Kirjoitimme tämän blogin päivittäjänä tai pikaoppaana Internetin lähteiden ja julkaisujen määrän perusteella. Meillä kaikilla on erilainen tulkinta samasta tavoitteesta, mutta joskus on hyvä verrata sitä siihen, mitä muut saattavat ajatella.

Cisco ACI yrityskeskuksille datakeskuksissa

Verkkomaailmassa kaikki puhuvat tai käyttävät sovelluskeskeistä infrastruktuuria (ACI). Aloitetaan muutamalla kysymyksellä.

Mikä on Cisco ACI?

ACI tarkoittaa sovelluskeskeistä infrastruktuuria ja on Cisco SDN -ratkaisu datakeskusympäristöön. ACI on tapa luoda yhteinen politiikkapohjainen kehys IT-ympäristölle. Erityisesti sovellus-, verkko- ja tietoturvatoimialueilla. Se on politiikkaan perustuva - joukko ohjeita tai sääntöjä, jotka määrittävät toimintatavan. Esimerkiksi: verkkopalvelimelta loppupalvelimelle menevän liikenteen on kuljettava palomuurin läpi. Yritä visualisoida, kuten QoS, Security ja SLA

Mitkä ovat tärkeimmät ominaisuudet / edut?

• Automaatio
• Keskity sovelluksiin
• Integrointikyvyt
• virtualisointi
• Konttien verkottuminen
• orkestrointi
• Julkisen pilven verkottuminen

Miksi ACI?

• Lehti-selkä-lehti-topologia - yksinkertainen ja skaalautuva
• ECMP - Ethernet-reititys aktiivisella / aktiivisella tavalla
• Itä-länsi-liikenteen optimointi, Anycast-yhdyskäytävä jokaisella lehdellä
• Mikrosegmentaatio - sama aliverkko? Ei ollenkaan ongelma!
• Suojaus - Oletusarvoisesti valkoisen listan käytäntö

Mitkä ovat ACI-komponentit?

• Kytkimet -> Roolit: Lehdet ja piikit
• Nexus 9K -tilat: ACI ACI: lle ja NX-OS: lle erillistä käyttöä varten
• Ohjaimet: Application Policy Infrastructure Controller (APIC). UCS-C-palvelin -> erilainen kapasiteetti eri kankaan koolle. Muu kuin Cisco-laitteisto ei ole sallittua; se ei toimi.

ACI-arkkitehtuuri

Katso alla oleva kuva. Kultainen sääntö on se Selkäkytkimet on kytkettävä kaikkiin Leaf-kytkimiin ja päinvastoin. Selkärangat eivät kuitenkaan ole yhteydessä toisiinsa, eikä myöskään Leaves voi muodostaa yhteyttä. Palvelimet voidaan liittää vain lehtiin ja EI piireihin. Jos Spine-palvelimeen on kytketty palvelin - MCP (MisCapping Protocol) havaitsee sen ja lopettaa yhteyden. LLDP (Link Layer Discovery Protocol) estää yhteydet Spine <> Spine and Leaf <> Leaf

Selkälehden topologia

• 40 Gbps: n IP-pohjainen kangas integroidulla VXLAN-peittokuvalla -> 100 Gbps: n yhteensopiva
• Yksinkertainen / johdonmukainen / skaalautuva kangas
• Koostuu N9K-laitteista, 9500 kytkintä selkärangana (vähintään 2x redundanssina), jota käytetään kankaan kaistanleveydessä
• Cisco 9300 vaihtaa Leaf-kerroksessa (ToR - telineen yläosa). Päätelaitteet, tyypillisesti palvelimet, VMWare-runko yhdistyvät tähän.

ACI - Selkärangan ja lehtialustan reititys

• IS-IS (reititysprotokolla) tarjoaa aluskatteen reitityksen
• Soveltamisalaan kuuluvat: IP-numeroimattomat rajapinnat, vain L1 (sisäiset) yhteydet, Mainostaa VTEP-osoitteita, Luo monilähetys FTAG-puita, Tunnistaa ja ilmoittaa tunnelit

Mikä on VTEP?

Kehyksen kapseloinnin suorittaa yksikkö, joka tunnetaan nimellä VXLAN Tunnel Endpoint (VTEP.) A. VTEP siinä on kaksi loogista rajapintaa: nouseva ja nouseva. Uplink on vastuussa VXLAN-kehysten vastaanottamisesta ja toimii tunnelin päätepisteenä IP-osoitteella, jota käytetään VXLAN-kapseloitujen kehysten reitittämiseen (Cisco Portalilta)

Mikä on APIC?

Sovelluspolitiikan infrastruktuuriohjain - APIC, on ACI-ratkaisun pääkomponentti. Se tarjoaa Cisco ACI -kudoksen automaatiota ja hallintaa, politiikan täytäntöönpanoa ja terveyden seurantaa. Ohjain optimoi suorituskyvyn ja hallinnoi ja käyttää skaalattavaa monenantti Cisco ACI -kangasta.

• APIC on ACI: n politiikan valvoja
• Erittäin redundantti klusteri: tyypillisesti vähintään kolme APIC: ää redundanssille ja päätösvaltaisuudelle. Ne EI ole aktiivisessa / valmiustilassa. Ne ovat aktiivisessa / aktiivisessa käyttöönotossa, ja tiedot jaetaan solmujen kesken. Jokaisella sirulla on 3x kopio ohjaimissa.
• APIC EI ole kankaan hallinnassa tai datatasossa. Kun verkkoympäristö on määritetty ja APIC on alhaalla, se ei vaikuta infrastruktuuriin. APIC vaaditaan kuitenkin siirtoihin / lisäyksiin / muutoksiin / poistoihin ja päivittäisiin toimintoihin. Joten sinulla on oltava APIC pitkällä aikavälillä. Verkkosi voi selviytyä ilman sitä hetkeksi.

ACI - kankaan löytö

• APIC vastaa: Kankaan löytämisestä ja osoittamisesta, kuvanhallinnasta, topologiasta ja kaapeloinnin validoinnista.
• Kankaan etsintä tapahtuu Link Layer Discovery Protocol (LLDP), ACI-spesifiset TLV: t (OUI) ja APIC-hallintayhteyden kautta infrastruktuuri-vrf: hen

Kana vai muna? Kuinka he löytävät toisensa?

ACI etsintäprosessissa käyttää sisäisen kankaan viestintä (IFM) -menetelmää, jossa APIC ja solmut vaihtavat sykeviestejä. Tekniikkaa, jota APIC käyttää työntämään politiikkaa kankaanlehden solmuihin, kutsutaan IFM-prosessiksi. Viimeisessä vaiheessa prosessit havaitaan klusterissa olevat muut lehden solmut ja APIC: t.

• Bootstrap-sovellusliittymä
• Lehtikytkin löytää APIC: n LLDP: n kautta, pyytää TEP-osoitetta ja käynnistystiedostoa APIC: ltä.
• Selkärangan kytkin löytää Leafin, pyytää TEP: n ja käynnistystiedoston APIC: lta.
• Kangas kootaan nyt itse
• Kun AV: ltä (Appliance Vector) löydetään useita APIC: itä, ne muodostavat joustavan klusterin.

Mikä on Cisco ACI -vuokralainen?

An ACI Vuokralaisobjektimalli edustaa korkeimman tason objektia. Sisällä voit erottaa vuokralaisen verkottumisen määrittelevät objektit, kuten yksityiset verkot (VRF), silta-toimialueet ja aliverkot; ja objektit, jotka määrittävät vuokralaiskäytännöt, kuten sovellusprofiilit ja päätepisteiden ryhmät.

• Vuokralainen - johdonmukainen yksikkö
• Voi olla asiakkaita, liiketoimintayksiköitä tai ryhmiä
• Mahdollistaa: erilliset hallinto- ja tietovirrat, uudelleenkäytettävä IP-osoitetila, erillinen profiilitila.
• Kolme oletusvuokraajaa: Yhteinen - Tarjoaa yhteisiä palveluja kaikille vuokralaisille, Infra - käytetään kaikkiin sisäisiin kangaslaskuihin, Mgmt - käytetään taajuusalueen sisäiseen ja kaistan ulkopuoliseen hallintaan.

Rakennetaan ACI kuten Lego Bricks

Konteksti - VRF vuokralaisessa

• vuokralaiset voi olla yksi tai useampi konteksti, sallii IP-osoitteen monistamisen

Silta-alue - aliverkkojen säiliö

• Nämä ovat välttämättä VXLAN, joissa käytetään IRB-toimintoja: Liikenne BD: n sisällä on silloitettu, BD: n välinen liikenne reititetään, Aliverkot eivät siten ole merkityksellisiä, koska liikenne reititetään ./32-isäntäreittien perusteella.
• Kerroksen 2 tulvat on poistettu käytöstä oletuksena; se voidaan ottaa käyttöön Bridge Domain -alueella ARP: lle, DHCP: lle ja CE: n integroinnille.

Kuinka hallita OOB-pääsyä?

Kankaan hallinta, Cisco Nexus 9K Mgmt -laajuus

• Taajuuskaistan kautta infrapuna- ja hallinta-VRF: t, konsoliportit, kaistan ulkopuolinen erillinen hallintaportti (kuten muut Nexus-laitteet, N5k ja N7k)
• APIC Mgmt -laajuus; Kangasportit (2x data), OOB Mgmt, Console Ethernet, CIMC / IPMI

Kuinka ACI-huolinta tapahtuu kankaassa?

Lyhyesti sanottuna, jos Leaf-kytkimeen kytketty palvelin haluaa olla yhteydessä toiseen palvelimeen jossain muualla lähiverkossa, Leaf etsii 'Local Station Table' -tietoja VTEP: lle (Virtual Tunnel Endpoint). Jos se ei löydä sitä sieltä, se yrittää 'Global Station Table'. Silti, jos se ei löydä sitä edellisestä viestinnästä, se pyytää Spine-kytkintä. Selkärangat tietävät kaiken, ja he näkevät VTEP-merkinnän liikenteen ohjaamiseksi määränpäähän.

Edelleenlähetys, sisäisen LISP-kanavan kanavointi.

• Kerros 2 ja kerros 3 välitetään edelleen kohde-IP: n, sisäisen ja muun aliverkon perusteella.
• Jokaisessa Leaf-kytkimessä on 2x edelleenlähetystaulukkoa: Global Station Table -> Kangaskohtaisten päätepisteiden välimuisti, Local Station -taulukko -> Leafiin suoraan liitetyt tai Leafin ulkopuoliset isännät näyttävät päätepisteen CLI: ssä.

Leviävä SVI-yhdyskäytävä

• Ei HSRP: tä tai VRRP: tä, saatavana kaikilla lehdillä (missä päätepisteet sijaitsevat), samanlainen kuin hajautettu IP AnyCast GW VXLAN eVPN: ssä

Hallintaprotokollat ​​ja käyttöliittymäkäytännöt ACI: lle

• Cisco Discovery Protocol (CDP) - oletuskäytäntö on pois päältä -> käytetään käyttöliittymäkäytännöissä
• Link Layer Discovery Protocol (LLDP) - oletuskäytäntö on 'käytössä' -> käytetään 'käyttöliittymäkäytännöissä'
• Network Tim Protocol (NTP) - voit käyttää kaistan sisäistä tai kaistan ulkopuolista NTP: tä riippuen MGMT-järjestelmästä, jota kangas käyttää
• Domain Name Services (DNS) - hyödyllinen ja voi olla välttämätöntä isäntänimen ja IP-osoitteen erottamiseksi

ACI, kankaan käyttöoikeussäännöt

VLAN-altaat edustavat liikenteen VLAN-tunnisteiden lohkoja. VLAN-allas on jaettu resurssi, ja sitä voivat käyttää useat verkkotunnukset, kuten VMM-verkkotunnukset ja Layer 4 to Layer 7 -palvelut.
Jokaisella poolilla on allokointityyppi (staattinen tai dynaaminen), joka on määritelty luomishetkellä. Allokaatiotyyppi määrittää, käytetäänkö APIC (dynaaminen) sen sisältämiä tunnisteita automaattisessa määrityksessä vai asettaako järjestelmänvalvoja nimenomaisesti (staattinen). Oletuksena kaikilla VLAN-poolin sisältämillä lohkoilla on sama allokointityyppi kuin poolilla, mutta käyttäjät voivat muuttaa dynaamisiin ryhmiin kuuluvien kapselointilohkojen allokointityypin staattiseksi.

• Nimitilan käytäntö määrittää VLAN-kapseloinnissa käytetyt tunnusvälit. Määrittää Vlanit, joita verkkotunnus voi käyttää (sellainen kuin sallittu luettelo). 1x Vlan-pooli verkkotunnusta kohden
• 2x toimintatilat: Staattinen allokointi - Käytetään paljasmetallipalvelimien kanssa, Layer 2 / Layer 3 -vaihdokset toiminnoille, kuten 'staattisen polun sidonnat', Dynaaminen allokointi - APIC vetää Vlanin dynaamisesti altaasta (tuttu VMM-toteutuksista)

ACI-kangas voi määrittää VLAN-tunnukset automaattisesti VLAN-altaista. Se säästää valtavasti aikaa verrattuna VLAN-verkkojen katkaisemiseen perinteisessä datakeskuksessa.

Verkkotunnukset - Kankaan käyttökäytännöt

Verkkotunnukset toimivat liimana kangasvälilehdessä tehdyn kokoonpanon välillä vuokrausikkunassa löydetyn käytäntömallin ja päätepisteryhmän kokoonpanon välillä. Kangasoperaattori luo verkkotunnukset, ja vuokralaisen järjestelmänvalvojat yhdistävät verkkotunnukset päätepisteryhmiin.

• Niitä kutsutaan  Verkkotunnukset, koska "miten" -laitteet / elementit yhdistyvät kankaaseen.
• fyysinen - käytetään Bare-Metal-isäntiin / palvelimiin.
• Ulkoinen sillattu - käytetään ulkoisen Layer 2 -yhteyden muodostamiseen ulkoiseen kytkettyyn verkkoon
• Ulkoinen reititetty - käytetään yhteyden muodostamiseen ulkoiseen Layer 3 -laitteeseen reitittämiseksi kankaaseen / ulos kankaasta.
• VMM - käytetään muodostamaan yhteys hypervisorin ohjaamaan ympäristöön, kuten vCenter, OpenStack tai o MS SCVMM

Liitettävissä oleva käyttöoikeusprofiili (AAEP) tai (AEP)

Liitettävän yksikön profiili (AEP) edustaa ryhmää ulkoisia yksiköitä, joilla on samanlaiset infrastruktuuripolitiikan vaatimukset. Infrastruktuuripolitiikat koostuvat fyysisistä käyttöliittymäkäytännöistä, jotka määrittävät erilaisia ​​protokollavaihtoehtoja, kuten Cisco Discovery Protocol (CDP), Link Layer DiscoveryProtocol (LLDP) tai Link Aggregation Control Protocol (LACP).
AEP tarvitaan VLAN-poolien asentamiseen lehtikytkimiin. Kotelointilohkot (ja niihin liittyvät VLAN: t) ovat uudelleenkäytettäviä lehtikytkimien yli. AEP antaa epäsuorasti VLAN-poolin laajuuden fyysiseen infrastruktuuriin.

• Sinulla on yleensä yksi AEP vuokralaista kohden.
• Ryhmä 'ulkoisia' entiteettejä, joilla on samanlainen käytäntö, vaaditaan VLAN-poolin käyttöönottamiseksi Leafsiin, Määrittää alueen, mutta EI varaa
• Tuo yhteen liitännät ja VLAN: t niin, että APIC tietää, mihin VLAN-verkot otetaan käyttöön (eli mitä Leaf vaihtaa myös VLAN-verkkojen työntämiseksi)
• AAEP: t sisältävät verkkotunnuksia ja ovat
• pidetään Interface Policy Groups -ryhmässä

ACI-päätepisteiden ryhmät (EPG: t)

Päätepisteryhmiä (EPG) käytetään loogisten ryhmien luomiseen isäntistä tai palvelimista, jotka suorittavat samanlaisia ​​toimintoja kankaassa ja jotka jakavat samanlaisia ​​käytäntöjä. Jokaisella luodulla päätepisteryhmällä voi olla ainutlaatuinen seurantakäytäntö tai QoS-käytäntö, ja ne yhdistetään silta-alueeseen.

• EPG: t ovat sovelluskokonaisuuksia ja / tai kokonaisuuksista riippumattomia kokonaisuuksia (esim. VLAN: t, IP: t jne.)
• Normaalisti samanlainen luonteeltaan (eli verkko, tietokanta, sovelluspalvelimet)
• Ryhmä päätepisteitä, jotka vaativat samanlaista käytäntöä: Verkkojen ulkopuolella, Palvelimien / sovellusten ryhmät, Verkkopalvelut, Tallennuslaitteet
• EPG: n tyyppejä ovat: Sovellus EPG, Layer 2 External EPG, Layer 3 External EPG, Management EPG (Mgmt, OOB ja Inbound)

• EPG: t ovat joustavia ja laajennettavissa
• EPG: t ovat ryhmäobjektien käytäntöjen valvontapiste
• Aliverkko (t) EI noudata käytäntöä
• IP-osoitteen muutokset eivät vaikuta käytäntöön, ellei päätepiste määritetä IP-osoitteella
• EPG: n solmut voivat kommunikoida
• EPG: n välisillä solmuilla on oltava 'sopimus' kommunikoida

Sopimukset - kaikki yhdistetään toisiinsa

• Sopimukset sanelevat, miten EPG vuorovaikuttaa, määrittelee saapuvan / lähtevän luvan ja kieltää, QoS: n, uudelleenohjaukset ja palvelukaaviot
• Työskentele palveluntarjoajan / kuluttajan mallissa; EPG voi tarjota sopimuksen, jonka toinen kuluttaa