Juniper 23.3 Cloud Native Contrail Networking

Introducere

Juniper Cloud-Native Contrail® Networking (CN2) este o soluție SDN nativă în cloud care oferă capabilități avansate de rețea pentru mediile de rețea cloud containerizate. CN2 este optimizat pentru mediile orchestrate de Kubernetes și poate fi folosit pentru a conecta, izola și securiza încărcăturile de lucru și serviciile cloud fără probleme pe cloud-uri private, publice și hibride.
Aceste note de lansare însoțesc versiunea 23.2 a CN2. Acestea descriu funcții noi, limitări, cerințe de compatibilitate cu platforma, comportament cunoscut și probleme rezolvate în CN2.
Vezi Cloud-Native Contrail Networking (CN2) pagina pentru o listă completă a tuturor documentației CN2.

Ce este nou

ÎN ACEASTĂ SECȚIUNE
CN2 pe OpenShift I 1
Rețea virtuală avansată I 2
Configurați Servicii I 2
Configurați eBPF I 3
CN2 Securitate I 3

Aflați despre noile funcții introduse în CN2 Versiunea 23.3.

CN2 pe OpenShift

• Advanced Cluster Management (ACM) – Începând cu versiunea 23.3, aveți opțiunea de a instala CN2 utilizând Advanced Cluster Management. ACM constă dintr-un cluster hub care oferă control centralizat al clusterelor gestionate. După ce configurați clusterul hub, utilizați ACM pentru a instala sau importa clusterele CN2 pe care doriți să le gestionați.
  Vedea Instalați utilizând Advanced Cluster Management.
• Single Node OpenShift – Începând cu versiunea 23.3, CN2 poate rula pe o implementare OpenShift cu un singur nod. O implementare OpenShift cu un singur nod constă dintr-un singur nod care rulează atât planul de control, cât și sarcinile de lucru.
  Vedea Instalați OpenShift cu un singur nod.
• Gestionare fără întreruperi a utilizatorilor – Începând cu versiunea 23.3, puteți configura CN2 să utilizeze conectorul Dex OpenShift pentru autentificarea CN2 Web utilizatorii UI. Cu această opțiune, utilizatorii OCP pot accesa CN2 Web Interfața de utilizare fără probleme, fără alte configurații.
  Vedea Configurați gestionarea utilizatorilor.

Rețea virtuală avansată

• Suport pentru subinterfețe cu Multus - Începând cu versiunea 23.3, CN2 acceptă mai multe subinterfețe de rețea folosind pluginul „meta” Multus. „Meta” face referire la suportul multi-furnizor Multus. Pentru a configura subinterfețe pe poduri, utilizați definiția rețelei tags net. juniper. contrail. interfacegroup şi net. juniper. contrail. v lan în adnotări cni -args secțiunea YAML.
  Vedea Suport pentru subinterfață cu Multus.
• Adresă IP imuabilă - Începând cu CN2 Versiunea 23.3, este acceptată o adresă IP imuabilă pentru interfața vhostO. Nu este necesară nicio configurație de utilizator pentru această schimbare de comportament.

Configurați Servicii

• Suport comunități de culoare în CN2 - Începând cu CN2 Versiunea 23.3, comunitățile extinse de culoare BGP sunt acceptate. CN2 acceptă configurarea unei comunități extinse de culori folosind color:0:tag> sau culoare:tag> față de valoarea hexazecimală. Comunitățile de culori sunt atașate rutelor folosind politici de rutare.
  Vedea Configurați comunitățile extinse BGP Color.

Configurați eBPF

• eBPF Kernel Data Plane (Tech Preview)-Începând cu CN2 Versiunea 23.3, CN2 acceptă un plan de date Berkeley Packet Filter (eBPF) extins pentru nucleul Linux. Un plan de date bazat pe eBPF permite încărcarea programelor în nucleu pentru aplicații de înaltă performanță.
  Vedea eBPF Kernel Data Plane (Tech Preview).

Securitate CN2

• Politici de rutare - Începând cu CN2 Versiunea 23.3, puteți aplica politici de rutare dinamică traficului de rețea. Politicile de rutare modifică calea și atributele unei rute în mod dinamic. Cu versiunea 23.3, manipularea și filtrarea rutelor este mai granulară.
  Vedea Politici de rutare.
• Activați izolarea spațiului de nume în mod implicit - Pornind în CN2 Versiunea 23.3, o versiune implicită tag pentru spațiile de nume izolate este acceptat. Cu CN2, puteți activa un cluster pentru a crea spații de nume izolate în mod implicit.
  Vedea Activați implicit izolarea spațiului de nume.
• Politica de securitate globală - Începând cu CN2 Versiunea 23.3, câmpul selectoare pentru politicile globale de securitate Contrail este acceptat. Câmpul selectori este o combinație a câmpurilor podSelector și namespaceSelector. Politicile de securitate Global Contrail definesc regulile de autorizare și refuzare pentru traficul de intrare și ieșire între sarcinile de lucru (pod-uri) din clustere.
  Vedea Politica de securitate globală.

Ce s-a schimbat

ÎN ACEASTĂ SECȚIUNE
Suport de reîncărcare a serverului API I 4
Adresă IP imuabilă I 4

Aflați despre ce s-a schimbat în această versiune pentru CN2 23.3.

Suport de reîncărcare a serverului API

• Până la Versiunea 23.2 de Contrail Networking, trebuia să reporniți manual contrail-a pi-server de fiecare dată când certificatul său este reînnoit pentru ca noul certificat să intre în vigoare.

NOTA: Implementarea contrail-api-server depinde de certificatul Kubernetes contrail-api-tls. Și controlerul contrail-a pi-server urmărește secretul Kubernetes unde este stocat certificatul său. Dacă revocați acest certificat, secretul corespunzător este eliminat, iar controlerul contrail-api-server intră într-o stare eșuată.

Cert-managerul (o componentă internă) emite un certificat contrail-api-server. În mod implicit, toate certificatele sunt valabile 10 ani și sunt reînnoite în 15 zile.
Începând cu Contrail Networking Versiunea 23.3, nu vi se cere să reporniți manual contrail-apiserver. Cu suportul de reîncărcare a serverului API, serverul contrail-api-server repornește automat ori de câte ori se reînnoiește certificatul serverului contrail-api.

Adresă IP imuabilă

• vhostO nu i se atribuie adresa IP a interfeței fizice la creare- Adresa MAC a interfeței fizice rămâne, totuși. Drept urmare, agentul vRouter stabilește în continuare o conexiune cu controlerul CN2, dar rutele existente nu sunt afectate deoarece adresa IP a interfeței este neschimbată. Cu alte cuvinte, toate rutele stabilite ale gazdei indică către interfața fabricii fizice în loc de vhostO. Versiunea CN2 23.3 nu utilizează vhostO pentru comunicarea cu gazda.

Integrari testate

Începând cu CN2 Versiunea 23.1, Platformele acceptate sunt acum documentate în Integrari testate CN2. Acest document include integrări testate și validate complet de Juniper, inclusiv NIC-uri testate și alte componente software.

Container Tags

Container tags sunt necesare pentru a identifica imaginea files pentru a descărca din Contrail Container Registry în timpul instalării sau upgrade-ului Contrail Networking.
Procedurile de acces la Registrul Containerului Contrail sunt furnizate direct de Juniper Networks. Locația files-urile din Contrail Container Registry au fost modificate pentru software-ul CN2 începând cu Versiunea 22.4. Pentru a obține acreditările de acces la registru sau dacă aveți întrebări despre file locații din registru, trimiteți un e-mail la: contrail-registry@juniper.net.
Următorul tabel oferă containerul tag nume pentru imagine files pentru CN2 Versiunea 23.3

Tabelul 1: Container Tag-Versiunea 23.3

Platforma de orchestrator	Container Tag
Kubernetes: 1.27.5, 1.26 .5, 1.25.5 Red Hat OpenShift: 4.12.13, 4.10.31, 4.8.39 Amazon EKS: v1.24.10-eks-48e63af RKE2 v1.27.1+rke2r1	23.3.0.180

Probleme deschise

ÎN ACEASTĂ SECȚIUNE
Traseu general I 6
Caracteristici generale I 6
Red Hat OpenShift I 7
Integrare CN2 Apstra I 8
CN2 și Kubernetes I 8
Securitate I 10
Conducte CN2 I 10

Aflați despre problemele deschise în această versiune pentru CN2 23.3.

Rutare generală

• CN2-3429: Când NAT sursă fabrică este activată într-un spațiu de nume izolat, traficul circulă între poduri în spații de nume izolate și între poduri în spații de nume izolate și neizolate.
  Soluție: nu configurați NAT sursă fabrică pe un spațiu de nume izolat.

Caracteristici generale

• CN2-3256: sarcinile de lucru cSRX cu sub-interfețe nu sunt compatibile cu CN2.
• CN2-6327: Când oglindirea interfeței este activată cu opțiunea juniperheader, numai pachetele de ieșire sunt reflectate.
  Soluție: dezactivați opțiunea juniperheader pentru a oglindi atât pachetele de ieșire, cât și de intrare.
• CN2-5916: Când 4 interfețe sunt configurate într-o interfață bond pe un NIC X710, apare o frunză mbuf cu scăderea traficului.
  Soluție: Limitați două interfețe într-o configurație de legătură pentru un NIC X710.
• CN2-10346: La repornirea unui pod vRouter pe noduri în modul kernel în care vhostO este instalat pe interfețe de legătură, adresa IP de legătură este atribuită unei interfețe secundare de legătură în loc de interfață primară de legătură.
  Rulați următorul script pentru soluție:

  Bond-patch.txt text · 982 B #!/bin/bash set -x slave_list=($(ip addr show I grep SLAVE I awk '{ print $2 }' I sed 's/://'))Revision History for slave in "${slave_list[@]}"; do IFS=$ I I bond=S(ip addr show dev ${slave} I grep SLAVE I awk -F'master ' '{print $2}' I awk -F' ' '{print $1}') IFS=$'\n' route_list=(S(ip route show I grep ${slave})) for route in "S{route_list[@]}"; do echo "route : ${route}" new_route=S(echo ${route} I sed "s/${slave}/${bond}/g") route_cmd=$(echo "ip route replace S{new_route}" I sed -e 's I [" '\' 'J 11 g') eval S{route_cmd} done ipv4=$(ip addr show dev ${slave} I grep 'inet ' I awk '{ print $2 }') ipv6=$(ip addr show dev ${slave} I grep 'inet6 ' I awk '{ print $2 }') echo "slave: '${slave} ' , bond : '${bond}', ipv4 : '${ipv4}', ipv6: '${ipv6}"' if [[ -n "$ipv4" ]]; then ip addr del ${ipv4} dev ${slave} ip addr add ${ipv4} dev ${bond} fi if [[ -n "$ipv6" ]]; then ip addr del ${ipv6} dev ${slave} ip addr add ${ipv6} dev ${bond} fi

• CN2-13314: Instanța serviciului gateway (GSI) nu funcționează cu un ASN de 4 octeți.
  Soluție: utilizați un ASN de 2 octeți când conectați sarcini de lucru prin serviciul GSI.
• CN2-17407: În nodurile de calcul care rulează Intel N6000 SmartNIC cu CN2 23.3, este necesar să adăugați 12 Byes la MTU-ul real așteptat de la interfață.

Red Hat OpenShift

• CN2-7787: Implementarea KubeVirt în Openshift 4.10 eșuează intermitent.
  Vedea Red Hat OCPBUGS-2535 pentru o soluție.
• CN2-13011: Backup-ul și restaurarea Red Hat OCP eșuează.
  Vezi Red Hat https://access.redhat.com/solutions/6964756 pentru o soluție.
• CN2-16593: API-ul de monitorizare folosit pentru a prelua metadatele Prometheus eșuează pe OCP.
  Unele widget-uri de observabilitate și monitorizare din CN2 UI nu funcționează într-o implementare OCP.

Următoarele sunt câteva dintre widget-urile care ar putea să nu reda date în interfața de utilizare:

• Tabloul de bord > Observabilitate: încărcături de lucru CN2, Kubernetes pesteview, Top Noduri în funcție de utilizarea sarcinii de lucru, CN2 Overview- Sarcina de munca.
• Monitorizare > Orchestrare > Intrare: Utilizare CPU, Utilizare memorie.
• Pe Monitorizare > Orchestrare > DNS: Detalii DNS de bază, Interogări gestionate de Cluster.
• Pe Monitorizare > CN2 > Controlere > Analytics: Utilizarea CPU a motoarelor de baze de date, Utilizarea memoriei motoarelor de baze de date.
• Pe Monitorizare > CN2 > Valori: se completează doar câteva valori.
  Soluție: utilizați API-ul Analytics pentru a obține data pentru widget-urile afectate.

Integrare CN2 Apstra

• CN2-13607: Într-o implementare CN2 Apstra, Apstra durează câteva minute pentru a crea o rețea virtuală într-un scenariu la scară.
• CN2-13428: VNI ​​nu se actualizează în Apstra într-o topologie lntra-VN.
  În mediile integrate CN2 Apstra, actualizarea VNI-ului asociat unui VN nu este acceptată prin Apstra.
  Soluție: dacă trebuie să actualizați parametrii VNI, ștergeți VN-ul și recreați-l cu noi parametri VNI.

CN2 și Kubernetes

• CN2-4508: Subrețeaua de rețea virtuală Contrail creată prin NAD nu poate avea un gateway definit de utilizator.
  Soluție: niciuna.
• CN2-4822: Nu puteți configura obiecte BGPaaS pe nodurile care găzduiesc controlerul Contrail și nodurile de lucru pe aceeași gazdă fizică.
  Soluție: niciuna. Implementările de producție rulează nodurile de lucru și controlerul Kubernetes în diferite gazde fizice.
• CN2-8728: Când implementați CN2 pe instanțe AWS EC2, rularea traficului de servicii Kubernetes și a traficului de cale de date Contrail pe diferite interfețe nu este acceptată.
  Soluție: nu implementați Kubernetes și trafic de date pe aceeași interfață în AWS.
• CN2-10351: KubeVirt v0.58.0 nu acceptă imagePullSecret, necesar pentru extragerea imaginilor din registrul securizat: enterprise-hub.juniper.net/contrail-container-prod/.

Urmând acești pași pentru soluție:

1. Instalați Docker.
2. Creați un registru local nesigur.
3. Reporniți Docker.
4. Descărcați containerele necesare. Containerele sunt situate la Lansare Userspace CNI – dpdk vhostuser interface suport Juniper/kubevirt. Aceste containere sunt stocate ca Active.
5. Încărcați containerele.
6. Tag și împingeți containerele în noul registru nesigur.
7. Descărcați operator.yam! şi cr.yaml.
8. Modificați kubevirt-operator.yaml pentru a vă folosi registrul nesigur.

• CN2-14895: Podurile sunt implementate mai mult decât capacitatea VMI a nodurilor.
  Când un programator de pod personalizat este configurat cu capacitate VMI maximă ca praguri, dacă pod-urile sunt programate spate în spate în succesiune rapidă, este posibil ca mai multe poduri să fie implementate decât pragul configurat. Acest lucru se datorează întârzierii sincronizării datelor dintre nod și -n-Ѵyঞcsĺ Soluție: programarea podului 77bঞon-Ѵ pe nodurile ocupate se va opri în câteva secunde odată ce datele VMI sunt sincronizate între noduri și -n-Ѵyঞcsĺ
• CN2-15530: Pierderea de pachete este observată în CN2 Yow sঞchbn;ss la scalarea de la unul la mai multe poduri (non-ECMP la ECMP).
  În timpul extinderii, Yow sঞchbn;ss este aplicabil numai în cadrul grupului ECMP. Creșteți de la unul la mai mulți
  Pods nu menține Yow sঞchbn;ssĺ Soluție: Începeți cu minimum 2 sarcini de lucru și creșteți.
• CN2-15461: Sesiunea BFD nu vine când verificarea sănătății este asociată cu 2 obiecte BGPaaS.
  Soluție: în mediile în care BFD este utilizat cu BGPaaS, dacă politica Cr;w-ѴѴ este configurată, asigurați-vă că regulile politicii permit portul 4784 (pachete BFD).

Securitate

• CN2-4642: În CN2, politica de rețea folosește cea rezervată tags aplicație și spațiu de nume. Aceste tags conflict cu resursele rezervate ale Contrail.
  Soluție: nu utilizați etichetele aplicației și ale spațiului de nume pentru a identifica resursele pod și spațiul de nume.
• CN2-10012: Dacă politica de rețea are o regulă de respingere a tuturor, eliminarea acesteia prin actualizarea politicii nu funcționează.
  Soluție: ștergeți politica și adăugați-o din nou.

Conducte CN2

• CN2-15876: Testele sunt declanșate atunci când zboară într-un folder diferit de cel specificat în YAML
  file directorul sunt comise. Folderul cn2networkconfig este specificat în valorile . yaml ca director
  pentru comite și muște sunt teste îmbinate care se așteaptă să fie declanșate. Argo CD acceptă doar sincronizarea de la
  calea specificată în diagrama Helm ca parte a pornirii conductei CN2.
  Soluție: comite doar în directorul cn2networkconfig.
• CN2-16034: Obiectele CN2 create automat dezsincronizează Argo după comitere. Crearea unui NAD
  pornește routerul virtual și subrețelele care sunt marcate ca nesincronizate de către Argo.
  Soluție: adăugați resursa. excluderi: în diagrame/argo-cd/templates/argocd_sa.yaml
  Soluție de soluție adăugată la diagrama Helm:

apiVersion: v1 kind : ConfigMap metadata : namespace: argocd labels : app . kubernetes.io/name: argocd-cm app . kubernetes.io/part-of: argocd name: argocd-cm data : resource.exclusions: - apiGroups : - "*" kinds: - VirtualNetwork clusters: - "*" timeout . reconciliation : 2s

Probleme rezolvate

Puteți căuta limitările care sunt rezolvate cu această versiune la:
Probleme rezolvate în CN2 Versiunea 23.3 .
Folosiți acreditările dvs. de conectare Juniper Support pentru view lista. Dacă nu aveți un cont Juniper Support, vă puteți înregistra pentru unul Aici.

Solicitarea de suport tehnic

ÎN ACEASTĂ SECȚIUNE
Instrumente și resurse online de auto-ajutor I 12
Crearea unei cereri de servicii cu JTAC I 12

Asistența tehnică pentru produse este disponibilă prin Centrul de asistență tehnică Juniper Networks (JTAC).
Dacă sunteți client cu un contract activ de asistență Juniper Care sau Partner Support Services sau sunteți acoperit de garanție și aveți nevoie de asistență tehnică postvânzare, puteți accesa instrumentele și resursele noastre online sau puteți deschide un caz la JTAC.

• Politici JTAC-Pentru o înțelegere completă a procedurilor și politicilor noastre JTAC, review Ghidul utilizatorului JTAC situat la https://www.juniper.net/us/en/local/pdf/resource-guides/7100059-en.pdf.
• Garanții produse-Pentru informații despre garanția produsului, vizitați https://www.juniper.net/support/warranty/.
• Orele de funcționare JTAC - Centrele JTAC au resurse disponibile 24 de ore pe zi, 7 zile pe săptămână, 365 de zile pe an.

Instrumente și resurse online de auto-ajutor

Pentru rezolvarea rapidă și ușoară a problemelor, Juniper Networks a proiectat un portal online de autoservire numit Centrul de asistență pentru clienți (CSC) care vă oferă următoarele caracteristici:

• Găsiți oferte CSC: https://www.juniper.net/customers/support/
• Găsiți documentația produsului: https://www.juniper.net/documentation/
• Găsiți soluții și răspundeți la întrebări folosind baza noastră de cunoștințe: https://kb.juniper.net/
• Descărcați cele mai recente versiuni de software și review Note de lansare: https://www.juniper.net/customers/csc/software/
• Căutați buletine tehnice pentru notificări relevante de hardware și software: https://kb.juniper.net/lnfoCenter/
• Alăturați-vă și participați la Forumul comunității Juniper Networks: https://www.juniper.net/company/communities/
• Creați o cerere de servicii online: https://supportportal.juniper.net/ Pentru a verifica dreptul la serviciu după numărul de serie al produsului, utilizați Instrumentul nostru de autorizare a numărului de serie (SNE):
  https://entitlementsearch.juniper.net/entitlementsearch/

Crearea unei cereri de servicii cu JTAC

Puteți crea o solicitare de servicii cu JTAC pe Web sau telefonic.

• Vizita https://support.juniper.net/support/requesting-support/
• Sunați la 1-888-314-JTAC (1-888-314-5822 gratuit în SUA, Canada și Mexic).
  Pentru opțiunile internaționale sau de apelare directă în țările fără numere gratuite, consultați https://support.juniper.net/support/requesting-support/

Istoricul revizuirilor

• 29 septembrie 2023 - Revizia 7
• 30 iunie 2023 - Revizia 6
• 30 martie 2023 - Revizia 5
• 19 decembrie 2022 - Revizia 4
• 23 septembrie 2022 - Revizia 3
• 22 iunie 2022 - Revizia 2
• 02 mai 2022 - Revizia 1, versiunea inițială

Juniper Networks, sigla Juniper Networks, Juniper și Junos sunt mărci comerciale înregistrate ale Juniper Networks, Inc. în Statele Unite și în alte țări. Toate celelalte mărci comerciale, mărci de servicii, mărci înregistrate sau mărci de servicii înregistrate sunt proprietatea deținătorilor respectivi. Juniper Networks nu își asumă nicio responsabilitate pentru eventualele inexactități din acest document. Juniper Networks își rezervă dreptul de a schimba, modifica, transfera sau revizui în alt mod această publicație fără notificare. Copyright © 2023 Juniper Networks, Inc. Toate drepturile rezervate.

Documente/Resurse

Juniper 23.3 Cloud Native Contrail Networking [pdfGhid de utilizare 23.3 Cloud Native Contrail Networking, 23.3, Cloud Native Contrail Networking, Native Contrail Networking, Trail Networking

Referințe

• Manual de utilizare