数据网络自动化,Cisco ACI如何交付敏捷网络平台?
我们根据Internet上的资源和出版物的数量,将此博客写为进修或快速指南。 我们对同一目标有不同的解释,但有时最好将其与其他人的想法进行交叉核对。
面向数据中心企业业务的思科ACI
在网络世界中,每个人都在谈论或使用以应用程序为中心的基础架构(ACI)。 让我们从一些问题开始。
什么是思科ACI?
ACI代表以应用程序为中心的基础架构,是针对数据中心环境的Cisco SDN解决方案。 ACI是一种为IT环境创建基于策略的通用框架的方法。 特别是在应用程序,网络和安全性域之间。 它是基于策略的–一组确定行动方针的准则或规则。 一个示例是:从Web服务器到最终主机的流量必须经过防火墙。 尝试可视化,例如QoS,安全性和SLA
有哪些主要功能/优点?
- 自动化
- 专注于应用
- 整合能力
- 虚拟化
- 容器网络
- 编曲配置
- 公共云网络
为什么选择ACI?
- 叶-脊柱-叶拓扑-简单且可扩展
- ECMP –以主动/主动方式路由以太网
- 东西向流量优化,每个Leaf上的Anycast网关
- 微分段–同一子网? 完全没有问题!
- 安全性-默认情况下白名单策略
什么是ACI组件?
- 开关->作用:叶子和刺
- Nexus 9K模式:ACI(用于ACI)和NX-OS(用于独立使用)
- 控制器:应用程序策略基础结构控制器(APIC)。 UCS-C服务器->用于不同结构大小的各种容量。 不允许使用非Cisco硬件。 它不会工作。
ACI架构
请参见下图。 黄金法则是 脊椎开关 必须连接到所有叶子交换机,反之亦然。 但是,Spine并没有相互连接,Leaf也无法连接。 服务器只能连接到“叶子”而不是“棘”。 如果将服务器连接到Spine,则MCP(错误路由协议)将检测到该错误并停止连接。 LLDP(链路层发现协议)将禁止连接Spine <> Spine和Leaf <> Leaf
脊叶拓扑
- 具有集成VXLAN覆盖的40 Gbps IP结构-> 100Gbbps
- 简单/一致/可伸缩的结构
- 由N9K设备组成,9500交换机作为用于结构带宽的Spine(至少2倍用于冗余)
- 在叶子层(ToR –机架顶部)的Cisco 9300交换机。 终端设备(通常是服务器,VMWare机箱)在此处连接。
ACI –脊柱和叶底层布线
- IS-IS(路由协议)提供底层路由
- 范围包括:IP未编号接口,仅L1(内部)连接,发布VTEP地址,生成多播FTAG树,识别并宣布隧道
什么是VTEP?
帧封装由称为VXLAN隧道端点(VTEP。) 一个 VTEP 具有两个逻辑接口:上行链路和下行链路。 上行链路负责接收VXLAN帧,并充当具有IP地址的隧道端点,该IP地址用于路由VXLAN封装的帧(来自Cisco Portal)
什么是APIC?
应用程序策略基础结构控制器APIC是ACI解决方案的主要组件。 它提供了针对Cisco ACI架构的自动化和管理,策略实施以及健康状况监控。 该控制器可优化性能,并管理和操作可扩展的多租户Cisco ACI结构。
- APIC是ACI中的策略控制器
- 高度冗余的集群:通常三个或更多APIC用于冗余和仲裁。 它们不在活动/备用配置中。 它们处于主动/主动部署中,并且数据在节点之间共享。 每个分片在控制器之间具有3x副本。
- APIC不在结构的控制或结构的数据平面中。 一旦配置了网络环境,并且APIC处于关闭状态,就不会影响基础架构。 但是,移动/添加/更改/删除和任何日常操作都需要APIC。 因此,从长远来看,您必须拥有APIC。 没有它,您的网络可以存活一小会儿。
ACI –面料发现
- APIC负责:结构发现和寻址,图像管理,拓扑和布线验证。
- 结构发现是通过链路层发现协议(LLDP),特定于ACI的TLV(OUI)和APIC管理连接到Infrastructure-vrf进行的
鸡肉还是鸡蛋? 他们如何发现彼此?
发现过程中的ACI使用内部结构消息传递(IFM)方法,其中APIC和节点交换心跳消息。 APIC用于将策略推送到结构叶节点的技术称为IFM流程。 在最后阶段,将发现集群中其他叶节点和APIC。
- 引导程序 API
- 叶子交换机通过LLDP发现APIC,从APIC请求TEP地址和启动文件。
- 骨干交换机将找到Leaf,从APIC请求TEP和启动文件。
- 织物现在可以自组装
- 当在AV(设备矢量)上发现多个APIC时,它们将形成一个弹性簇。
什么是思科ACI租户?
An ACI 租户对象模型代表最高级别的对象。 在内部,您可以区分定义租户网络的对象,例如专用网络(VRF),网桥域和子网。 以及定义租户策略的对象,例如应用程序配置文件和端点组。
- 租户–管理的逻辑单元
- 可以是客户,业务部门(BU)或组
- 允许:分开的管理和数据流,可重用的IP地址空间,不同的配置文件空间。
- 三个默认承租人:公用–向所有承租人提供公用服务;基础设施–用于所有内部结构通信;基础设施– Mgmt –用于带内和带外管理访问策略。
让我们像乐高积木一样构建ACI
上下文–租户中的VRF
- 租户 可能具有一个或多个上下文,允许IP地址重复
桥域 –子网的容器
- 这些必须是使用IRB功能的VXLAN:桥接BD中的流量,路由BD之间的流量,因此,基于./32主机路由来路由流量时,子网是无关紧要的。
- 默认情况下,第2层泛洪是禁用的; 可以在Bridge Domain中启用ARP,DHCP和CE集成。
如何管理OOB访问?
管理结构,Cisco Nexus 9K管理范围
- 带内,通过红外和管理VRF,控制台端口,带外专用管理端口(如其他Nexus设备,N5k和N7k)
- APIC管理范围; 光纤网端口(2个数据),OOB Mgmt,控制台以太网,CIMC / IPMI
结构中的ACI转发如何?
简而言之,如果连接到Leaf交换机的服务器希望与LAN上其他位置的另一台服务器通信,则Leaf将为其VTEP(虚拟隧道端点)查找其“本地站表”。 如果无法在此处找到它,则将尝试使用“ Global Station Table”。 不过,如果以前的通信也找不到它,它将询问Spine开关。 脊椎知道一切,他们将看到VTEP条目将流量转发到目的地。
转发,引导您的内部LISP。
- 第2层和第3层根据目标IP,内部和内部子网进行转发。
- 每个Leaf交换机都有2个转发表:Global Station Table-> Fabric端点的缓存,Local Station Table->直接连接到Leaf或不带Leaf的主机,在CLI中“显示端点”。
无所不在的SVI网关
- 没有HSRP或VRRP,在所有叶子(端点所在的位置)上都可用,类似于VXLAN eVPN中的分布式IP AnyCast GW
ACI的管理协议和接口策略
- 思科发现协议(CDP)–默认策略为“关”->在“接口策略”中使用
- 链路层发现协议(LLDP)-默认策略为“启用”->在“接口策略”中使用
- 网络Tim协议(NTP)–您可以使用带内或带外NTP,具体取决于结构使用的MGMT方案
- 域名服务(DNS)–有用,对于主机名到IP地址的解析可能是必需的
ACI,结构访问策略
VLAN池 代表流量VLAN标识符块。 VLAN池是一种共享资源,可以由多个域(例如VMM域和第4层到第7层服务)使用。
每个池都有一个分配类型(静态或动态),该类型在创建时定义。 分配类型确定其中包含的标识符是由APIC用于自动分配(动态)还是由管理员显式设置(静态)。 缺省情况下,VLAN池中包含的所有块都具有与池相同的分配类型,但是用户可以将动态池中包含的封装块的分配类型更改为静态。
- 命名空间策略定义用于VLAN封装的ID范围。 指定域可以使用的VLAN(有点像“允许列表”)。 每个域1个VLAN池
- 2x操作模式:静态分配–与裸机服务器一起使用,进行“静态路径绑定”之类的操作的第2层/第3层切换,动态分配– APIC动态将Vlan从池中拉出(熟悉VMM实现)
ACI结构可以自动从VLAN池分配VLAN ID。 与传统数据中心中的VLAN中继相比,它节省了大量时间。
领域 –结构访问策略
域充当在结构选项卡中完成的配置到策略模型的配置与在租户窗格中找到的端点组配置之间的粘合剂。 架构操作员创建域,并且租户管理员将域与端点组关联。
- 他们叫 域名,因为“设备” /元素如何连接到结构。
- 物理 –用于裸机主机/服务器。
- 外部桥接 –用于外部第二层连接,到外部交换网络
- 外部路由 –用于连接到外部第3层设备以路由进/出结构。
- VMM –用于连接到虚拟机监控程序控制的环境,例如vCenter,OpenStack或MS SCVMM
附加访问实体配置文件(AAEP)或(AEP)
可附加实体配置文件(AEP)代表一组具有相似基础结构策略要求的外部实体。 基础结构策略由配置各种协议选项的物理接口策略组成,例如思科发现协议(CDP),链路层发现协议(LLDP)或链路聚合控制协议(LACP)。
需要AEP才能在叶交换机上部署VLAN池。 封装块(和关联的VLAN)可在叶交换机之间重复使用。 AEP向物理基础结构隐式提供VLAN池的范围。
- 每个租户通常会有一个AEP。
- 一组具有类似策略的“外部”实体,需要在Leafs上部署VLAN池,但定义了范围,但未设置
- 将接口和VLAN整合在一起,以便APIC知道在何处部署VLAN(即,哪些叶子交换机也可以推动VLAN)
- AAEP包含域,并且
- 接口策略组持有
ACI端点组(EPG)
端点组(EPG)用于创建主机或服务器的逻辑分组,这些主机或服务器在结构中执行相似的功能并共享相似的策略。 创建的每个端点组可以具有唯一的监视策略或QoS策略,并且与网桥域关联。
- EPG是独立于网络公式(即VLAN,IP等)的一组应用程序和/或实体。
- 本质上通常相似(即,Web,数据库,应用程序服务器)
- 需要类似策略的一组端点:外部网络,服务器/应用程序组,网络服务,存储设备
- EPG的类型包括:应用程序EPG,第2层外部EPG,第3层外部EPG,管理EPG(Mgmt,OOB和入站)
- EPG灵活且可扩展
- EPG是组对象的策略执行点
- 子网不实施该策略
- IP地址更改不会影响策略,除非端点是由IP地址定义的
- EPG中的节点可以通信
- EPG之间的节点必须具有“合同”才能进行通信
合同–连在一起
- 合同规定了EPG的内部通信方式,定义入站/出站许可以及拒绝,QoS,重定向和服务图
- 在提供者/消费者模型中工作; 一个EPG可以提供另一个将消耗的合同