Data Network Automation, hvordan leverer Cisco ACI en agil netværksplatform?
Vi skrev denne blog som en genopfriskning eller hurtig guide baseret på de mange ressourcer og publikationer på internettet. Vi har alle forskellige fortolkninger af det samme formål, men nogle gange er det godt at krydstjekke vores fortolkninger med, hvad andre måske tænker.
Cisco ACI til virksomheder i datacentre | Artikel
Alle taler eller bruger Application Centric Infrastructure (ACI) i netværksverdenen. Lad os begynde med nogle spørgsmål.
Hvad er Cisco ACI?
ACI står for Application Centric Infrastructure og er en Cisco SDN-løsning til et datacentermiljø. ACI er en måde at skabe en fælles policy-baseret ramme for it-miljøet. Specifikt på tværs af applikations-, netværks- og sikkerhedsdomænerne. Politikbaseret er et sæt retningslinjer eller regler, der bestemmer en fremgangsmåde. Et eksempel kunne være trafik, der går fra en webserver til slutværten, som skal passere gennem en firewall. Prøv at visualisere, som QoS, Sikkerhed og SLA'er
Hvad er de vigtigste funktioner / fordele?
- Automation
- Fokus på applikationer
- Integrationsevne
- Virtualisering
- Container netværk
- Orchestration
- Public Cloud netværk
Hvorfor ACI?
- Leaf-Spine-Leaf Topology - Enkel og skalerbar
- ECMP - Routing Ethernet på aktiv / aktiv måde
- Øst-vest trafikoptimering, Anycast gateway på hvert blad
- Mikrosegmentering - Samme undernet? Overhovedet ikke et problem!
- Sikkerhed - Hvidlistepolitik som standard
Hvad er ACI-komponenterne?
- Omskiftere -> Roller: blade og rygsøjler
- Nexus 9K-tilstande: ACI til ACI og NX-OS til selvstændig brug
- Controllers: Application Policy Infrastructure Controller (APIC). UCS-C Server -> forskellige kapaciteter til forskellige stofstørrelser. Ikke-Cisco hardware er ikke tilladt; det virker ikke.
ACI Arkitektur
Se figuren nedenfor. Den gyldne regel er det Rygsøjlekontakter skal tilsluttes alle bladafbrydere og omvendt. Imidlertid er rygsøjler ikke forbundet med hinanden, og blade kan heller ikke oprette forbindelse. Servere kan kun tilsluttes Leaves og NOT Spines. Hvis en server er tilsluttet Spine - MCP (MisCabling Protocol) registrerer det og stopper forbindelsen. LLDP (Link Layer Discovery Protocol) tillader ikke forbindelser Spine <> Spine and Leaf <> Leaf
Spine-blad topologi
- 40 Gbps IP-baseret stof med integreret VXLAN-overlay -> 100 Gbbps
- Simpelt / konsistent / skalerbart stof
- Sammensat af N9K-enheder, 9500 skifter som rygsøjlen (mindst 2x til redundans) brugt til stofbåndbredde
- Cisco 9300 skifter ved bladlaget (ToR - Top of the Rack). Slutsenheder, typisk servere, VMWare-chassis forbinder her.
ACI - Routing af ryg og bladunderlag
- IS-IS (routingprotokol) giver underlay routing
- I omfanget er: IP unummererede grænseflader, kun L1 (interne) forbindelser, Annoncerer VTEP-adresser, Genererer multicast FTAG-træer, Identificerer og annoncerede tunneler
Hvad er VTEP?
Rammekapsling udføres af en enhed kendt som et VXLAN Tunnel Endpoint (VTEP.) A VTEP har to logiske grænseflader: en uplink og en downlink. Uplinket er ansvarligt for modtagelse af VXLAN-rammer og fungerer som et tunnelendepunkt med en IP-adresse, der bruges til at dirigere VXLAN-indkapslede rammer (fra Cisco Portal)
Hvad er APIC?
Application Policy Infrastructure Controller - APIC, er hovedkomponenten i ACI-løsningen. Det giver automatisering og styring af Cisco ACI-stoffet, håndhævelse af politikker og sundhedsovervågning. Controlleren optimerer ydelsen og administrerer og betjener et skalerbart multitenant Cisco ACI-stof.
- APIC er politikcontroller i ACI
- Meget redundant klynge: typisk tre eller flere APIC'er til redundans og beslutningsdygtighed. De er IKKE i aktiv / standby-konfiguration. De er i aktiv / aktiv implementering, og data deles på tværs af noderne. Hver skår har 3x replikaer på tværs af controllere.
- APIC er IKKE i kontrol eller dataplan af stoffet. Når netværksmiljøet er konfigureret, og APIC er nede, påvirker det ikke infrastrukturen. APIC er dog påkrævet for flytninger / tilføjelser / ændringer / sletninger og enhver daglig drift. Så du skal have APIC i det lange løb. Dit netværk kan overleve uden det i kort tid.
ACI - stofopdagelse
- APIC er ansvarlig for: Stofopdagelse og adressering, Billedhåndtering, Topologi og kablingvalidering.
- Fabric Discovery foretages via Link Layer Discovery Protocol (LLDP), ACI-specifikke TLV'er (OUI) og APIC-styringsforbindelse til infrastruktur-vrf
Kylling eller æg? Hvordan opdager de hinanden?
ACI i opdagelsesprocessen bruger Intra-Fabric Messaging (IFM) -metode, hvor APIC og noder udveksler hjerteslagsmeddelelser. Den teknik, der bruges af APIC til at skubbe politik til tekstilknudepunkter kaldes IFM Process. I det sidste trin behandler opdagelsen af de andre bladknudepunkter og APIC'er i klyngen.
- Bootstrap API
- Leaf-switch opdager APIC via LLDP, anmoder om TEP-adresse og boot-fil fra APIC.
- Spine switch finder Leaf, anmoder om TEP og startfil fra APIC.
- Stof nu selvsamling
- Når der opdages flere APIC'er på AV (Appliance Vector), vil de danne en elastisk klynge.
Hvad er Cisco ACI-lejer?
An ACI Lejerobjektmodel repræsenterer objektet på højeste niveau. Inde kan du skelne mellem de objekter, der definerer lejernetværket, såsom private netværk (VRF'er), brodomæner og undernet; og de objekter, der definerer lejerpolitikkerne, såsom applikationsprofiler og slutpunktsgrupper.
- Lejer - en logisk enhed til ledelse
- Kan være kunder, forretningsenheder (BU'er) eller grupper
- Tillader: Separat administration og datastrømme, genanvendelig IP-adresse plads, distinkt profilrum.
- Tre standardlejere: Fælles - Leverer almindelige tjenester til alle lejere, Infra - bruges til alle interne fabriksindstillinger, Mgmt - bruges til politikker for adgang til in-band og out-of-bandadgang.
Lad os bygge ACI som Lego Bricks
Kontekst - en VRF inden for en lejer
- Lejere kan have en eller flere kontekster, muliggør duplisering af IP-adresser
Bridge Domæne - container til undernet
- Disse er nødvendigvis VXLAN ved hjælp af IRB-funktionalitet: Trafik inden for en BD er bro, Trafik mellem BD'er dirigeres, undernet er derfor irrelevant, da trafik dirigeres baseret på ./32 værtsruter.
- Oversvømmelse af lag 2 er som standard deaktiveret; det kan aktiveres inden for Bridge Domain for ARP, DHCP og integration af CE.
Sådan administreres, OOB-adgang?
Håndtering af stoffet, Cisco Nexus 9K Mgmt-omfang
- In-band via infra og management VRF'er, konsolporte, dedikeret Out-of-Band Management-port (som andre Nexus-enheder, N5k og N7k)
- APIC Mgmt omfang; Stofporte (2x data), OOB Mgmt, Console ethernet, CIMC / IPMI
Hvordan videresendes ACI i stoffet?
I en nøddeskal, hvis en server, der er tilsluttet en Leaf-switch, ønsker at kommunikere med den anden server et andet sted på LAN, vil Leaf slå op i sin 'Local Station Table' for en VTEP (Virtual Tunnel Endpoint). Hvis den ikke kan finde den der, vil den prøve 'Global Station Table'. Stadig, hvis den ikke kan finde den der fra tidligere kommunikationer, vil den bede om rygsøjlen. Spine (s) ved alt, og de vil se en VTEP-post for at videresende trafikken til destinationen.
Videresendelse, kanalisering af din indre LISP.
- Lag 2 og lag 3 videresendes baseret på destinationens IP, Intra og Inter Subnet.
- Hver Leaf-switch har 2x viderestillingstabeller: Global Station Table -> Cache af Fabric-endepunkter, Local Station Table -> Hosts direkte knyttet til Leaf eller off of Leaf, gør "show endpoint" i CLI.
Gennemsigtig SVI-gateway
- Intet HSRP eller VRRP, tilgængeligt på alle blade (hvor endepunkter bor), svarende til den distribuerede IP AnyCast GW i VXLAN eVPN
Styringsprotokoller og grænsefladepolitikker for ACI
- Cisco Discovery Protocol (CDP) - standardpolitik er 'off' -> bruges i 'interface-politikker'
- Link Layer Discovery Protocol (LLDP) - standardpolitik er 'aktiveret' -> bruges i 'interface-politikker'
- Network Tim Protocol (NTP) - du kan bruge in-band eller out-of-band NTP, afhængigt af MGMT-ordningen, stoffet bruger
- Domain Name Services (DNS) - nyttigt og kan være nødvendigt for opløsning af værtsnavn til IP-adresse
ACI, tekstilgangspolitikker
VLAN-puljer repræsenterer VLAN-identifikatorblokke. En VLAN-pool er en delt ressource og kan forbruges af flere domæner, såsom VMM-domæner og lag 4 til lag 7-tjenester.
Hver pulje har en allokeringstype (statisk eller dynamisk), defineret på tidspunktet for dens oprettelse. Allokeringstypen bestemmer, om de identifikatorer, der er indeholdt i den, vil blive brugt til automatisk tildeling af APIC (dynamisk) eller indstillet eksplicit af administratoren (statisk). Som standard har alle blokke indeholdt i en VLAN-pool den samme allokeringstype som puljen, men brugerne kan ændre allokeringstypen for indkapslingsblokke indeholdt i dynamiske puljer til statisk.
- Namespace-politik definerer ID-intervaller, der bruges til VLAN-indkapsling. Angiver de Vlan'er, der kan bruges af et domæne (som en 'tilladt liste'). 1x Vlan-pool pr. Domæne
- 2x Driftstilstande: Statisk tildeling - Brugt med bare metal-servere, Layer 2 / Layer 3 handoffs til handlinger som 'statiske stibindinger', Dynamisk allokering - APIC trækker dynamisk en Vlan ud af puljen (fortrolig med VMM-implementeringer)
ACI-stoffet kan automatisk tildele VLAN-id'er fra VLAN-puljer. Det sparer en enorm mængde tid sammenlignet med nedlukning af VLAN'er i et traditionelt datacenter.
Domænerne - Stofadgangspolitikker
Domæner fungerer som limet mellem konfigurationen, der udføres i stofffanen til politimodellen og slutpunktgruppekonfigurationen, der findes i lejeruden. Stofoperatøren opretter domænerne, og lejeadministratorerne knytter domæner til slutpunktsgrupper.
- De kaldes domæner, fordi 'hvordan' enheder / elementer forbinder til stoffet.
- Fysisk - bruges til Bare-Metal værter / servere.
- Ekstern bro - bruges til eksterne lag 2-forbindelser til et eksternt switchet netværk
- Ekstern routed - bruges til at oprette forbindelse til en ekstern Layer 3-enhed til routing ind / ud af stoffet.
- VMM - bruges til at oprette forbindelse til et hypervisorstyret miljø som vCenter, OpenStack, o MS SCVMM
Attachable Access Entity Profile (AAEP) eller (AEP)
En Attachable Entity Profile (AEP) repræsenterer en gruppe eksterne enheder med lignende infrastrukturpolitiske krav. Infrastrukturpolitikkerne består af fysiske grænsefladepolitikker, der konfigurerer forskellige protokolindstillinger, såsom Cisco Discovery Protocol (CDP), Link Layer DiscoveryProtocol (LLDP) eller Link Aggregation Control Protocol (LACP).
En AEP er påkrævet for at indsætte VLAN-puljer på bladafbrydere. Indkapslingsblokke (og tilknyttede VLAN'er) kan genanvendes på tværs af bladafbrydere. En AEP giver implicit omfanget af VLAN-puljen til den fysiske infrastruktur.
- Du vil typisk have en AEP pr. Lejer.
- En gruppe 'eksterne' enheder med en lignende politik, krævet for at implementere VLAN-pool på blade, definerer området, men indeholder IKKE
- Bringer grænsefladerne og VLAN'erne sammen, så APIC ved, hvor de skal implementere VLAN'erne (dvs. hvad Leaf skifter for også at skubbe VLAN'er)
- AAEP'er indeholder domæner og er
- ejet af Interface Policy Groups
ACI Endpoint Groups (EPG'er)
Endpoint grupper (EPG'er) bruges til at oprette logiske grupperinger af værter eller servere, der udfører lignende funktioner inden for stoffet, og som vil dele lignende politikker. Hver oprettede slutpunktgruppe kan have en unik overvågningspolitik eller QoS-politik og er knyttet til et brodomæne.
- EPG'er er grupper af applikationer og / eller enheder uafhængige af netværksformel (dvs. VLAN'er, IP'er osv ...)
- Normalt lignende karakter (dvs. web, database, applikationsservere)
- Gruppe af slutpunkter, der kræver lignende politik: Uden for netværk, Grupper af servere / applikationer, Netværkstjenester, lagerenheder
- Typer af EPG'er inkluderer: Application EPG, Layer 2 External EPG, Layer 3 External EPG, Management EPG (Mgmt, OOB and Inbound)
- EPG'er er fleksible og kan udvides
- EPG er det politiske håndhævelsespunkt for gruppeobjekterne
- Politikken håndhæves IKKE af undernet (er)
- Ændringer af IP-adresser vil ikke påvirke politik, medmindre slutpunktet er defineret af IP-adresse
- Noder i en EPG kan kommunikere.
- Noder mellem EPG'er skal have en 'kontrakt' på plads for at kunne kommunikere.
Kontrakter - forbinder alle sammen
- Kontrakter dikterer, hvordan EPGs interkommunikation definerer indgående / udgående tilladelse og benægter, QoS, omdirigeringer og servicegrafer
- Arbejde i en udbyder/forbrugermodel; en EPG kan levere en kontrakt, som en anden vil forbruge.
Hvordan kommer man i gang med at udnytte AI?
Ny innovativ AI-teknologi kan være overvældende - vi kan hjælpe dig her! Ved at bruge vores AI-løsninger til at udtrække, forstå, analysere, gennemgå, sammenligne, forklare og fortolke information fra de mest komplekse, langvarige dokumenter, kan vi tage dig på en ny vej, guide dig, vise dig, hvordan det gøres, og støtte dig hele vejen.
Start din GRATIS prøveperiode! Intet kreditkort påkrævet, fuld adgang til vores cloud-software, annuller til enhver tid.
Vi tilbyder skræddersyede AI-løsninger'Sammenligning af flere dokumenter' og 'Vis højdepunkter'
Planlæg en GRATIS demo!
Nu ved du, hvordan det gøres, start!
v500 systemer | AI for Minds | YouTube-kanal
'AI Show Highlights' | 'AI Document Comparison'
Lad os håndtere dine komplekse dokumentanmeldelser
Udforsk vores casestudier og andre engagerende blogindlæg:
Kraften af AI i sammenligning af flere dokumenter i forsikringssektoren
Hvordan udtrækker vi kritisk information fra en offentlig virksomheds årsrapport?
Hvordan AI-sammenligning af flere dokumenter gavner kernesektorer over hele kloden
Manuel vs AI Automatiseret: Frigør hemmelighederne ved sammenligning af flere dokumenter
Maksymilian Czarnecki
Blogindlægget, der oprindeligt blev skrevet på engelsk, gennemgik en magisk metamorfose til arabisk, kinesisk, dansk, hollandsk, finsk, fransk, tysk, hindi, ungarsk, italiensk, japansk, polsk, portugisisk, spansk, svensk og tyrkisk sprog. Hvis noget subtilt indhold mistede sin gnist, lad os kalde den originale engelske gnist tilbage.