24
Cisco ACI with OpenStack OpFlex のアーキテクチャの概要 初版:2016 02 11 最終更新:2016 03 30 シスコシステムズ合同会社 107-6227 東京都港区赤坂9-7-1 ミッドタウン・タワー http://www.cisco.com/jp お問い合わせ先:シスコ コンタクトセンター 0120-092-255 (フリーコール、携帯・PHS含む) 電話受付時間:平日 10:0012:0013:0017:00 http://www.cisco.com/jp/go/contactcenter/

Cisco ACI with OpenStack OpFlex のアーキテクチャの概要€¦ · Cisco ACI with OpenStack OpFlex のアーキテクチャの概要 初版:2016年02月11日 最終更新:2016年03月30日

  • Upload
    others

  • View
    1

  • Download
    0

Embed Size (px)

Citation preview

Page 1: Cisco ACI with OpenStack OpFlex のアーキテクチャの概要€¦ · Cisco ACI with OpenStack OpFlex のアーキテクチャの概要 初版:2016年02月11日 最終更新:2016年03月30日

Cisco ACI with OpenStack OpFlex のアーキテクチャの概要初版:2016年 02月 11日

最終更新:2016年 03月 30日

シスコシステムズ合同会社〒107-6227 東京都港区赤坂9-7-1 ミッドタウン・タワーhttp://www.cisco.com/jpお問い合わせ先:シスココンタクトセンター

0120-092-255 (フリーコール、携帯・PHS含む)電話受付時間:平日 10:00~12:00、13:00~17:00http://www.cisco.com/jp/go/contactcenter/

Page 2: Cisco ACI with OpenStack OpFlex のアーキテクチャの概要€¦ · Cisco ACI with OpenStack OpFlex のアーキテクチャの概要 初版:2016年02月11日 最終更新:2016年03月30日

【注意】シスコ製品をご使用になる前に、安全上の注意( www.cisco.com/jp/go/safety_warning/ )をご確認ください。本書は、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきま

しては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容

については米国サイトのドキュメントを参照ください。また、契約等の記述については、弊社販

売パートナー、または、弊社担当者にご確認ください。

このマニュアルに記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。このマニュアルに記載されている表現、情報、および推奨

事項は、すべて正確であると考えていますが、明示的であれ黙示的であれ、一切の保証の責任を負わないものとします。このマニュアルに記載されている製品の使用

は、すべてユーザ側の責任になります。

対象製品のソフトウェアライセンスおよび限定保証は、製品に添付された『Information Packet』に記載されています。添付されていない場合には、代理店にご連絡ください。

The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB's public domain versionof the UNIX operating system.All rights reserved.Copyright © 1981, Regents of the University of California.

ここに記載されている他のいかなる保証にもよらず、各社のすべてのマニュアルおよびソフトウェアは、障害も含めて「現状のまま」として提供されます。シスコお

よびこれら各社は、商品性の保証、特定目的への準拠の保証、および権利を侵害しないことに関する保証、あるいは取引過程、使用、取引慣行によって発生する保証

をはじめとする、明示されたまたは黙示された一切の保証の責任を負わないものとします。

いかなる場合においても、シスコおよびその供給者は、このマニュアルの使用または使用できないことによって発生する利益の損失やデータの損傷をはじめとする、

間接的、派生的、偶発的、あるいは特殊な損害について、あらゆる可能性がシスコまたはその供給者に知らされていても、それらに対する責任を一切負わないものと

します。

このマニュアルで使用している IPアドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワークトポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意

図的なものではなく、偶然の一致によるものです。

Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries.To view a list of Cisco trademarks, go to this URL: http://www.cisco.com/go/trademarks.Third-party trademarks mentioned are the property of their respective owners.The use of the word partner does not imply a partnershiprelationship between Cisco and any other company.(1110R)

© 2016 Cisco Systems, Inc. All rights reserved.

Page 3: Cisco ACI with OpenStack OpFlex のアーキテクチャの概要€¦ · Cisco ACI with OpenStack OpFlex のアーキテクチャの概要 初版:2016年02月11日 最終更新:2016年03月30日

目次

はじめに v

対象読者 v

表記法 v

関連資料 vii

マニュアルに関するフィードバック ix

マニュアルの入手方法およびテクニカルサポート ix

概要 1

OpenStackと Cisco ACIについて 1

コンピューティングノードへの OpFlexの拡張 1

ソリューションのアーキテクチャ 3

OpenStackの物理アーキテクチャを備えた ACI 3

OpFlex ML2のソフトウェアアーキテクチャ 4

論理 OpenStackトポロジ 6

分散 Neutronサービス 7

OpenStackと ACI構造のマッピング 8

OpFlex NATの動作 9

NATに必要な IPサブネット 10

OVS NATと外部ルーティング 10

最適化された DHCPとメタデータプロキシの動作 11

最適化された DHCPサービス 11

最適化されたメタデータサービス 12

APIC OpenStack VMMの統合 13

Cisco ACI with OpenStack OpFlex のアーキテクチャの概要iii

Page 4: Cisco ACI with OpenStack OpFlex のアーキテクチャの概要€¦ · Cisco ACI with OpenStack OpFlex のアーキテクチャの概要 初版:2016年02月11日 最終更新:2016年03月30日

Cisco ACI with OpenStack OpFlex のアーキテクチャの概要iv

目次

Page 5: Cisco ACI with OpenStack OpFlex のアーキテクチャの概要€¦ · Cisco ACI with OpenStack OpFlex のアーキテクチャの概要 初版:2016年02月11日 最終更新:2016年03月30日

はじめに

この前書きは、次の項で構成されています。

• 対象読者, v ページ

• 表記法, v ページ

• 関連資料, vii ページ

• マニュアルに関するフィードバック, ix ページ

• マニュアルの入手方法およびテクニカルサポート, ix ページ

対象読者このガイドは、次の 1つ以上に責任を持つ、専門知識を備えたデータセンター管理者を主な対象にしています。

•仮想マシンのインストールと管理

•サーバ管理

•スイッチおよびネットワークの管理

表記法コマンドの説明には、次のような表記法が使用されます。

説明表記法

太字の文字は、表示どおりにユーザが入力するコマンドおよび

キーワードです。

bold

イタリック体の文字は、ユーザが値を入力する引数です。italic

Cisco ACI with OpenStack OpFlex のアーキテクチャの概要v

Page 6: Cisco ACI with OpenStack OpFlex のアーキテクチャの概要€¦ · Cisco ACI with OpenStack OpFlex のアーキテクチャの概要 初版:2016年02月11日 最終更新:2016年03月30日

説明表記法

省略可能な要素(キーワードまたは引数)は、角カッコで囲んで

示しています。

[x]

いずれか 1つを選択できる省略可能なキーワードや引数は、角カッコで囲み、縦棒で区切って示しています。

[x | y]

必ずいずれか1つを選択しなければならない必須キーワードや引数は、波カッコで囲み、縦棒で区切って示しています。

{x | y}

角カッコまたは波カッコが入れ子になっている箇所は、任意また

は必須の要素内の任意または必須の選択肢であることを表しま

す。角カッコ内の波カッコと縦棒は、省略可能な要素内で選択す

べき必須の要素を示しています。

[x {y | z}]

ユーザが値を入力する変数であることを表します。イタリック体

が使用できない場合に使用されます。

variable

引用符を付けない一組の文字。stringの前後には引用符を使用しません。引用符を使用すると、その引用符も含めて stringとみなされます。

string

例では、次の表記法を使用しています。

説明表記法

スイッチが表示する端末セッションおよび情報は、screenフォントで示しています。

screen フォント

ユーザが入力しなければならない情報は、太字の screenフォントで示しています。

太字の screen フォント

ユーザが値を指定する引数は、イタリック体の screenフォントで示しています。

イタリック体の screenフォント

パスワードのように出力されない文字は、山カッコ(< >)で囲んで示しています。

< >

システムプロンプトに対するデフォルトの応答は、角カッコで

囲んで示しています。

[ ]

コードの先頭に感嘆符(!)またはポンド記号(#)がある場合には、コメント行であることを示します。

!、#

Cisco ACI with OpenStack OpFlex のアーキテクチャの概要vi

はじめに

表記法

Page 7: Cisco ACI with OpenStack OpFlex のアーキテクチャの概要€¦ · Cisco ACI with OpenStack OpFlex のアーキテクチャの概要 初版:2016年02月11日 最終更新:2016年03月30日

このマニュアルでは、次の表記法を使用しています。

「注釈」です。役立つ情報やこのマニュアルに記載されていない参照資料を紹介しています。(注)

「要注意」の意味です。機器の損傷またはデータ損失を予防するための注意事項が記述されて

います。

注意

IMPORTANT SAFETY INSTRUCTIONS

This warning symbol means danger.You are in a situation that could cause bodily injury.Before you workon any equipment, be aware of the hazards involved with electrical circuitry and be familiar with standardpractices for preventing accidents.Use the statement number provided at the end of each warning to locateits translation in the translated safety warnings that accompanied this device.

SAVE THESE INSTRUCTIONS

警告

関連資料アプリケーションセントリックインフラストラクチャのマニュアルセットには、次の URLのCisco.comから入手可能な次のドキュメントが含まれます。http://www.cisco.com/c/en/us/support/cloud-systems-management/application-policy-infrastructure-controller-apic/tsd-products-support-series-home.html

Web ベースのマニュアル

•『Cisco APIC Management Information Model Reference』

•『Cisco APIC Online Help Reference』

•『Cisco APIC Python SDK Reference』

•『Cisco ACI Compatibility Tool』

•『Cisco ACI MIB Support List』

ダウンロード可能なドキュメント

•ナレッジベースの記事(KB記事)は、次の URLから入手できます。 http://www.cisco.com/c/en/us/support/cloud-systems-management/application-policy-infrastructure-controller-apic/tsd-products-support-series-home.html

•『Cisco Application Centric Infrastructure Controller Release Notes』

•『Cisco Application Centric Infrastructure Fundamentals Guide』

•『Cisco APIC Getting Started Guide』

Cisco ACI with OpenStack OpFlex のアーキテクチャの概要vii

はじめに

関連資料

Page 8: Cisco ACI with OpenStack OpFlex のアーキテクチャの概要€¦ · Cisco ACI with OpenStack OpFlex のアーキテクチャの概要 初版:2016年02月11日 最終更新:2016年03月30日

•『Cisco ACI Basic Configuration Guide』

•『Cisco ACI Virtualization Guide』

•『Cisco APIC REST API User Guide』

•『Cisco APIC Object Model Command Line Interface User Guide』

•『Cisco APIC NX-OS Style Command-Line Interface Configuration Guide』

•『Cisco APIC Faults, Events, and System Messages Management Guide』

•『Cisco ACI System Messages Reference Guide』

•『Cisco APIC Layer 4 to Layer 7 Services Deployment Guide』

•『Cisco APIC Layer 4 to Layer 7 Device Package Development Guide』

•『Cisco APIC Layer 4 to Layer 7 Device Package Test Guide』

•『Cisco ACI Firmware Management Guide』

•『Cisco ACI Troubleshooting Guide』

•『Cisco APIC NX-OS Style CLI Command Reference』

•『Cisco ACI Switch Command Reference, NX-OS Release 11.0』

•『Verified Scalability Guide for Cisco ACI』

•『Cisco ACI MIB Quick Reference』

•『Cisco Nexus CLI to Cisco APIC Mapping Guide』

•『Application Centric Infrastructure Fabric Hardware Installation Guide』

•『Cisco NX-OS Release Notes for Cisco Nexus 9000 Series ACI-Mode Switches』

•『Nexus 9000 Series ACI Mode Licensing Guide』

•『Cisco Nexus 9332PQ ACI-Mode Switch Hardware Installation Guide』

•『Cisco Nexus 9336PQ ACI-Mode Switch Hardware Installation Guide』

•『Cisco Nexus 9372PX and 9372PX-E ACI-Mode Switch Hardware Installation Guide』

•『Cisco Nexus 9372TX ACI-Mode Switch Hardware Installation Guide』

•『Cisco Nexus 9396PX ACI-Mode Switch Hardware Installation Guide』

•『Cisco Nexus 9396TX ACI-Mode Switch Hardware Installation Guide』

•『Cisco Nexus 93128TX ACI-Mode Switch Hardware Installation Guide』

•『Cisco Nexus 9504 NX-OS-Mode Switch Hardware Installation Guide』

•『Cisco Nexus 9508 ACI-Mode Switch Hardware Installation Guide』

•『Cisco Nexus 9516 ACI-Mode Switch Hardware Installation Guide』

Cisco ACI with OpenStack OpFlex のアーキテクチャの概要viii

はじめに

関連資料

Page 9: Cisco ACI with OpenStack OpFlex のアーキテクチャの概要€¦ · Cisco ACI with OpenStack OpFlex のアーキテクチャの概要 初版:2016年02月11日 最終更新:2016年03月30日

シスコアプリケーションセントリックインフラストラクチャ(ACI)シミュレータのマニュアル

次のシスコACIシミュレータのマニュアルは、次のURLから入手できます。http://www.cisco.com/c/en/us/support/cloud-systems-management/application-centric-infrastructure-simulator/tsd-products-support-series-home.html

•『Cisco ACI Simulator Release Notes』

•『Cisco ACI Simulator Installation Guide』

•『Cisco ACI Simulator Getting Started Guide』

Cisco Nexus 9000 シリーズスイッチのマニュアル

Cisco Nexus 9000シリーズスイッチのマニュアルは、次の URLで入手できます。http://www.cisco.com/c/en/us/support/switches/nexus-9000-series-switches/tsd-products-support-series-home.html

Cisco Application Virtual Switch のマニュアル

Cisco Application Virtual Switch(AVS)のマニュアルは、次の URLで入手できます。http://www.cisco.com/c/en/us/support/switches/application-virtual-switch/tsd-products-support-series-home.html

シスコアプリケーションセントリックインフラストラクチャ(ACI)と OpenStack の統合に関するマニュアル

Cisco ACIと OpenStackの統合に関するマニュアルは、次の URLから入手できます。http://www.cisco.com/c/en/us/support/cloud-systems-management/application-policy-infrastructure-controller-apic/tsd-products-support-series-home.html

マニュアルに関するフィードバックこのマニュアルに関する技術的なフィードバック、または誤りや記載もれなどお気づきの点がご

ざいましたら、[email protected]までご連絡ください。ご協力をよろしくお願いいたします。

マニュアルの入手方法およびテクニカルサポートマニュアルの入手、Cisco Bug Search Tool(BST)の使用、サービス要求の送信、追加情報の収集の詳細については、『What'sNew inCiscoProductDocumentation』を参照してください。このドキュメントは、次から入手できます。 http://www.cisco.com/c/en/us/td/docs/general/whatsnew/whatsnew.html

『What's New in Cisco Product Documentation』では、シスコの新規および改訂版の技術マニュアルの一覧を、RSSフィードとして購読できます。また、リーダーアプリケーションを使用して、コンテンツをデスクトップに配信することもできます。RSSフィードは無料のサービスです。

Cisco ACI with OpenStack OpFlex のアーキテクチャの概要ix

はじめに

マニュアルに関するフィードバック

Page 10: Cisco ACI with OpenStack OpFlex のアーキテクチャの概要€¦ · Cisco ACI with OpenStack OpFlex のアーキテクチャの概要 初版:2016年02月11日 最終更新:2016年03月30日

Cisco ACI with OpenStack OpFlex のアーキテクチャの概要x

はじめに

マニュアルの入手方法およびテクニカルサポート

Page 11: Cisco ACI with OpenStack OpFlex のアーキテクチャの概要€¦ · Cisco ACI with OpenStack OpFlex のアーキテクチャの概要 初版:2016年02月11日 最終更新:2016年03月30日

第 1 章

概要

この章の内容は、次のとおりです。

• OpenStackと Cisco ACIについて, 1 ページ

• コンピューティングノードへの OpFlexの拡張, 1 ページ

OpenStack と Cisco ACI についてCiscoApplicationCentric Infrastructure(ACI)は包括的なポリシーベースのアーキテクチャであり、コントローラベースのインテリジェントな、ネットワークスイッチファブリックを実現します。

このファブリックは、OpenStackを含む複数のオーケストレーションツール、自動化ツール、および管理ツールに直接統合可能な APIインターフェイスを通じてプログラムすることにより管理する設計となっています。ACIを OpenStackと統合することによって、ネットワーキング構造を動的に作成し、直接 OpenStackの要件に従って動作させると同時に、ACIApplication PolicyInfrastructure Controller(APIC)内の可視性を個々のVMインスタンスレベルまで高めることができます。

OpenStackは、クラウドコンピューティング環境を構築するための柔軟なソフトウェアアーキテクチャを明確にします。OpenStackのリファレンスソフトウェアベースの実装では、VLAN、GRE、VXLANを含む複数のレイヤ 2トランスポートが考慮されています。また、OpenStack内のNeutronプロジェクトも、ソフトウェアベースのレイヤ 3転送を提供できます。ACIとともに利用すると、ACIファブリックは統合されたレイヤ 2およびレイヤ 3の VXLANベースのオーバーレイネットワーキング機能を提供して、ネットワークカプセル化処理をコンピューティングノー

ドからトップオブラック、または ACIリーフスイッチに移行します。このアーキテクチャは、ハードウェアベースのネットワーキングによるパフォーマンスと運用上のメリットとともに、ソ

フトウェアのオーバーレイネットワーキングの柔軟性を提供します。

コンピューティングノードへの OpFlex の拡張OpFlexは、Cisco ACIで使用されるような宣言型ネットワーキングポリシーを他のデバイスに転送するように設計されたオープンで拡張性のあるポリシープロトコルです。OpFlexを利用して、

Cisco ACI with OpenStack OpFlex のアーキテクチャの概要1

Page 12: Cisco ACI with OpenStack OpFlex のアーキテクチャの概要€¦ · Cisco ACI with OpenStack OpFlex のアーキテクチャの概要 初版:2016年02月11日 最終更新:2016年03月30日

ACIのネイティブポリシーモデルを OpenStack Novaのコンピューティングホスト上で実行する仮想スイッチにまで拡張することができます。このように OpFlexをコンピューティングホストへ拡張すると、ACIで Open vSwitch(OVS)を使用して、送信元 NAT(SNAT)やフローティング IPなどの共通 OpenStack機能をサポートすることができます。

OpFlexベースのOpenStackドライバは2つの異なるモードの導入をサポートします。最初のNeutronAPIとModular Layer 2(ML2)に基づくアプローチは、ネットワーク、ルータ、セキュリティグループなど、Neutronのユーザに十分認識されている共通構造を提供するように設計されています。2番目のアプローチは OpenStack用のグループベースのポリシーの抽象化にネイティブなもので、CiscoACIで使用される宣言型のポリシーモデルと密接に連携します。このドキュメントでは、特に OpFlex ML2ベースのドライバの詳細に重点を置いて説明します。

OpFlex GBPベースのドライバの詳細および特定の導入ガイダンスについては、cisco.comを参照してください。

Cisco ACI with OpenStack OpFlex のアーキテクチャの概要2

概要

コンピューティングノードへの OpFlex の拡張

Page 13: Cisco ACI with OpenStack OpFlex のアーキテクチャの概要€¦ · Cisco ACI with OpenStack OpFlex のアーキテクチャの概要 初版:2016年02月11日 最終更新:2016年03月30日

第 2 章

ソリューションのアーキテクチャ

この章の内容は、次のとおりです。

• OpenStackの物理アーキテクチャを備えた ACI, 3 ページ

• OpFlex ML2のソフトウェアアーキテクチャ, 4 ページ

• 論理 OpenStackトポロジ, 6 ページ

• OpenStackと ACI構造のマッピング, 8 ページ

• OpFlex NATの動作, 9 ページ

• 最適化された DHCPとメタデータプロキシの動作, 11 ページ

• APIC OpenStack VMMの統合, 13 ページ

OpenStack の物理アーキテクチャを備えた ACIOpenStackを導入した通常の ACIファブリックのアーキテクチャは、Nexus 9000スパイン/リーフトポロジ、APICクラスタ、およびサーバグループから構成され、OpenStackのさまざまな制御コンポーネントやコンピューティングコンポーネントを実行します。OpenStackはさまざまな方法で導入できますが、基本的なテストアーキテクチャは、Neutronのネットワークノードとしても機能する少なくとも 1つの OpenStack Controllerサーバと、仮想マシン(VM)インスタンスをホストする 2つ以上の OpenStackコンピューティングノードから構成されます。ACI外部ルーテッドネットワーク接続をファブリック外のレイヤ 3接続として使用して、OpenStackクラウド外の接続を提供することができます。

Cisco ACI with OpenStack OpFlex のアーキテクチャの概要3

Page 14: Cisco ACI with OpenStack OpFlex のアーキテクチャの概要€¦ · Cisco ACI with OpenStack OpFlex のアーキテクチャの概要 初版:2016年02月11日 最終更新:2016年03月30日

この導入ガイドの検証済みの設定には、スタンドアロンモードの Cisco UCS Cシリーズラックマウントサーバを使用しています。OpenStackを実行しているサードパーティ製のスタンドアロンラックサーバにも対応できます。ACIファブリックに接続されたファブリックインターコネクトで UCS Managerを実行するシステムについては、今後のリリースでサポートされる予定です。

図 1:OpenStack の物理トポロジを使用した ACI の例

(注)

OpFlex ML2 のソフトウェアアーキテクチャOpenStackのModular Layer 2のフレームワークでは、TypeDriverとMechanismDriverに基づいてネットワーキングサービスを統合することができます。一般的なネットワーキングタイプのドラ

イバには、ローカル、フラット、VLAN、VXLANなどがあります。OpFlexは、OpFlexの設定で定義した VXLANか VLANのいずれかの実際のパケットカプセル化により、ML2を通じて新しいネットワークとして追加できます。メカニズムドライバでは、ネットワーキングの要件をNeutronサーバから Cisco APICクラスタへ伝えることができます。APICメカニズムドライバは、ネットワーク(セグメント)、サブネット、ルータ、または外部ネットワークなどの Neutronのネットワーキング要素を ACIポリシーモデル内の APIC構造に変換します。

現在は、OpFlex ML2ソフトウェアスタックは修正後のOpen vSwitchパッケージと、NeutronサーバおよびOVSと通信する各OpenStackコンピューティングホスト上のローカルソフトウェアエージェントも利用しています。ACIリーフスイッチからの OpFlexプロキシは、各コンピューティングホストの Agent-OVSインスタンスとポリシー情報を交換して ACIスイッチファブリックとポリシーモデルを仮想スイッチまで効率的に拡張します。これにより、VMインスタンスがネッ

Cisco ACI with OpenStack OpFlex のアーキテクチャの概要4

ソリューションのアーキテクチャ

OpFlex ML2 のソフトウェアアーキテクチャ

Page 15: Cisco ACI with OpenStack OpFlex のアーキテクチャの概要€¦ · Cisco ACI with OpenStack OpFlex のアーキテクチャの概要 初版:2016年02月11日 最終更新:2016年03月30日

トワークに接続されるバーチャルポートを起点とする仮想および物理スイッチングファブリック

の組み合わせのどこにでもネットワークポリシーを適用できる結束力のあるシステムがもたらさ

れます。次の図に、OpFlexML2APICドライバおよびACIファブリックの相互作用と、コンピューティングホスト上の Agent-OVSサービスへの OpFlexプロキシの拡張を示します。

Neutronへの統合のための OpFlex ML2 APICドライバは、neutron-serverサービスを実行しているサーバ上で実行します。このサーバは、他のOpenStackソフトウェア要素を実行しているコントローラノードか、Neutron機能専用のサーバである場合があります。複数のNeutronサーバによる高可用性設定もサポートされています。

(注)

図 2:OpFlex ML2 を持つ ACI アーキテクチャを備えた OpenStack

コンピューティングノードでは、neutron-opflex-agentサービスが OpenStackのエンドポイントに関する情報を Neutronサーバ上のML2ドライバソフトウェアから受信します。この情報は、/var/lib/opflex-agent-ovs/endpointsにあるエンドポイントファイルにローカルに保存されます。agent-ovsサービスはエンドポイント情報を使用して、接続された ACIリーフスイッチ上のOpFlexプロキシを通じてエンドポイントのポリシーを解決します。次に、agent-ovsが、ローカルに適用可能なポリシーに OpenFlowを使用して OVS上でポリシーをプログラミング

Cisco ACI with OpenStack OpFlex のアーキテクチャの概要5

ソリューションのアーキテクチャ

OpFlex ML2 のソフトウェアアーキテクチャ

Page 16: Cisco ACI with OpenStack OpFlex のアーキテクチャの概要€¦ · Cisco ACI with OpenStack OpFlex のアーキテクチャの概要 初版:2016年02月11日 最終更新:2016年03月30日

します。非ローカルポリシーは、アップストリームリーフスイッチで適用されます。次の図に、

コンピューティングノードで実行している OpFlexモジュールと OVS間の相互作用を示します。

図 3:コンピューティングホスト上の OpFlex エージェントのアーキテクチャ

論理 OpenStack トポロジOpenStackは、クラウドサービスを提供するサーバノードに関する複数のネットワーク接続要件を定義します。さまざまな OpenStackサービス間の API通信のほかに、管理トラフィック、テナントデータ、および外部ネットワーキング要件について、通信パスを定義し、提供する必要があ

ります。また、導入でストレージトラフィックやその他の特定のニーズ専用のネットワークセグ

メントを指定する場合もあります。ACIスイッチングファブリックは、これらのすべての要件を満たすネットワークサービスを提供できます。サーバ接続は、別個の物理インターフェイスか、

Cisco VICなどの仮想化ネットワークアダプタ、または Cisco UCS Bシリーズなどの管理型のブレードサーバシステムのいずれかから構成できます。

•管理およびAPIネットワーク:このネットワークセグメントは、サービスへのAPI直接通信および OpenStack機能間での API通信とともに、OpenStackサーバへの管理用セキュアシェルアクセスを行えるようにするためのものです。また、管理および API機能はさまざまなネットワークセグメントにさらに分割できます。このガイドでは、単一ネットワークセグメ

ントを両方の設定例に使用します。

•外部ネットワーク:OpFlexと統合された ACIファブリックでは、APICの外部ルーテッドネットワーク設定によって、外部ネットワークパスが提供されます。Neutron L3エージェントを実行しているシステム内の外部ネットワークが、ソフトウェアベースのルーティング機

能の外部にあるネットワークです。外部ネットワークは NATサービスを利用して、隠れているか、または重複している IPv4アドレス空間をテナントで使用できるようにします。

Cisco ACI with OpenStack OpFlex のアーキテクチャの概要6

ソリューションのアーキテクチャ

論理 OpenStack トポロジ

Page 17: Cisco ACI with OpenStack OpFlex のアーキテクチャの概要€¦ · Cisco ACI with OpenStack OpFlex のアーキテクチャの概要 初版:2016年02月11日 最終更新:2016年03月30日

•テナントのデータネットワーク:OpenStack内のテナントネットワークはテナントによって動的に作成され、クラウド内のVMインスタンス間の接続を提供するほか、クラウドベースのルーティングサービスを他のテナントネットワークまたは外部ネットワークに接続しま

す。OpFlexでテナントネットワークに割り当てられたセグメント IDはACIファブリックによって追跡され、リーフスイッチ間の VXLANと、リーフスイッチとサーバ間の VXLANまたは VLANで構成されます。

分散 Neutron サービスOpenStack Neutronは、クラウド環境で動作する VMインスタンスに必要な共通のネットワーキング構造とサービスを定義します。これらの機能のすべてを単一サーバ上、または小規模なサーバ

のクラスタ上に実装する場合、Neutronサービスの可用性と拡張性の両方が関心事項となる場合があります。OpFlexML2 Driverソフトウェアは、サービスの可用性を高めながらも単一インスタンスのサービス負荷を軽減するスケールアウトのアプローチを使用して、これらのネットワーク

サービスをクラスタ内のコンピューティングノードに分散する機能を提供します。

次の OpFlex OpenStack Neutron ML2サービスは、OpFlex ML2 Driverソフトウェアの使用時にコンピューティングノードに分散させることができます。

•外部ネットワーク用の NAT:外部ネットワークをサポートするための Opflex ML2 Driverのアプローチでは、OpenStackの送信元 NAT機能とフローティング IP機能をコンピューティングホストのOpen vSwitchに分散します。プライベートOpenStack空間で定義されていないIPアドレス宛のパケットは、コンピューティングホストから出力される前に自動的に NATで変換されます。次に、変換されたパケットは、APICに定義されている外部ルーテッドネットワークにルーティングされます。分散NATサービスはソリューションに組み込まれます。

•レイヤ 3フォワーディング:レイヤ 3エージェントの Neutronリファレンスソフトウェアの実装は、ACIファブリック内のレイヤ 3フォワーディングと、コンピューティングノード内のローカルフォワーディングによって置き換えられます。同じOpenStackテナントルータに接続する 2つのVMが同じコンピューティングノードに存在する場合、それらの間のレイヤ3トラフィックはOVSによって転送され、その物理サーバにローカルで維持されます。コンピューティングノードにローカルなトラフィックの分散型レイヤ 3はソリューションに固有のものです。

• DHCP:リファレンスNeutronソフトウェアの実装には、Neutronサーバに集中化されたDHCPエージェントサービスがあります。OpFlex ML2ドライバソフトウェアでは、agent-ovsサービスを使用した分散DHCPアプローチが有効です。DHCP機能をコンピューティングノード全体に分散することで、DHCPディスカバリ、オファー、リクエスト、および確認応答(DORA)のトラフィックをホストに対してローカルに保つことで、VMインスタンスへのIPアドレッシングの割り当てに信頼がおけるようにします。集中型の Neutronアドレス管理機能は、DHCPアドレッシングおよびオプションを管理ネットワークを通じてローカルのagent-OVSに通知します。この最適化された DHCPのアプローチは、このソリューションでデフォルトによって有効になりますが、必要に応じて従来の集中型モードに戻すこともでき

ます。

•メタデータプロキシ:OpenStackVMは、Novaメタデータサービスからのインスタンス ID、ホスト名、およびSSHキーなどのインスタンス固有の情報を受信することができます。この

Cisco ACI with OpenStack OpFlex のアーキテクチャの概要7

ソリューションのアーキテクチャ

分散 Neutron サービス

Page 18: Cisco ACI with OpenStack OpFlex のアーキテクチャの概要€¦ · Cisco ACI with OpenStack OpFlex のアーキテクチャの概要 初版:2016年02月11日 最終更新:2016年03月30日

サービスには、通常、OpenStackVMインスタンスの代わりのプロキシとして機能するNeutronサービスを通じて到達します。OpFlex ML2ソフトウェアでは、このプロキシ機能をコンピューティングノードのそれぞれに分散することができます。この最適化されたメタデータ

プロキシはデフォルトで無効になっています。また、従来の集中型または分散型のアプロー

チのいずれかを設定できます。

次の図の論理トポロジは、Neutronサーバと分散 Neutronサービスを含むコンピューティングホストからの OpenStackネットワークセグメントへの接続を示します。

図 4:分散 Neutron サービスによる論理 OpenStack ネットワークの接続

OpenStack用の管理/APIネットワークは、共通アップリンク上の追加の仮想NICとACIファブリックへのテナントネットワーキングを使用するか、または別途の物理インターフェイスを

介してサーバに接続することができます。

(注)

OpenStack と ACI 構造のマッピングCisco ACIはポリシーモデルを使用して、ファブリックに接続されたエンドポイント間のネットワーク接続を可能にします。OpenStack Neutronは従来型のレイヤ 2とレイヤ 3のネットワーキングの概念を使用して、ネットワーキング接続を定義します。OpFlex ML2ドライバは必要な ACIポリシーモデル構造に Neutronネットワーキング要件を変換して、必要な接続を実現します。次

Cisco ACI with OpenStack OpFlex のアーキテクチャの概要8

ソリューションのアーキテクチャ

OpenStack と ACI 構造のマッピング

Page 19: Cisco ACI with OpenStack OpFlex のアーキテクチャの概要€¦ · Cisco ACI with OpenStack OpFlex のアーキテクチャの概要 初版:2016年02月11日 最終更新:2016年03月30日

の表に、OpenStack Neutron構造と、それらの作成時に設定される対応 APICポリシーオブジェクトを示します。

APICオブジェクトOpenStack オブジェクト

ACIテナント、VMMドメインNeutronインスタンス

アプリケーションプロファイルまたは個別の

ACIテナントテナント/プロジェクト

エンドポイントグループ +ブリッジドメインテナントネットワーク

SubnetSubnet

対象外(Linux iptablesルールはホスト単位で維持される)

セキュリティグループ/ルール

コントラクト + EPG +ブリッジドメインルータ

レイヤ 3 Out/外部 EPG外部ネットワーク

デフォルトでは、OpFlex ML2ドライバは OpenStack Neutronのインスタンス全体を単一の ACIテナントに関連付け、/etc/neutron/plugins/ml2/ml2_conf_cisco_apic.iniファイルのapic_system_id設定に従ってこのテナントに名前を付けます。これにより、ACI管理者はファブリックに接続されたクラウドインスタンスそれぞれを単一のエンティティとして管理すること

ができ、複数のシステムに使用するファブリックのAPICに多くのACIテナントを生成しません。このモードでは、異なるアプリケーションプロファイルとして APICに個別の OpenStackテナントが定義されます。

また、新しい ACIテナントを各 OpenStackテナントに作成するようにシステムに通知するsingle_tenant_mode = False設定を使用して、インストール時にml2_conf_cisco_apic.iniファイルに設定できる代替オプションもあります。これにより、OpenStackテナントと ACIテナントは 1:1の関係になり、各 OpenStackテナントにconvention_<apic_system_id>_<openstack tenant name>に従って名前が付けられたACIテナントが生成されます。マルチテナントモードを使用する場合は、システムが正しく機能するように、値 apic_name_mapping = use_uuidも ml2_conf_cisco_apic.iniファイル内に設定する必要があります。

OpFlex NAT の動作OpFlexML2ドライバソフトウェアは、OpenStackの各コンピューティングノードでローカルOVSインスタンスを使用し、ネットワークアドレス変換(NAT)機能を分散方式でサポートできるようにします。この分散方式のアプローチによってソリューション全体の可用性が向上し、リファ

レンス実装で使用されるNeutronサーバL3エージェントからのNATの中央処理が軽減されます。

Cisco ACI with OpenStack OpFlex のアーキテクチャの概要9

ソリューションのアーキテクチャ

OpFlex NAT の動作

Page 20: Cisco ACI with OpenStack OpFlex のアーキテクチャの概要€¦ · Cisco ACI with OpenStack OpFlex のアーキテクチャの概要 初版:2016年02月11日 最終更新:2016年03月30日

NAT に必要な IP サブネットOpFlexML2ドライバで外部ネットワークの機能をフルに活用するには、3つの異なる IPサブネットが必要です。これは、これらの機能に通常は単一の外部サブネットを使用するデフォルトの

Neutron外部ネットワークの動作とは異なるアプローチです。

•リンクサブネット:このサブネットは、ファブリック外の外部ネクストホップルータへの実際の物理接続を表します。設定に応じて、これはルーテッドインターフェイス、サブイン

ターフェイス、または SVIに割り当てられます。

•送信元 NATサブネット:OpenStackの送信元 NATまたは SNATという用語は、外部ネットワークのアドレスを共有することによってVMインスタンスにクラウド外の宛先との接続を許可することを説明するために使用されています。複数のVMによる外部のルーティング可能な IPアドレスの共有を許可するポートアドレス変換(PAT)にこのサブネットが使用されます。単一の IPアドレスを各コンピューティングノードに割り当て、一意のセッショントラフィックの維持にレイヤ 4のポート番号操作を使用します。

•フローティング IPサブネット:OpenStackでのフローティング IPという用語は、VMインスタンスが異なるスタティック NATアドレスを要求して、クラウド外からの VMへのインバウンド接続をサポートできるときに使用されます。フローティングIPサブネットは、OpenStack内で Neutron外部ネットワークエンティティに割り当てられるサブネットです。

クラウドから出力されるトラフィックは、SNATサブネットかフローティングサブネットのいずれかの送信元 IPアドレスを伝送します。リターントラフィックが OpenStackへ戻る経路を見つけられるように、動的にルーティングされたプロトコルかスタティック設定のいず

れかを通じて、これらのサブネットに戻るルートがACIの外部のルーティングホップに必要です。

OVS NAT と外部ルーティングコンピューティングノードのローカル OVSで実行されている NAT機能自体では、ACIファブリック内の物理スイッチで外部ネクストホップルータとの間の外部トラフィックのルーティング

のみが必要になります。この外部ルーティングは、レイヤ 3 Outに関連付けられた Virtual Routingand Forwarding(VRF)インスタンスを通じて処理されます。この L3-Out VRFには、外部ネクストホップルータへの物理リンクに関連付けられたインターフェイスがあります。また、この同じ

VRFには、割り当てられた送信元 NATサブネットの IPアドレスのインターフェイスと、フローティング IPサブネットもあります。さらに、この VRFには、ルーティングプロトコルの相互作

Cisco ACI with OpenStack OpFlex のアーキテクチャの概要10

ソリューションのアーキテクチャ

NAT に必要な IP サブネット

Page 21: Cisco ACI with OpenStack OpFlex のアーキテクチャの概要€¦ · Cisco ACI with OpenStack OpFlex のアーキテクチャの概要 初版:2016年02月11日 最終更新:2016年03月30日

用のためのループバックインターフェイスも存在します。次の図に、この NATアプローチをサポートするサブネットアーキテクチャを示します。

図 5: OpFlex ローカル OVS の NAT サブネットのアーキテクチャ

OpenStack Neutronの外部ネットワークに関連付けられた L3-Out VRFはコンピューティングホスト上で OVSを出力する NATトラフィックを処理します。非 NATトラフィックは、VMインスタンスの OpenStackテナントとプロジェクトの関連付けに基づいてテナント VRFによって処理されます。

最適化された DHCP とメタデータプロキシの動作OpFlex ML2ドライバソフトウェアスタックは最適化されたトラフィックフローと分散処理を実現し、DHCPとメタデータプロキシサービスをVMインスタンスに提供します。これらのサービスは、可能な限り多くの処理とパケットトラフィックをコンピューティングホストにローカルに

保持するように設計されています。分散要素は集中型の機能と通信し、システムの一貫性を確保

します。

最適化された DHCP サービスOpenStack Neutronのリファレンスアーキテクチャでは、Neutronサーバ上で実行するneutron-dhcp-agentサービスを利用して、OpenStackテナントネットワーク上で DMインスタンスへのすべてのDHCP通信を実現します。neutron-dhcp-agentは、IPアドレス管理を集中的に実行するとともに、DHCPディスカバリ、オファー、リクエスト、および確認応答(DORA)機能の各 VMインスタンスと通信します。

Cisco ACI with OpenStack OpFlex のアーキテクチャの概要11

ソリューションのアーキテクチャ

最適化された DHCP とメタデータプロキシの動作

Page 22: Cisco ACI with OpenStack OpFlex のアーキテクチャの概要€¦ · Cisco ACI with OpenStack OpFlex のアーキテクチャの概要 初版:2016年02月11日 最終更新:2016年03月30日

一方、OpFlexの最適化されたDHCPアプローチでは、agent-ovsサービスを介してすべてのDORAサービスをコンピュータ上でローカルに提供します。分散サービスは管理ネットワークでNeutronサーバへの通信を行い、IPアドレッシングとDHCPオプションを割り当てます。このアーキテクチャは、コンピューティングホスト自体にDHCPリリースをローカルに発行するために必要な大量のパケットトラフィックを保持する一方で、Neutronサーバからのこの相互作用の処理も軽減します。次の図に、この DHCPアーキテクチャを示します。

図 6: OpFlex ベースの DHCP アーキテクチャ

最適化されたメタデータサービス

VMインスタンスへのメタデータ配信用の OpenStack Neutronのリファレンスアーキテクチャでは、プロキシサービスを Neutronサーバ上で集中的に実行します。このプロキシサービスではNova APIのインスタンス情報を検索して HTTPヘッダーを追加し、メタデータ要求を Novaメタデータサービスにリダイレクトします。VMインスタンスからのメタデータ要求は OpenStackテナントネットワーク上で送信されます。

一方、OpFlexの最適化されたメタデータプロキシのアプローチでは、各コンピューティングホスト上で実行する分散型のメタデータプロキシインスタンスを使用してメタデータを配信しま

す。agent-ovsサービスは OpFlexサービスファイルを読み取り、メタデータサービス要求をローカルの neutron-metadata-agentに送信するように OVSでフローをプログラミングします。このローカルエージェントはコンピューティングホスト上の個別の Linuxネームスペースで動作します。次にメタデータプロキシ機能は OpenStackコントローラ上で管理ネットワークを介して実行する Nova-APIと Novaメタデータサービスにアクセスして、VM固有のメタデータを各

Cisco ACI with OpenStack OpFlex のアーキテクチャの概要12

ソリューションのアーキテクチャ

最適化されたメタデータサービス

Page 23: Cisco ACI with OpenStack OpFlex のアーキテクチャの概要€¦ · Cisco ACI with OpenStack OpFlex のアーキテクチャの概要 初版:2016年02月11日 最終更新:2016年03月30日

VMインスタンスに配信します。次の図に、このメタデータプロキシアーキテクチャを示します。

図 7: OpFlex ベースのメタデータプロキシアーキテクチャ

APIC OpenStack VMM の統合Cisco ACIは、OpenStackなどの複数の Virtual Machine Manager(VMM)システムとの統合をサポートします。この統合により、各ノードのすべての VMインスタンスの詳細なリストと学習されている各ポートの仮想インターフェイス情報を含めて、OpenStackのコンピューティングノードから APICを直接確認できるようになります。次の図に、OpenStackのハイパーバイザの VMネットワーキングのビューを示します。

図 8: APIC VM ネットワークのハイパーバイザのビュー

Cisco ACI with OpenStack OpFlex のアーキテクチャの概要13

ソリューションのアーキテクチャ

APIC OpenStack VMM の統合

Page 24: Cisco ACI with OpenStack OpFlex のアーキテクチャの概要€¦ · Cisco ACI with OpenStack OpFlex のアーキテクチャの概要 初版:2016年02月11日 最終更新:2016年03月30日

また、APICWebインターフェイスのVMネットワークセクションも、分散型仮想スイッチ(DVS)別のビューを提供します。各 DVSは、複数のコンピューティングノードにわたって分散している可能性がある OpenStackネットワークに対応します。このリストには、各コンピューティングノードと ACIリーフのどこで VMインスタンスが接続されているかの詳細が含まれます。このリストには並べ替え機能とフィルタリング機能が備わっており、IPまたはMACアドレスによってVMを検出できます。次の表に OpenStack DVSインスタンスの VMネットワーキングのビューの例を示します。

図 9: APIC VM ネットワーキング DVS のビュー

Cisco ACI with OpenStack OpFlex のアーキテクチャの概要14

ソリューションのアーキテクチャ

APIC OpenStack VMM の統合