NSX-T 加持K8s OCP构建企业级容器网络

1、NSX-T 加持K8s OCP构建企业级容器网络基础架构演进带来的挑战NetworkSecurityApplicationsStorageComputeDigital TransformationConvergence Ethernet and IPFirewalls and ACLsMainframe/ MidrangeDAS / SAN / NASMainframe/ MidrangeClient ServerCloud DeliveryClient ServerWeb-based / 3-TierCloud Native / ContainerizedMore Firewalls and

2、 ACLsVirtualized Firewallsand ControlsHyper Converged InfrastructureVirtualization Wave 1: Workload ConsolidationVirtualization Wave 2: Workload Mobility24Source: “Container Infrastructure Market Assessment: Bridging Legacy and Cloud-Native Architectures x86 Software Containers Forecast, 20172021” I

3、DC, 2018. (ID US43661118)高复合增长的应用趋势201899% CAGR2021385Minstalled containers worldwide1,814Minstalled containers worldwide5NetworkingSecurity44%44%采用云原生面临的主要挑战Top challengesRouterFirewallLoad BalancerSource: Cloud Native Computing Foundation Blog. June 28, 2017https:/cf.io/blog/2017/06/28/survey-show

4、s-kubernetes-leading-orchestration-platform/0%5%10%15%20%25%30%35%40%45%50%Finding vendor supportOtherReliabilityLoggingDifficulty choosing an orchestration solutionComplexityStorage9%10%23%25%28%39%48%容器网络的演进Port MappingContainer Network Interface (CNI)Service MeshManaging port mappings is challeng

5、ing and not used in production by enterprisesProvides a unique IP address per containerSidecar proxy (e.g., Envoy) container per app enables Layer 7 traffic management and security use casesvSwitchHost IP A Port 8001Host IP A Port 8002vSwitchContainer NetENENvSwitchENENvSwitchContainer NetvSwitch容器网

6、络的现状CNCF & Open source取材来自 /containernetworking/cni6取材来自 https:/cf.io/community/webinars/cloud-native-networking/开源容器网络方案的常规组合Calico + FlannelOverlayFlannel仅解决容器跨节点的二层网络通讯，三层通讯依赖IP Table以 及外侧三层设备每个容器工作节点都需运行，以及其封装模式影响节点性能网络与Namespace无关（租户）需要外部KV数据库，无法同时集成多个K8S集群Calico需要在每个容器工作节点中运行，并以BGP路由器的形式与物 理路由

7、设备建立BGP邻居大量的BGP连接时，需考虑部署BGP反射器，增加部署难度接入层交换机需要支持BGP协议，增加基础架构成本网络与Namespace无关（租户）7End-to-end, Troubleshooting, Configuration, MetricsUnified Separate tools容器网络理应是:简单、轻量级、可移植Patchwork Do-It-YourselfLayer 2Layer 3Layer 4(Sec Policy)Layer 7Load BalancingV记要钱, 开源要命Single NSX Stack8NSX 可集成众多主流的 CaaS / PaaS

8、不仅仅是容器, 而是面向任意工作流的网络平台Data PlaneESXi hostN-VDSKVM hostN-VDSBare Metal ServerN-VDSManagement/ Control PlaneNSX Manager ClusterGUI/REST/CMPCloud Service ManagerNSX Container Plugin vCenter(s)物理网络IP Core. . .ECMP等价多路径路由控制层面网络数据层面网络API Watch容器 虚拟机Edge集群内置负载均衡(LB)9简化部署后的运维工作可扩展的容器网络为容器提供三层路由能力 支持两种路由模式:N

9、AT(地址转换)No-NAT(Pod IP直接路由)特性容器晋升为数据中心网络中的一等公民收益为所有应用提供通用网络模型多种容器部署形态的路由交换Enterprise-grade Networking for ContainersKubernetes Container NetworkCloud Foundry Container NetworkVM or Bare-metal NetworkBGP or Static RoutesNAT or No-NATData Center NetworkNSX Data Center横向扩展软件负载均衡器可将负载均衡成本降低 多达25企业级性能支持Ku

10、bernetes Ingress和service of type load balance可与PKS / OpenShift / K8s集成特性边界路由设备, 支持VM或裸金属形态收益自动化工作流为K8s发布业务, 缩短交付周期为微服提供负载均衡Software-Defined Scale Out Load BalancingNSX Data CenterCloud Foundry Go-RoutersGOGOGOKubernetes Service简化合规性降低运营成本服务插入第三方服务通过NSX或作为部署的一部分应用的策略适用于云原生或传统工作负载特性每个容器网络接口的状态防火墙收益提高安

11、全性并降低风险容器微分段与安全Enterprise-grade Security and Compliance for ContainersNamespace: prod-internetNamespace: prod-internalProduction Cluster231NSX Data CenterNSX-T and Kubernetes研发或运维视角kubectl create namespace fookubectl run nginx-foo -image=nginx -n foovim k8s-ingress-policy.yaml kind: Ingresskubectl c

12、reate -f nsx-demo-policy.yamlvim k8s-service-lb-policy.yaml kind: Servicetype: LoadBalancerkubectl create -f nsx-demo-policy.yamlvim k8s-network-policy.yaml kind: NetworkPolicykubectl create -f nsx-demo-policy.yamlData Center NetworkNSX Edge RouterNamespace “foo” RouterLoad BalancerIP地址管理 for Kubernetes工作负载原生容器网络和网络自动化Kubernetes入口和服务支持Kubernetes网络策略和NSX管理员策略容器平台集成 PKS，Openshift，IBM Cloud Private容器主机:ESX，RHEL或Ubuntu上的VM裸金属RHEL容器主机Feature多维网络运维的可视化统一管理界面，支持中文NSX-T基于SDN管理模式, 为容器网络提供了可图形化管理的运维服务: 流量统计面板, 计数器故障排除工具 端口镜像防火墙规则可视化16跨平台