Интеграция ACI с виртуальными средами

Интеграция ACI с виртуальными средами

Максим Хаванкин системный архитектор, CCIE [email protected]

18 июня, 2015

Cisco Confidential 2 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

§  Концепция интеграции §  Интеграция с VMware

§  Интеграция с Microsoft Hyper-V

§  Интеграция с KVM/OpenStack

§  Интеграция с Docker контейнерами

§  Бонус

Содержание



Взаимодействие гипервизоров с ACI Два режима работы

§  ACI фабрика используется как IP-Ethernet транспорт

§  Инкапсуляция настраивается руками

§  Разные домены политик для физической и виртуальной среды

Non-Integrated Mode

VXLAN

10000 VLAN 10

§  ACI фабрика контролирует подключение в виртуальной среде

§  Инкапсуляция нормализуется и настраивается динамически

§  Единый домен управления для физической и виртуальной среды

APP WEB DB

Integrated Mode

DB


vCenter DVS SCVMM

§  APIC контроллер и Virtual Machine Manager (VMM) интегрируются друг с другом

§  Несколько VMM могут подключаться к одной ACI фабрике

§  Каждый VMM ассоциируется с набором хостов

VMM Domain

§  Отношение 1:1 между виртуальным коммутатором и VMM Domain-ом

VMM Domain 1

Взаимодействие гипервизоров с ACI Концепция VMM Domain

vCenter AVS

VMM Domain 2 VMM Domain 3


L/B

EPGAPP

EPG DB F/W

EPG WEB

Application Network Profile

VM VM VM

WEB PORT GROUP

APP PORT GROUP

DB PORT GROUP

Взаимодействие гипервизоров с ACI Концепция VMM Domain

APIC §  ACI фабрика использует EPG для управления политиками

§  В виртуальной среде EPG может представлять собой порт виртуального коммутатора, к которому подключен vNIC виртуальной машины

§  VMM применяет сетевую конфигурацию сетевым интерфейсам виртуальных машин с использованием следующих объектов:

Port Groups (VMware) VM Networks (Hyper-V) Networks (OpenStack)


Взаимодействие гипервизоров с ACI Нормализация инкапсуляции

VXLAN VNID = 5789

VXLAN VNID = 11348

NVGRE VSID = 7456

Any to Any

802.1Q VLAN 50

Нормализация инкапсуляции

Локализация инкапсуляции

IP фабрика использует eVXLAN тег

Данные IP eVXLAN VTEP

•  Весь трафик инкапсулируется при помощи extended VXLAN (eVXLAN) заголовка

•  Внешний тег VLAN, VXLAN, NVGRE на входящем порту отображается во внутренний eVXLAN тег

•  Внешние идентификаторы локализуются на уровне Leaf устройства или Leaf порта

•  Возможность переиспользования, если требуется

Данные

Данные

Данные

Данные

Данные

Eth IP VXLAN Outer

IP

IP NVGRE Outer IP

IP 802.1Q

Eth IP

Eth MAC

Нормализация входящей инкапсуляции

APIC


EP

EP

EP

EP

EP

EP EP

EP

EP

EP

EP

EP

EP

EP

VMM Domain 1 4K EPGs

VMM Domain 2 4K EPGs

16M Virtual Networks §  VLAN ID дает возможность создать 4K уникальных EPG (12 бит)

§  Масштабирование пулами по 4K EPG

§  Выбор VMM домена для EPG на основе требований к миграции

§  Миграция (vMotion, Live migration) внутри VMM домена

Взаимодействие гипервизоров с ACI VMM домены и VLAN инкапсуляция


Взаимодействие гипервизоров с ACI Endpoint Discovery

ESXi с DVS

APIC

VMM

Control (vCenter API)

Передача данных

§  Виртуальные машины обнаруживаются двумя методами:

§  Control Plane Learning: Out-of-Band Handshake: vCenter API

Inband Handshake: хосты с поддержкой OpFlex (сегодня AVS и Hyper-V)

§  Data Path Learning: выучивание адресов на основе передавемых данных

§  LLDP используется для идентификации Virtual host ID (HV) и физического порта, к которому подключен гипервизор (для случаев когда OpFlex не используется)

OpFlex Host (ESXi с AVS или Hyper-V)

Control (OpFlex)

Передача данных



Интеграция ACI и VMware vCenter Три режима интеграции

+

Distributed Virtual Switch (DVS) vCenter + vShield Manager Application Virtual Switch

(AVS)

•  Инкапсуляция: VLAN •  Установка: Native •  Обнаружение VM:

LLDP •  Software/Licenses:

vCenter с лицензией EnterprisePlu

•  Инкапсуляция: VLAN, VXLAN

•  Установка: Native •  Обнаружение VM:

LLDP •  Software/Licenses:

vCenter с лицензией EnterprisePlus, vShield Manager с лицензией vShield

•  Инкапсуляция: VLAN, VXLAN

•  Установка: VIB при помощи VUM или консоли

•  Обнаружение VM: OpFlex

•  Software/Licenses: vCenter с лицензией EnterprisePlus


Интеграция ACI и VMware vCenter Определение EPG при помощи Port-Group

§  VM подключаются к порт-группа, определенным для каждой EPG §  Трафик инкапсулируется при помощи VLAN или VXLAN

VXLAN VNID = 5789

VXLAN VNID = 11348

802.1Q VLAN 50

Payload IP GBP VXLAN VTEP

VXLAN Leaf VTEP

802.1Q vSwitch

WEB PORT GROUP

APP PORT GROUP

vSwitch

WEB PORT GROUP

APP PORT GROUP

802.1Q VLAN 125

Payload IP Payload IP

Port-group создается для каждой EPG

+ ( (


APIC Admin

VI/Server Admin Instantiate VMs, Assign to Port Groups

L/B

EPG APP

EPG DB

F/W

EPG WEB


Create Application Policy

Web Web Web App

HYPERVISOR HYPERVISOR

VIRTUAL DISTRIBUTED SWITCH

WEB PORT GROUP

APP PORT GROUP

DB PORT GROUP

vCenter Server / vShield

8

5

1

9 ACI Fabric

Automatically Map EPG To Port Groups

Push Policy

Create VDS 2

Cisco APIC and VMware vCenter Initial

Handshake

6

DB DB

7 Create Port Groups

Интеграция ACI и VMware vCenter: DVS

APIC

3

Attach Hypervisor to VDS

4 Learn location of ESX Host through LLDP


Southbound OpFlex API

VM VM VM VM

VEM

vSphere

vCenter

§  OpFlex Control protocol Протокол, контролирующий состояние Операции VM attach/detach, уведомления о состоянии канала

§  VEM как продолжение фабрики

§  С релиза vSphere 5.0 и выше §  BPDU Filter/BPDU Guard §  SPAN/ERSPAN §  Сбор статистики §  Remote Virtual Leaf (план)

Application Virtual Switch (AVS) Возможности по интеграции


Application Virtual Switch (AVS) Особенности режимов работы

Гипервизор

VM VM EPG App

No Local Switching Mode

VM VM EPG Web

Весь трафик через Leaf

Гипервизор

VM VM EPG App

Local Switching Mode

VM VM EPG Web

Inter-EPG трафик через Leaf

No Local Switching Mode •  Все политики на Leaf коммутаторе •  Только VXLAN •  “FEX Enable Mode”

Local Switching Mode (рекомендуется) •  Внутри EPG коммутация локальна •  Поддерживает VLAN и VXLAN •  “FEX Disable Mode”


APIC Admin

VI/Server Admin Instantiate VMs, Assign to Port Groups

L/B

EPG APP

EPG DB F/W

EPG WEB



Web Web Web App


Application Virtual Switch (AVS)

WEB PORT GROUP

APP PORT GROUP

DB PORT GROUP

vCenter Server

8

5

1

9 ACI Fabric

Automatically Map EPG To Port Groups

Push Policy

Create AVS VDS 2

Cisco APIC and VMware vCenter Initial

Handshake

6

DB DB

7 Create Port Groups

Интеграция ACI и VMware vCenter: AVS

16

APIC

3

Attach Hypervisor to VDS

4 Learn location of ESX Host through OpFlex

OpFlex Agent OpFlex Agent


Микросегментация на базе ACI EPG классификация при помощи атрибутов VM

•  End Point Group (EPG) могут использовать несколько методов для классификации

•  VM Port Group – это самый простой механизм классификации ВМ

•  Атрибуты ВМ так же могут использоваться для классификации EPG

•  Используется ACI релиз 11.1 с AVS (первоначальная доступность)

•  Поддержка коммутаторов в гипервизорах VMware vDS, Microsoft vSwitch, OVS (планируется)

Атрибуты ВМ Guest OS

VM Name

VM (id)

VNIC (id)

Hypervisor

DVS port-group

DVS

Datacenter

Custom Attribute

MAC Address

IP Address

vCenter VM

Attributes

VM Traffic

Attributes


Распределенный межсетевой экран на базе ACI

Provider B

Consumer A

Src class Src port Dest Class Dest port Flag Action

A * B 80 * Allow

B 80 A * ACK Allow

•  Создание новой записи внутри «flow table» •  Передача пакета на leaf коммутатор

Коммутатор Leaf реализует stateless policy

Аппаратная политика разрешает передачу пакета

При получении пакета TCP SYN создается новая запись

Пакет передается VM

•  Получен пакет от VM •  Поиск внутри «flow table»

VLAN Proto Src ip Src port Dst IP Dst port

A tcp IP_A 1234 IP_B 80

A tcp IP_B 80 IP_A 1234

VLAN Proto Src ip Src port Dst IP Dst port

B tcp IP_A 1234 IP_B 80

B tcp IP_B 80 IP_A 1234

Если уже есть запись то пакет передается на коммутатор Leaf

Применение политики на Leaf

Отслеживание состояния на AVS

Ответ от VM Поиск в таблице

Reflexive policy на коммутаторе разрешает передачу обратного пакета

AVS AVS



Интеграция решений Microsoft и ACI Два режима интеграции

•  Управление политиками: посредством APIC

•  Software / License: Windows Server с HyperV, SCVMM

•  Обнаружение виртуальных машин: OpFlex

•  Инкапсуляция: VLAN, NVGRE (План) •  Установка plugin-а: в ручную

Интеграция с SCVMM

APIC

Интеграция с Azure Pack

APIC

•  Расширение возможностей SCVMM •  Управление политиками: посредством

APIC или через Azure Pack •  Software / License: Windows Server с

HyperV, SCVMM, Azure Pack (бесплатно)

•  Обнаружение виртуальных машин: OpFlex

•  Инкапсуляция: VLAN, NVGRE (План) •  Установка plugin-а: интегрирована

+


Opflex – открытое управление элементами фабрики ACI

ПРОТОКОЛ OPFLEX + ЭКОСИСТЕМА

OPEN SOURCE Открытый код, доступный всем

ЭКОСИСТЕМА Широкая и постоянно расширяющаяся поддержка производителей включая гипервизоры, сетевые устройства L4-7

СТАНДАРТ Стандартизация Opflex в IETF

APIC

OPFLEX

ЗАЩИТА ИНВЕСТИЦИИ ЗА СЧЕТ ВОЗМОЖНОСТИ ЛЮБОМУ УСТРОЙСТВУ ИНТЕГРИРОВАТЬСЯ В ФАБРИКУ CISCO ACI

L4-7 DEVICE

КОММУТАТОР ГИПЕРВИЗОРА


APIC

OpFlex: открытый, расширяемый протокол

OPFLEX ОБЕСПЕЧИВАЕТ:

Политики: •  Кто и с кем может говорить

•  О чем?

•  Ops requirements Абстракцию политик вместо device-specific конфигурации 1. Гибкость и расширяемость с использованием XML / JSON 2.

Поддержку любых устройств, включая виртуальные коммутаторы, физические коммутаторы, МСЭ, обеспечивая совместимость между продуктами различных производителей

3.

Открытый и стандартизированный API с реализации в open source 4.

OPFLEX PROXY

OPFLEX AGENT

OPFLEX AGENT

OPFLEX AGENT

HYPERVISOR SWITCH ADC FIREWALL


Сетевое устройство интерпретирует политику и отображает ее на возможности оборудования

Как работает OpFlex

POLICY APIC Владелец политик, например APIC, создает логическую модель желаемого состояния политики (logical model of desired state)

HARDWARE

PORTS, VLANS, INTERFACES

SUBSET OF POLICY

4

IMPLICIT RENDER

POLICY UPDATE

POLICY RESOLUTION 3 2

1


APIC Admin

SCVMM Admin Instantiate VMs, Assign to VM Networks

L/B

EPG APP

EPG DB F/W

EPG WEB



MSFT SCVMM

8

5

1

9 ACI Fabric

Automatically Map EPG To VM Networks

Push Policy

Create Virtual Switch

2

Cisco APIC and MSFT SCVMM Initial

Handshake

6

Интеграция MSFT SCVMM и ACI

APIC

3 Attach Hypervisor to Virtual Switch

4 Learn location of HyperV Host through OpFlex


OpFlex Agent

HYPER-V VIRTUAL SWITCH

7 Create VM Networks

OpFlex Agent

WEB VM NETWORK

APP VM NETWORK

DB VM NETWORK

Web Web App App DB

24


Интеграция с SCVMM Интеграция с SCVMM концептуально ничем не отличается от интеграции с vCenter от VMware. APIC получает всю информацию о виртуальных машинах с Hyper-V хостов, зарегистрированных на APIC при помощи протокола Opflex APIC создает виртуальные сети внутри SCVMM когда VMM domain подключается к EPG


Интеграция с SCVMM 2 виртуальных машины в одном EPG

Виртуальные машины на гипервизорах ESXi и Hyper-V:


Интеграция Microsoft Azure Pack и ACI

27

§  Для этого режима интеграции с Microsoft требуется: Windows Server 2012 Systems Center 2012 R2 с SPF

Windows Azure Pack §  Azure Pack обеспечивает централизованное определение, настройку и управление облачными сервисами

§  Состоит из портала администратора (Admin) и портала самообслуживания (Tenant)

§  Cisco ACI Service Plugin использует APIC REST API

R2 w/ Service Provider Foundation

Web Sites

Service Plans Users

Порта админа

Портал пользователя

Web Sites Apps Database VMs ACI

Service Provider Пользователь

VMs SQL Service Bus …


APIC Admin (Basic Infrastructure)

Azure Pack Tenant Admin

3

6

ACI Fabric

Push Network Profiles to APIC

Pull Policy on leaf where EP attaches

Indicate EP Attach to attached leaf when VM starts (via OpFlex)

1

2

HYPERVISOR HYPERVISOR HYPERVISOR

Интеграция Azure Pack и ACI

APIC

Get VLANs allocated for each EPG


7

Azure Pack \ SPF

SCVMM Plugin APIC Plugin OpFlex Agent OpFlex Agent OpFlex Agent

Instantiate VMs

5

1

4Create VM Networks

4

Web Web Web Web App App DB DB 28


Отображение объектов ACI и WAP

Cisco ACI Microsoft Windows Azure Pack

Tenant Subscriber ID

EPG VM Network

Contract Firewall


Сценарии использования ACI и Azure Pack Разделяемый балансировщик нагрузки между WAP контейнерами (tenants)

Разделяемый балансировщик

нагрузки

Tenant 1 EPG1 Application Servers

VIP1 для EPG1

Tenant 2 EPG 2 Application Servers

VIP2 для EPG2

•  Разделяемый балансировщик нагрузки размемещается в ACI Tenant Common •  Интеграция при помощи device package •  Поддерживаемые устройства: F5 и Citrix


Сценарии использования ACI и Azure Pack Разделяемые сервисы между WAP контейнерами (tenants)

Tenant 1

Провайдер •  Интеграция поддерживает концепцию разделяемых между ACI-тенантами сервисов

•  Один из тенантов может быть наделен правом публиковать разделяемые сервисы

•  Другие тенанты могу быть наделены правами потреблять сервисы

•  Для работы сценария требуется использование правильной схемы адресации

•  Централизованное управление

•  Пространства адресов, которые не пересекаются

Tenant 2

Tenant 3

Tenant 4

Потребитель

FTP

DB

NFS


Сценарии использования ACI и Azure Pack Портал администратора: разделяемый балансировщик и сервисы

F5 или Citrix являющиеся частью ACI фабрики

Разделяемые сервисы


Сценарии использования ACI и Azure Pack Портал пользователя: управление интеграционными возможностями

Вычислительные и сетевые ресурсы, к которым есть доступ

Application Network Profile создается средствами Azure Pack, и настраивается на APIC при

помощи REST API

Доступные пользователю ACI объекты



Два варианта использования OpenStack API

NEUTRON ROUTER

SECURITY

GROUP

NEUTRON NETWORK

Neutron API Group Policy API

NE

UTRO

N NE

TWOR

K

Port

Port

Tenant Tenant

Используется существующий Neutron API с контроллером APIC и

Cisco ACI фабрикой

Contract

GROUP

SERVICE CHAIN

GROUP

Конструкция Group Policy предлагает новый API который напрямую использует модель политик ACI (Juno Release)


APIC драйвер отображает: •  Network -> EPG •  Router -> Context

OpenStack APIC Plugin – neutron (Фаза № 1)

APIC APIC Plugin

APIC Driver OVS Driver

Neutron Networking

Host 1

OVS

Network B V(X)LAN

101 10.0.1.0/24

Network A V(X)LAN

100 10.0.0.0/24

IPTables Host 2

OVS

Network C V(X)LAN

102 10.0.2.0/24

Network A V(X)LAN

100 10.0.0.0/24

IPTables Host 3

OVS

Network B V(X)LAN

101 10.0.1.0/24

Network A V(X)LAN

100 10.0.0.0/24

IPTables Host 4

OVS

Network C V(X)LAN

102 10.0.2.0/24

Network A V(X)LAN

100 10.0.0.0/24

IPTables

IP tables для контроля безопасности

ACI фабрика обеспечивает распределенный L2 и L3 (без L3 агента). Туннели терминируются на ToR коммутаторах.

OVS терминирует VLAN / VXLAN теги для каждой сети

OVS драйвер выбирает VLAN / VXLAN тег для каждой сети и настраивает OVS

APIC REST API


APIC Admin (Performs Steps 3)

OpenStack Tenant (Performs Steps 1,4)

Instantiate VMs


Web Web Web Web App App 4

3

5 ACI Fabric

Automatically Push Network Profiles to APIC

Push Policy

Create Network, Subnet, Security Groups, Policy

NETWORK

SUBNET

SECURITY

1

2

DB DB


NOVA

NEUTRON

OPEN VIRTUAL SWITCH OPEN VIRTUAL SWITCH OPEN VIRTUAL SWITCH

APIC

37

Интеграция OpenStack и APIC (Фаза № 1)

37


APIC Plugin: отображение сущностей Neutron и APIC (Фаза № 1)

Объект Neutron Объект APIC

Project Tenant

Network EPG

Subnet Subnet

Security Group + Rule N / A (handled by host)

Router Context

Network:external Outside


§  100% open source, проект по лицензии Apache для OpenStack

§  Интерфейс для описания желаемого состояния приложения

§  Создан сообществом разработчиков нескольких компаний

Представляем Group-Based Policy

Policy Rules Set Web Group

Classifier Action

FIREWALL

DB Group

Classifier Action

Service Chain

Модель групповых политик


Что было улучшено при помощи GBP?

§  Определение сервисной цепочки по которым данные должны передаваться между компонентами приложения

Поддержка сетевых сервисов

§  Само-документирование взаимосвязей между различными компонентами приложения

Возможность определить взаимосвязи

Сервис A

СервисC

Сервис A потребляет ресурсы сервисов B и C

Сервис B

Сервис A

Сервис C

МЕЖСЕТЕВОЙ ЭКРАН

§  Разделение API на низко и высоко уровневые

§  Две зоны ответственности: tenant admin и operator

Разделение зон ответственности

Сервис A

Сервис C

Абстракция при помощи API

Низкоуровневые API

Operator / Admin

OpenStack Tenant


Neutron Driver - отображает GBP на существующие Neutron API и обеспечивает совместимость с любым Neutron Plugin

Native Driver – существует для OpenDaylight а так же различных производителей (Cisco, Nuage Networks и One Convergence)

OpenStack GBP обзор

Group Policy

CLI Horizon Heat

Neutron Driver

Neutron Любой существующий плагин и ML2 драйвер

Открытая модель, обеспечивающая совместимость с физической и виртуальной

инфраструктурой

Native Driver 1

1

2

2

Архитектура на основе драйверов


Модель Group-Based Policy Policy Group: набор виртуальных машин с одинаковыми характеристиками. Например, компоненты приложения (application tier).

Policy RuleSet: Набор из Classifier / Actions описывающих взаимодействие между Policy Group.

Policy Classifier: фильтр для трафика, включает протокол, порт и направление передачи.

Policy Action: описывает набор действий, в случае если трафик отвечает условиям классификации, например трафик передается дальше без доп. действий “allow” или перенаправляется на сервисное устройство “redirect”

Service Chain: упорядоченный набор сервисных устройств через которые передается трафик

L2 Policy: определяет границы домена коммутации. Опциональное включение режима «broadcast»

L3 Policy: изолированное адресное пространство, содержащее L2 Policies / Подсети

L3 Policy

Policy Rule Set

Policy Rule Policy Rule

Service Chain

Classifier Action

Classifier Action

L2 Policy

Policy Group

Policy Target

Policy Target

Policy Target

Policy Group

Policy Target

Policy Target

Policy Target

L2 Policy

provide consume

Node Node


APIC драйвер создает сетевой профиль приложения

OpenStack APIC Plugin – group Policy (Фаза № 2)

APIC

Host 1

OVS

Network B V(X)LAN

101 10.0.1.0/24

Network A V(X)LAN

100 10.0.0.0/24

IPTables Host 2

OVS

Network C V(X)LAN

102 10.0.2.0/24

Network A V(X)LAN

100 10.0.0.0/24

IPTables Host 3

OVS

Network B V(X)LAN

101 10.0.1.0/24

Network A V(X)LAN

100 10.0.0.0/24

IPTables Host 4

OVS

Network C V(X)LAN

102 10.0.2.0/24

Network A V(X)LAN

100 10.0.0.0/24

IPTables

IP tables для контроля безопасности

ACI фабрика обеспечивает распределенный L2 и L3 (без L3 агента). Туннели терминируются на ToR коммутаторах.

OVS терминирует VLAN / VXLAN теги для каждой сети

OVS драйвер выбирает VLAN / VXLAN тег для каждой сети и настраивает OVS

Group Policy Extensions

OVS Driver

Neutron Networking

APIC Group Driver

Group Policy extension расширяет существующий neutron APIs

APIC REST API


Group Based Policy Workflow

2

ACI Admin (manages physical

network, monitors tenant state)

L/B

EPG APP

EPG DB F/W

L/B

EPG WEB



3

5 ACI Fabric

Push Policy

APIC

OpenStack Tenant (Performs step 1,4) Instantiate VMs

Web Web Web Web App App 4

Create Application Network Profile

1

DB DB


NOVA

NEUTRON

Automatically Push Network Profiles to APIC

L/B

EPG APP

EPG DB F/W

L/B

EPG WEB


Интеграция OpenStack и APIC (Фаза № 2)


§  Семинар 24 июня в рамках Cisco Expo Learning Club

§  http://ciscoclub.ru/events/grid/24/all/all

Детали по интеграции с OpenStack



SECURITY

Trusted Zone

DB Tier

DMZ

External Zone

APP DB WEB EXTERNAL ACI Policy

ACI Policy

ACI Policy

Вариант № 1: поддержка контейнеров в решении ACI на базе модели политик и протокола OpFlex на коммутаторе OVS (план)

! ! !FW

ADC

Virtual Machines Docker Containers Bare-Metal Server


ACI Virtual Leaf: OpFlex + OVS


47


ACI Fabric

EPG A

EPG B

EPG = VLAN

ACI Contract 1)  Load the ACI Toolkit on your machine (documentation is at http://datacenter.github.io/acitoolkit/docsbuild/html/genindex.html)

2)  Run the Toolkit to automate the following:

1)  Create the ACI constructs: Tenant, BD, context, Application Network Profile, EPG, Contract

2) Attach physical interfaces to EPG(s)

3) Create a VLAN interface:

4) Attach the logical interface (VLAN) to the Physical Interface 5) Attach the EPG to the logical interface

Вариант № 2: поддержка контейнеров при помощи конструкции MACVLAN на Linux

48


ACI Fabric

! !! ! ! !! ! ! ! !

20

20

30

30

EPG A

EPG B

EPG = VLAN

ACI Contract

3)  Example with LXC

# Show the EPGs on the APIC aci-show-epgs.py # Create the container lxc-create --template ubuntu --name container_name # Attach the container to the EPG aci-attach-epg.py --container container_name --epg epg_name # Start the container lxc-start --name container_name

4)  Example with Docker “docker run” with “macvlan” network type •  allows to map the docker container (MAC) to a VLAN by the “fire up” of

the Docker container •  VLAN got previously mapped to EPG via interface (physical or trunk) •  Connectivity is done without “virtual switching” which increases

performance •  cross-server / cross-racks policy consistency granted via ACI.

•  P.S.: you may consider to previously run a network type “empty” to remove the masquerade rule and not have the default docker0 associated with br0 linux bridge

Вариант № 2: поддержка контейнеров при помощи конструкции MACVLAN на Linux

49



4 разных типа интерфейсов в одном EPG

§  ESX – распределенный коммутатор VMware (VLAN)

§  ESX – коммутатор AVS от Cisco ( VXLAN)

§  Hyper-V – коммутатор от Microsoft (VLAN)

§  Порт физического сервера (VLAN)

Спасибо!

Technology

Интеграция ACI с виртуальными средами