Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
クラウドネイティブな新しいネットワークコントローラをつくる
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Hiroki Okui
October 28, 2022
Technology
2.2k
6
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
クラウドネイティブな新しいネットワークコントローラをつくる
Hiroki Okui
October 28, 2022
More Decks by Hiroki Okui
See All by Hiroki Okui
CUEとKubernetesカスタムオペレータを用いた新しいネットワークコントローラをつくってみた
hrk091
1
750
FastAPIでKubernetesを扱うときに役立つTips
hrk091
1
1.9k
New Network Provisioning System Leveraging Kubernetes and Cloud Native Open Source
hrk091
2
220
マニフェストレスで使える IaC・CI/CD のSaaSプロダクト化への挑戦
hrk091
2
930
内製DevOps基盤を大きく作り直してみた
hrk091
7
3.2k
React HooksとGraphQLで社内レガシーサービスを巻き取ってみたらものすごくはかどった話
hrk091
12
4.9k
ODTN and TIP collaboration with Whitebox Transponder 'Cassini'
hrk091
0
500
Expectation and Activities for Open and Disaggregated Transport Network Project
hrk091
0
110
Model-Driven SDN Experiences and Learnings with NSO
hrk091
0
220
Other Decks in Technology
See All in Technology
生成 AI × MCP で切り拓く次世代 SRE!自律型運用への挑戦と開発者体験の進化
_awache
0
160
ルールやカスタム機能、どう使う?理想の出力を引き出すために今知りたいIBM Bob 5つの機能
muehara
1
340
AI と創る新たな世界 / A New World Created with AI
ks91
PRO
0
110
個人最適 から 全体最適 へ AI情報共有会・AIギルド・AI-DLC で進める カンリーの組織展開
rfdnxbro
0
1.6k
Building applications in the Gemini API family.
line_developers_tw
PRO
0
1.7k
正解のないAIプロダクトをどう導くか?dodaが挑む、ユーザーの『本音』を構造化する評価設計と検証のリアル
techtekt
PRO
0
190
Djangoユーザが知っ得なPostgreSQL機能 - 設計の選択肢を増やす / Djang-use-PostgreSQL
soudai
PRO
0
200
Sony_KMP_Journey_KotlinConf2026
sony
2
210
実装は速くなった、レビューはどうする? ― 自身のレビューをAIで再現させるサーヴァントエンジニアリングのすゝめ / Implementation got faster. So what about reviews? — An invitation to Servant Engineering: Recreating your own code reviews with AI
nrslib
7
4k
Unlocking the Apps
pimterry
0
240
Mastering Ruby Box
tagomoris
3
150
Oracle AI Database@Google Cloud:サービス概要のご紹介
oracle4engineer
PRO
6
1.5k
Featured
See All Featured
Lightning talk: Run Django tests with GitHub Actions
sabderemane
0
190
Building a Scalable Design System with Sketch
lauravandoore
463
34k
More Than Pixels: Becoming A User Experience Designer
marktimemedia
3
430
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
360
30k
Marketing Yourself as an Engineer | Alaka | Gurzu
gurzu
0
210
SEO in 2025: How to Prepare for the Future of Search
ipullrank
3
3.5k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
PRO
201
75k
Bioeconomy Workshop: Dr. Julius Ecuru, Opportunities for a Bioeconomy in West Africa
akademiya2063
PRO
1
130
Understanding Cognitive Biases in Performance Measurement
bluesmoon
32
2.9k
Ecommerce SEO: The Keys for Success Now & Beyond - #SERPConf2024
aleyda
1
2k
Optimizing for Happiness
mojombo
378
71k
Faster Mobile Websites
deanohume
310
31k
Transcript
© NTT Communications Corporation All Rights Reserved. クラウドネイティブな 新しいネットワークコントローラをつくる 2022年10月28日
NTTコミュニケーションズ 奥井 寛樹
© NTT Communications Corporation All Rights Reserved. 自己紹介 NTTコミュニケーションズ Software
Engineer 奥井 寛樹 略歴 • 伝送ネットワーク 設定自動化システム開発 • DevOpsプラットフォーム開発 • IoTデータ収集基盤 モダナイゼーション @HirokiOkui hrk091 2
© NTT Communications Corporation All Rights Reserved. 前置き ネットワークコントローラと •
サービス・NW仕様に基づいて、APIリクエストからコンフィグを導出し装置に設定するも 以下 スコープ外 • SDNによるコントロールプレーン • 構成管理機能(連携先として考慮) • システム間連携をするワークフロー機能 • 監視機能(現時点 。いずれ 考えたい) • ZTP(装置へ Reachabilityが確保されている前提) 3
© NTT Communications Corporation All Rights Reserved. 4 本発表 構成
1. ネットワークコントローラ開発 現状と課題 2. クラウドネイティブ技術 紹介 3. クラウドネイティブ技術を用いてつくってみた
© NTT Communications Corporation All Rights Reserved. ネットワークコントローラ開発 現状と課題 5
© NTT Communications Corporation All Rights Reserved. ネットワークシステム開発も高度化しつつある 1. API連携で
自動化 2. GitOps 6
© NTT Communications Corporation All Rights Reserved. オーケストレータと組み合わせてon-demandサービス化 • 装置ベンダEMS
or 装置自体がREST APIを開けているケースが増え、自動化しやすくなった • Ansibleを用いた自動化事例が増え、 Pythonライブラリなども充実 API連携で 自動化 ワークフロー基盤 or APIオーケストレータ NWコントローラ User Ops 3rd-Party 7 - サービスオーダー - 装置コンフィグ キャッシュ - etc…
© NTT Communications Corporation All Rights Reserved. 自動化 課題 NWコントローラ
User Ops Ansibleなどが整備されている場 合は良いが、ユーザが少ない装 置は結局ほぼスクラッチ開発 (伝送装置など) スクラッチ開発をすると手続き 的なスクリプトになり、Jinja2 でテンプレートマッピングして SSHで投げるだけになる 装置に設定されたconfigが、 実機を見ないとわからない 8 ワークフロー基盤 or APIオーケストレータ 構成ドリフト*1が発生する - サービス仕様・実装の変更 - 実機への手動設定変更 *1: NWコントローラで導出したコンフィグと、実機に入っているコンフィグに差異があること 3rd-Party
© NTT Communications Corporation All Rights Reserved. Gitでコンフィグ管理し、CIでテストし、PR mergeトリガでデリバリ •
Netboxから構成情報を取得しつつ、 Ansibleでデリバリ GitOps 例 Github NWコントローラ Ops Admin Approve PR merge CI PR 9
© NTT Communications Corporation All Rights Reserved. GitOps 課題 Github
NWコントローラ Ops Admin Approve PR merge CI PR reviewでCIの結果を見て判断しているが、CIで確認 したコンフィグが必ずしも装置に入るとは限らない - 外部(Netboxなど) に依存している - CIで検証した版と実環境で動いている版が異なる Push型であり、装置のシークレットがここに 集約される。セキュリティリスクが高い モデル・スキーマ情報がなく、ゴールデンファイ ルとの差分確認テストしか出来ない。 検証は全てReviewerの目視確認に委ねられる。 外部(Netboxなど)に依存しており、Gitで過去の 版に戻しても同じconfigを必ずしも再現できない PR 10
© NTT Communications Corporation All Rights Reserved. クラウドネイティブ技術を活用した 現代的なソフトウェアデリバリ 11
© NTT Communications Corporation All Rights Reserved. クラウドネイティブなCI/CD 技術・プラクティス (ネットワークコントローラ開発に役立つも
を抜粋) 12 Infrastructure as Code Reconciliation Loop GitOps Secret管理 構成テスト IaC プログラマビリティ CUE言語 台頭 まだ普及していませんが、 今回の開発の重要なコンポーネントなので紹介
© NTT Communications Corporation All Rights Reserved. Infrastructure as Code(aka
IaC) インフラをコードで記述し、ソフトウェア開発 プラクティスを活かす • 多く ツールが生み出され、大多数 企業が採用している • Terraform、Cloud Formation、Kubernetes YAML、etc… ただツールを使ったり、宣言的コードで表現すれ よいわけで ない • 自動テスト、CI/CD、シフトレフト、モニタリング、高速なリリースサイクル ... 13 IaCを効率的に使う システム・プロセス・慣習が大事
© NTT Communications Corporation All Rights Reserved. 宣言状態に収束させるReconciliation Loop IaCで宣言された状態に収束させるに
、実行エンジンが必要 • 非常駐型:Terraformなど IaCツール全般 • 常駐型:Kubernetes Reconciliation Loop ← 昨今 トレンド k8s Reconciliation Loop • 観測されたインフラ状態と宣言状態が一致するまで、 デプロイ処理を繰り返す k8s 仕組み • k8s リソース 全てこ 仕組みで制御される k8sカスタムオペレータ • k8s上で、ユーザが独自 定義を持ち込み、 任意 リソースをIaCとして管理するk8s拡張方式 • CNCF 多く OSS 、k8sカスタムオペレータとして実装 14 今回の開発でも使用しています
© NTT Communications Corporation All Rights Reserved. pull GitOps Gitで構成管理をして、PR
mergeをトリガとしてデプロイする手法 • 2017年にWeaveworks CEOによって提唱された概念 *1 • Single Source of Truth(SSoT)が重要で、Pull型が選択される • ArgoCD、FluxCDなど GitOps メリット • Single Source of Truth(SSoT)であり外部依存がなく、 Git Version指定だけで任意 状態を再現可 • Pull型 ため、構成・運用 両面で Secretを秘匿しやすい *1: https://www.weave.works/blog/gitops-operations-by-pull-request CIOps push hook deploy GitOps push deploy 15 今回の開発で 使用しています インフラにデリバリするコンフィグが 一箇所に集約されている状態
© NTT Communications Corporation All Rights Reserved. Secret管理、構成テスト Secret管理:IaCで 大きな懸念事項
• Secretをmanifestに書かないことで、漏洩リスクなく GitOpsしたい • パブリッククラウド シークレットマネージャーを使う が今 主流 • External Secrets Operator、Secrets Store CSI Driver など 構成テスト:IaCマニフェスト テスト • リリースする前に、CIでマニフェスト 正しさを検証する • OPA conftest、Kyverno、Kubewardenなど ネットワークコンフィグのプロビジョニングでも 取り入れたいプラクティスです 16
© NTT Communications Corporation All Rights Reserved. IaC プログラマビリティ 宣言的マニフェストを効率的に記述するために高度なアプローチが生まれている
• Terraform系:Pulumi、CDK(JSなど汎用言語で書ける) • k8s系:Helm、kustomize(Helm chartやkustomizationによるモジュール化) モジュール化するだけでなく、透明性と拡張性が重要 • Overlay(マニフェスト 任意 拡張・変更)機能を各ツールサポート • 内部を隠蔽せず、透明性を維持する kind: Deployment spec: template: spec: containers: - name: test image: say-hello ... image: say-hello:v1.1.0 env: - name: TARGET vaule: world + ... spec: template: spec: containers: - name: test image: say-hello:v1.1.0 env: - name: TARGET value: world = Overlay 例 base patch base + patch 17 抽象化による内部の隠蔽・関心の分離が重要な 通常のソフトウェア開発とはアプローチが異なります
© NTT Communications Corporation All Rights Reserved. CUE言語 台頭 2018年に登場したデータ記述言語
• Marcel van Lohuizenが GCL*1で 経験を元に作成 • 国内で 、メルカリが使っていることで有名 • CUEを用いた新しいサービスや OSSなどが昨年から出てきている *2 特徴 • better JSONとしてライトに使える • データ 中にロジックを書ける(チューリング完全) • モジュール化など、ソフトウェア開発 プラクティスが適用可 • 型と値と制約を同一 も として扱う型システム • 交換法則と結合法則が成り立ち、 結合順序・階層によらない 任意 Overlay(Composite)が可能 • 構成テストもできる 18 // Value Alice: age: 20 // Type People: age: int // Constraint Member: age: > 18 // Validate Alice & People & Member *1: Google/Borg 中で使われているデータ記述言語 *2: dagger.io, KubeVelaなど 今回の開発で使用しています 型と値と制約を同様に扱う ネットワークコントローラ開発 で重要な特性です
© NTT Communications Corporation All Rights Reserved. 現代的なCDパイプライン Manifest Repo
k8s Reconciliation Loop Ops Admin Approve PR merge Test Admission Webhook Source Repo Pull PR 19
© NTT Communications Corporation All Rights Reserved. これから来るCDパイプライン(?) Manifest Repo
k8s Reconciliation Loop Ops Admin Approve PR merge Test Admission Webhook Source Repo Pull PR 20 CUEが流行ると、マニフェスト生成・構成テストで CUEを使うことが一般的になるかもしれません
© NTT Communications Corporation All Rights Reserved. ネットワークプロビジョニングと 比較 Manifest
Repo k8s Reconciliation Loop Ops Admin Approve PR merge Test Admission Webhook Source Repo Pull Github NWコントローラ Ops Admin Approve PR merge CI PR PR Push 21
© NTT Communications Corporation All Rights Reserved. Push PR PR
ネットワークプロビジョニング 遅れている Manifest Repo k8s Reconciliation Loop Ops Admin Approve PR merge Test Admission Webhook Source Repo Pull Github NWコントローラ Ops Admin Approve PR merge CI モデル・スキーマ情報がない。 ゴールデンファイルとの差分確 認のテストしか出来ない SSoTになっておらず、Git操作だ けでは過去の状態への切り戻し ができない 手続き的なスクリプト & モデリ ングが不十分。バグが混入した り構成ドリフトが起こりやすい 装置のシークレットが一箇所に 集まり、セキュリティリスクが あがる 22
© NTT Communications Corporation All Rights Reserved. クラウドネイティブ技術を用いて つくってみた 23
© NTT Communications Corporation All Rights Reserved. 要件 ネットワークコンフィグを、テキストで なくモデルで扱う能力
• ドメイン駆動・オブジェクト指向で開発できるプログラマビリティ • 型・スキーマに基づいたバリデーション・構成テスト、 Overlayによる拡張機能 • そ ために 、型付きドキュメントツリー 合成能力が必要 GitOps 実践 • SSoT 徹底 • Pull型で、シークレット 漏洩リスクを減らす そもそも、ネットワークコントローラとしてほしいも • マルチデバイス 分散トランザクション • マルチベンダー・マルチバージョン対応 • 外部システムと API連携 ため Northbound Interface 自動生成 24
© NTT Communications Corporation All Rights Reserved. 要件 ネットワークコンフィグを、テキストで なくモデルで扱う能力
• ドメイン駆動・オブジェクト指向で開発できるプログラマビリティ • 型・スキーマに基づいたバリデーション・構成テスト、 Overlayによる拡張機能 • そ ために 、型付きドキュメントツリー 合成能力 が必要 GitOps 実践 • SSoT 徹底 • Pull型で、シークレット 漏洩リスクを減らす そもそも、ネットワークコントローラとしてほしいも • マルチデバイス 分散トランザクション • マルチベンダー・マルチバージョン対応 • 外部システムと API連携 ため Northbound Interface 自動生成 出番! 25
© NTT Communications Corporation All Rights Reserved. 設計 k8s Reconciliation
Loop Ops Admin Approve PR merge Test Pull gNMI API Server Map Reduce Eval Composite Northbound Model Southbound Model Source Controller Device Rollout CR DeviceA Operator DeviceA Operator DeviceA CR DeviceA Operator DeviceA Operator DeviceB CR SSoT Multi-vendor Multi-version Devices DeviceA Operator DeviceA Operator DeviceA Subscriber DeviceA Operator DeviceA Operator DeviceB Subscriber Provision Change Notification 26
© NTT Communications Corporation All Rights Reserved. 設計 k8s Reconciliation
Loop Ops Admin Approve PR merge Test Pull gNMI API Server Map Reduce Eval Composite Northbound Model Southbound Model Source Controller Device Rollout CR DeviceA Operator DeviceA Operator DeviceA CR DeviceA Operator DeviceA Operator DeviceB CR SSoT Multi-vendor Multi-version Devices DeviceA Operator DeviceA Operator DeviceA Subscriber DeviceA Operator DeviceA Operator DeviceB Subscriber Provision Change Notification 27 - 上位ドメインモデルから装置コンフィグへのマッピングを CUEで簡単に記述できる - CUEによる型バリデーションとポリシーエンフォースメント - ドメイン駆動な開発ができる
© NTT Communications Corporation All Rights Reserved. 設計 k8s Reconciliation
Loop Ops Admin Approve PR merge Test Pull gNMI API Server Map Reduce Eval Composite Northbound Model Southbound Model Source Controller Device Rollout CR DeviceA Operator DeviceA Operator DeviceA CR DeviceA Operator DeviceA Operator DeviceB CR SSoT Multi-vendor Multi-version Devices DeviceA Operator DeviceA Operator DeviceA Subscriber DeviceA Operator DeviceA Operator DeviceB Subscriber Provision Change Notification 28 - SSoTを実現 - GitのRevision指定だけで任意の状態に切り戻せる - Gitを見れば、実際に装置に入っているConfigがわかる - 実際のコンフィグを用いて、CIのテストを回せる - 機械的な判定を自動化して、Reviewの負担を軽減
© NTT Communications Corporation All Rights Reserved. 設計 k8s Reconciliation
Loop Ops Admin Approve PR merge Test Pull gNMI API Server Map Reduce Eval Composite Northbound Model Southbound Model Source Controller Device Rollout CR DeviceA Operator DeviceA Operator DeviceA CR DeviceA Operator DeviceA Operator DeviceB CR SSoT Multi-vendor Multi-version Devices DeviceA Operator DeviceA Operator DeviceA Subscriber DeviceA Operator DeviceA Operator DeviceB Subscriber Provision Change Notification Gitの更新をPollingして、変更を契機にデリバリ 29 Device Rolloutで分散トランザクションを管理し、 デリバリに失敗したら全体を前の状態に戻す マルチベンダー・マルチバージョンのデバイスでも、 k8sカスタムオペレーターを実装すれば対応可能
© NTT Communications Corporation All Rights Reserved. 設計 k8s Reconciliation
Loop Ops Admin Approve PR merge Test Pull gNMI API Server Map Reduce Eval Composite Northbound Model Southbound Model Source Controller Device Rollout CR DeviceA Operator DeviceA Operator DeviceA CR DeviceA Operator DeviceA Operator DeviceB CR SSoT Multi-vendor Multi-version Devices DeviceA Operator DeviceA Operator DeviceA Subscriber DeviceA Operator DeviceA Operator DeviceB Subscriber Provision Change Notification - 装置のシークレットがk8s Secret Resourceとして管理される - External Secrets Operator、クラウドプロバイダーのCSI Driver などを使えば、先端のシークレット管理プラクティスに従って安 全に管理できる 30
© NTT Communications Corporation All Rights Reserved. 設計 k8s Reconciliation
Loop Ops Admin Approve PR merge Test Pull gNMI API Server Map Reduce Eval Composite Northbound Model Southbound Model Source Controller Device Rollout CR DeviceA Operator DeviceA Operator DeviceA CR DeviceA Operator DeviceA Operator DeviceB CR SSoT Multi-vendor Multi-version Devices DeviceA Operator DeviceA Operator DeviceA Subscriber DeviceA Operator DeviceA Operator DeviceB Subscriber Provision Change Notification 31
© NTT Communications Corporation All Rights Reserved. ドライバ実装 どうする? k8s
Reconciliation Loop Ops Admin Approve PR merge Test Pull gNMI API Server Map Reduce Eval Composite Northbound Model Southbound Model Source Controller Device Rollout CR DeviceA Operator DeviceA Operator DeviceA CR SSoT OpenConfig Devices DeviceA Operator DeviceA Operator DeviceA Subscriber gNMI gNMI Subscribe 32
© NTT Communications Corporation All Rights Reserved. ドライバ実装 ➞ OpenConfigを活用
k8s Reconciliation Loop Ops Admin Approve PR merge Test Pull gNMI API Server Map Reduce Eval Composite Northbound Model Southbound Model Source Controller Device Rollout CR DeviceA Operator DeviceA Operator DeviceA CR SSoT OpenConfig Devices DeviceA Operator DeviceA Operator DeviceA Subscriber gNMI gNMI Subscribe OpenConfig YANG Go Struct CUE type def ygot generator cue get 33
© NTT Communications Corporation All Rights Reserved. ほしいも できた か?
ネットワークコンフィグを、テキストで なくモデルで扱う能力 • CUEで実現できた • (CUEを記述する必要があり、敷居があがっている問題がある) GitOps 実践 • Flux CD Source-Controllerで簡易にできた • k8s Secret関連 プラクティスや最小権限 原則を活かせる そもそも、ネットワークコントローラとしてほしいも • マルチデバイス 分散トランザクション => k8s カスタムオペレータで実現 • マルチベンダー・マルチバージョン対応 => k8s カスタムオペレータで実現 • 外部システムと API連携 ため Northbound Interface 自動生成 => gNMIで実現 34
© NTT Communications Corporation All Rights Reserved. 35 まとめと今後 予定
クラウドネイティブ技術を用いたネットワークコントローラを開発した • OpenConfig/gNMI emulator対向で 動作確認済 実機結合検証中 • 伝送:OpenConfig/gNMIを具備する伝送Whiteboxと フィールドトライアル • 転送:予定なし(検証ユースケース・検証パートナー募集中) OSS化を目指して社内調整中 • 早けれ 12月頃予定 • UX改善、パフォーマンス改善、ハーデニングなど推進中
© NTT Communications Corporation All Rights Reserved. 36
hrk091
_awache
muehara
ks91
rfdnxbro
line_developers_tw
techtekt
soudai
sony
nrslib
pimterry
tagomoris
oracle4engineer
sabderemane
lauravandoore
marktimemedia
bermonpainter
gurzu
ipullrank
akademiya2063
bluesmoon
aleyda
mojombo
deanohume
