[OpenInfra Days Korea 2018] (Track 2) Cloud 환경에서의 보안과 네트워크 성능 보안 (xFW), DPDK OVS
•
2 j'aime•842 vues
- 발표자: 넷마블 클라우드기술팀 손주호 - 설명: https://event.openinfradays.kr/2018/session1/track_2_3
Recommandé
Recommandé
Contenu connexe
Tendances
Tendances (20)
Similaire à [OpenInfra Days Korea 2018] (Track 2) Cloud 환경에서의 보안과 네트워크 성능 보안 (xFW), DPDK OVS
Similaire à [OpenInfra Days Korea 2018] (Track 2) Cloud 환경에서의 보안과 네트워크 성능 보안 (xFW), DPDK OVS (20)
Plus de OpenStack Korea Community
Plus de OpenStack Korea Community (20)
[OpenInfra Days Korea 2018] (Track 2) Cloud 환경에서의 보안과 네트워크 성능 보안 (xFW), DPDK OVS
- 1. 18.06.26클라우드기술팀/손주호 N/A Cloud 환경에서의 네트워크 성능 과 보안 OpenInfraDay2018 클라우드기술팀/손주호 18.06.28세미나발표 1 OpenInfraDay2018
- 3. • 회사소개 • 고성능네트워크 • 클라우드네트워크Story • 클라우드고성능네트워크(DPDK-OVS) •xFW • xFW • 성능테스트 • 남은숙제 • Q&A 3
- 4. December 파트너십 온라인 및 모바일 게임의 선구자 2000 2006 2013 2014 2015 2017 설립 한국 퍼블리셔 TOP 3 한국 매출순위 1위 기록 게임들 2016 마블퓨처파이트 세븐나이츠 모두의마블(라인) 5,000만+가입자/1,000억원+수익 일본3위 대만 태국 인도네시아1위 리니지2:레볼루션 (한국) PC ONLINE MOBILE GLOBAL EXPANSION Formally March February July 앱스토어,구글1위 IPO $ 12B May KOSPI 상장 WHO WE ARE February ‘캐나다 개발스튜디오 카밤’인수 June 리니지2:레볼루션 (아시아) 대만 홍콩 태국 싱가포르등1위 Aug 리니지2:레볼루션 (일본) 앱스토어1위 구글3위 한국게임최고기록 세계 3위 퍼블리셔등극 리니지2:레볼루션 (웨스턴)
- 5. 5 넷마블 인프라실
- 6. 6 클라우드 네트워크 Story Linux Bridge &
- 7. 7 실시간(고성능 packets 처리) 서비스는 Linuxbridge 나 openvswitch 로 대응할 수가 없구나 어쩔 수 없이 물리 서버로 가야 한다니… DPDK-OVS 를 적용해서 computing 에 사용할 core 를 소비하더라도 packets 처리를 빠르게 하자! 클라우드 네트워크 Story
- 8. 8 클라우드 고성능 네트워크 <Native-OVS> <DPDK-OVS>
- 9. 9 클라우드 고성능 네트워크 HOSTHOST VM DPDK-OVS DPDK-bond PMD core# core0 core1 VM ...... core# ...... DPDK-Vhost User Space VM Native-OVS Linux-bond core0 VM ...... core1 ...... TAP User Space Kernel Space eth1eth0 dpdk1dpdk0 ......
- 10. 10 클라우드 고성능 네트워크 – 테스트 환경 VM (3대) Compute Node (1대) Hardware 4vCPU 4GB Memory 20 Core(HT enable) 256GB Memory Software Ubuntu 16.04 CentOS 7.3 Openstack Newton dpdk 16.11 OpenvSwitch 2.7.0 테스트 부하 설정 • 부하 발생기 : Avalanche • Src_ip : Random • Dst_ip : VM의 ip • Port : 단일 port 설정 • Packet size : 64byte
- 11. 11 클라우드 고성능 네트워크 – 테스트 결과 42 300 0 50 100 150 200 250 300 350 Native-OVS DPDK-OVS pps(단위:만) 네트워크 모드 별 패킷 처리량 Native-OVS DPDK-OVS
- 12. HOST VM DPDK-OVS DPDK-bond PMD core# core0 core1 VM ...... core# ...... DPDK-Vhost User Space dpdk1dpdk0 ...... 12 클라우드 고성능 네트워크 – 방화벽 구성 ① iptables 를 이용한 방화벽 구성 user space 만을 사용하여 트래픽 제어 불가능 ② Switch 에 방화벽 구성 HOST 내부에서 흐르는 트래픽은 제어를 할 수 없음 ③ Openflow 를 활용한 구성 <Openstack FWaaS 와 차이> • L2 모드에서도 트래픽 제어 가능 • HOST 내부에서 흐르는 트래픽 제어 가능 • HOST 단위 부하 분산
- 13. 13 클라우드 네트워크 xFW user-space kernel-space user-space OpenvSwitch OpenvSwitch Forwarding Plane Driver DPDK Forwarding Plane Poll Mode Driver hardware Network Interface Card hardware Network Interface Card iptables iptables openflows
- 14. 14 xFW - Architecture Controller Node Neutron xFW Plugin Compute Node xFW Agent OpenvSwitch • Neutron Service Plugin • Tenant별 FW, Rule 정보 관리 • Agent로 Rule의 명령 및 정보 전달 • 별도의 Daemon으로 동작 • xFW Plugin으로부터 받은 명령 및 정보를 기반으로 OVS Daemon에 명령 수행 • Agent 실행 시 Flow Table의 초기 세팅을 수행
- 15. 15 xFW - Flow xFW plugin DB HOST DPDK-OVS PMD VM xFW agent ① neutron DB 를 통하여 Rule이 적용될 VM의 소속 Host확인 ② agent 를 통해 해당 ovs의 Flow 추가, 삭제 진행
- 16. 16 xFW – xFW Agent HOST VM br - ex DPDK-bond PMD VM ...... dpdk1dpdk0 Table 0 : table=0, n_packets=4, priority=10, icmp6, in_port=4, actions=… ….. table=0, n_packets=15, priority=4, ct_state=-trk, … , actions=mod_vlan_vid:1, ct(table=110) Table 110 : table=0, n_packets=4, priority=65500, ct_state=+new+trk , tcp, in_port=1, nw_src=.., nw_dst=.., tp_dst=22 , actions=ct(commit), NORMAL ….. table=0, n_packets=4, priority=65108, ct_state=+new+trk , udp, in_port=1, nw_src=.., nw_dst=.., tp_dst=5080, actions=ct(commit), NORMAL Conntrack 테이블에 등록이 안된 패킷
- 17. 17 xFW – 성능테스트 환경 VM (3대) Compute Node (1대) Hardware 4vCPU 4GB Memory 20 Core(HT enable) 256GB Memory Software Ubuntu 16.04 CentOS 7.3 Openstack Newton dpdk 16.11 OpenvSwitch 2.7.0 테스트 부하 설정 • 부하 발생기 : Avalanche • Src_ip : Random • Dst_ip : VM의 ip • Port : 단일 port 설정
- 18. 18 xFW - 성능테스트 300 90 0 50 100 150 200 250 300 350 FW 적용 전 FW 적용 후 pps(단위:만) DPDK-OVS환경에서 xFW 적용 전후 패킷 처리량 FW 적용 전 FW 적용 후
- 19. 19 xFW 성능이 이렇게나 떨어져버리다니…. EMC 의 사이즈를 늘려서 성능을 개선해보자!
- 20. 20 xFW – DPDK-OVS 의 패킷처리 참고: https://software.intel.com/en-us/articles/the-open-vswitch-exact-match-cache Cache Miss 및 대량의 Trashing 발생
- 21. 21 xFW - 성능테스트 환경 VM (3대) Compute Node (1대) Hardware 4vCPU 4GB Memory 20 Core(HT enable) 256GB Memory Software Ubuntu 16.04 CentOS 7.3 Openstack Newton dpdk 16.11 OpenvSwitch 2.7.0 EMC Size Up (8192 -> 16384) 테스트 부하 설정 • 부하 발생기 : Avalanche • Src_ip : 12000개 • Dst_ip : VM의 ip • Port : 단일 port 설정 OpenvSwitch 소스 내 /lib/dpif-netdev.c에 있는 EM_FLOW_HASH_SHIFT 값을 변경하여 Size 조정
- 22. 22 xFW - 성능테스트 120 150 0 20 40 60 80 100 120 140 160 EMC Default EMC 2x pps(단위:만) DPDK-OVS환경에서 xFW 적용 시 패킷 처리량 EMC Default EMC 2x
- 23. 23 남은 숙제 pmd multi queue conntrack table OpenStack upgrade SR-IOV kernel version smart nic
- 24. 24 Q&A Q & A