Vi skrev denne blog som en opdatering eller hurtig guide baseret på antallet af ressourcer og publikationer fra Internettet. Vi har alle en anden fortolkning af det samme mål, men nogle gange er det godt at krydstjekke det med, hvad andre måtte synes.

Cisco ACI til virksomheder i datacentre

I netværksverdenen taler alle eller bruger Application Centric Infrastructure (ACI). Lad os begynde med nogle spørgsmål.

Hvad er Cisco ACI?

ACI står for Application Centric Infrastructure og er Cisco SDN-løsning til Data Center-miljø. ACI er en måde at skabe en fælles politikbaseret ramme for it-miljøet på. Specielt på tværs af applikations-, netværks- og sikkerhedsdomænerne. Det er politikbaseret - et sæt retningslinjer eller regler, der bestemmer et handlingsforløb. Et eksempel ville være: trafik, der går fra en webserver til slutværten, skal passere gennem en firewall. Prøv at visualisere som QoS, sikkerhed og SLA'er

Hvad er de vigtigste funktioner / fordele?

• Automation
• Fokus på applikationer
• Integrationsevne
• Virtualisering
• Container netværk
• Orchestration
• Public Cloud netværk

Hvorfor ACI?

• Leaf-Spine-Leaf Topology - Enkel og skalerbar
• ECMP - Routing Ethernet på aktiv / aktiv måde
• Øst-vest trafikoptimering, Anycast gateway på hvert blad
• Mikrosegmentering - Samme undernet? Overhovedet ikke et problem!
• Sikkerhed - Hvidlistepolitik som standard

Hvad er ACI-komponenterne?

• Omskiftere -> Roller: blade og rygsøjler
• Nexus 9K-tilstande: ACI til ACI og NX-OS til selvstændig brug
• Controllers: Application Policy Infrastructure Controller (APIC). UCS-C Server -> forskellige kapaciteter til forskellige stofstørrelser. Ikke-Cisco hardware er ikke tilladt; det virker ikke.

ACI Arkitektur

Se figuren nedenfor. Den gyldne regel er det Rygsøjlekontakter skal tilsluttes alle bladafbrydere og omvendt. Imidlertid er rygsøjler ikke forbundet med hinanden, og blade kan heller ikke oprette forbindelse. Servere kan kun tilsluttes Leaves og NOT Spines. Hvis en server er tilsluttet Spine - MCP (MisCabling Protocol) registrerer det og stopper forbindelsen. LLDP (Link Layer Discovery Protocol) tillader ikke forbindelser Spine <> Spine and Leaf <> Leaf

Spine-blad topologi

• 40 Gbps IP-baseret stof med integreret VXLAN-overlay -> 100 Gbbps
• Simpelt / konsistent / skalerbart stof
• Sammensat af N9K-enheder, 9500 skifter som rygsøjlen (mindst 2x til redundans) brugt til stofbåndbredde
• Cisco 9300 skifter ved bladlaget (ToR - Top of the Rack). Slutsenheder, typisk servere, VMWare-chassis forbinder her.

ACI - Routing af ryg og bladunderlag

• IS-IS (routingprotokol) giver underlay routing
• I omfanget er: IP-nummererede grænseflader, kun L1-forbindelser (interne), Annoncerer VTEP-adresser, Genererer multicast-FTAG-træer, Identificerer og annoncerer tunneler

Hvad er VTEP?

Rammekapsling udføres af en enhed kendt som et VXLAN Tunnel Endpoint (VTEP.) A VTEP har to logiske grænseflader: en uplink og en downlink. Uplinket er ansvarligt for modtagelse af VXLAN-rammer og fungerer som et tunnelendepunkt med en IP-adresse, der bruges til at dirigere VXLAN-indkapslede rammer (fra Cisco Portal)

Hvad er APIC?

Application Policy Infrastructure Controller - APIC, er hovedkomponenten i ACI-løsningen. Det giver automatisering og styring af Cisco ACI-stoffet, håndhævelse af politikker og sundhedsovervågning. Controlleren optimerer ydelsen og administrerer og betjener et skalerbart multitenant Cisco ACI-stof.

• APIC er politikcontroller i ACI
• Meget redundant klynge: typisk tre eller flere APIC'er til redundans og beslutningsdygtighed. De er IKKE i aktiv / standby-konfiguration. De er i aktiv / aktiv implementering, og data deles på tværs af noderne. Hver skår har 3x replikaer på tværs af controllere.
• APIC er IKKE i kontrol eller dataplan af stoffet. Når netværksmiljøet er konfigureret, og APIC er nede, påvirker det ikke infrastrukturen. APIC er dog påkrævet for flytninger / tilføjelser / ændringer / sletninger og enhver daglig drift. Så du skal have APIC i det lange løb. Dit netværk kan overleve uden det i kort tid.

ACI - stofopdagelse

• APIC er ansvarlig for: Stofopdagelse og adressering, Billedhåndtering, Topologi og kablingvalidering.
• Fabric Discovery foretages via Link Layer Discovery Protocol (LLDP), ACI-specifikke TLV'er (OUI) og APIC-styringsforbindelse til infrastruktur-vrf

Kylling eller æg? Hvordan opdager de hinanden?

ACI i opdagelsesprocessen bruger Intra-Fabric Messaging (IFM) -metode, hvor APIC og noder udveksler hjerteslagsmeddelelser. Den teknik, der bruges af APIC til at skubbe politik til tekstilknudepunkter kaldes IFM Process. I det sidste trin behandler opdagelsen af ​​de andre bladknudepunkter og APIC'er i klyngen.

• Bootstrap API
• Leaf-switch opdager APIC via LLDP, anmoder om TEP-adresse og boot-fil fra APIC.
• Spine switch finder Leaf, anmoder om TEP og startfil fra APIC.
• Stof nu selvsamling
• Når der opdages flere APIC'er på AV (Appliance Vector), vil de danne en elastisk klynge.

Hvad er Cisco ACI-lejer?

An ACI Lejerobjektmodel repræsenterer objektet på højeste niveau. Inde kan du skelne mellem de objekter, der definerer lejernetværket, såsom private netværk (VRF'er), brodomæner og undernet; og de objekter, der definerer lejerpolitikkerne, såsom applikationsprofiler og slutpunktsgrupper.

• Lejer - en logisk enhed til ledelse
• Kan være kunder, forretningsenheder (BU'er) eller grupper
• Tillader: Separat administration og datastrømme, genanvendelig IP-adresse plads, distinkt profilrum.
• Tre standardlejere: Fælles - Leverer almindelige tjenester til alle lejere, Infra - bruges til alle interne fabriksindstillinger, Mgmt - bruges til politikker for adgang til in-band og out-of-bandadgang.

Lad os bygge ACI som Lego Bricks

Kontekst - en VRF inden for en lejer

• Lejere kan have en eller flere kontekster, muliggør duplisering af IP-adresser

Bridge Domæne - container til undernet

• Disse er nødvendigvis VXLAN ved hjælp af IRB-funktionalitet: Trafik inden for en BD er bro, Trafik mellem BD'er dirigeres, undernet er derfor irrelevant, da trafik dirigeres baseret på ./32 værtsruter.
• Oversvømmelse af lag 2 er som standard deaktiveret; det kan aktiveres inden for Bridge Domain for ARP, DHCP og integration af CE.

Sådan administreres, OOB-adgang?

Håndtering af stoffet, Cisco Nexus 9K Mgmt-omfang

• In-band via infra og management VRF'er, konsolporte, dedikeret Out-of-Band Management-port (som andre Nexus-enheder, N5k og N7k)
• APIC Mgmt omfang; Stofporte (2x data), OOB Mgmt, Console ethernet, CIMC / IPMI

Hvordan videresendes ACI i stoffet?

I en nøddeskal, hvis en server, der er tilsluttet en Leaf-switch, ønsker at kommunikere med den anden server et andet sted på LAN, vil Leaf slå op i sin 'Local Station Table' for en VTEP (Virtual Tunnel Endpoint). Hvis den ikke kan finde den der, vil den prøve 'Global Station Table'. Stadig, hvis den ikke kan finde den der fra tidligere kommunikationer, vil den bede om rygsøjlen. Spine (s) ved alt, og de vil se en VTEP-post for at videresende trafikken til destinationen.

Videresendelse, kanalisering af din indre LISP.

• Lag 2 og lag 3 videresendes baseret på destinationens IP, Intra og Inter Subnet.
• Hver Leaf-switch har 2x viderestillingstabeller: Global Station Table -> Cache af Fabric-endepunkter, Local Station Table -> Hosts direkte knyttet til Leaf eller off of Leaf, gør "show endpoint" i CLI.

Gennemsigtig SVI-gateway

• Intet HSRP eller VRRP, tilgængeligt på alle blade (hvor endepunkter bor), svarende til den distribuerede IP AnyCast GW i VXLAN eVPN

Styringsprotokoller og grænsefladepolitikker for ACI

• Cisco Discovery Protocol (CDP) - standardpolitik er 'off' -> bruges i 'interface-politikker'
• Link Layer Discovery Protocol (LLDP) - standardpolitik er 'aktiveret' -> bruges i 'interface-politikker'
• Network Tim Protocol (NTP) - du kan bruge in-band eller out-of-band NTP, afhængigt af MGMT-ordningen, stoffet bruger
• Domain Name Services (DNS) - nyttigt og kan være nødvendigt for opløsning af værtsnavn til IP-adresse

ACI, tekstilgangspolitikker

VLAN-puljer repræsenterer VLAN-identifikatorblokke. En VLAN-pool er en delt ressource og kan forbruges af flere domæner, såsom VMM-domæner og lag 4 til lag 7-tjenester.
Hver pulje har en allokeringstype (statisk eller dynamisk), defineret på tidspunktet for dens oprettelse. Allokeringstypen bestemmer, om de identifikatorer, der er indeholdt i den, vil blive brugt til automatisk tildeling af APIC (dynamisk) eller indstillet eksplicit af administratoren (statisk). Som standard har alle blokke indeholdt i en VLAN-pool den samme allokeringstype som puljen, men brugerne kan ændre allokeringstypen for indkapslingsblokke indeholdt i dynamiske puljer til statisk.

• Namespace-politik definerer ID-intervaller, der bruges til VLAN-indkapsling. Angiver de Vlan'er, der kan bruges af et domæne (som en 'tilladt liste'). 1x Vlan-pool pr. Domæne
• 2x Driftstilstande: Statisk tildeling - Brugt med bare metal-servere, Layer 2 / Layer 3 handoffs til handlinger som 'statiske stibindinger', Dynamisk allokering - APIC trækker dynamisk en Vlan ud af puljen (fortrolig med VMM-implementeringer)

ACI-stoffet kan automatisk tildele VLAN-id'er fra VLAN-puljer. Det sparer en enorm mængde tid sammenlignet med nedlukning af VLAN'er i et traditionelt datacenter.

Domænerne - Stofadgangspolitikker

Domæner fungerer som limet mellem konfigurationen, der udføres i stofffanen til politimodellen og slutpunktgruppekonfigurationen, der findes i lejeruden. Stofoperatøren opretter domænerne, og lejeadministratorerne knytter domæner til slutpunktsgrupper.

• De kaldes  domæner, fordi 'hvordan' enheder / elementer forbinder til stoffet.
• Fysisk - bruges til Bare-Metal værter / servere.
• Ekstern bro - bruges til eksterne lag 2-forbindelser til et eksternt switchet netværk
• Ekstern routed - bruges til at oprette forbindelse til en ekstern Layer 3-enhed til routing ind / ud af stoffet.
• VMM - bruges til at oprette forbindelse til et hypervisorstyret miljø som vCenter, OpenStack, o MS SCVMM

Attachable Access Entity Profile (AAEP) eller (AEP)

En Attachable Entity Profile (AEP) repræsenterer en gruppe eksterne enheder med lignende infrastrukturpolitiske krav. Infrastrukturpolitikkerne består af fysiske grænsefladepolitikker, der konfigurerer forskellige protokolindstillinger, såsom Cisco Discovery Protocol (CDP), Link Layer DiscoveryProtocol (LLDP) eller Link Aggregation Control Protocol (LACP).
En AEP er påkrævet for at indsætte VLAN-puljer på bladafbrydere. Indkapslingsblokke (og tilknyttede VLAN'er) kan genanvendes på tværs af bladafbrydere. En AEP giver implicit omfanget af VLAN-puljen til den fysiske infrastruktur.

• Du vil typisk have en AEP pr. Lejer.
• En gruppe 'eksterne' enheder med en lignende politik, krævet for at implementere VLAN-pool på blade, definerer området, men indeholder IKKE
• Bringer grænsefladerne og VLAN'erne sammen, så APIC ved, hvor de skal implementere VLAN'erne (dvs. hvad Leaf skifter for også at skubbe VLAN'er)
• AAEP'er indeholder domæner og er
• ejet af Interface Policy Groups

ACI Endpoint Groups (EPG'er)

Endpoint grupper (EPG'er) bruges til at oprette logiske grupperinger af værter eller servere, der udfører lignende funktioner inden for stoffet, og som vil dele lignende politikker. Hver oprettede slutpunktgruppe kan have en unik overvågningspolitik eller QoS-politik og er knyttet til et brodomæne.

• EPG'er er grupper af applikationer og / eller enheder uafhængige af netværksformel (dvs. VLAN'er, IP'er osv ...)
• Normalt lignende karakter (dvs. web, database, applikationsservere)
• Gruppe af slutpunkter, der kræver lignende politik: Uden for netværk, Grupper af servere / applikationer, Netværkstjenester, lagerenheder
• Typer af EPG'er inkluderer: Application EPG, Layer 2 External EPG, Layer 3 External EPG, Management EPG (Mgmt, OOB and Inbound)

• EPG'er er fleksible og kan udvides
• EPG er det politiske håndhævelsespunkt for gruppeobjekterne
• Politikken håndhæves IKKE af undernet (er)
• Ændringer af IP-adresse påvirker ikke politikken, medmindre slutpunktet er defineret af IP-adresse
• Koder inden for en EPG kan kommunikere
• Noder mellem EPG'er skal have en 'kontrakt' på plads for at kommunikere

Kontrakter - forbinder alle sammen

• Kontrakter dikterer, hvordan EPGs interkommunikation definerer indgående / udgående tilladelse og benægter, QoS, omdirigeringer og servicegrafer
• Arbejde i en udbyder / forbrugermodel; en EPG kan levere en kontrakt, som en anden vil forbruge