Upload
cisco-russia
View
261
Download
8
Embed Size (px)
Citation preview
Практика внедрения и использования Cisco ACI
Хаванкин Максим cистемный архитектор, CCIE [email protected]
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.
Содержание
• Подключение физических устройств к фабрике • Интеграция со средой виртуализации • Создание профиля приложения • Подключение к существующей сети по L2 • Подключение к существующей сети по L3
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 2
Что представляет собой ACI?
ACI фабрика
Неблокируемая фабрика на базе оверлеев
App DB Web
Внешняя сеть передачи данных
(Tenant VRF)
QoS
Filter
QoS QoS
Filter
Application Policy Infrastructure
Controller
APIC
1. Профиль приложения
2. Кластер контроллеров
3. Cеть на базе Nexus 9000
Service
Filter
Service Сеть ЦОД на базе коммутаторов Nexus 9000 с централизованным
управлением при помощи контроллера на основе политик
Подключение физических устройств к фабрике
VLAN Pool Interface Policies Group Physical/External Domain Interface Profile AAEP Switch Policy Profile Interface Policies
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 4
Подключение физических устройств к фабрике
Гипервизор (стоечные сервера)
Гипервизор (Cisco UCS)
Физические сервера БД
L2+L3 сеть
L4-L7 устройства
Подключение физических устройств к фабрике VLAN-ы и пулы VLAN-ов
Гипервизор (стоечные сервера)
Гипервизор (Cisco UCS)
Физические сервера БД
L2+L3 сеть
L4-L7 устройства
DB_VLAN_Pool
xOUT_VLAN_Pool ASA_VLAN_Pool
Hypervisor_VLAN_Pool
Подключение физических устройств к фабрике
VLAN Pool создаются для внутренних подключений к фабрике (например физических серверов или виртуальных машин) и внешних по отношению к фабрике (например L2 extension) VLAN Pool используются физическими или виртуальными (VMM) доменами Выделение VLAN в пуле статическое или динамическое
Навигация: Fabric | Access Policies | Pools | VLAN
Настройка VLAN пулов
Подключение физических устройств к фабрике Пример настройки: VLAN Pool
Нагрузка размещаемая в среде виртуализации будет автоматически получать номера VLAN Для остальных подключений номера VLAN нужно будет указывать вручную из соответствующих пулов
Несколько статических VLAN для внешнего L2
подключения
Один статичный VLAN для серверов БД
Подключение физических устройств к фабрике Физические и внешние (external) домены
Гипервизор (стоечные сервера)
Гипервизор (Cisco UCS)
Физические сервера БД
L2+L3 сеть
L4-L7 устройства
DB_Serv_PHD Rack_PHD UCS_PHD
xOUT_PHD ASA_PHD
DB_VLAN_Pool
xOUT_VLAN_Pool ASA_VLAN_Pool
Hypervisor_VLAN_Pool
Подключение физических устройств к фабрике
Физические домены используются для определения подключений к фабрике следующих устройств – серверы, виртуальные машины, межсетевые экраны и т.д. Если одинаковые серверы подключаются разными способами (PC, vPC) создаются разные домены. Объекты External Bridged Domain, External Routed Domain и Physical Domain используют VLAN pool-ы как ресурс сами в свою очередь являясь ресурсом для объектов Attachable Access Entity Profile EPG ассоциируются с физическими доменами
Навигация: Fabric | Access Policies | Physical and External Domains
Настройка физических и внешних (external) доменов
Подключение физических устройств к фабрике Пример: Physical Domain
Обратите внимание что домены Rack_PHD и UCS_PHD ассоциированы с одним пулом VLAN-ов
Домены ассоциируются с VLAN Pool-ами
Подключение физических устройств к фабрике Attachable Access Entity Profile
Гипервизор (стоечные сервера)
Гипервизор (Cisco UCS)
Физические сервера БД
L2+L3 сеть
L4-L7 устройства
DB_Serv_PHD Rack_PHD UCS_PHD
xOUT_PHD ASA_PHD
DB_Serv_AAEP Rack_AAEP UCS_AAEP
xOUT_AAEP ASA_AAEP
DB_VLAN_Pool
xOUT_VLAN_Pool ASA_VLAN_Pool
Hypervisor_VLAN_Pool
Подключение физических устройств к фабрике Attachable Access Entity Profile
Гипервизор (стоечные сервера)
Гипервизор (Cisco UCS)
Физические сервера БД
L2+L3 сеть
L4-L7 устройства
DB_Serv_PHD Rack_PHD UCS_PHD
xOUT_PHD ASA_PHD
DB_Serv_AAEP Rack_AAEP UCS_AAEP
xOUT_AAEP ASA_AAEP
DB_VLAN_Pool
xOUT_VLAN_Pool ASA_VLAN_Pool
Hypervisor_VLAN_Pool
Подключение физических устройств к фабрике Attachable Access Entity Profile
DB_Serv_PHD Rack_PHD UCS_PHD
xOUT_PHD ASA_PHD
DB_Serv_AAEP Rack_AAEP UCS_AAEP
xOUT_AAEP ASA_AAEP
DB_VLAN_Pool
xOUT_VLAN_Pool ASA_VLAN_Pool
Hypervisor_VLAN_Pool
AAEP может использоваться для подключения к фабрике доменов с одинаковыми требованиями AAEP можно использовать как средство управления зонами использующими одинаковые VLAN- пулы
Подключение физических устройств к фабрике Пример использования AAEP
Гипервизор (стоечные сервера)
Гипервизор (стоечные сервера)
Гипервизор (стоечные сервера)
Rack_1_2_AAEP Rack_3_AAEP
Rack_1_2_VLAN_Pool Rack_3_VLAN_Pool
Rack_2_PHD Rack_1_PHD Rack_3_PHD
Подключение физических устройств к фабрике
Attachable Access Entity Profile потребляют ресурсы объектов Physical и/или External Domain сами при этом являются ресурсом для объектов Interface Policy Group и VMM Domain Навигация: Fabric | Access Policies | Global Policies | Attachable Access Entity Profiles
AAEP используются для контроля за назначением номеров VLAN, например какие интерфейсы или VMM домены могут использовать определенные VLAN AAEP так же используется для переписывания параметров vSwitch
применяется при подключении Сisco UCS к ACI
Настройка Attachable Access Entity Profile
Подключение физических устройств к фабрике Пример: Attachable Access Entity Profile
В этом примере AAEP пока не ассоциированы с объектом Policy Group
Подключение физических устройств к фабрике Attachable Access Entity Profile – ассоциация с физическим доменом
Подключение физических устройств к фабрике Interface Policies – индивидуальные параметры интерфейса
Гипервизор (стоечные сервера)
Гипервизор (Cisco UCS)
Физические сервера БД
Port Channel: disable LLDP: disable CDP: disable Speed: 10G
Port Channel: enable LLDP: enable
Подключение физических устройств к фабрике
Interface Polices имеют глобальное значение на всю фабрику и определяют свойства интерфейсов
Навигация: Fabric | Access Policies | Interface Policies | Policies Что можно определить при помощи Interface Policies
Link Speed | CDP State | LLDP State | LACP Mode | LACP Priority | … Примеры
Link Speed = 10Gbps | CDP State = Enabled | LLDP = Disabled Дизайн
Interface Policies используются при создании Policy Group
Настройка Interface Policies
Подключение физических устройств к фабрике Пример настройки: Interface Policy
Создавайте Interfaces Polices сразу на все случаи жизни в явном виде указывая в названии политики характеристику настраиваемого параметра Использование политик типа “default” не рекомендуется
Подключение физических устройств к фабрике Interface Policies Group – шаблон настройки интерфейса целиком
Гипервизор (стоечные сервера)
Гипервизор (Cisco UCS)
Физические сервера БД
Port Channel: disable LLDP: disable CDP: disable Speed: 10G
Port Channel: enable LLDP: enable
vPC_Hypervisor_IPG
объединение индивидуальных параметров
DB_IPG
объединение индивидуальных параметров
Подключение физических устройств к фабрике Interface Policies Group – шаблон настройки интерфейса целиком
Гипервизор (стоечные сервера)
Гипервизор (Cisco UCS)
Физические сервера БД
Port Channel: disable LLDP: disable CDP: disable Speed: 10G
Port Channel: enable LLDP: enable CDP: disable Speed: 10G
Подключение физических устройств к фабрике
Interface Policy Groups определяют шаблон настройки портов фабрики следующих типов
Access port Port Channel (v)Port Channel
Interface Policy Groups использует для своего определения объекты типа «Interface Policies» и сам является объектом который используется при определении «Interface Profile» Шаблон может включать в себя настройку следующих параметров
Port Channel | vPC | CDP Policy | Monitoring Policy | Attached Entity Profile | …
Примеры DC_IPG, Hypervisor_IPG
Настройка Interface Policy Groups
Подключение физических устройств к фабрике Пример: Interface Policy Group
Название Policy Group
Используемые Interface Policies
Используемые AAEP (Domains, Pools)
Тип интерфейса - Access, v(Port-Channel
vPC_Hypervisor_IPG
DB_IPG
Подключение физических устройств к фабрике Interface Profile – привязка шаблона к номерам интерфейсов
Гипервизор (стоечные сервера)
Гипервизор (Cisco UCS)
Физические сервера БД
Port Channel: disable LLDP: disable CDP: disable Speed: 10G
Port Channel: enable LLDP: enable CDP: disable Speed: 10G
Leaf_x_DB_IP Leaf_y_UCS_IP
vPC_Hypervisor_IPG
DB_IPG
Подключение физических устройств к фабрике Interface Profile – привязка шаблона к номерам интерфейсов
Гипервизор (стоечные сервера)
Port Channel: disable LLDP: disable CDP: disable Speed: 10G
Port Channel: enable LLDP: enable CDP: disable Speed: 10G
Leaf_x_DB_IP
Селектор
интерфейсов пока без физической привязки
к коммутатору
1_10 -> 1/10 1_20 -> 1/20
Leaf_y_UCS_IP
Селектор
интерфейсов пока без физической привязки
к коммутатору
1_1_9 -> 1/1-9 1_30_40 -> 1/30-40
Подключение физических устройств к фабрике
Interface Profiles использует для своего определения объекты типа “Interface Policy Groups” и так же ссылается на физические интерфейсы (не коммутаторы) к которым применяются шаблоны настроек (IPG) Что можно определить при помощи Interface Profile
Interface Policy Group | Interface range Примеры
Leaf_1_DB_IP, Leaf_5_UCS_IP Дизайн
Распределение приложений по физическим серверам будет влиять на количество Interface Profile, например подключение физических серверов к одним и тем же портам leaf-коммутаторов даст возможность переиспользовать одни и те же профили и сократить число объектов на контроллере и упростить процесс настройки
Настройка Interface Profiles
Подключение физических устройств к фабрике Пример: Interface Profile
Interface Profiles используют ссылки на индивидуальные номера портов или группы портов
Interface Selector Name Номера физических интерфейсов (пока без
привязки к конкретному коммутатору)
vPC_Hypervisor_IPG
DB_IPG
Подключение физических устройств к фабрике Switch Policy Profile – привязка настройки интерфейса к коммутатору
Гипервизор (стоечные сервера)
Port Channel: disable LLDP: disable CDP: disable Speed: 10G
Port Channel: enable LLDP: enable CDP: disable Speed: 10G
Leaf_x_DB_IP
Селектор
интерфейсов пока без физической привязки
к коммутатору
1_10 -> 1/10 1_20 -> 1/20
Leaf_y_UCS_IP
Селектор
интерфейсов пока без физической привязки
к коммутатору
1_1_9 -> 1/1-9 1_30_40 -> 1/30-40
vPC_Hypervisor_IPG
DB_IPG
Подключение физических устройств к фабрике Switch Policy Profile – привязка настройки интерфейса к коммутатору
Port Channel: disable LLDP: disable CDP: disable Speed: 10G
Port Channel: enable LLDP: enable CDP: disable Speed: 10G
Leaf_x_DB_IP
Селектор
интерфейсов пока без физической привязки
к коммутатору
1_10 -> 1/10 1_20 -> 1/20
Leaf_y_UCS_IP
Селектор
интерфейсов пока без физической привязки
к коммутатору
1_1_9 -> 1/1-9 1_30_40 -> 1/30-40
Leaf_x_SPP
Привязка настроек DB интерфейсов к конкретным коммутаторам leaf 1 и leaf 2
Leaf_y_SPP
Привязка настроек UCS интерфейсов к конкретным коммутаторам leaf 5 и leaf 6
Подключение физических устройств к фабрике
Switch Policies Profiles использует для своего определения объекты типа “Interface Profile” таким образом конфигурация интерфейса окончательно «привязывается» к коммутатору Что можно определить при помощи
Switches ID | Interface profile Пример
Leaf_1_SPP, Leaf_2_SPP
Настройка Switch Policy Profile
Подключение физических устройств к фабрике Пример: Switch Policy Profile
Имя Switch Profile
При необходимости (vPC) один селектор может включать в себя
несколько коммутаторов
Ссылка на шаблоны настроек интерфейсов Ссылки на шаблоны настроек интерфейсов
Policy Groups DB_IPG
L2OUT_IPG vPC_Hypervisor_IPG
Interface Policies CDP_enabled LACP_Active
AAEP DB_Serv_AAEP
xOUT_AAEP UCS_AAEP
Подключение физических устройств к фабрике Картина целиком
Interfaces Profiles
Leaf_1_DB_IP Leaf_5_UCS_IP
Switche Profiles Leaf_1_SPP Leaf_5_SPP
Concrete Model
Logical Model
Virtual Machine Domains
(vSwitches) vCenter-01_vDS-01
Application Network Profile
Hello_world
Phy/Out Domain DB_Serv_PHD
xOUT_PHD UCS_PHD
VLAN/VxLAN Pools DB_VLAN_Pool
xOUT_VLAN_Pool Hypervisor_VLAN_Pool
Об этих объектах более детальный разговор дальше
Интеграция со средой виртуализации
На примере VMware vCenter
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 35
Интеграция со средой виртуализации Взаимодействие через сегмент Out-Of-Band Management (вариант)
Гипервизор (стоечные сервера)
Гипервизор (Cisco UCS)
Физические сервера БД
L2+L3 сеть
L4-L7 устройства
vCenter
Интеграция со средой виртуализации Взаимодействие через сегмент Out-Of-Band Management (вариант)
Гипервизор (Cisco UCS)
L2+L3 сеть
L4-L7 устройства
Кластер APIC
APIC APIC
APIC
OOBM
Интеграция
Интеграция со средой виртуализации Три режима интеграции с VMware vCenter
+
Distributed Virtual Switch (DVS) vCenter + vShield Manager Application Virtual Switch
(AVS)
• Инкапсуляция: VLAN • Установка: Native • Обнаружение VM:
LLDP • Software/Licenses:
vCenter с лицензией EnterprisePlu
• Инкапсуляция: VLAN, VXLAN
• Установка: Native • Обнаружение VM:
LLDP • Software/Licenses:
vCenter с лицензией EnterprisePlus, vShield Manager с лицензией vShield
• Инкапсуляция: VLAN, VXLAN
• Установка: VIB при помощи VUM или консоли
• Обнаружение VM: OpFlex
• Software/Licenses: vCenter с лицензией EnterprisePlus
APIC Admin
VI/Server Admin Instantiate VMs, Assign to Port Groups
L/B
EPG APP
EPG DB
F/W
EPG WEB
Application Network Profile
Create Application Policy
Web Web Web App
HYPERVISOR HYPERVISOR
VIRTUAL DISTRIBUTED SWITCH
WEB PORT GROUP
APP PORT GROUP
DB PORT GROUP
vCenter Server / vShield
8
5
1
9 ACI Fabric
Automatically Map EPG To Port Groups
Push Policy
Create VDS 2
Cisco APIC and VMware vCenter Initial
Handshake
6
DB DB
7 Create Port Groups
Интеграция со средой виртуализации VMware vCenter: DVS
APIC
3
Attach Hypervisor to VDS
4 Learn location of ESX Host through LLDP
Интеграция со средой виртуализации
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 40
Создание VMM-домена на базе vCenter
AAEP определяет настройки vDS
Динамический VLAN Pool
vCenter ID
vCenter Credentials
Интеграция со средой виртуализации
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 41
Настройка подключения к vCenter
IP-адрес vCenter Тип vDS
Имя vCenter Datacenter EPG для Inband
Management подключения
Credentials
Режим интеграции
Интеграция со средой виртуализации
APIC • создает распределенный коммутатор
• настраивает порты и функции этого коммутатора при помощи политик
• при ассоциации EPG с VMM-доменом создается портовая группа
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 42
Результат интеграции
Интеграция со средой виртуализации Добавить руками хост к коммутатору, созданному автоматически
Интеграция со средой виртуализации
ACI_Leaf_101# show port-channel summary Flags: D - Down P - Up in port-channel (members) I - Individual H - Hot-standby (LACP only) s - Suspended r - Module-removed S - Switched R - Routed U - Up (port-channel) M - Not in use. Min-links not met F - Configuration failed ------------------------------------------------------------------------------- Group Port- Type Protocol Member Ports Channel ------------------------------------------------------------------------------- 3 Po3(SU) Eth LACP Eth1/1(P)
Автоматизация настроек портов со стороны фабрики
Port-Channel интерфейс для подключения dVS при помощи LACP – создан автоматически APIC-
контроллером
Интеграция со средой виртуализации Особенности интеграции с Cisco UCS B-series – настройка vSwitch Policy
Гипервизор (стоечные сервера)
Гипервизор (Cisco UCS)
Физические сервера БД
L2+L3 сеть
L4-L7 устройства
Требуется создать vSwitch политику которая настроит алгоритм
балансировки на портовых группах «MAC-Pinning» или
«Route based on originating virtual port» в терминах VMware
Интеграция со средой виртуализации Особенности интеграции с Cisco UCS B-series – настройка vSwitch Policy
Гипервизор (Cisco UCS)
L4-L7 устройства
UCS_AAEP
UCS_PHD
VLAN_Pool
Интеграция со средой виртуализации
• Проверяем настройки со стороны dSwitch • Не изменяйте эти настройки руками!
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 47
Особенности интеграции с Cisco UCS B-series – свойства портовой группы
Создание профиля приложения
Hello_world J
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 48
Создание профиля приложения Tenant - контейнер для хранения сетевых свойств приложений
Tenant: Hello_Connect
Создание профиля приложения
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 50
Пример создания объекта “Tenant”
Название
Создание профиля приложения Логическая модель: private network, как набор изолированных сетевых сегментов, или VRF
Tenant: Hello_Connect VRF: VRF_INSIDE
Создание профиля приложения
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 52
Пример создания объекта “VRF”
Добавляем VRF
Название VRF
Режим реализации политик
Удобно переключиться в режим «Unenforced» во время откладки
контрактов между EPG
Создание профиля приложения Bridge Domain логическая конструкция обозначающая границы L2-сегмента
Bridge Domain: 10.0.0.1_255.255.255.0
Tenant: Hello_Connect VRF: VRF_INSIDE
Новая концепция: Bridge Domain
Bridge Domain - логическая конструкция представляющая L2-сегмент передачи данных внутри фабрики Один или несколько EPG могут быть ассоциированы с одним BD Можно «превратить» в аналог VLAN: 1. Влючить flood для L2
unknown unicast 2. Включить ARP Flooding
Название BD удобно сделать «говорящим», например
использовать для этого адрес и маску подсети
Создание профиля приложения Знакомая концепция: подсети – primary/secondary IP адреса на SVI-интерфейсах
Bridge Domain: 10.0.0.1_255.255.255.0
Tenant: Hello_Connect VRF: VRF_INSIDE
Secondary 10.1.1.x/24
Primary 10.0.0.x/24
interface vlan123 ip address 10.0.0.1 255.255.255.0 ip address 10.1.1.1 255.255.255.0 secondary
Создание профиля приложения
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 56
Настройка подсети
Адрес шлюза по умолчанию для подсети
Область видимости
Новая концепция: профиль приложения § Сетевой профиль приложения представляет собой набор EPG и политик, которые определяют правила взаимоотношений между группами
Inbound/Outbound политики
Сетевой Профиль Приложения
Inbound/Outbound политики
EPG A Service A
Service A
Service A
Service A
Service B
Service B
Service B
Service B
EPG B Service C
Service C
Service C
Service C
Service C Service C
EPG C Service D
Service E
Service D
Service E
Создание профиля приложения Сетевой профиль ANP содержит один или несколько EPG
Bridge Domain: 10.0.0.1_255.255.255.0
Tenant: Hello_Connect VRF: VRF_INSIDE
vPC_to_UCS_a vlan-10
vPC_to_UCS_b vlan-10
EPG: db Security Zone
vPC_to_UCS_a vlan-20
vPC_to_UCS_b vlan-20
EPG: app Security Zone
ANP: Hello_world Нет контрактов = нет передачи данных
vPC_to_UCS_a vlan-30
vPC_to_UCS_b vlan-30
EPG: web Security Zone
Secondary 10.1.1.x/24
Primary 10.0.0.x/24
Создание профиля приложения
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 59
Создание профиля приложения
Название профиля
приложения
Мастер создания EPG Мастер создания контрактов –
активируется после создания EPG
Новая концепция: EPG
60
Ø Интерфейс, при помощи которого конечное устройство подключается к сети
Ø Имеет адрес (identity), местоположения, атрибуты (version, patch level)
Ø Может быть физическим или виртуальным Примеры:
§ End Point Group (EPG) определяются при помощи: — Физический портов (leaf или FEX) — Логический порт (VM port group) — VLAN ID — VXLAN (VNID) — IP адрес (применимо ко внешним подключениям external/border leaf) — IP Prefix/Subnet (применимо ко внешним подключениям external/border leaf) — Атрибуты виртуальных машин (план)
Сервер
Виртуальные машины или контейнеры
СХД
Клиенты
Создание профиля приложения
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 61
Создание EPG
Название EPG
Ассоциация с BD (помещение EPG в L2-сегмент)
Ассоциация c VMM-доменом
(создание портовых групп
на DVS)
Ассоциация c физическими портами/Port-channel/vPC для
невиртуализированной нагрузки
Золотое правило EPG
• Если есть EPG, значит должен быть и контракт!
• Данные между EPG без контракта который явно это разрешает не передаются
• Это касается • Трафика между EPG в одном
ANP • Трафика между EPG разных
ANP • L2 OUT EPG • L3 OUT EPG • и т.д. и т.п.
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 62
Новая концепция: контракт
Subject-этокомбинацияследующихдействийcтрафиком-фильтрация,передачачерезService
GraphиQoS-приоритезация
Контрактыопределяютправила
взаимодействиямеждуEPG
Filter | L4-L7| QoS Subject
TCP Port 80 Фильтр
Service Graph
L4-L7 сервис
QoS Priority QoS
Контракт1 Subject 1
Subject 2 Subject 3
Создание профиля приложения Контракты необходимы для управления передачей данных между EPG
Bridge Domain: 10.0.0.1_255.255.255.0
Tenant: Hello_Connect VRF: VRF_INSIDE
vPC_to_UCS_a vlan-30
vPC_to_UCS_b vlan-30
EPG: app
Контакт = передача данных ANP: Hello_world
vPC_to_UCS_a vlan-10
vPC_to_UCS_b vlan-10
EPG: db 192.168.10.13 192.168.10.12
Secondary 10.1.1.x/24
Primary 10.0.0.x/24
192.168.10.11 192.168.10.10
Нет контракта = нет передачи данных
Контакт = передача данных
vPC_to_UCS_a vlan-30
vPC_to_UCS_b vlan-30
EPG: web Security Zone
Создание профиля приложения
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 65
Создание контракта
Название контракта
Фильтр
Ссылка на сервисную цепочку
Класс качества обслуживания
Создание профиля приложения
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 66
Применение контракта к EPG Источник/Source/Provider Получатель/DesZnaZon/Consumer
Tenant: Hello_Connect
Создание профиля приложения Картина целиком
Bridge Domain: 10.0.0.1_255.255.255.0
Гипервизор (стоечные сервера)
Гипервизор (Cisco UCS)
Физические сервера БД
L2+L3 сеть
L4-L7 устройства
ANP: Hello_world
vPC_to_UCS_a vlan-30
vPC_to_UCS_b vlan-30
EPG: web Security Zone
vPC_to_UCS_a vlan-30
vPC_to_UCS_b vlan-30
EPG: app
Контакт = передача данных
Primary 10.0.0.1/24
vPC_to_UCS_a vlan-10
vPC_to_UCS_b vlan-10
EPG: db
Контакт = передача данных
Подключение к существующей сети по L2
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 68
Создание профиля приложения Подключение BD ко внешней L2-сети при помощи “External Bridge Network” или L2OUT
Bridge Domain: 10.0.0.1_255.255.255.0
Tenant: Hello_Connect
Node-101/eth1/1 Node-102/eth1/1
L2 внешний сегмент
EPG: L2OUT-EPG Security Zone
При помощи механизма L2OUT L2-сегмент внутри фабрики подключается ко внешней L2-сети. Например, BD 10.0.0.1_255.255.255.0
при помощи VLAN-10
VLAN-10
Подключение к существующей сети по L2
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 70
Создание L2OUT – определение свойств L2-подключения
BD, который «вытаскивается» наружу из фабрики
Инкапсуляция на стыке ACI и внешнего L2 сегмента
Внешний L2 физический домен
Подключение к существующей сети по L2
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 71
Создание L2OUT EPG – определение точки для приложения политики доступа
Контракт разрешающий
передавать данные из фабрики во
внешний L2-cегмент
Подключение к существующей сети по L2 Золотое правило: создать контракт между внутренним и внешним EPG
Bridge Domain: 10.0.0.1_255.255.255.0
Tenant: Hello_Connect
Node-101/eth1/1 Node-102/eth1/1
L2 внешний сегмент
EPG: L2-OUT-EPG-DB Security Zone
vPC_to_UCS_a vlan-30
vPC_to_UCS_b vlan-30
EPG: db Security Zone Контакт db2l2out = передача данных
Управление внешним доступом при помощи
политики (контракт db2l2out)
Подключение к существующей сети по L2 Сравнение методов
Extend EPG Extend Bridge Domain
Сценарий использования Подключение физического сервера, гипервизора для которого отсутствует интеграция, коммутатор/маршрутизатор
Настройка Статическая привязка EPG к порту (static binding under EPG)
Использование External Bridged Networks
Куда помещаются внешние подключения
В тот же EPG(VLAN) как и остальные EPG
Разные EPG (VLAN) но тот же bridge domain
Модель политик Внутри EPG любая передача данных разрещена
Определяется контрактом между внутренним и внешним EPG
WEB EPG
External EPG
100.1.1.5 100.1.1.4
WEB EPG
100.1.1.3 100.1.1.5
Bridge Domain BD1
Bridge Domain BD1
Extend EPG Static Binding
Extend BD L2 Outside Connection
C
Tenant: Hello_Connect
Подключение к существующей сети по L2 Картина целиком
Bridge Domain: 10.0.0.1_255.255.255.0
Гипервизор (стоечные сервера)
Гипервизор (Cisco UCS)
Физические сервера БД
L2+L3 сеть
L4-L7 устройства
ANP: Hello_world
vPC_to_UCS_a vlan-30
vPC_to_UCS_b vlan-30
EPG: web Security Zone
vPC_to_UCS_a vlan-30
vPC_to_UCS_b vlan-30
EPG: app
Контакт = передача данных
Primary 10.0.0.1/24
vPC_to_UCS_a vlan-10
vPC_to_UCS_b vlan-10
EPG: db
Контакт = передача данных
DB-сервер DB-сервер
EPG: L2-OUT-EPG-DB Security Zone
Контракт
Подключение к существующей сети по L3
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 75
Подключение к существующей сети по L3 L3 подключение ко внешнему миру происходит на уровне VRF
Bridge Domain: 10.0.0.1_255.255.255.0
Tenant: Hello_Connect VRF: VRF_INSIDE
Node-101/eth1/1 Node-102/eth1/1
L3 внешний сегмент
EPG: L3-OUT-EPG Security Zone
Подключение к существующей сети по L3
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 77
Настройка L3OUT
Внешний L3 физический домен
Подключение к существующей сети по L3
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 78
Создание L3OUT EPG – определение точки для приложения политики доступа
Контракт разрешающий
передавать данные из фабрики во
внешний L3-cегмент
Подключение к существующей сети по L3 Золотое правило: создать контракт между внутренним и внешним EPG
Bridge Domain: 10.0.0.1_255.255.255.0
Tenant: Hello_Connect VRF: VRF_INSIDE
Node-101/eth1/1 Node-102/eth1/1
L3 внешний сегмент
EPG: L3-OUT-EPG Security Zone
vPC_to_UCS_a vlan-30
vPC_to_UCS_b vlan-30
EPG: web Security Zone
Контакт web2l3out = передача данных
Управление внешним доступом при помощи
политики (контракт web2l3out)
Подключение к существующей сети по L3
Border Leaf • Любой коммутатор может быть border leaf • Нет ограничений по количеству border leaf на фабрику
• Обеспечивает подключение ко внешним сетям Протоколы маршрутизации
• Static route • OSPFv2 NSSA, IBGP, eBGP, OSPF, EIGRP • VRF-lite. BGP-EVPN (планируется)
Варианты интерфейсов • L3 interface • L3 sub-interface. VRF-lite для multi-tenancy • SVI Interface. L2 и L3 на одной «физике»
Основные характеристики
Подключение к существующей сети по L3 Как внешние маршруты распространяются по фабрике
MP-BGP Peering
Protocol Peering VRF1
Route Redistribution
BGP RR BGP RR
VM VM
Protocol Peering VRF2
MP-BGP
1. Определить BGP ASN и выбрать спайны для BGP RR
2. APIC настраивает MP-BGP внутри ACI фабрики
3.Настройка L3 outside. Border leaf выучивает внешние маршруты.
4. BL редистрибуция внешних маршрутов в MP-BGP
5. Внешние маршруты распространяются по коммутаторам доступа
6.BL инжектирует информацию о префиксах подключенных к фабрике
Подключение к существующей сети по L3 Настройка MP-BGP
• MP-BGP по умолчанию выключен.
• Настроить BGP ASN и определить какие узлы spine будут выполнять роль BGP RR для включения MP-BGP
• APIC настраивает все остальное (BGP сессии, RD, import и export target, VPNV4 address family, route-map для редистрибуции и т.д.)
• MP-BGP не используется для переноса информации о подключенных к фабрике хостах (end point table - MAC and IP)
Fabric > Fabric Policies > Pod Policies > Policies folder
Подключение к существующей сети по L3
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 83
Проверка настройки MP-BGP
MP-BGP сессии с 2-мя spine коммутаторами
Подключение к существующей сети по L3 Пример распространения маршрутов
BGP RR
Border Leaf
100.1.1.10 10.1.1.10 Tenant Pepsi Public: 100.1.1.0/24 Private 10.1.1.0/24 200.1.1.0/24
MP-BGP Peering OSPF Adjacency Route Redistribution
BGP RR
VM VM
Внешний маршрут 200.1.1.0/24 получен от spine-коммутатора
Редистрибуция 200.1.1.0/24 в MP-BGP
• Редистрибуция маршрутной информации автоматически настраивается APIC контроллером
• Сеть которые нужно анонсировать за пределы фабрики должны иметь признак public
Редистрибуция публичной сети 100.1.1.0/24 в OSPF/BGP
Подключение к существующей сети по L3
• IP-адреса между тенантами не пересекаются. VRF разделяется между тенантами. Изоляция трафика при помощи контрактов.
• BD и subnet, L3outside определяются внутри тенанта “common”. • EPG, Contract, application profile индивидуально внутри тенантов
Разделяемые между тенантами L3 подключения – вариант № 1
VRF
Tenant-A
BD1 192.168.100.1/24
Tenant-B Tenant-Common
BD-B 192.168.101.1/24
BD-A 192.168.102.1/24
L3out
App DB Web CC
Динамический протокол маршрутизации или статика
App DB Web CC
Подключение к существующей сети по L3
• L3outside определяется в тенанте “common” • BD, EPG, Contract, application profile индивидуально внутри тенантов
Разделяемые между тенантами L3 подключения – вариант № 2
VRF
Tenant-A
BD1 192.168.100.1/24
Tenant-B Tenant-Common
BD-A 192.168.102.1/24
L3out
App DB Web CC
Динамический протокол маршрутизации или статика
App DB Web CC
BD-A 192.168.101.1/24
VRF3 VRF2
Подключение к существующей сети по L3
• L3outside определяется в тенанте “common” • BD, EPG, Contract, application profile индивидуально внутри тенантов • Border leaf может инжектировать маршруты в VRF при помощи MP-BGP
Разделяемые между тенантами L3 подключения – вариант № 3 (план)
VRF1
Tenant-Pepsi Tenant-Coke Tenant-Common
BD-Pepsi 192.168.101.1/24 (public+shared)
BD-Coke 192.168.102.1/24 (public+shared)
Border Leaf L3out
App DB Web CC
App DB Web CC
External EPG-1 20.20.20.0/24
20.20.20.0/24
MP-BGP и VRF route-leaking
20.20.20.0/24 20.20.20.0/24
20.20.20.0/24
192.168.101.0/24 192.168.102.0/24
192.168.101.0/24 192.168.102.0/24
Маршруты из VRF тенантов инжектируются в VRF в tenant-common, маршруты должны быть уникальными и не пересекаться.
Подключение к существующей сети по L3
• Возможность включена по умолчанию • Поддерживаются протоколы
• BGP, OSPF, EIGRP • Настройка Export Route Control Subnet
• Для подсетей определенных внутри фабрики
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 88
Контроль за распространением маршрутов из фабрики
Маршруты экспортируемые из
фабрики
Подключение к существующей сети по L3
• Возможность отключена по умолчанию • Настройка L3Out
• Поддерживаются протоколы • BGP
• Настройка Export Route Control Subnet • Для внешних сетей
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 89
Контроль за маршрутам получаемыми от внешних устройств
Маршруты импортируемые в
фабрику
Заключение
• Подключение физических устройств к фабрике • удобное описание настройки физических подключений по шаблону
• Интеграция со средой виртуализации • создание/управление виртуальным коммутатором
• Создание профиля приложения • все что что приложению требовалось знать о подключении к сети
• Подключение к существующей сети по L2 • простое подключение к существующим L2 сегментам или DCI
• Подключение к существующей сети по L3 • надежный друг всегда с Вами
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 90
Полезные ссылки
• Configuration Examples and TechNotes § http://www.cisco.com/c/en/us/support/cloud-systems-management/application-policy-
infrastructure-controller-apic/products-configuration-examples-list.html • ACI Operations Guide • http://www.cisco.com/c/dam/en/us/td/docs/switches/datacenter/aci/apic/sw/1-
x/Operating_ACI/Cisco_OperatingApplicationCentricInfrastructure.pdf • ACI Troubleshooting Book • http://aci-troubleshooting-book.readthedocs.org/en/latest/index.html • Блог архитектора из подразделения Cisco Advanced Services • http://adamraffe.com/learning-aci/
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 91
CiscoRu Cisco CiscoRussia
Ждем ваших сообщений с хештегом #CiscoConnectRu
CiscoRu
Спасибо Хаванкин Максим cистемный архитектор, CCIE [email protected]
© 2015 Cisco and/or its affiliates. All rights reserved.