Поддерживаемые SDN

SDN — это архитектурный подход к управлению сетью, при котором уровень управления (control plane) отделяется от уровня пересылки данных (data plane).

В традиционных сетях каждое устройство (коммутатор, маршрутизатор) самостоятельно принимает решения о маршрутизации на основе локальных таблиц и протоколов. В SDN всем сетью централизованно управляет контроллер, который программирует устройства на пересылку трафика согласно заданным политикам.

Преимущества SDN в облачной среде:

  • Централизованное управление — упрощает конфигурацию, мониторинг и изменение сетевых политик.

  • Автоматизация — позволяет автоматизировать развертывание, масштабирование и восстановление сетевых сервисов.

  • Гибкость — сеть легко адаптируется под меняющиеся требования приложений и нагрузку.

  • Программируемость — можно гибко управлять трафиком, создавать сложные сетевые сценарии и сервисные цепочки.

  • Агностичность железа — использование открытых протоколов (например, OpenFlow) снижает зависимость от конкретного вендора.

  • Упрощение инвентаризации — централизованный контроль позволяет автоматически отслеживать состояние сетевых элементов и перераспределять ресурсы.

В облаке moncloud реализованы два механизма SDN: ovn и Amano.

SDN Amano

SDN Amano — это контроллер программно-определяемых сетей (SDN), разработанный в ООО “Системные решения” для управления сетевыми службами в облачных средах на основе OpenStack.

Отличительные особенности архитектуры SDN Amano:

  • Безагентный механизм: классический SDN-подход, где пакеты без заданных правил на OpenFlow-коммутаторе отправляются на контроллер для обработки.

  • Управление жизненным циклом VNF: автоматизация полного цикла управления виртуальными сетевыми функциями и цепочками.

  • Интеграция с OpenStack Neutron: полная совместимость через ML2-плагин и REST API.

  • REST API: асинхронная коммуникация между компонентами через HTTP REST API.

  • Распределенная СУБД: сетевая информация хранится в распределенной реляционной БД, данные на узлах используются как кэш.

Функциональные возможности SDN Amano:

  • DHCP, маршрутизация, NAT и плавающие IP (включая IPv6).

  • Поддержка сетей flat, VLAN, VXLAN, Geneve, GRE.

  • Поддержка всех операций над роутерами, портами, сетями и подсетями OpenStack Neutron.

  • Поддержка разрешенных пар адресов и дополнительных маршрутов.

  • Поддержка IPv4 с ARP-relay.

  • Поддержка IPv6 в режимах DHCPv6-stateful, DHCPv6-stateless и SLAAC, relay для NA и RA.

  • Интеграция с OpenStack Designate для DNSaaS.

  • QoS для входящего трафика (HTB/HFSC) и исходящего трафика (openvswitch).

  • Поддержка DSCP marking.

  • High Availability и Distributed Virtual Routing (DVR).

  • Разрешающие/запрещающие правила групп безопасности.

  • Шифрование оверлеев на основе ipsec.

  • Распределенная классификация и маршрутизация трафика через сервисные цепочки.

  • Поддержка зеркалирования (порт BM, RSPAN).

  • Поддержка сбора телеметрии sflow/ipfix с фильтрацией.

ВСЕ ЧТО НИЖЕ ДОСТУПНО ТОЛЬКО ЕСЛИ ИСПОЛЬЗУЕТСЯ Amano, а не ovn

Как настроить шифрование оверлеев

  1. Перейти в режим администратора.

  2. Сеть -> Сети.

  3. Нажать Создать сеть.

  4. В поле Тип сети поставщика указать geneve_ipsec или gre_ipsec.

../../../_images/net_ipsec.png

Как настроить запрещающие группы безопасности

  1. Сеть -> Группы безопасности.

  2. Выбрать группу или создать новую, нажать на ссылку в её названии.

  3. Нажать Создать правило.

  4. В поле Тип правила выбрать Запрещающие.

../../../_images/drop_rule.png

Зачем это нужно: позволяет создавать исключения. Например, разрешить HTTP-доступ с всех адресов (правило разрешающее, префикс 0.0.0.0/0, порт 80/TCP), но запретить доступ для адресов из чёрного списка (правило запрещающее с указанными префиксами).