Juniper 23.3 Cloud Native Contrail Networking

Zavedení

Juniper Cloud-Native Contrail® Networking (CN2) je cloudové nativní řešení SDN, které poskytuje pokročilé síťové možnosti pro kontejnerová cloudová síťová prostředí. CN2 je optimalizován pro prostředí organizovaná Kubernetes a lze jej použít k bezproblémovému připojení, izolaci a zabezpečení cloudových úloh a služeb napříč soukromými, veřejnými a hybridními cloudy.
Tyto poznámky k vydání doprovázejí vydání 23.2 CN2. Popisují nové funkce, omezení, požadavky na kompatibilitu platforem, známé chování a vyřešené problémy v CN2.
Viz Cloud-Native Contrail Networking (CN2) na stránce s úplným seznamem veškeré dokumentace CN2.

Co je nového

V TÉTO SEKCI
CN2 na OpenShift I 1
Pokročilé virtuální sítě I 2
Konfigurace služeb I 2
Nakonfigurujte eBPF I 3
Zabezpečení CN2 I 3

Přečtěte si o nových funkcích představených v CN2 Release 23.3.

CN2 na OpenShift

• Advanced Cluster Management (ACM) – Počínaje verzí 23.3 máte možnost nainstalovat CN2 pomocí Advanced Cluster Management. ACM se skládá z klastru hub, který poskytuje centralizované řízení spravovaných klastrů. Po nastavení clusteru hub použijete ACM k instalaci nebo importu clusterů CN2, které chcete spravovat.
  Vidět Nainstalujte pomocí pokročilé správy clusteru.
• Single Node OpenShift – Počínaje verzí 23.3 může CN2 běžet v nasazení OpenShift s jedním uzlem. Jedno uzlové nasazení OpenShift se skládá z jednoho uzlu, který spouští jak řídicí rovinu, tak pracovní zátěž.
  Vidět Nainstalujte Single Node OpenShift.
• Bezproblémová správa uživatelů – Počínaje verzí 23.3 můžete nakonfigurovat CN2 tak, aby používal konektor Dex OpenShift pro ověřování CN2 Web uživatelé uživatelského rozhraní. Pomocí této možnosti mohou uživatelé OCP přistupovat k CN2 Web UI bezproblémově bez další konfigurace.
  Vidět Nakonfigurujte správu uživatelů.

Pokročilé virtuální sítě

• Podpora podrozhraní s Multus – Počínaje verzí 23.3 podporuje CN2 více síťových podrozhraní pomocí „meta“ pluginu Multus. „Meta“ odkazuje na podporu více dodavatelů Multus. Chcete-li nakonfigurovat podrozhraní na podech, použijte definici sítě tags net. juniper. contrail. interfacegroup a net. juniper. contrail. v lan v anotacích cni -args sekce YAML.
  Vidět Podpora podrozhraní s Multus.
• Neměnná IP adresa – Počínaje CN2 Release 23.3 je podporována neměnná IP adresa pro rozhraní vhostO. Pro tuto změnu chování není nutná žádná uživatelská konfigurace.

Konfigurace služeb

• Podpora komunit barev v CN2 – Počínaje verzí CN2 23.3 jsou podporovány rozšířené komunity barev BGP. CN2 podporuje konfiguraci rozšířené komunity barev pomocí color:0:tag> nebo barva:tag> oproti hexadecimální hodnotě. Barevné komunity jsou připojeny k trasám pomocí zásad směrování.
  Vidět Nakonfigurujte rozšířené komunity BGP Color.

Nakonfigurujte eBPF

• eBPF Kernel Data Plane (Tech Preview)-Počínaje CN2 Release 23.3 podporuje CN2 rozšířenou datovou rovinu Berkeley Packet Filter (eBPF) pro linuxové jádro. Datová rovina založená na eBPF umožňuje načítání programů do jádra pro vysoce výkonné aplikace.
  Vidět eBPF Kernel Data Plane (Tech Preview).

Zabezpečení CN2

• Zásady směrování – Počínaje verzí CN2 23.3 můžete na síťový provoz aplikovat zásady dynamického směrování. Zásady směrování dynamicky upravují cestu a atributy cesty. S vydáním 23.3 je manipulace a filtrování tras podrobnější.
  Vidět Zásady směrování.
• Povolit izolaci jmenného prostoru výchozím spuštěním v CN2 Release 23.3, což je výchozí nastavení tag pro izolované jmenné prostory je podporováno. Pomocí CN2 můžete klastru povolit, aby ve výchozím nastavení vytvářel izolované obory názvů.
  Vidět Ve výchozím nastavení povolit izolaci jmenného prostoru.
• Globální bezpečnostní politika – Počínaje verzí CN2 23.3 je podporováno pole výběru pro globální bezpečnostní politiky Contrail. Pole selektorů je kombinací polí podSelector a namespaceSelector. Zásady zabezpečení Global Contrail definují pravidla pro povolení a odepření pro příchozí a odchozí provoz mezi pracovními zátěžemi (pody) napříč clustery.
  Vidět Globální bezpečnostní politika.

Co se změnilo

V TÉTO SEKCI
Podpora opětovného načtení serveru API I 4
Neměnná IP adresa I 4

Přečtěte si, co se změnilo v tomto vydání pro CN2 23.3.

Podpora opětovného načtení serveru API

• Až do vydání Contrail Networking Release 23.2 jste museli server contrail-a pi-server restartovat ručně, kdykoli je jeho certifikát obnoven, aby nový certifikát nabyl účinnosti.

POZNÁMKA: Nasazení contrail-api-server závisí na certifikátu Kubernetes contrail-api-tls. A kontrolér contrail-a pi-serveru sleduje tajemství Kubernetes, kde je uložen jeho certifikát. Pokud tento certifikát odvoláte, odpovídající tajný klíč bude odstraněn a řadič contrail-api-server přejde do stavu selhání.

Cert-manager (interní komponenta) vydá contrail-api-server certifikát. Standardně jsou všechny certifikáty platné 10 let a jsou obnoveny do 15 dnů.
Počínaje Contrail Networking Release 23.3 není nutné restartovat contrail-apiserver ručně. S podporou API Server Reload se contrail-api-server automaticky restartuje, kdykoli je obnoven certifikát contrail-api-server.

Neměnná IP adresa

• vhostO není při vytvoření přiřazena IP adresa fyzického rozhraní- MAC adresa fyzického rozhraní však zůstává. V důsledku toho agent vRouter stále naváže spojení s řadičem CN2, ale stávající trasy nejsou ovlivněny, protože IP adresa rozhraní se nezměnila. Jinými slovy, všechny zavedené cesty hostitele ukazují na rozhraní fyzické struktury namísto vhostO. CN2 verze 23.3 nepoužívá vhostO pro komunikaci s hostitelem.

Testované integrace

Počínaje verzí CN2 23.1 jsou nyní podporované platformy zdokumentovány v CN2 Testované integrace. Tento dokument obsahuje integrace plně testované a ověřené společností Juniper, včetně testovaných síťových karet a dalších softwarových komponent.

Kontejner Tags

Kontejner tags jsou potřebné k identifikaci obrázku files ke stažení z registru Contrail Container Registry během instalace nebo upgradu Contrail Networking.
Postupy pro přístup do registru Contrail Container Registry poskytuje přímo Juniper Networks. Umístění files v Contrail Container Registry změněno pro software CN2 počínaje verzí 22.4. Chcete-li získat přístupové údaje do registru nebo pokud máte nějaké dotazy týkající se file míst v registru zašlete e-mail na adresu: contrail-registry@juniper.net.
Následující tabulka obsahuje kontejner tag název pro obrázek files pro CN2 vydání 23.3

Tabulka 1: Kontejner Tag- Vydání 23.3

Platforma orchestru	Kontejner Tag
Kubernetes: 1.27.5, 1.26 .5, 1.25.5 Red Hat OpenShift: 4.12.13, 4.10.31, 4.8.39 Amazon EKS: v1.24.10-eks-48e63af RKE2 v1.27.1+rke2r1	23.3.0.180

Otevřené problémy

V TÉTO SEKCI
Obecná trasa I 6
Obecné vlastnosti I 6
Red Hat OpenShift I 7
CN2 Apstra Integration I 8
CN2 a Kubernetes I 8
Bezpečnost I 10
Potrubí CN2 I 10

Přečtěte si o otevřených problémech v tomto vydání pro CN2 23.3.

Obecné směrování

• CN2-3429: Když je povolena síť NAT v izolovaném jmenném prostoru, provoz proudí mezi moduly v izolovaných jmenných prostorech a mezi moduly v izolovaných a neizolovaných jmenných prostorech.
  Alternativní řešení: Nekonfigurujte NAT zdroje fabric na izolovaném jmenném prostoru.

Obecné vlastnosti

• CN2-3256: Úlohy cSRX s dílčími rozhraními nejsou kompatibilní s CN2.
• CN2-6327: Když je povoleno zrcadlení rozhraní pomocí volby juniperheader, jsou zrcadleny pouze výstupní pakety.
  Řešení: Zakažte možnost juniperheader pro zrcadlení výstupních i příchozích paketů.
• CN2-5916: Když jsou 4 rozhraní nakonfigurována ve vazebním rozhraní na X710 NIC, dojde k mbuf listu s poklesem provozu.
  Řešení: Omezte dvě rozhraní v konfiguraci propojení pro síťovou kartu X710.
• CN2-10346: Při restartování modulu vRouter na uzlech v režimu jádra, kde je vhostO nainstalován na rozhraní vazeb, je adresa IP vazby přiřazena sekundárnímu rozhraní vazby namísto primárního rozhraní vazby.
  Spusťte následující skript pro řešení:

  Bond-patch.txt text · 982 B #!/bin/bash set -x slave_list=($(ip addr show I grep SLAVE I awk '{ print $2 }' I sed 's/://'))Revision History for slave in "${slave_list[@]}"; do IFS=$ I I bond=S(ip addr show dev ${slave} I grep SLAVE I awk -F'master ' '{print $2}' I awk -F' ' '{print $1}') IFS=$'\n' route_list=(S(ip route show I grep ${slave})) for route in "S{route_list[@]}"; do echo "route : ${route}" new_route=S(echo ${route} I sed "s/${slave}/${bond}/g") route_cmd=$(echo "ip route replace S{new_route}" I sed -e 's I [" '\' 'J 11 g') eval S{route_cmd} done ipv4=$(ip addr show dev ${slave} I grep 'inet ' I awk '{ print $2 }') ipv6=$(ip addr show dev ${slave} I grep 'inet6 ' I awk '{ print $2 }') echo "slave: '${slave} ' , bond : '${bond}', ipv4 : '${ipv4}', ipv6: '${ipv6}"' if [[ -n "$ipv4" ]]; then ip addr del ${ipv4} dev ${slave} ip addr add ${ipv4} dev ${bond} fi if [[ -n "$ipv6" ]]; then ip addr del ${ipv6} dev ${slave} ip addr add ${ipv6} dev ${bond} fi

• CN2-13314: Instance služby brány (GSI) nefunguje se 4bajtovým ASN.
  Řešení: Při připojování úloh prostřednictvím služby GSI použijte 2bajtové ASN.
• CN2-17407: Ve výpočetních uzlech, na kterých běží Intel N6000 SmartNIC s CN2 23.3, je nutné ke skutečné MTU očekávané od rozhraní přidat 12 Byes.

Red Hat OpenShift

• CN2-7787: Nasazení KubeVirt v Openshift 4.10 občas selhává.
  Vidět Red Hat OCPBUGS-2535 pro řešení.
• CN2-13011: Zálohování a obnova Red Hat OCP se nezdaří.
  Viz Red Hat https://access.redhat.com/solutions/6964756 pro řešení.
• CN2-16593: Monitor API používané k načítání metadat Prometheus selže na OCP.
  Některé widgety pozorovatelnosti a monitorování v uživatelském rozhraní CN2 nefungují v nasazení OCP.

Níže jsou uvedeny některé z widgetů, které nemusí vykreslovat data v uživatelském rozhraní:

• Dashboard > Pozorovatelnost: CN2 Workloads, Kubernetes Overview, Nejlepší uzly podle využití pracovní zátěže, CN2 Overview-Pracovní zátěž.
• Monitoring > Orchestration > Ingress: Využití CPU, Využití paměti.
• On Monitoring > Orchestration > DNS: Core DNS Details, Queries handles by Cluster.
• On Monitoring > CN2 > Controllers > Analytics: Využití CPU databázových strojů, Využití paměti databázových strojů.
• Sledování > CN2 > Metriky: Naplňuje se pouze několik metrik.
  Řešení: Pomocí rozhraní Analytics API získejte datum pro dotčené widgety.

Integrace CN2 Apstra

• CN2-13607: V nasazení CN2 Apstra trvá Apstra několik minut, než vytvoří virtuální síť podle škálovaného scénáře.
• CN2-13428: VNI ​​se neaktualizuje v Apstra v topologii lntra-VN.
  V integrovaných prostředích CN2 Apstra není aktualizace VNI přidruženého k VN podporována prostřednictvím Apstra.
  Řešení: Pokud potřebujete aktualizovat jakékoli parametry VNI, odstraňte VN a znovu jej vytvořte s novými parametry VNI.

CN2 a Kubernetes

• CN2-4508: Podsíť virtuální sítě Contrail vytvořená prostřednictvím NAD nemůže mít uživatelsky definovanou bránu.
  Řešení: Žádné.
• CN2-4822: Objekty BGPaaS nelze konfigurovat na uzlech, které jsou hostiteli řadiče Contrail a pracovních uzlů na stejném fyzickém hostiteli.
  Řešení: Žádné. Produkční nasazení spouští pracovní uzly a řadič Kubernetes v různých fyzických hostitelích.
• CN2-8728: Když nasadíte CN2 na instance AWS EC2, není podporován provoz služby Kubernetes a provoz datové cesty Contrail na různých rozhraních.
  Řešení: Nenasazujte Kubernetes a datový provoz na stejném rozhraní v AWS.
• CN2-10351: KubeVirt v0.58.0 nepodporuje imagePullSecret, který je nutný pro stahování obrazů ze zabezpečeného registru: enterprise-hub.juniper.net/contrail-container-prod/.

Postupujte podle těchto kroků pro řešení:

1. Nainstalujte Docker.
2. Vytvořte místní nezabezpečený registr.
3. Restartujte Docker.
4. Stáhněte si požadované kontejnery. Kontejnery jsou umístěny na Release Userspace CNI – podpora rozhraní dpdk vhouser Juniper/kubevirt. Tyto kontejnery jsou uloženy jako aktiva.
5. Naplňte nádoby.
6. Tag a odeslat kontejnery do nového nezabezpečeného registru.
7. Stáhněte si operator.yam! a cr.yaml.
8. Upravte soubor kubevirt-operator.yaml tak, aby používal váš nezabezpečený registr.

• CN2-14895: Moduly jsou nasazovány více, než je kapacita VMI uzlů.
  Když je vlastní plánovač podů nakonfigurován s maximální kapacitou VMI jako prahové hodnoty, pokud jsou pody naplánovány zády k sobě v rychlém sledu, je možné, že bude nasazeno více podů, než je nakonfigurovaný práh. To je způsobeno zpožděním v synchronizaci dat mezi uzlem a -n-Ѵyঞcsĺ Řešení: Plánování 77bঞon-Ѵ pod na obsazených uzlech se zastaví během několika sekund, jakmile budou data VMI synchronizována mezi uzly a -n-Ѵyঞcsĺ
• CN2-15530: Ztráta paketů je pozorována v CN2 Yow sঞchbn;ss při škálování z jednoho na více podů (bez ECMP na ECMP).
  Během zvětšování je Yow sঞchbn;ss použitelné pouze v rámci skupiny ECMP. Zvětšení od jedné do mnoha
  pods neudržuje Yow sঞchbn;ssĺ Řešení: Začněte s minimálně 2 zátěžemi a zvyšte ji.
• CN2-15461: Relace BFD nenastává, když je kontrola stavu spojena se 2 objekty BGPaaS.
  Řešení: V prostředích, kde se používá BFD s BGPaaS, pokud je nakonfigurována zásada Cr;w-ѴѴ, zajistěte, aby pravidla zásad povolovala port 4784 (pakety BFD).

Zabezpečení

• CN2-4642: V CN2 používá síťová politika vyhrazené tags aplikace a jmenný prostor. Tyto tags konflikt s rezervovanými zdroji Contrail.
  Řešení: Nepoužívejte štítky aplikace a jmenného prostoru k identifikaci prostředků pod a jmenného prostoru.
• CN2-10012: Pokud má síťová zásada pravidlo odepřít vše, jeho odstranění aktualizací zásady nefunguje.
  Řešení: Odstraňte zásadu a znovu ji přidejte.

Potrubí CN2

• CN2-15876: Testy se spouštějí, když letí v jiné složce, než je ta, která je uvedena v YAML
  file adresář jsou potvrzeny. Složka cn2networkconfig je uvedena v hodnotách . yaml jako adresář
  pro commity a mouchy se očekává, že budou spuštěny sloučené testy. Argo CD podporuje pouze synchronizaci z
  cestu specifikovanou v grafu Helm jako součást spouštění potrubí CN2.
  Alternativní řešení: Potvrďte pouze adresář cn2networkconfig.
• CN2-16034: Automaticky vytvořené objekty CN2 způsobí, že Argo se po potvrzení nesynchronizuje. Vytvoření NAD
  spustí virtuální router a podsítě, které jsou Argo označeny jako nesynchronizované.
  Řešení: Přidejte zdroj. výjimky: v grafech/argo-cd/templates/argocd_sa.yaml
  Do grafu Helm přidáno řešení:

apiVersion: v1 kind : ConfigMap metadata : namespace: argocd labels : app . kubernetes.io/name: argocd-cm app . kubernetes.io/part-of: argocd name: argocd-cm data : resource.exclusions: - apiGroups : - "*" kinds: - VirtualNetwork clusters: - "*" timeout . reconciliation : 2s

Vyřešené problémy

Omezení, která jsou vyřešena tímto vydáním, můžete prozkoumat na:
Vyřešené problémy ve verzi CN2 23.3 .
Použijte své přihlašovací údaje k podpoře Juniper view seznam. Pokud nemáte účet podpory Juniper, můžete se zaregistrovat zde.

Žádost o technickou podporu

V TÉTO SEKCI
Svépomocné online nástroje a zdroje I 12
Vytvoření požadavku na službu pomocí JTAC I 12

Technická podpora produktů je k dispozici prostřednictvím střediska technické pomoci Juniper Networks (JTAC).
Pokud jste zákazníkem s aktivní smlouvou o podpoře Juniper Care nebo Partner Support Services nebo se na vás vztahuje záruka a potřebujete technickou podporu po prodeji, můžete získat přístup k našim nástrojům a zdrojům online nebo otevřít případ u společnosti JTAC.

• Zásady JTAC – Pro úplné pochopení našich postupů a zásad JTAC, review uživatelskou příručku JTAC na adrese https://www.juniper.net/us/en/local/pdf/resource-guides/7100059-en.pdf.
• Záruky na produkty – Informace o záruce na produkty naleznete na adrese https://www.juniper.net/support/warranty/.
• Provozní doba JTAC – Střediska JTAC mají zdroje dostupné 24 hodin denně, 7 dní v týdnu, 365 dní v roce.

Svépomocné online nástroje a zdroje

Pro rychlé a snadné řešení problémů společnost Juniper Networks navrhla online samoobslužný portál nazvaný Centrum zákaznické podpory (CSC), který vám poskytuje následující funkce:

• Najděte nabídky CSC: https://www.juniper.net/customers/support/
• Najděte dokumentaci k produktu: https://www.juniper.net/documentation/
• Najděte řešení a odpovězte na otázky pomocí naší znalostní báze: https://kb.juniper.net/
• Stáhněte si nejnovější verze softwaru a znovuview Poznámky k vydání: https://www.juniper.net/customers/csc/software/
• Vyhledejte v technických bulletinech relevantní upozornění na hardware a software: https://kb.juniper.net/lnfoCenter/
• Připojte se a zúčastněte se komunitního fóra Juniper Networks: https://www.juniper.net/company/communities/
• Vytvořte online žádost o službu: https://supportportal.juniper.net/ Chcete-li ověřit nárok na službu podle sériového čísla produktu, použijte náš nástroj pro nárokování sériových čísel (SNE):
  https://entitlementsearch.juniper.net/entitlementsearch/

Vytvoření požadavku na službu pomocí JTAC

Můžete vytvořit požadavek na službu pomocí JTAC na Web nebo telefonicky.

• Návštěva https://support.juniper.net/support/requesting-support/
• Zavolejte na číslo 1-888-314-JTAC (1-888-314-5822 zdarma v USA, Kanadě a Mexiku).
  Možnosti mezinárodního nebo přímého vytáčení v zemích bez bezplatných čísel viz https://support.juniper.net/support/requesting-support/

Historie revizí

• 29. září 2023 – revize 7
• 30. června 2023 – revize 6
• 30. března 2023 – Revize 5
• 19. prosince 2022 – revize 4
• 23. září 2022 – revize 3
• 22. června 2022 – revize 2
• 02. května 2022 – Revize 1, první vydání

Juniper Networks, logo Juniper Networks, Juniper a Junos jsou registrované ochranné známky společnosti Juniper Networks, Inc. ve Spojených státech a dalších zemích. Všechny ostatní ochranné známky, servisní známky, registrované známky nebo registrované servisní známky jsou majetkem příslušných vlastníků. Juniper Networks nepřebírá žádnou odpovědnost za jakékoli nepřesnosti v tomto dokumentu. Juniper Networks si vyhrazuje právo změnit, upravit, převést nebo jinak revidovat tuto publikaci bez upozornění. Copyright © 2023 Juniper Networks, Inc. Všechna práva vyhrazena.

Dokumenty / zdroje

Juniper 23.3 Cloud Native Contrail Networking [pdfUživatelská příručka 23.3 Cloud Native Contrail Networking, 23.3, Cloud Native Contrail Networking, Native Contrail Networking, Contrail Networking

Reference

• Uživatelská příručka