Napisaliśmy tego bloga jako odświeżający lub szybki przewodnik na podstawie liczby zasobów i publikacji z Internetu. Wszyscy mamy inną interpretację tego samego celu, ale czasami dobrze jest sprawdzić to, co inni mogą myśleć.

Cisco ACI dla przedsiębiorstw w centrach danych

W świecie sieci wszyscy rozmawiają lub korzystają z infrastruktury Application Centric Infrastructure (ACI). Zacznijmy od kilku pytań.

Co to jest Cisco ACI?

ACI to skrót od Application Centric Infrastructure i jest rozwiązaniem Cisco SDN dla środowiska Data Center. ACI to sposób na stworzenie wspólnej opartej na polityce struktury dla środowiska IT. W szczególności w domenach aplikacji, sieci i zabezpieczeń. Opiera się na zasadach - zbiór wytycznych lub zasad określających sposób działania. Przykładem może być: ruch przechodzący z serwera WWW do hosta końcowego musi przejść przez firewall. Spróbuj wizualizować, takie jak QoS, bezpieczeństwo i SLA

Jakie są kluczowe cechy / zalety?

• Automatyzacja
• Skoncentruj się na aplikacjach
• Możliwości integracji
• Wirtualizacja
• Sieć kontenerów
• orkiestracja
• Sieć chmury publicznej

Dlaczego ACI?

• Topologia liść-grzbiet-liść - prosta i skalowalna
• ECMP - Routing Ethernet w sposób aktywny / aktywny
• Optymalizacja ruchu Wschód-Zachód, brama Anycast na każdym Liściu
• Mikrosegmentacja - ta sama podsieć? Nie ma problemu!
• Bezpieczeństwo - domyślnie polityka białej listy

Jakie są komponenty ACI?

• Przełączniki -> Role: Liście i Kolce
• Tryby Nexus 9K: ACI dla ACI i NX-OS do samodzielnego użytku
• Kontrolery: kontroler infrastruktury zasad aplikacji (APIC). Serwer UCS-C -> różna pojemność dla różnych rozmiarów szkieletu. Sprzęt inny niż Cisco jest niedozwolony; to nie zadziała.

Architektura ACI

Zobacz rysunek poniżej. Oto złota zasada Przełączniki kręgosłupa musi być podłączony do wszystkich przełączników Leaf i odwrotnie. Jednak kręgosłupy nie są ze sobą połączone, a liście też nie mogą się połączyć. Serwery mogą być podłączone tylko do Leaves i NIE Spines. Jeśli serwer jest podłączony do Spine - MCP (MisCiring Protocol) wykryje to i zatrzyma połączenie. LLDP (Link Layer Discovery Protocol) nie zezwala na połączenia Spine <> Spine and Leaf <> Leaf

Topologia liści kręgosłupa

• Sieć szkieletowa 40 Gbps IP ze zintegrowaną nakładką VXLAN -> 100 Gbps
• Prosta / spójna / skalowalna tkanina
• Składa się z urządzeń N9K, 9500 przełączników jako kręgosłupa (co najmniej 2x dla nadmiarowości) używanych do przepustowości sieci szkieletowej
• Przełączniki Cisco 9300 w warstwie Leaf (ToR - Top of the Rack). Urządzenia końcowe, zwykle serwery, obudowy VMWare łączą się tutaj.

ACI - Frezowanie podkładów kręgosłupa i liści

• IS-IS (protokół routingu) zapewnia routing podkładu
• Zakres obejmuje: nienumerowane interfejsy IP, połączenia tylko L1 (wewnętrzne), ogłasza adresy VTEP, generuje drzewo FTAG multiemisji, identyfikuje i ogłasza tunele

Co to jest VTEP?

Hermetyzacja ramek jest wykonywana przez jednostkę znaną jako punkt końcowy tunelu VXLAN (VTEP.) A VTEP ma dwa logiczne interfejsy: łącze w górę i łącze w dół. Łącze ładujące jest odpowiedzialne za odbieranie ramek VXLAN i działa jako punkt końcowy tunelu z adresem IP używanym do routingu ramek zamkniętych w VXLAN (z Cisco Portal)

Co to jest APIC?

Kontroler infrastruktury polityki aplikacji - APIC, jest głównym składnikiem rozwiązania ACI. Zapewnia automatyzację i zarządzanie strukturą Cisco ACI, egzekwowanie zasad i monitorowanie stanu zdrowia. Kontroler optymalizuje wydajność oraz zarządza i obsługuje skalowalną, wielodostępną sieć Cisco ACI.

• APIC jest kontrolerem zasad w ACI
• Wysoce nadmiarowy klaster: zazwyczaj trzy lub więcej APIC dla nadmiarowości i kworum. NIE są w konfiguracji Aktywny / Gotowy. Znajdują się we wdrożeniu aktywnym / aktywnym, a dane są udostępniane między węzłami. Każdy fragment ma 3 repliki na kontrolerach.
• APIC NIE kontroluje ani płaszczyzny danych w strukturze. Skonfigurowanie środowiska sieciowego i wyłączenie APIC nie wpłynie na infrastrukturę. Jednak APIC jest wymagany do przenoszenia / dodawania / zmiany / usuwania i wszelkich codziennych operacji. Więc na dłuższą metę musisz mieć APIC. Twoja sieć może przetrwać bez niej przez krótki czas.

ACI - Fabric Discovery

• APIC jest odpowiedzialny za: wykrywanie i adresowanie sieci, zarządzanie obrazami, sprawdzanie topologii i okablowania.
• Fabric Discovery jest dokonywane za pośrednictwem protokołu Link Layer Discovery Protocol (LLDP), TLV specyficznych dla ACI (OUI) i połączenia zarządzania APIC z infrastrukturą VRF

Kurczak czy jajko? Jak się odkrywają?

Interfejs ACI w procesie wykrywania korzysta z metody przesyłania komunikatów wewnątrz sieci (IFM), w której APIC i węzły wymieniają komunikaty pulsu. Technika stosowana przez APIC do wypychania zasad do węzłów liści tkaniny jest nazywana procesem IFM. W ostatnim etapie przetwarza wykrywanie innych węzłów liści i APIC w klastrze.

• Interfejs API Bootstrap
• Przełącznik liści wykrywa APIC przez LLDP, żąda adresu TEP i pliku rozruchowego z APIC.
• Przełącznik kręgosłupa znajdzie Leaf, żąda TEP i plik rozruchowy z APIC.
• Materiał sam się składa
• Kiedy wiele APIC zostanie wykrytych w AV (Appliance Vector), utworzą one elastyczny klaster.

Co to jest najemca Cisco ACI?

An ACI Model obiektu dzierżawcy reprezentuje obiekt najwyższego poziomu. Wewnątrz można rozróżnić obiekty definiujące sieci dzierżawców, takie jak sieci prywatne (VRF), domeny mostowe i podsieci; oraz obiekty, które definiują zasady dzierżawy, takie jak profile aplikacji i grupy punktów końcowych.

• Najemca - logiczna jednostka do zarządzania
• Mogą to być klienci, jednostki biznesowe (BU) lub grupy
• Pozwala na: oddzielne przepływy administracyjne i danych, przestrzeń adresów wielokrotnego użytku IP, odrębna przestrzeń profilu.
• Three Default Tenants: Common - zapewnia wspólne usługi wszystkim dzierżawcom, Infra - używane do wszystkich wewnętrznych komunikacji w sieci szkieletowej, Mgmt - używane do zarządzania wewnątrz pasma i poza pasmem.

Zbudujmy ACI jak klocki Lego

Kontekst - VRF wewnątrz Najemcy

• Najemcy może mieć jeden lub więcej kontekstów, pozwala na duplikację adresu IP

Domena mostu - kontener na podsieci

• Są to z konieczności VXLAN, wykorzystujące funkcjonalność IRB: ruch w BD jest mostkowany, ruch między BD jest kierowany, podsieci są zatem nieistotne, ponieważ ruch jest kierowany w oparciu o trasy hostów ./32.
• Zalewanie warstwy 2 jest domyślnie wyłączone; można go włączyć w ramach domeny mostu dla ARP, DHCP i integracji CE.

Jak zarządzać, OOB Access?

Zarządzanie strukturą, zakres Cisco Nexus 9K Mgmt

• W paśmie, za pośrednictwem infra i zarządzania VRF, portów konsoli, dedykowanego portu zarządzania poza pasmem (podobnie jak inne urządzenia Nexus, N5k i N7k)
• Zakres APIC Mgmt; Porty sieciowe (2x dane), OOB Mgmt, Konsola Ethernet, CIMC / IPMI

Jak działa przekazywanie ACI w tkaninie?

W skrócie, jeśli serwer podłączony do przełącznika Leaf chce komunikować się z innym serwerem w innym miejscu w sieci LAN, Leaf wyszuka w swojej „tabeli stacji lokalnych” VTEP (Virtual Tunnel Endpoint). Jeśli nie może go tam znaleźć, spróbuje użyć opcji „Global Station Table”. Mimo to, jeśli nie może go tam znaleźć z poprzedniej komunikacji, zapyta o przełącznik Kręgosłupa. Spine (s) wiedzą wszystko i zobaczą wpis VTEP, aby przekierować ruch do miejsca docelowego.

Przekazywanie, ukierunkowanie wewnętrznego LISP.

• Warstwa 2 i warstwa 3 są przekazywane w oparciu o docelowy adres IP, Intra i Inter Subnet.
• Każdy przełącznik Leaf ma 2x tabele przekazywania: Global Station Table -> Cache of Fabric endpoints, Local Station Table -> Hosty bezpośrednio podłączone do Leaf lub off of Leaf, `` show endpoint '' in CLI.

Wszechobecna brama SVI

• Brak HSRP lub VRRP, dostępne na wszystkich liściach (gdzie znajdują się punkty końcowe), podobnie jak w rozproszonym IP AnyCast GW w VXLAN eVPN

Protokoły zarządzania i zasady interfejsu dla ACI

• Protokół Cisco Discovery (CDP) - domyślna zasada to „wyłączone” -> używane w „zasadach interfejsu”
• Link Layer Discovery Protocol (LLDP) - domyślna zasada to „włączona” -> używana w „zasadach interfejsu”
• Network Tim Protocol (NTP) - możesz używać NTP w paśmie lub poza pasmem, w zależności od schematu MGMT, z którego korzysta struktura
• Usługi nazw domen (DNS) - przydatne i mogą być niezbędne do tłumaczenia nazwy hosta na adres IP

ACI, zasady dostępu do sieci

Pule VLAN reprezentują bloki identyfikatorów ruchu VLAN. Pula VLAN jest zasobem współdzielonym i może być wykorzystywana przez wiele domen, takich jak domeny VMM i usługi od warstwy 4 do warstwy 7.
Każda pula ma typ alokacji (statyczny lub dynamiczny), zdefiniowany w momencie jej tworzenia. Typ alokacji określa, czy zawarte w nim identyfikatory będą używane do automatycznego przypisywania przez APIC (dynamiczny), czy też ustawiane jawnie przez administratora (statyczny). Domyślnie wszystkie bloki zawarte w puli VLAN mają ten sam typ alokacji co pula, ale użytkownicy mogą zmienić typ alokacji dla bloków enkapsulacji zawartych w pulach dynamicznych na statyczny.

• Zasady dotyczące przestrzeni nazw definiują zakresy identyfikatorów używane do hermetyzacji sieci VLAN. Określa Vlan, które mogą być używane przez domenę (coś w rodzaju „listy dozwolonych”). 1x pula Vlan na domenę
• 2x tryby operacji: alokacja statyczna - używana z serwerami bare-metal, przekazywanie połączeń w warstwie 2 / warstwie 3 dla działań takich jak `` statyczne powiązania ścieżek '', alokacja dynamiczna - APIC dynamicznie wyciąga Vlan z puli (znane z implementacji VMM)

Struktura ACI może automatycznie przypisywać identyfikatory VLAN z pul VLAN. Oszczędza to ogromną ilość czasu w porównaniu z łączem VLAN w tradycyjnym centrum danych.

Domeny - Zasady dostępu do sieci Fabric

Domeny działają jak klej między konfiguracją wykonaną na karcie sieci szkieletowej a modelem strategii i konfiguracją grupy punktów końcowych w okienku dzierżawy. Operator sieci szkieletowej tworzy domeny, a administratorzy dzierżawy kojarzą domeny z grupami punktów końcowych.

• Nazywają się  domenyponieważ „jak” urządzenia / elementy łączą się z tkaniną.
• Fizyczny - używany dla hostów / serwerów Bare-Metal.
• Zewnętrzny zmostkowany - używany do połączeń zewnętrznych warstwy 2 z zewnętrzną siecią komutowaną
• Trasa zewnętrzna - służy do łączenia z zewnętrznym urządzeniem warstwy 3 w celu prowadzenia do / z tkaniny.
• VMM - używany do łączenia się ze środowiskiem kontrolowanym przez hiperwizor, takim jak vCenter, OpenStack, o MS SCVMM

Profil jednostki dostępowej (AAEP) lub (AEP)

Profil jednostki dołączanej (AEP) reprezentuje grupę podmiotów zewnętrznych o podobnych wymaganiach polityki w zakresie infrastruktury. Zasady infrastruktury obejmują zasady interfejsu fizycznego, które konfigurują różne opcje protokołu, takie jak Cisco Discovery Protocol (CDP), Link Layer DiscoveryProtocol (LLDP) lub Link Aggregation Control Protocol (LACP).
AEP jest wymagany do wdrożenia pul VLAN na przełącznikach liści. Bloki enkapsulacji (i powiązane sieci VLAN) są wielokrotnego użytku w przełącznikach liści. AEP domyślnie zapewnia zasięg puli VLAN infrastrukturze fizycznej.

• Zazwyczaj będziesz mieć jednego AEP na najemcę.
• Grupa „zewnętrznych” podmiotów z podobną polityką, wymagana do wdrożenia puli VLAN na Leafs, definiuje zakres, ale NIE zapewnia
• Łączy ze sobą interfejsy i sieci VLAN, aby APIC wiedział, gdzie wdrożyć sieci VLAN (tj. Jakie przełączniki Leaf mają również wypychać sieci VLAN)
• AAEP zawierają domeny i są
• w posiadaniu grup zasad interfejsu

Grupy punktów końcowych ACI (EPG)

Grupy punktów końcowych (EPG) są używane do tworzenia logicznych grup hostów lub serwerów, które wykonują podobne funkcje w ramach sieci szkieletowej i które będą miały podobne zasady. Każda utworzona grupa punktów końcowych może mieć unikalne zasady monitorowania lub zasady QoS i są powiązane z domeną pomostową.

• EPG to grupy aplikacji i / lub podmiotów niezależnych od formuły sieciowej (np. VLANy, adresy IP itp.)
• Zwykle podobny charakter (tj. Sieć, baza danych, serwery aplikacji)
• Grupa punktów końcowych wymagających podobnych zasad: sieci zewnętrzne, grupy serwerów / aplikacji, usługi sieciowe, urządzenia pamięci masowej
• Rodzaje EPG obejmują: EPG aplikacji, zewnętrzny EPG warstwy 2, zewnętrzny EPG warstwy 3, zarządzanie EPG (zarządzanie, OOB i przychodzące)

• EPG są elastyczne i rozszerzalne
• EPG są punktami egzekwowania polityki dla obiektów grupy
• Zasady NIE są wymuszane przez podsieć
• Zmiany adresu IP nie będą miały wpływu na zasady, chyba że punkt końcowy jest zdefiniowany przez adres IP
• Węzły w EPG mogą się komunikować
• Węzły między EPG muszą mieć „umowę”, aby móc się komunikować

Kontrakty - łączenie wszystkich razem

• Umowy określają, w jaki sposób komunikują się między sobą EPG, definiują zezwolenia i odmowy ruchu przychodzącego / wychodzącego, QoS, przekierowania i wykresy usług
• Praca w modelu dostawcy / konsumenta; EPG może zawrzeć umowę, którą wykorzysta inny