2) Non-Routed Networks: Proxy in esecuzione nel DHCP Namespace e le route statiche vengono aggiunte con le DHCP Option X;
  • 23. COME FUNZIONA IL METADATA AGENT
  • 24. I SERVIZI AVANZATI • Migrazione in 4 Repository: 1) Networking di Base L2 / L3; 2) LoadBalancer-as-a-Service; 3) Firewall-as-a-Service; 4) VPN-as-a-Service; • Vantaggi:  Maggiore flessibilità di esecuzione dei servizi offerti;  Rapidi cambi di Iterazione dei Servizi al di fuori del Core di Neutron;  Riduzione complessità in fase di testing;  Tutti i cambi avvengono senza modifiche alle Interfacce API o CLI;
  • 26. LBaaS: CARATTERISTICHE • Metodi per Distribuire il Carico: 1) Round Robin: Ruota le richieste in modo uniforme tra le varie Istanze; 2) IP di Origine: Le richieste da un IP univoco vanno alla stessa Istanza; 3) Minime Connessioni: Alloca le richieste all’Istanza con meno Connessioni Attive; Caratteristiche:  Monitor: Stabiliscono se i membri di un Pool possono gestire le richieste - Metodi di Ping, TCP, http e HTTPS Get;  Utilizza insieme di Tools per l’Amministrazione Programmatica e Scripts - Gli Utenti li eseguono attraverso le CLI o la Dashboard;  Limite di Connessione al Traffico in Ingresso - Regola il Carico di Lavoro e Mitica il problema del DoS;  Sessione Persistente - supporta le decisioni di routing basate su Cookies e l’indirizzo IP di origine.
  • 27. FIREWALL-AS-A-SERVICE • Implementazione basata su IP Table; • Uniche regole di Filtraggio per Tutti i Routers di un Progetto; • Gestione disponibile direttamente dalla Dashboard di Openstack; • Tutti i Permessi Negati alla prima attivazione; • Progetto ancora SPERIMENTALE !!!
  • 29.