IPファブリック転送とファブリックソースNATを有効にする
このトピックでは、ジュニパーネットワークスのクラウドネイティブContrail® Networkingリリース22.1以降を使用して、Kubernetesオーケストレーション環境でIPファブリック転送とファブリックソースNATを™有効にする方法を説明します。
クラウドネイティブのContrail Networkingは、IPファブリック転送とファブリックソースNATをサポートします。IPファブリック転送では、オーバーレイネットワークで実行されているクラスタが、外部仮想ネットワークを介してアンダーレイネットワークにアクセスします。ファブリック NAT により、ファブリック内のゲートウェイ デバイスは、ファブリックから出るデータ プレーン ノード トラフィックのソース IP アドレスをパブリック側の IP アドレスに変換できます。
クラウドネットワーク環境では、IPファブリック転送とファブリックソースNATを使用して、アンダーレイネットワークへのアクセスを提供できます。このアンダーレイネットワークアクセスにより、BGPトポロジーやファイアウォールの複雑な設定など、他のアンダーレイネットワークオプションと同様に、ネットワークが大幅に複雑になるわけではありません。
アンダーレイネットワークへのアクセスにより、ポッド内のリソースはインターネットに直接アクセスしたり、アンダーレイネットワークから外部アーティファクトを引き出すことができます。
概要:IP ファブリック転送
リリース 22.1 以降、クラウドネイティブの Contrail は Kubernetes 環境で IP ファブリック転送をサポートします。
外部ネットワークにアクセスできる仮想ネットワーク内で IP ファブリック転送を有効にします。このような仮想ネットワークでは、アンダーレイ ネットワークに直接アクセスする必要があります。
外部ネットワークにアクセスできる仮想ネットワークの名前は、デフォルトで という default-externalnetwork 名前です。ユーザ定義の外部ネットワーク名をカスタマイズして作成できます(選択した場合)。IP ファブリック転送を有効にすると、この外部仮想ネットワークを介してオーバーレイ ネットワークで実行されているクラスタがアンダーレイ ネットワークへのパスを直接使用できます。オーバーレイ ネットワークとアンダーレイ ネットワークを直接接続すると、オーバーレイ ネットワーク内のホストからアンダーレイ ネットワークにアクセスできます。IPファブリック転送により、仮想ネットワークはオーバーレイネットワークとアンダーレイネットワークの両方にまたがるため、2つのネットワークを通過するデータパケットはカプセル化およびカプセル化解除されません。そのため、パケット処理の方が効率的です。
IP ファブリック転送は、ネットワーク トラフィックのロード バランシングにも非常に役立ちます。LoadBalancer サービスは、外部ネットワーク トラフィックの負荷分散時に IP ファブリック転送を有効にした外部仮想ネットワークを自動的に検出します。
概要:ファブリック ソース NAT
リリース 22.1 以降、クラウドネイティブ Contrail は Kubernetes 環境でファブリック ソース NAT をサポートします。ファブリックソースNATは、Kubernetes環境のデータプレーンノードからのトラフィックを、別のNATファイアウォールを通過せずにインターネットに直接アクセスする方法を提供します。ソースNATを使用して、必要に応じて外部アーティファクトをポッドにプルすることもできます。
インターネットを宛先とするデータ プレーン ノードからのトラフィックは、ゲートウェイ デバイスを通過する必要があります。このゲートウェイ デバイスは、ファブリック内のメンバー デバイスであり、少なくとも 1 つのインターフェイスもパブリック ネットワークに接続されています。ファブリックソースNATを有効にすると、ゲートウェイデバイスは、データプレーンノードから発信パケットのソースIPアドレスを独自のパブリックサイドIPアドレスに変換します。このアドレス変換により、データ プレーン ノードからのトラフィックがインターネットにアクセスできるようになります。
ソース NAT が実行する IP アドレス変換は、パケット内の送信元ポートも更新します。ファブリックソースNATを使用して、単一のゲートウェイパブリックIPアドレスを介して、複数のデータプレーンノードがパブリックネットワークに到達できます。
ファブリックから出るトラフィックの IP アドレスをインターネットに変換するには、ファブリック ソース NAT が必要です。この機能で受信トラフィックを変換するためにNATを使用していません。
例:ファブリックソースNATの設定
ユーザーが作成した仮想ネットワークでは、ファブリックソースNATはデフォルトで無効になっています。
オブジェクトの変数を true に設定fabricsource NAT:することで、個々の仮想ネットワークでファブリックソースNATをVirtualNetwork手動で有効にすることができます。ファブリックソースNATを無効にするには、この値を false に設定します。
ファブリックソースNATを有効にした仮想ネットワークオブジェクトの例を次に示します。
apiVersion: core.contrail.juniper.net/v1alpha1
kind: VirtualNetwork
metadata:
namespace: contrail
name: virtualnetwork-sample
annotations:
core.juniper.net/display-name: Sample Virtual Network
core.juniper.net/description:
VirtualNetwork is a collection of end points (interface or ip(s) or MAC(s))
that can communicate with each other by default. It is a collection of
subnets whose default gateways are connected by an implicit router
spec:
...
fabricsource NAT: true
また、仮想ネットワークの作成時に、ユーザーが作成した仮想ネットワークでファブリックソースNATを有効にするように環境を設定することもできます。作成時にユーザーが作成した仮想ネットワークでファブリックソースNATを有効にする場合は、最初に環境を enablesource NAT 展開する際にリソースの ApiServer 変数を true に設定します。
初期導入時にリソースでこの構成を ApiServer 設定する必要があります。デプロイ YAML ファイルを適用した後、環境内でこの設定を変更することはできません。初期導入後に個々の仮想ネットワークのファブリックソースNAT設定を変更する場合は、そのネットワークの設定を手動で変更する必要があります。
代表的なYAMLファイル設定を以下に示します。
apiVersion: configplane.juniper.net/v1alpha1
kind: ApiServer
metadata:
...
spec:
enablesource NAT: true
common:
containers:
...
ファブリックソースNATは、変数が true の場合enablesource NAT、作成時にユーザー作成仮想ネットワークで有効になります。変数を false に設定enablesource NATすることで、ユーザーが作成した仮想ネットワークを作成した場合、ファブリックソースNATを無効にすることができます。ファブリックソースNATはデフォルトで無効になっています。
ファブリックソースNATは、変換するIPアドレスを自動的に選択します。ほとんどのクラウドネイティブContrail Networkingのユースケースでは、ファブリックソースNATのアドレスプールを設定する必要はありません。ただし、アドレス プールは、リソース内GlobalVrouterConfigの階層をportTranslationPools:使用して構成できます。
例:IP ファブリック転送による外部ネットワークの設定
IPファブリック転送はデフォルトで無効になっています。
任意の仮想ネットワークで IP ファブリック転送を有効にするには、 または v6SubnetReference: 階層の変数を v4SubnetReference: true に設定fabricForwarding:します。
以下に、IPv4 ゲートウェイを介してインターネットにアクセスする外部仮想ネットワークで IP ファブリック転送を有効にする方法の例を示します。
kind: VirtualNetwork
metadata:
namespace: contrail
name: external-vn
labels:
service.contrail.juniper.net/externalNetworkSelector: default-external
annotations:
core.juniper.net/display-name: Sample Virtual Network
core.juniper.net/description:
VirtualNetwork is a collection of end points (interface or ip(s) or MAC(s))
that can communicate with each other by default. It is a collection of
subnets whose default gateways are connected by an implicit router
spec:
v4SubnetReference:
apiVersion: core.contrail.juniper.net/v1alpha1
kind: Subnet
namespace: contrail
name: external-subnet
fabricForwarding: true
また、インターネットへのパスを持つ外部仮想ネットワークを作成しながら、IPファブリックの転送を有効にすることもできます。
Contrail Networking を使用する環境のリソースを通じて、 Kubemanager 外部ネットワークへの仮想ネットワークのパスを設定します。
仮想ネットワークをIPv4またはIPv6ゲートウェイIPサブネットアドレスに接続することで、仮想ネットワークの外部アクセスを有効にします。同じ Kubemanager リソースを使用して、仮想ネットワーク内の外部トラフィックの IP ファブリック転送を有効にします。
クラウドネイティブContrailの最初の導入時に、外部ネットワークサブネットとこのIPファブリック転送設定を設定する必要があります。初期導入 YAML ファイルが適用された後、これらのパラメータを設定することはできません。
次の例では、外部ネットワーク アクセスを使用して仮想ネットワークを作成するリソースを Kubemanager 構成するために使用する YAML ファイルを示します。この例の仮想ネットワークは、IPファブリック転送で動作します。初期導入時にこの YAML ファイルをコミットする必要があります。
apiVersion: configplane.juniper.net/v1alpha1
kind: Kubemanager
metadata:
...
spec:
externalNetworkV4Subnet: # Fill V4 Subnet of an external network if any
externalNetworkV6Subnet: # Fill V6 Subnet of an external network if any
ipFabricFowardingExtSvc: true
common:
containers:
...
この YAML ファイルで または 変数を使用して externalNetworkV4Subnet 、外部ネットワークの IPv4 サブネットまたは externalNetworkV6Subnet: IPv6 サブネットを指定します。サブネットアドレスは、ゲートウェイデバイスを介してインターネットから到達可能なパブリックサイドIPアドレスです。この YAML ファイルを使用して Kubemanager リソースを構成すると、指定された外部ネットワークへの新しい仮想ネットワークが作成されます。この仮想ネットワークの名前は、Contrail Networking のデフォルト名前空間で指定 default-externalnetwork されます。
IPファブリック転送は、変数がtrueの場合ipFabricFowardingExtSvc、外部ネットワークアクセスで仮想ネットワークで実行されます。外部サブネットの IP ファブリック転送を無効にするには、 変数を ipFabricFowardingExtSvc false に設定します。