Logo JUNIPER NETWORKSInženýrství
Jednoduchost

Poznámky k vydání
Poznámky k verzi: Cloud-Native Contrail Networking 23.2
Publikováno
2023-06-30

Obsah skrýt
1 Zavedení
2 Co je nového
3 Testované integrace
4 Kontejner Tags
5 Otevřené problémy
6 Vyřešené problémy
7 Žádost o technickou podporu
8 Historie revizí
9 Dokumenty / zdroje
9.1 Reference

Zavedení

Juniper Cloud-Native Contrail® Networking (CN2) je cloudové nativní řešení SDN, které poskytuje pokročilé síťové možnosti pro kontejnerová cloudová síťová prostředí. CN2 je optimalizován pro prostředí organizovaná Kubernetes a lze jej použít k bezproblémovému připojení, izolaci a zabezpečení cloudových úloh a služeb napříč soukromými, veřejnými a hybridními cloudy.
Tyto poznámky k vydání doprovázejí vydání 23.2 CN2. Popisují nové funkce, omezení, požadavky na kompatibilitu platforem, známé chování a vyřešené problémy v CN2.
Viz Cloud-Native Contrail Networking (CN2) na stránce s úplným seznamem veškeré dokumentace CN2.

Co je nového

Přečtěte si o nových funkcích představených v CN2 Release 23.2.

CN2 na Rancher RKE2

CN2 na Upstream Kubernetes

  • Počínaje verzí 23.2 je CN2 podporován na Kubernetes v1.26.

Nakonfigurujte Kubernetes

  • Prioritní třídy – od verze 23.2 podporuje CN2 prioritní třídy pro kritické komponenty CN2. CN2 zavádí objekt PriorityClass, který umožňuje mapovat prioritu ve formě celočíselné hodnoty na název třídy priority. Základní komponenty CN2 používají tyto výchozí třídy, takže kube-scheduler upřednostňuje tyto moduly pro plánování a alokaci zdrojů.
    [Vidět Prioritní třídy pro kritické komponenty].
  • Plánování modulů pro více clusterů – Počínaje verzí CN2 23.2 podporuje CN2 plánování modulů s podporou sítě pro nasazení ve více clusterech. CN2 představuje řadič MetricsConfig a řadič CentralCollector. Tyto řadiče slučují a spravují vlastní kolektor metrik CR a centrální kolektor CR. Tyto vlastní zdroje umožňují plánovači contrail plánovat víceshlukové moduly na základě důležitých síťových metrik.
    [Vidět Plánování podu pro nasazení ve více clusterech ].

Pokročilé virtuální sítě

  • Rychlá konvergence – od verze 23.2 podporuje CN2 rychlou konvergenci. CN2 poskytuje řešení SDN, které nabízí virtualizaci sítě na úrovni výpočetního uzlu prostřednictvím překryvné sítě. V SDN může dojít k selhání v překrytí nebo v podložení. VRouter detekuje, opravuje a šíří jakékoli selhání na brány pomocí kontrol stavu. Rychlá konvergence zkracuje dobu konvergence v případě selhání v clusteru spravovaném CN2.
    [Vidět Nakonfigurujte rychlou konvergenci v CN2].
  • Bezproblémový restart a dlouhotrvající elegantní restart – Počínaje verzí 23.2 můžete v CN2 nakonfigurovat bezproblémový restart a dlouhodobý bezproblémový restart (LLRG). LLGR je mechanismus používaný k uchování podrobností o směrování po delší dobu v případě selhání peer. Elegantní restart a LLGR zajišťují, že naučené trasy nebudou okamžitě smazány a staženy od inzerovaných kolegů. Místo toho jsou trasy zachovány a označeny jako zastaralé. V důsledku toho, pokud se relace vrátí a trasy se znovu naučí, celkový dopad na síť je minimalizován.
    [Vidět Nakonfigurujte ladný restart a dlouhotrvající ladný restart].
  • Kontrola stavu BFD pro relace BGPaaS – Počínaje verzí CN2 23.2 můžete nakonfigurovat kontrolu stavu obousměrného předávání a detekce (BFD) pro relace BGP jako služba (BGPaaS).
    Když konfigurujete kontrolu stavu BFD, přidružíte službu kontroly stavu k objektu BGPaaS.
    Toto přidružení spouští vytvoření relací BFD pro všechny sousedy BGPaaS pro tuto službu.
    Pokud relace BFD selže, výsledná relace BGPaaS se ukončí a trasy jsou staženy.
    [Vidět Nakonfigurujte kontrolu stavu BFD pro relace BGPaaS].
  • Lepivost pro toky s vyváženým zatížením – od verze 23.2 podporuje CN2 lepivost toku. Lepivost toku pomáhá minimalizovat přemapování toku napříč skupinami ECMP v systému s vyváženým zatížením. Lepkavost toku snižuje tok, který je přemapován, a zachovává tok s původní cestou, když se člen skupiny ECMP změní. Když je tok ovlivněn změnou člena, vRouter přeprogramuje tabulku toku a znovu vyváží tok.
    [Vidět Lepivost pro toky s vyváženým zatížením].

Analytics

  • Rozšíření TLS na Analytics – od verze 23.2 můžete povolit certifikáty TLS pro analytické komponenty v CN2. TLS je bezpečnostní protokol používaný pro výměnu certifikátů, vzájemnou autentizaci a vyjednávání šifer k zabezpečení streamu před potenciálnímampodposlouchávání a odposlouchávání. Ve výchozím nastavení se certifikát a tajné klíče pro řídicí rovinu a vRouter automaticky generují ve správci certifikátů Contrail. Když instalujete komponenty pomocí Helm, správce certifikátů automaticky vytvoří certifikáty a tajné klíče potřebné pro každou analytickou komponentu.
    [Vidět Rozšíření TLS Analytics].
  • Zrcadlení provozu založené na toku – Počínaje verzí CN2 23.2 může CN2 selektivně zrcadlit síťový provoz na základě toku, když je vRouter v režimu toku. Tento tok síťového provozu je specifikován bezpečnostní politikou a je odeslán do síťového analyzátoru, který monitoruje a analyzuje data. Síťový analyzátor je specifikován pomocí prostředku mirrorDestination. Podporuje také prostředek mirrorDestination přítomný mimo klastr.
    Pokud bezpečnostní politika definuje sekundární akci na úrovni pravidla, pak jsou zrcadleny toky odpovídající pravidlům s cílem zrcadlení.
    [Vidět Flow-Based Mirroring].

Potrubí CN2
CN2 Pipelines je nástroj CI/CD, který umožňuje pracovním postupům založeným na GitOps automatizovat konfiguraci, testování a kvalifikaci CN2. CN2 Pipelines běží spolu s CN2 clustery počínaje CN2 Release 23.1 (Tech Preview). Ve verzi 23.2 podporuje CN2 Pipelines funkce zákaznické kontejnerové sítě (CNF), automaticky generuje token nosiče pro autentizaci, dynamicky zjišťuje uzly clusteru a používá zjištěná data během provádění testu.
[Vidět Průvodce CN2 Pipelines pro GitOps].

Testované integrace

Počínaje verzí CN2 23.1 jsou nyní podporované platformy zdokumentovány v CN2 Tested Integrations. Tento dokument obsahuje integrace plně testované a ověřené společností Juniper, včetně testovaných síťových karet a dalších softwarových komponent.

Kontejner Tags

Kontejner tags jsou potřebné k identifikaci obrázku files ke stažení z registru Contrail Container Registry během instalace nebo upgradu Contrail Networking.
Postupy pro přístup do registru Contrail Container Registry poskytuje přímo Juniper Networks. Umístění files v Contrail Container Registry změněno pro software CN2 počínaje verzí 22.4. Chcete-li získat přístupové údaje do registru nebo pokud máte nějaké dotazy týkající se file míst v registru zašlete e-mail na adresu: contrail-registry@juniper.net.
Následující tabulka obsahuje kontejner tag název pro obrázek files pro CN2 vydání 23.2.

Tabulka 1: Kontejner Tag- Vydání 23.2

Platforma orchestru Kontejner Tag
• Kubernetes 1.26, 1.25.5, 1.23.9, 1.24.3
• Red Hat OpenShift 4.12.13, 4.12.0, 4.10.31, 4.8.39
• Amazon EKS v1.24.10-eks-48e63af
• RKE 2 v1.27.1+rke2r1		 23.2.0.156

Otevřené problémy

Přečtěte si o otevřených problémech v tomto vydání pro CN2.

Obecné směrování

  • CN2-3429: Pokud je povolena síť NAT v izolovaném jmenném prostoru, provoz proudí mezi moduly v izolovaných jmenných prostorech a mezi moduly v izolovaných a neizolovaných jmenných prostorech. Alternativní řešení: Nekonfigurujte NAT zdroje fabric na izolovaném jmenném prostoru.

Obecné vlastnosti

  • CN2-3256: Úlohy cSRX s dílčími rozhraními nejsou kompatibilní s CN2.
  • CN2-6327: Když je povoleno zrcadlení rozhraní pomocí volby juniperheader, jsou zrcadleny pouze výstupní pakety.
    Řešení: Zakažte možnost juniperheader pro zrcadlení výstupních i příchozích paketů.
  • CN2-5916: Když jsou 4 rozhraní nakonfigurována ve vazebním rozhraní na X710 NIC, dojde k mbuf listu s poklesem provozu.
    Řešení: Omezte dvě rozhraní v konfiguraci propojení pro síťovou kartu X710.
  • CN2-10346: Při restartování modulu vRouter na uzlech v režimu jádra, kde je vhost0 nainstalován na rozhraní vazeb, je adresa IP vazby přiřazena sekundárnímu rozhraní vazby namísto primárního rozhraní vazby.
    Spusťte následující skript pro řešení:
    Bond-patch.txt
    text · 982 B
    #!/bin/bash
    sada -x
    slave_list=($(ip addr show | grep SLAVE | awk '{ print $2 }' | sed 's/://'))Historie revizí pro slave v “${slave_list[@]}”; dělat
    IFS=$' '
    bond=$(ip addr show dev ${slave} | grep SLAVE | awk -F'master ' '{print $2}' | awk -F'
    ' '{print $1}')
    IFS=$'\n'
    route_list=($(ip route show | grep ${slave}))
    pro trasu v „${route_list[@]}“; dělat
    echo „route: ${route}“
    new_route=$(echo ${route} | sed “s/${slave}/${bond}/g”)
    route_cmd=$(echo „ip route nahradit ${new_route}” | sed -e 's|[“'\”]||g')
    eval ${route_cmd}
    hotovo
    ipv4=$(ip addr show dev ${slave} | grep 'inet ' | awk '{ print $2 }')
    ipv6=$(ip addr show dev ${slave} | grep 'inet6 ' | awk '{ print $2 }')
    echo „slave: '${slave}', bond: '${bond}', ipv4: '${ipv4}', ipv6: '${ipv6}'“
    if [[ -n “$ipv4” ]]; pak
    ip adresa od ${ipv4} dev ${slave}
    ip addr add ${ipv4} dev ${bond}
    fi
    if [[ -n “$ipv6” ]]; pak
    ip adresa od ${ipv6} dev ${slave}
    ip addr add ${ipv6} dev ${bond}
    fi
  • CN2-13314: Instance služby brány (GSI) nefunguje se 4bajtovým ASN.
    Řešení: Při připojování úloh prostřednictvím služby GSI použijte 2bajtové ASN.

Red Hat OpenShift

Integrace CN2 Apstra

  • CN2-13607: V nasazení CN2 Apstra trvá Apstra několik minut, než vytvoří virtuální síť podle škálovaného scénáře.

CN2 a Kubernetes

  • CN2-4508: Podsíť virtuální sítě Contrail vytvořená prostřednictvím NAD nemůže mít uživatelsky definovanou bránu.

Řešení: Žádné.

  • CN2-4822: Objekty BGPaaS nelze konfigurovat na uzlech, které jsou hostiteli řadiče Contrail a pracovních uzlů na stejném fyzickém hostiteli.
    Řešení: Žádné. Produkční nasazení spouští pracovní uzly a řadič Kubernetes v různých fyzických hostitelích.
  • CN2-8728: Když nasadíte CN2 na instance AWS EC2, spustí se provoz služby Kubernetes a
    Provoz datové cesty Contrail na různých rozhraních není podporován.
    Řešení: Nenasazujte Kubernetes a datový provoz na stejném rozhraní v AWS.
  • CN2-10351: KubeVirt v0.58.0 nepodporuje imagePullSecret, nutný pro stahování obrázků ze zabezpečeného registr: enterprise-hub.juniper.net/contrail-container-prod/.
    Postupujte podle těchto kroků pro řešení:
    1. Nainstalujte Docker.
    2. Vytvořte místní nezabezpečený registr.
    3. Restartujte Docker.
    4. Stáhněte požadované kontejnery. Kontejnery jsou umístěny na Release Userspace CNI-dpdkvhostuser rozhraní podporuje Juniper/kubevirt. Tyto kontejnery jsou uloženy jako aktiva.
    5. Naplňte nádoby.
    6. Tag a odeslat kontejnery do nového nezabezpečeného registru.
    7. Stáhněte si operator.yaml a cr.yaml.
    8. Upravte soubor kubevirt-operator.yaml tak, aby používal váš nezabezpečený registr.
  • CN2-14895: Moduly jsou nasazovány více, než je kapacita VMI uzlů.
    Když je vlastní plánovač podů nakonfigurován s maximální kapacitou VMI jako prahové hodnoty, pokud jsou pody naplánovány zády k sobě v rychlém sledu, je možné, že bude nasazeno více podů, než je nakonfigurovaný práh. To je způsobeno zpožděním synchronizace dat mezi uzlem a analytikou.
    Řešení: Další plánování pod na vytížených uzlech se zastaví během několika sekund, jakmile se data VMI synchronizují mezi uzly a analytiky.
  • CN2-15530: Ztráta paketů je pozorována u lepkavosti toku CN2 při zvětšení z jednoho na více podů (bez ECMP na ECMP).
    Lepivost toku během scale up je použitelná pouze v rámci skupiny ECMP. Zvětšení z jednoho na mnoho lusků nezachovává lepkavost toku.
    Řešení: Začněte s minimálně 2 pracovními zátěžemi a zvyšte je.
  • CN2-15461: Relace BFD nenastává, když je kontrola stavu spojena se 2 objekty BGPaaS.
    Řešení: V prostředích, kde se používá BFD s BGPaaS, pokud je nakonfigurována zásada brány firewall, zajistěte, aby pravidla zásad povolovala port 4784 (pakety BFD).

Zabezpečení

  • CN2-4642: V CN2 používá síťová politika vyhrazené tags aplikace a jmenný prostor. Tyto tags konflikt s rezervovanými zdroji Contrail.
    Řešení: Nepoužívejte štítky aplikace a jmenného prostoru k identifikaci prostředků pod a jmenného prostoru.
  • CN2-10012: Pokud má síťová zásada pravidlo odepřít vše, jeho odstranění aktualizací zásady nefunguje.
    Řešení: Odstraňte zásadu a znovu ji přidejte.

Potrubí CN2

  • CN2-15876: Testy se spouštějí, když files v jiné složce, než je ta, která je uvedena v YAML file adresář jsou potvrzeny. Složka cn2networkconfig je uvedena v souboru values.yaml jako adresář pro odevzdání a files jsou sloučené testy, u kterých se očekává, že budou spuštěny. Argo CD podporuje pouze synchronizaci z cesty uvedené v grafu Helm jako součást spouštění kanálu CN2.
    Alternativní řešení: Potvrďte pouze adresář cn2networkconfig.
  • CN2-16034: Automaticky vytvořené objekty CN2 způsobí, že Argo se po potvrzení nesynchronizuje. Vytvoření NAD spustí virtuální směrovač a podsítě, které Argo označí jako nesynchronizované.
    Řešení: Přidejte resource.exclusions: in charts/argocd/templates/argocd_sa.yaml Řešení bylo přidáno do grafu Helm:
    apiVersion: v1
    druh: ConfigMap
    metadata:
    jmenný prostor: argocd
    štítky:
    app.kubernetes.io/name:argocd-cm
    app.kubernetes.io/part-of:argocd
    název: argocd-cm
    data:
    zdroj.výjimky: |
    – apiGroups:
    – „*“
    druhy:
    – virtuální síť
    shluky:
    – „*“
    časový limit.odsouhlasení: 2s

Vyřešené problémy

Omezení, která jsou vyřešena tímto vydáním, můžete prozkoumat na:
Vyřešené problémy ve verzi CN2 23.2.
Použijte své přihlašovací údaje k podpoře Juniper view seznam. Pokud nemáte účet podpory Juniper, můžete se zaregistrovat zde.

Žádost o technickou podporu

Technická podpora produktů je k dispozici prostřednictvím střediska technické pomoci Juniper Networks (JTAC).
Pokud jste zákazníkem s aktivní smlouvou o podpoře Juniper Care nebo Partner Support Services nebo se na vás vztahuje záruka a potřebujete technickou podporu po prodeji, můžete získat přístup k našim nástrojům a zdrojům online nebo otevřít případ u společnosti JTAC.

Svépomocné online nástroje a zdroje
Pro rychlé a snadné řešení problémů společnost Juniper Networks navrhla online samoobslužný portál nazvaný Centrum zákaznické podpory (CSC), který vám poskytuje následující funkce:

Vytvoření požadavku na službu pomocí JTAC
Můžete vytvořit požadavek na službu pomocí JTAC na Web nebo telefonicky.

Možnosti mezinárodního nebo přímého vytáčení v zemích bez bezplatných čísel viz https://support.juniper.net/support/requesting-support/

Historie revizí

  • 30. června 2023 – Revize 6
  • 30. března 2023 – Revize 5
  • 19. prosince 2022 – Revize 4
  • 23. září 2022 – revize 3
  • 22. června 2022 – Revize 2
  • 02. května 2022 – Revize 1, první vydání

Juniper Networks, logo Juniper Networks, Juniper a Junos jsou registrované ochranné známky společnosti Juniper Networks, Inc. ve Spojených státech a dalších zemích. Všechny ostatní ochranné známky, servisní známky, registrované známky nebo registrované servisní známky jsou majetkem příslušných vlastníků. Juniper Networks nepřebírá žádnou odpovědnost za jakékoli nepřesnosti v tomto dokumentu. Juniper Networks si vyhrazuje právo změnit, upravit, převést nebo jinak revidovat tuto publikaci bez upozornění. Copyright © 2023 Juniper Networks, Inc. Všechna práva vyhrazena.

Logo JUNIPER NETWORKS

Dokumenty / zdroje

JUNIPER NETWORKS Cloud Native Contrail Networking CN2 [pdfPokyny
CN2 Cloud Native Contrail Networking, CN2, Cloud Native Contrail Networking, Native Contrail Networking, Contrail Networking

Reference

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Povinná pole jsou označena *