開会

ギークナビとは?

• エンジニアブログをいろいろ書いている
• https://geeknavi.net/
• VyOS を使った仕事なんかもしてる
• #vyosjp #2 が2014年だったというのもあってやりましょう、ということに。

I have a VyOS, I have a SoftEther

いしばしさん/ギークナビ

Yamahaルータを使ったVPNサービスとかを仕事でやってる。

AWS標準VPNではなくてvyosをつかっている

• やすい
• 接続時ログとかが取れる
• 使い勝手が良い

仕事で使うリモートアクセスVPN

• CiscoASA をよくつかう
  • でも高い
  • AnyConnect等の使い勝手が…

VPNなんだからリモートアクセスもvyosでもいいんじゃないか

• VyOS: できんかった（同時接続が1になる?)
• SoftEther
  • あわせてしまえばいいのでは

拠点間はVyOS, リモートアクセスはSoftEther

クラウドへのアクセスも含めて VyOS/SoftEther でできるのでは?

Demo

• AWSでVyOSを起動
• debian repos 追加
  • "apt install build-essentials git" とか
• softether のダウンロード
• softether のインストール
• softether server の設定
• AWSの場合セキュリティグループ設定も。
• softether server-manager/client から接続

本当はこうしたかった

• L2TP over IPSec つかえば windows 側に vpn client いれなくても
  • ただ、拠点間VPNのIPSecと競合しちゃうので、vyos側でNICわける
  • が、うまくいかず

QA

• キャパシティ・性能
  • いまのところ t2.micro で試している。性能・キャパシティ的なお試しはこれから。
  • クラウドなので拡張性は。
• VTIだと拠点間VPNとリモートの接続できなかったよ
• 接続機器
  • Ciscoとか。Fortiはやってない。

Troublesome at vyos on aws

かみたさん/ギークナビ (急遽代打)

Trouble1: VyOSのVPN接続が切れる

• 複数拠点とのVPN接続でVPNが切れる
  • 切れる。あるけど通信できない。あるけど通信できず経路なし。などなど
  • 回避策: keepalive等を入れて迂回
  • 回避はできるようになったので原因調査中

Trouble2: VyOSのディスク容量圧迫

• auth.log の肥大化 (接続拠点が多いのでログがでかい)

Trouble3: AWSでのVyOS構成

• AWS VPCの使用上、192.168.0.0/16をVPC内部ルーティングしようとする

AWSと複数拠点間でのBGP冗長化構成について

ふじいさん/ギークナビ

拠点間接続/dynamic routing の話をやってた

• 今の会社はstatic routingだいすき
• vyos はまだはじめたばかり

Cisco/VyOS接続検証

• VyOS on AWS で対向はCisco(1812, ISR4331)で拠点間VPN
  • 1対1では問題ないけど複数拠点つなぐと通信できなくなる障害
    • VTI Interface が admin/down になる →まだ原因がつかめてない
  • Workaround: VTI Interface reset ("run reset vpn ipsec-peer") をping lossをトリガに自動実行

全部VPNじゃなくて、2拠点だけにしてdynamic routingで迂回いうのは?

• bgp, 通常経路と迂回経路で使い分け
• 拠点追加の増減で設定変更するのも面倒だよね
• route map による制御とかの話はまだこれから

VyOSとLXCと僕

@gentaさん

JSONを投げると雲の中にルータが爆誕するやつの話

LXCとは?

• 「コンテナ」をLinuxで実現する
  • VM: Kernel部分のオーバーヘッド
  • コンテナ: Kernel部分のオーバーヘッドがない分高密度に収容できるように
• Linuxの提供するリソース分離機能を使う
  • 頑張ると、mount point は別なのに見えるNWインタフェースが見える、みたいなちょっと変なものもできる。
• LXC: 簡単に仮想環境みたいのができる。VMたくさん並べるよりもいっぱい詰め込める。

それでVyOSうごかしてみよう

• VyOSをひとつのVMの中でたくさん動かしてお金を減らしたい
  • ユーザが増えたらそれなりにスケールするようにしたい
  • それなりにいろいろできるようにしたい

構成

• vxlanベース: VTEPはホストOS側で。
• コントローラにjson投げるとコントローラがvyosをホストOS上に立てていく
  • 12RPM(Router per Minutes)

特徴

• LXCを直接たたくので軽い
• 網構成はコンテナ内ネットワークで割といろいろおやれる
  • vxlan id ごとにブリッジを作ってvethでVyOS(container)につなぐ

ストレージ構成

• 普通にやるとCD1枚分くらいある。たくさん作るときついので、Overlay FS で実装。
  • Clone しても zero copy (mount point 操作のみ), ログとか書き込まれたら差分だけ別ディレクトリに入れる。

フロー

• json → ssh でperlで作ったスクリプトをキック

はまったこと

• LXC由来の問題は今のところほとんどない
• bind mount:
  • VyOS起動時: /config → /opt/vyatta/etc/config とかを bind mount してる。
  • 落とした時に umount してない
  • LXC の hook script で回避
• start-stop-daemon
  • debian の start stop script がへぼくて killall とかやる…
• overlayfs + VM Snapshot の問題
  • overlayfs利用時に ESXi のVM Snapshotとるとファイルシステムがこける
  • config いじればよい

まとめ

• 「意外と動いている」
  • マニアックな機能テストはしてないけど
• コンテナごとにbgpdが増えるのが地味につらい
  • bgpdでnetns対応してVRFみたいに動いてほしい

なぜVyOS?

• PCルータを手軽に使う
  • 設定ノウハウの蓄積…config generatorの部分だけ把握して、VyOSじゃなくてふつうのlinux上の話でいいんじゃ…
• お客様との責任分界点

QA

• LXC wrapper みたいので LXD というのが。そちらはためした?
  • 作った後に出てきて、気にはなっているけど調べられていない。便利機能があれば、と思うけど。
  • ストレージバックエンドをZFSにできる。overlayfs のスナップショットのところはZFSに任せられるのでは
• コンテナ内プロセス、NTPとか動作がkernelに依存するプロセスはどうする?
  • ホスト側起動するときに事前にinsmodして合わせる…kernel環境はvyosから見て一緒になるように合わせる。

vyos-buildでつくるカスタムVyOS

@m_asamaさん

VyOSのカスタムイメージを作る

vyos-build

• あたらしいvyos install imageを作るための仕組み
• 1.1.7まではdebian/squeezeベース。1/2からはjessyベース。
  • 1.1まではbuild-iso → 1.2からはvyos-buildでインストールイメージを作る
  • debian-live がベースになってる。

ISOイメージ作る流れ

• debian jessie 環境をつくる
• git clone vyos-build
• git checkout -b current
• README読む
• 必要なdeb packageいれる
• configure && make iso

カスタマイズする場合

• vyos-build/packages に deb file をおいてから make iso (2015/12/22からの機能)
• vyatta-* vyos-* の修正
  • git submodule update --init packages/vyatta-cfg とかをやる
  • current checkout
  • 修正
  • fakeroot make: packages に deb が書き出されてれば make isoではいる

カスタムカーネルに差し替えたい

• ビルドの仕方がよくわからない。ドキュメントも見当たらず。

今後

• 1.2でjessieベースだけど、CLIとかはそのまま
• vyos2.0とかからは、vyatta-cfg-*, vyatta-op-* とかがスクラッチのものに変わるといわれている。

余談

VTIが落ちる話 : http://bugzilla.vyos.net/show_bug.cgi?id=183

• admin downしてなぜかupしない
  • strong-swan の中で、IPsec SA焼失したときにinterface落とすような設定がある。
  • vyatta static route で interface route 設定できる。これでnext hopしているとき、経路切り替わるように、interfaceもおとす。
• ときどき route-client で上がらないのがある。up-client もつかう
  • ほかのところでも問題が、というコメントがあっておいといたらrevertされちゃった。
  • 1.1.7だおこのパッチでよくなるかもしれない。このパッチで安定しているところがあるのであてたほうがいい。
• IPsecのSA切れる理由
  • DPD(dead peer detection)でheartbeatとかが死んでるなって時にSA落とすケース
  • DPD生きてるけどIKE鍵交換がうまくいかない(回線品質悪いとうまくいかないケースがある気配)
    • パケロスが多いところで頻繁におこるかも

最近のVyOSの様子 2017/01

@higebuさん

• 最近のVyOSの様子 2017/01

Webサイトとかシステムが変わりました

• 公式HP, 開発ブログ
  • BTS(bugzilla→fabricator): 重要そうじゃないのは移行されてないみたい
• RocketChat を自分たちでホスティング
  • 日本語channelもある
• Forum
  • 各言語(日本語も)のフォーラムができた

1.2/2.0とかいつでる?

• 公式Blogをみましょう : "Change is coming to VyOS project"

次のバージョンについて

• 1.2
  • build-iso → vyos-build (debian live base)
  • Jessieベース + いろんなパッケージを新しく (新しくしたら壊れてるのもある)
  • テストがんばるしかない(使う機能が動けばいいや…というながれ)
• Perl scriptしんどい → python に統一しようという流れ
  • コーディング規約とかもでてる。
• 2.0
  • vyconfがOCamlでかかれてる (バックエンドなので普通の人は触らない)
  • コマンドテンプレートがXMLに
  • コンフィグのスキーマが変わりそう。古いのもサポートはしそうだけど。fabricatorで投票している。
  • 内部APIが protobuf に
  • ベースOSも見直しそう
  • Web UI Project も
  • development digest を読みましょう

自分が最近やっていること

• vyos-buildにいろんな仮想環境用のスクリプトを足している (packer based)
• vyos-cloudinit
  • EC2だけcloudinit的なのがある。いろんなところで動きそうなのに書き換え中
• vyos自体のテスト

とりあえずみんないろいろやってみてはまったところの話であーそれ見たみたいな話がわらわらっとあがってるのをみると、やっぱりこういうミーティングとかは有用なんだなあと思う次第であります。開催自体は有志によるベストエフォートだからなかなか定期的にやるのも難しいというのはわかりつつ。平日昼間開催でキャンセルは入ったもののそれでも20-30人くらいは参加者がいるというのを考えると、やっぱりそれなりに関心がある人が多いんだなあ、とおもったのでした。あと、LTネタあったのを全部終わった後にああそういえばアレがあったなとか思い出したりしたので、ネタの収集/吸い上げという意味でもそれなりに定期開催されるのがいいんじゃないかなーと思いました。自分でやったことを忘れている…。

NetTesterで物理ネットワークの受け入れテスト(@yasuhito)

• 物理ネットワークのテスト
• ネットワークの話を聞くと、みんなとても大変そう。
  • 某所のテスト風景
  • 手作業、現場に行って現物を操作しないとテストができない。
• これをなんとかリモートで、現物持ち込まなくてもテストできるようにしたい。

たとえばFWとかをテストしたい

• 通信するノード(サーバ・クライアント)、最低2台おいてパケットを送らないといけない
• 項目も爆発: いろんなIP,ポートでテスト、機器もいるし組み合わせもたくさんある。

NetTester

• しくみは単純
  • LinuxマシンとOFSを用意する。
  • テスト用のノードはLinuxマシン上に仮想的に用意する(netnsとか)
  • それをOFSを使って、テスト対象の機会につないであげる
  • つなぎ方、ノードの増減も何とでもなる。ソフトウェア的に操作できる。

NetTesterの特徴

• シナリオの書き方で工夫
  • cucumber/受け入れテストのツール。
  • よくWeb屋さんとかで受け入れテスト(blackbox test)とかで使われている。振る舞いの記述のための言語とフレームワーク。ユーザがたくさんいる。
  • それをネットワークのテストでも使えないか。

テストの時に考えること

• テストツール、周辺のツールはたくさんある。充実しているので、それらはなるべくそのまま使いたい。
  • 代表的なのは cucumber, rspecなど
  • テストの手法もいろいろある。
  • 自動テストの仕組みもいろいろある。CIとかも。

すでにあるツール・知見をネットワークにも適用しよう!

• もともとテストのツール、アプリ屋さんが強い。
• アプリ屋さんとネットワーク屋さん
  • NetTesterはそれらの間をつなぐツールを狙う
• https://github.com/yasuhito/net_tester

NetTester

• いまのところ、受け入れテストのツールとうたっている
• ゆくゆくは、設計フレームワーク。
  • ネットワーク設計の時の助けになるツール
• TDD
  • テストの結果から、ソフトウェアの設計を直していく。テスト書いていてAPIが使いにくいならAPIをリファクタリングする、というフィードバックをかける。テスト、設計、またテスト、というサイクルを回して元の設計をよくする。
  • それをそのままネットワークでもやりたい。

QA

• Fiewall以外のケース想定
  • まだ検討中。

最近のTremaを触ってみてちょっとはまったこととか (@stereocat)

(自分しゃべってるところなのでメモありません。資料参照してください。)

「GoBGP活用によるSD-WANプラクティス (@ttsubo)

GoBGP

• BGPエキスパートがいろいろつかってる。
• 最先端のBGP機能
• gRPC機能で連携が図りやすい

GoBGPにもD-planeを

• pingがデモで使えないという課題をどうにかする。
• Quagga環境を活用
  • Quagga bgp daemon を GoBGP にする。
• netlinkでFIB注入を行う。
  • 中間に goplane を置く。
• OpenFlowでFIBに注入する
  • goplane ではなく openflow controller (trema or ryu)
  • パブリックな実装はないけど、個人的な実装でサンプル的に動かしてみたことがある

そもそも

• OFCでgolangに対応したモノって、ニーズあるんだろうか?

本題: SD-WAN

• whitebox switch とか持ってきて環境作りたいけど、自宅だと敷居が高いなあ。
• うるさくなくて、自宅におけるようなモノ……RasPI?

プラクティス

• RasPIにgoBGPを載せて、USB NIC足して環境を作った。
• Juniper SRXをBGPルータに
• Buffalo (OpenWRT + Quagga)でBGPルータに

コンフィグの一元管理

• とりあえずgoBGPベースのところ

BGP Peer断の即時通知

最後に

• goBGPは環境くみ上げるのは簡単なので、みんなもお手軽に始めてみようよ!

QA

• 投資額?
  • SRXはこのためだけに買ったわけでは泣くほかにも使っている。(5万円とか)
• BGPだけでも迂回できるはず。orchestratorの役割は?
  • デモのところはorchestratorは関係ないところ、orchestrator の動きのところは公開済み動画で説明してます!

Bird in Cloud (@hibitomo)

Interop Tokyo 2016 Shownet に lagopus を入れた話

Lagopus

• OpenFlow Switch 実装。
• dpdkで高速スイッチング
• openflow 1.3 に strict に準拠
• 雷鳥
  • 高いところに住んでいる鳥 → Cloud に住んでいる

in ShowNet

• NFV島でうごいていた
  • servicechain
  • netfpga で処理してlagopusで転送
  • VNFではVirNOS
• Serverの中でlagopus/virnosそれぞれがdpdkで動いている。外-lagopus/virnos-外 をちゃんとdpdkでやってる。

性能を出すための設定ポイント

• dual socket のサーバ
  • コアアサイン(lagopus/VNF)
  • パケットや処理の流れを想像してコアアサインを考える。
    • 性能を測ってみた。2倍くらい変わる。
  • トラフィックの偏りも考える。
    • これでも10％くらい性能が変わる。
• フロールール設計

性能評価

QA

• nsh passing
  • Servicechain, コントローラはNOCメンバが書いてた。BGP flowspec でまげて、openflow で source ip base のルーティング。openflow 部分でトンネリングとかはやってない。
• コア混ぜるとどうなるか?
  • 今回はコア混ぜたのはやってない。時間がなかったので。
• 1個のNICに対して1CPUコアがアサインされる?
  • そういう風に割り当てている。dpdkがそういう仕組み。割組じゃなくてポーリング、担当している数でコア単位に分ける。
• これをつかってOFS作ろうとすると、コア数に制限されたスイッチしか作れない?
  • lagopusは1コアで複数ポートを見るようにできる。IO/workerのバランスを変える。

LagopusでPPPoEを使えるか考えてみた件 (@masaru0714)

lagopus

• packet header encap/decap の機能が拡張されてる。
  • ソース書き足せばほかのヘッダも対応できる

PPPoE

lagopusでPPPoE

• PPPoEヘッダつかえればlagopusでPPPoE終端させられるんじゃないか?
• PPPoE packet format
• プロトコルネゴシエーションはコントローラ、コネクション確立したらペイロードの転送はlagopusで、というのを考えた。

コントローラのプログラミング量が結構多そう

結局何ができるのか?

• ブロードバンドルータを実装したようなものになるのでは
• PPP処理は既存の実装流用でもいけるのでは
  • 自宅のブロードバンドルータを lagopus で置き換えよう!

QA

• OXM?
  • いまはべたっと書くので、正式な仕様の方でかぶったらずらさないといけない

OVSDBで遊んでみた (@tkshnt)

OVSDB

• Open vSwitch DataBase
• RFC7074

OVSDBの特徴

• DB変更があると側道差が反映される(commitがない)
• フロー情報もOVSDBに書き込まれている

• ovsdb-client/server
• OVSDB schema
• OVSDB tool

QA

• OVSDBでやらないとできないconfig, OVSDBいじったんだけど狙った通りに反映されないもの、どこかに情報あったりする?
  • そこまでは調べられてない。
  • 変なごみが残ってるらしい。(vsctl コマンドで変なごみが残る? /etc/openvswitch/ovsdb プレーンテキストで書いてある。そこにあらゆる消し忘れのごみが残っている。うまいことやるなら、vsctl だけじゃなくて自分でちゃんと消してあげる。そのせいでうまく動かないんじゃないか。
  • いったん全部消してからやり直すと上手くいくかも?

ZodiacFXについて語ってみる (@kwi)

Zodiac FX

• "Affordable"
• Kickstarter, 期限ぎりぎりに達成。
• Kickstarter枠配布が終わって、ファームウェアは開発中。
  • 直販で買える。送料込、諸経費のぞく、$99.00-AUD
  • 配送はFedEx

アーキテクチャ

使い方

• 電源兼シリアルなのでUSBシリアルから設定
• telnetもできるようになる予定

CLI

ファームの書き込み

• SMB-BAをつかってUSBシリアルで書き込み
• 最初の頃のファーム、コンパイラ荒い面とについてのところがナイーブに実装されててうまく動かないやつがあったり

ベータテスタ枠

• ベータ、実はたいした作業できていない。むしろ今から本番

ベータボードとプロダクションボードの違い?

• そんなに違いがない。

開発環境

• 開発しようぜ!
• Atmel Ice debugger
  • SOCに直結してステップ実行とかできるようになる。
  • 事実上必須
• github
  • OSS運営自体もあまり経験がないみたい。一般的な流儀とちょっと違う。

開発中の注意

• 温度
• あまり触らない
• 電源ノイズ

ソフトウェア

• 悩んだときはAtmel の SOCの開発環境そのまま、Atmelのサンプル探してもってく売ると動く、みたいな感じ。
• いわゆるOSはない。

Logical view

実装してみた

• いろいろ書き換えたらオリジナルをほとんど書き換え。本家にマージされず。
• どうせマージされないし、ってことでIPv6対応まで進める
• はじめは gcc -O0 にしないといろんなところを踏んで闇

なぜZodiac FX?

• 極論すると whitebox switch
• OpenWRTより簡単なフリーの開発環境なんじゃないの?
• 自由!

無線屋はエンタープライズSDNの夢を見るか? (@t_j_baldwin)

(諸事情によりメモ取っていません)

中国にopenflowを入れてきた話 (@Clorets8lack)

中国〜日本の間の経路

• 3重冗長[直結・上海経由・シンセン経由]のいいところを使う
  • 2重だったところにシンセン経由を追加した

導入理由

• 基幹システムのレスポンス向上→VDI導入
  • VDIはパケットロスに弱い。(0.5%ロスがギリギリ)
  • でも、できると遅延を無視できる。
• 国際ネットワークのBCP
  • 予算とかないんだけどでも何とか
• 無敵のBCP!?

実際の運用の工夫

• 今までのネットワークの形を変えずにアドオン
• エッジのOFS,コントロール通信自体の冗長化が必要
• debug前提で作り込が必要
  • gateway wan/lan 全部キャプチャとれるように

中国の秘密

• キャプチャ全部取ってるので障害と化がいろいろ見えてくるものがある
• 通信通らなくなるのは割とある
  • Great Firwall は中国の通信規制の一部
• なにがあるか?
  • DNSポイズニング
  • 検索サービスの結果操作
  • Great firewall
  • CPEでの制御(構内ルータとかONUとか)

中国は言ったもの勝ち

• トラブル、言ってみると治ったりする。CPE設定でやってることがあるので、証拠を出していってみると、意外と修正してくれたりする。
  • 凡ミスもおおい。気づいたら言うのが重要。エビデンスを出して、こうしろ、という話をする(「調査してくれ」だけだと動かない)
• 時にはあきらめも必要

Enterprise国際インフラ運用

• 予算と人手が足りない中で何ができるか?
• 理不尽な障害が常に起きる。原因究明・再発防止のための可視化、というのが必要。

SonarMan

• VMあるよ!