Embed Size (px)
Citation preview
03.10.2015 © 2015 Cisco and/or its affiliates. All rights reserved.
Cisco ACI. Инфраструктура,
ориентированная на приложения
Архитектура и принципы функционирования
сетевой фабрики Cisco ACI. Сценарии внедрения
Скороходов Александр
Системный инженер-консультант
Сетевая фабрика ACI
• Наиболее эффективная фабрика в индустрии:
‒ 1/10 Gb на границе сети, высокая плотность 40GE на
Spine и возможность перехода на 100GE
‒ До 1 миллиона IPv4 и IPv6 хостов
‒ Тысячи логических организаций (tenants)
‒ Десятки тысяч 1/10 Gb серверов
• Маршрутизируемая фабрика – оптимальная
передача IP трафика
‒ Масштабируемая распределённая коммутация (L2) и
маршрутизация (L3) для VXLAN, NVGRE, VLAN
‒ Не требуются программные шлюзы – физические или
виртуальные
‒ Гибкость развертывания приложения – нет ограничений
при выборе точки их размещения в фабрике
• Полная прозрачность – физическая или
виртуальная нагрузка
• Передача метаданных вместе с трафиком
‒ Детальное управление политиками без необходимости
программировать потоки
Spine: модульные (Nexus 9500) или фиксированные (9336) Аппаратная база отображения адресов
До 576 x 40 Gb портов на устройство
Высокая плотность за умеренную стоимость
Оптимизация фабрики Использование IEEE 1588 для измерения
задержки
Оптимальная балансировка ECMP
Leaf (доступ): Nexus 9300 Применение политик
Интеллектуальное кеширование
Поддержка терминации оверлеев
Улучшенная аналитика
APIC
Высочайшая производительность и плотность портов,
низкая стоимость за порт и энергопотребление
Эффективный дизайн и энергоэффективность
Следующее поколение операционной системы NX-OS
Поддержка коммутации L2/L3, FEX, VXLAN
Богатые возможности программируемости
Два семейства коммутаторов
- Модульные: Nexus 9500
- Фиксированной конфигурации: Nexus 9300
Два режима работы
- В составе архитектуры ACI
- Автономный (NX-OS)
Семейство коммутаторов Nexus 9000 Для нового поколения сетевой инфраструктуры ЦОД
Nexus 9500 Семейство шасси
9504 9508 9516
Высота 7 RU 13 RU 21 RU
Слотов для модулей 4 8 16
Коммутационная емкость 15 Tbps 30 Tbps 60 Tbps
Неблокируемых
10G портов, максимум 576 1,152 2,048
Неблокируемых
40G портов, максимум 144 288 576
Использование в ACI ✔ ✔ ✔
Общие - Супервизор
- Системный контроллер
- Интерфейсные карты
- Блоки питания
- Образ NX-OS
Nexus 9504
Nexus 9508
Nexus 9516
Nexus 9500 Интерфейсные карты
Доступ 1/10G, агрегирование 10/40G, магистраль 100G в режиме NX-OS
32/36 портов 40G QSFP+
8 портов 100G CFP2 (CPAK через адаптер)
48 портов 10G SFP+ & 4 порта 40G QSFP+
48 портов 1/10G-T & 4 порта 40G QSFP+ Только NFE
• Только NX-OS
• L2/L3 коммутация
• Поддержка FEX
• VXLAN бриджинг
NFE + Cisco ALE • L2/L3 коммутация
• Поддержка FEX
• VXLAN бриджинг
• Маршрутизация VXLAN
• Увеличенный буфер
Cisco ASE
• Только в режиме ACI spine
Доступ 1/10G и агрегирование 10/40G в режиме NX-OS 48 портов 10G SFP+ & 4 порта 40G QSFP+
48 портов 1/10G-T & 4 порта 40G QSFP+
36 портов 40G QSFP+ (1.5:1)
ACI Access Ready
40G – для работы в режиме ACI Spine 36 портов 40G QSFP+
Коммутаторы Nexus 9300 Возможности Nexus 9000 в фиксированном форм-факторе
• Высокая производительность
• Низкая стоимость за порт
• Богатые функции программируемости
Модель Портов 1/10G Порты 40G/100G Высота Режим работы
96 (витая пара) 6 или 8 40G QSFP или 2
100G CFP2/CPAK(не-ACI) 3 RU NX-OS или ACI Leaf
48 (SFP или витая
пара)
6 или 12 40G QSFP или 4
100G CFP2/CPAK(не-ACI) 2 RU
NX-OS или ACI Leaf
96 (витая пара) 6*40G QSFP 2 RU NX-OS или ACI Leaf
48 (SFP или витая
пара) 6*40G QSFP 1 RU
NX-OS или ACI Leaf
- 32*40G QSFP 1 RU NX-OS или ACI Leaf
- 36*40G QSFP 2 RU Только ACI Spine
Nexus 9396TX
Nexus 9372PX(-E)
Nexus 9332PQ
Nexus 9372TX(-E)
Nexus 9396PX
Nexus 93128TX
Nexus 9336PQ
Nexus 93120TX
С чего можно начать? Минимальная конфигурация инфраструктуры ACI
Nexus 9336
(“mini-spine”)
Nexus 9336
(“mini-spine”)
Nexus 9372PX-E/TX-E Nexus 9372PX-E/TX-E
40G кабели
10G (кабели или витая пара)
Кластер APIC (3 контроллера)
Application Policy Infrastructure Controller Централизованная автоматизация и управление фабрикой
• Единая точка управления политиками в
сети ЦОД:
• Профили приложений
• Интеграция с сервисами L4-L7
• Открытая модель данных для управления при
помощи внешних средств оркестрации
• Мониторинг приложений, поиск и устранение
неисправностей фабрики
• Накопление статистики/телеметрии
• Управление образами ПО коммутаторов
• Не принимает непосредственное
участие в передаче данных
• Не занимается детальной настройкой
• Кластеризация для масштабирования и
доступности (от 3 до 5 и более узлов)
Сервисы 4..7 Управление
системами
Управление
СХД
Оркестрация
Storage SME Server SME Network SME
Security SME App. SME OS SME
Открытый
RESTful API
Управление при помощи
политик
APIC
Масштабируемая эксплуатация фабрики Обнаружение, инициализация, управление
• ACI фабрика: масштабируемое централизованное управление с помощью APIC
• Обнаружение и адресация фабрики
• Управление образами ПО
• Проверка топологии
Loopback и VTEP IP адреса
выделяются с “Infra VRF” по DHCP с
APIC
APIC кластер
Обнаружение топологии с
использованием LLDP
APIC APIC APIC
ACI фабрика Интегрированные оверлеи
• ACI фабрика базируется на IP сети, обеспечивающей маршрутизацию между
элементами фабрики и интегрированных оверлеях для маршрутизации/коммутации
между хостами фабрики
‒ весь трафик между конечными хостами внутри фабрики передается при помощи оверлеев
• Почему интегрированные оверлеи?
‒ Мобильность, масштабируемость, поддержка multi-tenancy и интеграция с гипервизорами
‒ Вместе с трафиком данных можно передавать мета-данные для реализации распределенных
политик
APIC
VTEP VTEP VTEP VTEP VTEP VTEP
Payload IP VXLAN VTEP
Таблица отображения фабрики Inline Hardware Mapping DB - 1,000,000+ хостов
Local Station Table – адреса
“всех” конечных хостов,
которые подключены
напрямую к Leaf коммутатору
10.1.3.11 fe80::462a:60ff:fef7:8e5e 10.1.3.35 fe80::62c5:47ff:fe0a:5b1a
Proxy
10.1.3.11
10.1.3.35
Port 9
Leaf 3
Proxy *
Global Station Table –
локальный кэш записей для
подключенных к фабрике
хостов
10.1.3.35 Leaf 3
10.1.3.11 Leaf 1 Leaf 4
Leaf 6
fe80::8e5e
fe80::5b1a
Proxy Station Table –адреса «всех» хостов,
подключенных к фабрике
• Таблица отображения на коммутаторе Leaf делится между локальными и глобальными
записями
• Глобальная таблица на коммутаторе Leaf кеширует часть полной глобальной таблицы,
которая содержится на каждом коммутаторе Spine
• Если адрес конечного хоста не найден в локальном кэше, то (по умолчанию) пакет
передается на коммутатор Spine (до 1,000,000+ записей в таблице отображения
коммутатора Spine)
Proxy Proxy Proxy
Функции Spine коммутатора
• Три функции уровня передачи данных на коммутаторах «ядра» ACI фабрики
• Транзит: передача IP трафика между VTEP’ами
• Proxy Lookup: директория уровня передачи данных для передачи трафика с
использованием базы отображения EID в VTEP
• Корень Multicast дерева: корень одной из 16 топологий для передачи группового
трафика
• Не все функции обязательны на всех Spine коммутаторах
Transit Node
Proxy Lookup
Cached EID Entry
Proxy Lookup –
Unknown EID
Multicast Root
ACI фабрика Нормализация инкапсуляции
VXLAN
VNID = 5789 VXLAN
VNID = 11348
NVGRE
VSID = 7456
Any to Any
802.1Q
VLAN 50
Нормализация
инкапсуляции
Локализация
инкапсуляции
IP фабрика
использует
eVXLAN тег
Данные IP eVXLAN VTEP
• Весь трафик инкапсулируется при помощи заголовка extended VXLAN (eVXLAN)
• Внешний тег VLAN, VXLAN, NVGRE (планируется) на входящем порту
отображается во внутренний eVXLAN тег
• Внешние идентификаторы локальны на уровне Leaf устройства или Leaf порта
• Возможность переиспользования, если требуется
Данные
Данные
Данные
Данные
Данные
Eth
IP VXLAN
Outer
IP
IP NVGRE Outer
IP
IP 802.1Q
Eth
IP
Eth
MAC
Нормализация входящей инкапсуляции
APIC
Передача данных независимо от расположения
На 2-м и 3-м уровне
10.1.1.10 10.1.3.11 10.6.3.2 10.1.3.35 10.1.1.10 10.1.3.11 10.6.3.2 10.1.3.35
• ACI фабрика поддерживает семантику 2-го и 3-го уровня
- никаких изменений в приложении не требуется
• ACI фабрика обеспечивает оптимальную передачу трафика 2-го и 3-го уровня ‒ SVI распределён по всем узлам где требуется, обеспечивая маршрутизацию
‒ Трафик 2-го и 3-го уровней напрямую передается на leaf с хостом назначения
• IP ARP и GARP пакеты передаются напрямую узлу назначения без
широковещательной рассылки
Распределенный шлюз по умолчанию Направленная передача ARP
APIC APIC
vSwitch (VMWare) vSwitch (MSFT)
Payload IP
VM, подключенная к Ingress Port Group
или физический сервер формируют
пакет
1
Payload IP VXLAN VTEP
vSwitch инкапсулирует пакет и
передает его в сторону Leaf VTEP 2
Если входящий Leaf коммутатор уже выучил
соответствие IP адреса хоста назначения и адреса
VTEP, то в качестве адреса назначения для eVXLAN
туннеля выбирается известный VTEP адрес и
пакет передается напрямую на исходящий Leaf
коммутатор
4a
Payload IP eVXLAN VTEP
Коммутатор Leaf заменяет
заголовок VXLAN на eVXLAN и
применяет политику
3
Payload IP eVXLAN VTEP
Исходящий Leaf коммутатор производит
замену eVXLAN заголовка на требуемую
инкапсуляцию и применяет политику
5
Payload IP NVGRE GRE IP
Коммутатор Leaf передает пакет
vSwitch-у или физическому серверу
6
Payload IP
Пакет передается на порт vSwitch
7
Payload IP eVXLAN VTEP
Если входящий Leaf коммутатор не имеет записи в кеше о соответствии IP назначения адресу
VTEP, то пакет пересылается на spine-коммутатор на адрес anycast VTEP, где на уровне ASIC
происходит HW lookup и переписывается адрес VTEP назначения. Дополнительной задержки или
снижения производительности при этом не происходит.
4b
VTEP VTEP
VTEP
Передача пакетов в ACI фабрике
APIC
vSwitch (VMWare) vSwitch (MSFT)
vSwitch инкапсулирует пакеты,
ассоциированные с EPG при
помощи назначенного
VLAN/VXLAN/NVGRE
идентификатора
1
Если коммутатору Leaf известен
исходящий EPG который
ассоциирован с узлом назначения, то
он реализует политику устанавливая в
соответствующее значение бит в
заголовке eVXLAN, показывающий, что
входящая политика была применена к
пакету
4
На основе классификации
коммутатор Leaf формирует
значение поля Source Group в
eVXLAN заголовке
3
Payload IP NVGRE GRE IP
Коммутатор Leaf пересылает
пакет vSwitch-у или
подключенному напрямую
физическому серверу.
7
Пакет идентифицируется как принадлежащий
определенной end point group (EPG) на
основе входящей классификации (port group,
физический порт, IP адрес, VLAN)
2
Payload VNID Flags VTEP SRC
Group
Если политика приложения требует передачу пакета через сервисное устройство
или цепочку таких устройств, то фабрика в качестве VTEP узла назначения
указывает адрес коммутатора, в которому подключено сервисное устройство
5
Исходящий Leaf коммутатор
проверяет был ли установлен policy
флаг в заголовке eVXLAN и если
требуется применяет политику
6
Реализация политик в ACI фабрике
Payload VNID Flags VTEP SRC
Group
vPC в ACI фабрике
• ACI обепечивает распределённый port-
channel (VPC) к двум коммутаторам доступа,
аналогично Nexus в автономном режиме
• Отличия:
• Не нужен peer-link
• Синхронизация между коммутаторами
через фабрику
• «Обходной» трафик – также через
фабрику
• Для достижимости хостов за VPC через
фабрику используется Anycast адрес,
доступный через оба коммутатора
• Логика для хостов с одиночным
подключением не меняется
Host or Switch
VTEP VTEP
vPC Anycast
VTEP vPC Anycast
VTEP
Traffic within the Fabric is sent to
the vPC anycast address
ACI фабрика: управление трафиком
Фокус на времени отклика приложения
• ACI фабрика отслеживает перегрузки на
всем пути передачи входящим и исходящим
leaf (измерения в реальном времени)
‒ Перегрузка на внешних портах
коммутаторов (external wires)
‒ Перегрузка на соединениях ASIC-to-ASIC
(internal wires)
• Фабрика балансирует потоки трафика по
принципу ‘flowlet switching’
‒ Динамическое перенаправление активных
потоков с загруженного пути на менее
загруженный путь передачи трафика
• Фабрика приоритезирует небольшие потоки
‒ Увеличение скорости реакции для
интерактивных соединений
APIC
Балансировка внутри ACI фабрики Flowlet Switching
H1 H2
TCP поток
• Flowlet switching* обеспечивает
независимую передачу “порций”
пакетов принадлежащих одному
потоку по разным аплинкам
• Без изменения порядка
передаваемых пакетов
Gap ≥ |d1 – d2|
d1 d2
*Flowlet Switching (Kandula et al ’04)
Балансировка внутри ACI фабрики Dynamic Flow Prioritization
Реальный трафик представляет собой
микс больших (elephant) и
малых (mice) потоков. F1
F2
F3
Стандартный режим
(один приоритет):
Потоки больших размеров
влияют на
производительность
небольших потоков
(задержка и потери).
High
Priority
Dynamic Flow Prioritization:
фабрика автоматически
приоритезирует потоки
малого размера
Standard
Priority
Ключевая идея:
Фабрика обнаруживает первые
несколько “порций” (flowlets)
каждого потока данных и
помещает их в приоритетную
очередь
Варианты миграции на решение Cisco ACI Сценарий № 1 – добавление нового модуля в ЦОД
03.10.2015 © 2013 Cisco and/or its affiliates. All rights reserved. 21
Добавление нового POD в ЦОД
Новый POD Существующая
инфраструктура
Добавление нового POD в ЦОД при помощи ACI
Новый POD Существующая
инфраструктура
Логическое подключение нового ACI Pod
Новый POD Существующая
инфраструктура
BGP
OSPF
VLAN
VxLAN
Варианты миграции на решение Cisco ACI Сценарий № 2 – расширение уровня доступа
Расширение уровня доступа
VLAN 10
Дополнительные ToR
коммутаторы для
поддержки новых
серверных подключений
Существующая
инфраструктура
VLAN 20 VLAN 30
Расширение уровня доступа при помощи ACI
VLAN 10
Бандл ACI начального
уровня, подключенный к
коммутаторам агрегации Существующая
инфраструктура
VLAN 20 New Server Group
Layer 2
соединения
Сценарий № 2 – пример миграции
Отображение логических компонент
приложения на единую сеть
Web Tier
EPG
App Tier
EPG DB Tier
EPG
P P
P
Миграция шлюза по умолчанию на оборудование
ACI для реализации политик
Web Tier
EPG (VLAN 10)
10.10.10.1 Gateway
App Tier
EPG (VLAN 20)
10.10.20.1 Gateway
DB Tier
EPG
SVI 10.10.10.1
SVI 10.10.20.1
802.1q Trunk
для VLAN 10 и
20 Миграция SVI
интерфейсов на на ACI
фабрику для реализации
политик
Идентификация групп подключений (EPG)
Web Tier
EPG
App Tier
EPG DB Tier
EPG
P P P
Идентификация на
основе 802.1q VLAN тега
Идентификация на
основе 802.1q VLAN тега
Идентификация на основе:
• 802.1q VLAN тега
• Физического порта
• Виртуального порта
• VxLAN тега
Идентификация на
основе адреса подсети
Интеграция с существующими L4-7 сервисами
Web Tier App Tier DB Tier
P P
P
МСЭ 1 Развертывание
Device package
и политики
Подключение МСЭ к ACI фабрике – оптимизация
Firewall 1
Application
Client
Subnet
10.20.20.0/24
Subnet 10.10.10.0/24
Subnet
10.30.30.0/24
Subnet
10.40.40.0/24
Subnet
10.50.50.0/24
External Networks
(Outside)
Redirect to Pre-
configured FW
Redirect to Pre-
configured FW
Critical Users
(Outside)
Middle Ware
Servers
Web
Servers Oracle
DB Contract
Redirect to dynamically
configured FW
NFS Contract Redirect to
dynamically
configured FW
Default Users
(Outside)
NFS
Servers
Subnet
10.20.20.0/24
Subnet 10.10.10.0/24
Subnet
10.30.30.0/24
Permit TCP any
any Redirect to Pre-
configured FW
Политика может внедряться постепенно
Варианты миграции на решение Cisco ACI Сценарий № 3 – реализация сервисов ЦОД на базе ACI
ACI как «сервисное шасси»
МСЭ 1 МСЭ 1
L3 OSPF
BGP
L2 VLAN
802.1Q
L2
L3
40G ACI
Backbone
Внедрение сервисного блока с использованием ACI
vSwitch vSwitch vSwitch
APIC Policy
Controller
Directory/Proxy
Service Nodes
Border
Leaves
ACI Enabled L4-7
Virtual and Physical
Services (Поддержка
существующих и
новых/дополнительны
х сервисов)
Реализация
сервисов на базе
ACI в любом
существующем
ЦОД, который
использует IP
протокол
1. Установка сервисного
блока ACI
2. Использование
существующих L4-7
сервисных узлов ‘или’
использование новых
сервисов, которые
будут полностью
автоматизированы при
помощи APIC device
package
3. Протянуть VLAN ==
EPG из существующей
сети в сервисный
модуль ACI
4. Миграция шлюза по
умолчанию на
сервисный модуль ACI
5. Управление сервисами
через APIC с
сохранением текущей
схемы коммутации
Варианты миграции на решение Cisco ACI Сценарий № 4 – интеграция с доменами виртуализации
Backbone
Интеграция с доменами виртуализации
vSwitch
APIC Policy
Controller
Directory/Proxy
Service Nodes
Border
Leaves
Интеграция
коммутаторов
встроенных в
гипервизор в политику
APIC и домен
автоматизации
(Extended VLAN или
VXLAN overlay)
1. APIC интегрируется с
существующими
доменами VMM (ESX
vCenter FCS, Microsoft
SCVMM и Azure Pack,
OVS/KVM)
2. Используется
исходный «vSwitch»
‘или’ устанавливается
Cisco Application
Virtual Switch в
режиме L2
3. Существующие или
новые L4-L7 сервисы
могут быть
использованы ACI
для настройки
цепочек сервисов
AVS OVS Hyper-V AVS
Ждем ваших сообщений с хештегом
#CiscoConnectKZ
© 2015 Cisco and/or its affiliates. All rights reserved.
Спасибо Пожалуйста, заполните анкеты.
Ваше мнение очень важно для нас.
Contacts:
Name Александр Скороходов
Phone +7(495)789-8615
E-mail [email protected]
