2014-JAN-24 JANOG33 @ Beppu © 2014 Midokura. All rights reserved. 1 クラウドネットワーク屋の 悩み ミドクラジャパン株式会社 高嶋隆一 2014-JAN-24 JANOG33 @ Beppu © 2014 Midokura. All rights reserved. 2 現在のお仕事 クラウドネットワークの仮想化 物理ネットワーク VM VM VM 論理ネットワーク VM VM VM VM VM VM VMとVMを繋げる 簡単なお仕事 VM VM 2014-JAN-24 JANOG33 @ Beppu © 2014 Midokura. All rights reserved. どんなネット ワーク? Photo Credit: [martin] via Compfight cc 3 2014-JAN-24 JANOG33 @ Beppu © 2014 Midokura. All rights reserved. 4 Edge Overlay 物 理 物理ネットワーク 物理サーバ VM 仮想スイッチ 物理サーバ 仮想スイッチ VM VMの仮想ポートを境界として物理ネットワーク 上に仮想ネットワークを構築 ( Overlay ) 集約 ルータ 仮 想 テナント ルータ ブリッジ VM VM 2014-JAN-24 JANOG33 @ Beppu © 2014 Midokura. All rights reserved. 5 ややこしいところ Header Data VM VM VM 1 Tunnel Tunnel Header’ Header’ Header’ Header’ Data Data Data Data ToR ToR 仮想スイッチ 仮想スイッチ VM VM VM 2 ① ヘッダの書き換えが生じる ※ ② 「経由したこと」にしている仮想トポロジ上のデバイスは ヘッダ書き換えの材料であり、VMとしても存在しない ※ L3跨ぎによる MAC Address, IP TTL の書き換えや NAT , LB による IP Address 書き換え等 2014-JAN-24 JANOG33 @ Beppu © 2014 Midokura. All rights reserved. 6 新たな悩み Photo Credit: ixos via Compfight cc 2014-JAN-24 JANOG33 @ Beppu © 2014 Midokura. All rights reserved. 7 課題1. 対話的OAMツール 従来の障害対応 エンド、ネットワーク機器を含め、Hop-by-Hop で確認 OAMツール ü Ping ü Traceroute ü Router CLI ( show ip route 等 ) ü パケットキャプチャ 2014-JAN-24 JANOG33 @ Beppu © 2014 Midokura. All rights reserved. 8 課題1. 対話的OAMツール Server-side Edge Overlay 物理区間に加え、仮想区間固有の切り分けが必要 VM VM VM ToR ToR 仮想スイッチ 仮想スイッチ 物理区間 VM VM VM ü 従来同様の切り分け 仮想区間 ü APIログの確認 ü 仮想トポロジDBの確認 ü ヘッダ書き換えログの確認 OAMというかもう、 アプリ運用の世界 2014-JAN-24 JANOG33 @ Beppu © 2014 Midokura. All rights reserved. 9 課題2. 定常監視 定常監視の問題点 ü 物理区間と仮想区間どちらが壊れているか ü 影響範囲の特定 VM 仮想スイッチ 仮想スイッチ 物理区間 仮想区間 VM 2014-JAN-24 JANOG33 @ Beppu © 2014 Midokura. All rights reserved. 10 課題2. 定常監視 対応案 Ether-OAM ? ICMP ? ○ 階層化の概念がある × L3跨ぎやヘッダ書き換えに対応できない × 階層化の概念がない × 監視の source, destination の定義が 難しく、メッシュ監視になってしまう ○ 外部接続等、特定区間ならよいかも? ü 結局の所、監視サーバから全て polling す る位しか現実的な手段がない Ø 接続性の監視や故障箇所特定には不十分 2014-JAN-24 JANOG33 @ Beppu © 2014 Midokura. All rights reserved. 11 課題3. 統計情報の可視化 要求 課金やキャパシティ管理の為、 顧客ごとにトラフィック情報を取得したい 外部ネットワーク vPort VM VM Tenant B Bridge 1 vPort Tenant A Bridge 2 vPort vPort Tenant A Bridge 1 Tenant B Router vPort Tenant A Router 従来 ルータの Uplink の 統計情報を取得 VM VM VM 2014-JAN-24 JANOG33 @ Beppu © 2014 Midokura. All rights reserved. 12 課題3. 統計情報の可視化 Server-side Edge Overlay ルータは実際には存在しない為、同じ手段が使えない 外部ネットワーク vPort VM VM Tenant B Bridge 1 vPort Tenant A Bridge 2 vPort vPort Tenant A Bridge 1 Tenant B Router vPort Tenant A Router 対応例 VM を収容する tap interface の統計情報の集計 VM VM VM ü 集計処理が必要 ü テナント内折り返しも集計 されてしまう 2014-JAN-24 JANOG33 @ Beppu © 2014 Midokura. All rights reserved. 13 課題4. 従来との互換性 要求 エンドユーザの VM へは従来通りに Ping, Traceroute を提供したい VM VM VM ToR 仮想スイッチ ToR 仮想スイッチ VM VM VM Ø 「経由したこと」にしている仮想トポロジ上のデバイスは ヘッダ書き換えの材料であり、VMとしても存在しない Ø Ingress の仮想スイッチが Ping , Traceroute を処理す る事はできるが、意味はあるのか … ? 2014-JAN-24 JANOG33 @ Beppu © 2014 Midokura. All rights reserved. 結論はありませんが… ü Server-side Edge Overlay でなくても IaaS や仮想化をとりいれたシステムは 大なり小なりおなじ課題を抱えてるはず みなさん、 どうしてますか? 14 2014-JAN-24 JANOG33 @ Beppu © 2014 Midokura. All rights reserved. NEXT: 大山さん 15 2014-JAN-24 JANOG33 @ Beppu © 2014 Midokura. All rights reserved. APPENDIX 16 2014-JAN-24 JANOG33 @ Beppu © 2014 Midokura. All rights reserved. 17 Server-side Edge Overlayの動作 Tunnel Header Header’ Header’ Data Data Data 1 VM VM VM 2 仮想スイッチ 3 ToR ToR 仮想スイッチ VM VM VM ① VMがパケットを送信 ② 仮想スイッチが「こういうネットワークがある」ことにして ヘッダを書き換え ※ ③ トンネルヘッダを付与して物理ネットワークに送信 ※ ルータ越えによる MAC Address, IP TTL や NAT , LB による IP Address 書き換え等 2014-JAN-24 JANOG33 @ Beppu © 2014 Midokura. All rights reserved. 18 Server-side Edge Overlayの動作 Tunnel Tunnel Header Header’ Header’ Header’ Header’ Data Data Data Data Data 1 VM VM VM 2 仮想スイッチ 3 ToR 4 6 ToR 5 仮想スイッチ VM VM VM ④ トンネルヘッダに従い物理ネットワークを配送 ⑤ 仮想スイッチがトンネルヘッダ付きのパケットを受信 ⑥ 仮想スイッチがトンネルヘッダを除去してVMに送信 VM間では物理ネットワークの制約は受けず、 仮想ネットワークを経由した様に見える
© Copyright 2024 ExpyDoc
