Embed Size (px)
Citation preview
Cisco ACI как универсальная сеть для облачной инфраструктуры
Скороходов Александр Системный инженер-консультант [email protected]
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.
Облачная инфраструктура
Подключения
Оркестратор
Каталог сервисов
Портал
Вычис-ления Сеть
L4-L7 (FW, IDS,
SLB…)
Хране-ние
Управление Облачное управление
Инфраструктура и её контроллеры
ACI для «облака» Ключевые аспекты Поддержка средств облачной автоматизации/оркестрации • Обеспечивает уровень абстракции инфраструктуры • OpenStack, Cisco UCSD, Microsoft Azure Pack, VMWare vRealize… Поддержка вычислительных нагрузок • «Понимание» подключений • Виртуальные машины на разных гипервизорах
• VMWare vSphere, MS Hyper-V, Linux KVM • Невиртуализированные серверы • Контейнеры Сервисные элементы • Организация сервисных цепочек и настройка элементов • Средства безопасности (МСЭ, IPS, …) и балансировщики • Виртуальные и физические
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 3
Интеграция ACI с системами виртуализации
Взаимодействие гипервизоров с ACI Два режима работы
§ ACI фабрика используется как IP-Ethernet транспорт
§ Инкапсуляция настраивается руками
§ Разные домены политик для физической и виртуальной среды
Неинтегрированный режим
VXLAN
10000 VLAN 10
§ ACI фабрика контролирует подключение в виртуальной среде
§ Инкапсуляция нормализуется и настраивается динамически
§ Единый домен управления для физической и виртуальной среды
APP WEB DB
Интегрированный режим
DB
vCenter DVS SCVMM
§ APIC контроллер и Virtual Machine Manager (VMM) интегрируются друг с другом
§ Несколько VMM могут подключаться к одной ACI фабрике
§ Каждый VMM ассоциируется с набором хостов: VMM домен
§ Отношение 1:1 между виртуальным коммутатором и VMM Domain-ом
VMM Domain 1
Взаимодействие гипервизоров с ACI Концепция VMM Domain
vCenter AVS
VMM Domain 2 VMM Domain 3
Взаимодействие гипервизоров с ACI Endpoint Discovery
ESXi с DVS
APIC
VMM
Control (vCenter API)
Передача данных
§ Виртуальные машины обнаруживаются двумя методами:
§ Control Plane Learning: Out-of-Band Handshake: vCenter API
Inband Handshake: хосты с поддержкой OpFlex (сегодня : AVS и Hyper-V)
§ Data Path Learning: выучивание адресов на основе передавемых данных
§ LLDP используется для идентификации Virtual host ID (HV) и физического порта, к которому подключен гипервизор (для случаев когда OpFlex не используется)
OpFlex Host (ESXi с AVS или Hyper-V)
Control (OpFlex)
Передача данных
L/B
EPGAPP
EPG DB F/W
EPG WEB
Application Network Profile
VM VM VM
WEB PORT GROUP
APP PORT GROUP
DB PORT GROUP
Взаимодействие гипервизоров с ACI Концепция VMM Domain
APIC § ACI фабрика использует EPG для управления политиками
§ В виртуальной среде EPG может представлять собой порт виртуального коммутатора, к которому подключен vNIC виртуальной машины
§ VMM применяет сетевую конфигурацию сетевым интерфейсам виртуальных машин с использованием следующих объектов:
Port Groups (VMware) VM Networks (Hyper-V) Networks (OpenStack)
Взаимодействие гипервизоров с ACI Нормализация инкапсуляции
VXLAN VNID = 5789
VXLAN VNID = 11348
NVGRE VSID = 7456
Any to Any
802.1Q VLAN 50
Нормализация инкапсуляции
Локализация инкапсуляции
IP фабрика использует
GBP VXLAN тег
Данные IP GBP VXLAN VTEP
• Весь трафик инкапсулируется при помощи extended VXLAN (eVXLAN) заголовка
• Внешний тег VLAN, VXLAN, NVGRE* на входящем порту отображается во внутренний eVXLAN тег
• Внешние идентификаторы локальны на уровне Leaf устройства или Leaf порта
• Возможность переиспользования, если требуется
Данные
Данные
Данные
Данные
Данные
Eth IP VXLAN Outer
IP
IP NVGRE Outer IP
IP 802.1Q
Eth IP
Eth MAC
Нормализация входящей инкапсуляции
APIC
Нормализация инкапусуляции и универальные политики Пример: 4 разных типа подключений в одной EPG
• ESX – распределенный коммутатор VMware (VLAN)
• ESX – коммутатор AVS от Cisco (VXLAN)
• Hyper-V – коммутатор от Microsoft (VLAN)
• Порт физического сервера (VLAN)
EP
EP
EP
EP
EP
EP EP
EP
EP
EP
EP
EP
EP
EP
VMM Domain 1 4K EPGs
VMM Domain 2 4K EPGs
16M Virtual Networks § VLAN ID дает возможность создать 4K уникальных EPG (12 бит)
§ Масштабирование пулами по 4K EPG
§ Выбор VMM домена для EPG на основе требований к миграции
§ Миграция (vMotion, Live migration) внутри VMM домена
Взаимодействие гипервизоров с ACI VMM домены и VLAN инкапсуляция
Интеграция с VMware
Интеграция ACI и VMware vCenter Три режима интеграции
+
Distributed Virtual Switch (DVS) vCenter + vShield Manager Application Virtual Switch
(AVS)
• Инкапсуляция: VLAN • Установка: Native • Обнаружение VM:
LLDP • Software/Licenses:
vCenter с лицензией EnterprisePlu
• Инкапсуляция: VLAN, VXLAN
• Установка: Native • Обнаружение VM:
LLDP • Software/Licenses:
vCenter с лицензией EnterprisePlus, vShield Manager с лицензией vShield
• Инкапсуляция: VLAN, VXLAN
• Установка: VIB при помощи VUM или консоли
• Обнаружение VM: OpFlex
• Software/Licenses: vCenter с лицензией EnterprisePlus
Интеграция ACI и VMware vCenter Определение EPG при помощи Port-Group
§ VM подключаются к порт-группа, определенным для каждой EPG § Трафик инкапсулируется при помощи VLAN или VXLAN
VXLAN VNID = 5789
VXLAN VNID = 11348
802.1Q VLAN 50
Payload IP GBP VXLAN VTEP
VXLAN Leaf VTEP
802.1Q vSwitch
WEB PORT GROUP
APP PORT GROUP
vSwitch
WEB PORT GROUP
APP PORT GROUP
802.1Q VLAN 125
Payload IP Payload IP
Port-group создается для каждой EPG
+ ( (
APIC Admin
VI/Server Admin Instantiate VMs, Assign to Port Groups
L/B
EPG APP
EPG DB
F/W
EPG WEB
Application Network Profile
Create Application Policy
Web Web Web App
HYPERVISOR HYPERVISOR
VIRTUAL DISTRIBUTED SWITCH
WEB PORT GROUP
APP PORT GROUP
DB PORT GROUP
vCenter Server / vShield
8
5
1
9 ACI Fabric
Automatically Map EPG To Port Groups
Push Policy
Create VDS 2
Cisco APIC and VMware vCenter Initial
Handshake
6
DB DB
7 Create Port Groups
Интеграция ACI и VMware vCenter: DVS
APIC
3
Attach Hypervisor to VDS
4 Learn location of ESX Host through LLDP
Southbound OpFlex API
VM VM VM VM
VEM
vSphere
vCenter
§ OpFlex Control protocol Протокол, контролирующий состояние Операции VM attach/detach, уведомления о состоянии канала
§ VEM как продолжение фабрики
§ С релиза vSphere 5.0 и выше § BPDU Filter/BPDU Guard § SPAN/ERSPAN § Сбор статистики § Remote Virtual Leaf (план)
Application Virtual Switch (AVS) Возможности по интеграции
APIC
OpFlex: открытый, расширяемый протокол
OPFLEX ОБЕСПЕЧИВАЕТ:
Политики: • Кто и с кем может говорить
• О чем?
• Ops requirements Абстракцию политик вместо device-specific конфигурации 1. Гибкость и расширяемость с использованием XML / JSON 2.
Поддержку любых устройств, включая виртуальные коммутаторы, физические коммутаторы, МСЭ, обеспечивая совместимость между продуктами различных производителей
3.
Открытый и стандартизированный API с реализации в open source 4.
OPFLEX PROXY
OPFLEX AGENT
OPFLEX AGENT
OPFLEX AGENT
HYPERVISOR SWITCH ADC FIREWALL
Application Virtual Switch (AVS) Особенности режимов работы
Гипервизор
VM VM EPG App
No Local Switching Mode
VM VM EPG Web
Весь трафик через Leaf
Гипервизор
VM VM EPG App
Local Switching Mode
VM VM EPG Web
Inter-EPG трафик через Leaf
No Local Switching Mode • Все политики на Leaf коммутаторе • Только VXLAN • “FEX Enable Mode”
Local Switching Mode (рекомендуется) • Внутри EPG коммутация локальна • Поддерживает VLAN и VXLAN • “FEX Disable Mode”
APIC Admin
VI/Server Admin Instantiate VMs, Assign to Port Groups
L/B
EPG APP
EPG DB F/W
EPG WEB
Application Network Profile
Create Application Policy
Web Web Web App
HYPERVISOR HYPERVISOR
Application Virtual Switch (AVS)
WEB PORT GROUP
APP PORT GROUP
DB PORT GROUP
vCenter Server
8
5
1
9 ACI Fabric
Automatically Map EPG To Port Groups
Push Policy
Create AVS VDS 2
Cisco APIC and VMware vCenter Initial
Handshake
6
DB DB
7 Create Port Groups
Интеграция ACI и VMware vCenter: AVS
19
APIC
3
Attach Hypervisor to VDS
4 Learn location of ESX Host through OpFlex
OpFlex Agent OpFlex Agent
Микросегментация на базе ACI EPG классификация при помощи атрибутов VM
• End Point Group (EPG) могут использовать несколько методов для классификации
• VM Port Group – это самый простой механизм классификации ВМ
• Атрибуты ВМ также могут использоваться для классификации EPG
• Используется ACI релиз 1.1 с AVS (первоначальная доступность)
• Поддержка коммутаторов в гипервизорах VMware vDS, Microsoft vSwitch, OVS (планируется)
Атрибуты ВМ Guest OS
VM Name
VM (id)
VNIC (id)
Hypervisor
DVS port-group
DVS
Datacenter
Custom Attribute
MAC Address
IP Address
vCenter VM
Attributes
VM Traffic
Attributes
AVS with ACI 11.1 EPG Classification via VM Attributes
vSwitch (AVS)
Port Group EPG == VM Attribute ‘x’
EPG == VM Attribute ‘y’
APIC Admin Create an EPG == VM Attribute ‘x’ on VMM Domain ‘A’
34 APIC Distributes VM
Attribute Policies to Leaf nodes
AVS notifies Leaf of VM Attach via
OpFlex Channel
6
Leaf Determines Attribute to EPG
Classification
7
Leaf Pushes EPG encapsulation
binding to AVS via OpFlex Channel
8802.1Q VLAN 50
AVS forwards traffic with the correct EPG label (encapsulation)
9
APIC Retrieves Hypervisor State (VM State & VM
Attributes) & Initiate a Listener Process for any changes/
updates
2
Administrator Creates new vDS
(AVS)
1
VI/Server Admin
Boot new VM with desired VM
Attributes and connect them to the “Base port-group”
5
Распределенный межсетевой экран на базе ACI
Provider B
Consumer A
Src class Src port Dest Class Dest port Flag Action
A * B 80 * Allow
B 80 A * ACK Allow
• Создание новой записи внутри «flow table» • Передача пакета на leaf коммутатор
Коммутатор Leaf реализует stateless policy
Аппаратная политика разрешает передачу пакета
При получении пакета TCP SYN создается новая запись
Пакет передается VM
• Получен пакет от VM • Поиск внутри «flow table»
VLAN Proto Src ip Src port Dst IP Dst port
A tcp IP_A 1234 IP_B 80
A tcp IP_B 80 IP_A 1234
VLAN Proto Src ip Src port Dst IP Dst port
B tcp IP_A 1234 IP_B 80
B tcp IP_B 80 IP_A 1234
Если уже есть запись то пакет передается на коммутатор Leaf
Применение политики на Leaf
Отслеживание состояния на AVS
Ответ от VM Поиск в таблице
Reflexive policy на коммутаторе разрешает передачу обратного пакета
AVS AVS
What is the ACI vCenter Plugin?
§ A VMware vCenter Web Client plugin (vSphere 5.5) for ACI
§ Empowers virtualization admins to define network connectivity independently of the networking team while sharing the same infrastructure Virtualization admin is able to configure network connectivity (subnets, port-groups) with tenant isolation
• Focused on simplicity User does not need to understand the ACI Policy Model Follows the vCenter Web Client GUI standards No configuration of “in-depth” networking stuff – this is done through APIC by the networking expert
23
VMware vCenter Plugin View
24
VMware vCenter Plugin View
25
Облачная автоматизация - ACI с vRealize Интеграция ACI c vRealize для внедрений под vSphere
Day Zero Operations Инициализация фабрики
Развёртывание инфраструктуры Домены безопасности
Day 1/ Day 2 Operations
Shared Services Plans Virtual Private Cloud
Сети, подсети, безопасность
ACI Policy Driven vRealize Automation Blueprints to Accelerate Application Deployment
С релиза 1.2
vRealize Suite
APIC REST API vSphere SDK
Compute Network & Services
vRealize Orchestrator (vRO 6.x)
vRealize Automation (vRA 6.x)
vCenter Plugin APIC Plugin
Интеграция с Microsoft Hyper-V
Интеграция решений Microsoft и ACI Два режима интеграции
• Управление политиками: посредством APIC
• Software / License: Windows Server с HyperV, SCVMM
• Обнаружение виртуальных машин: OpFlex
• Инкапсуляция: VLAN, NVGRE (План) • Установка plugin-а: в ручную
Интеграция с SCVMM
APIC
Интеграция с Azure Pack
APIC
• Расширение возможностей SCVMM • Управление политиками: посредством
APIC или через Azure Pack • Software / License: Windows Server с
HyperV, SCVMM, Azure Pack (бесплатно)
• Обнаружение виртуальных машин: OpFlex
• Инкапсуляция: VLAN, NVGRE (План) • Установка plugin-а: интегрирована
+
EPG = VM Networks
29
APIC Admin
SCVMM Admin Instantiate VMs, Assign to VM Networks
L/B
EPG APP
EPG DB F/W
EPG WEB
Application Network Profile
Create Application Policy
MSFT SCVMM
8
5
1
9 ACI Fabric
Automatically Map EPG To VM Networks
Push Policy
Create Virtual Switch
2
Cisco APIC and MSFT SCVMM Initial
Handshake
6
Интеграция MSFT SCVMM и ACI
APIC
3 Attach Hypervisor to Virtual Switch
4 Learn location of HyperV Host through OpFlex
HYPERVISOR HYPERVISOR
OpFlex Agent
HYPER-V VIRTUAL SWITCH
7 Create VM Networks
OpFlex Agent
WEB VM NETWORK
APP VM NETWORK
DB VM NETWORK
Web Web App App DB
Интеграция с SCVMM Интеграция с SCVMM концептуально ничем не отличается от интеграции с vCenter от VMware. APIC получает всю информацию о виртуальных машинах с Hyper-V хостов, зарегистрированных на APIC при помощи протокола Opflex APIC создает виртуальные сети внутри SCVMM когда VMM domain подключается к EPG
• Гранулярное назначение EPG на основе атрибутов VM таких как VM Name, Guest OS, MAC, IP и т.д.
• Начиная с релиза 1.2 добавляется также для интеграции ACI + SCVMM
• Примеры применения: • Изоляция заражённой VM • Дополнительные зоны безопасности
• Дополнительная безопасность и сегментация без необходимости создания новых VM Networks и смены ассоциации с ними VM
Microsoft Hyper-V EPG на основе атрибутов VM: микро-сегментация
Интеграция Microsoft Azure Pack и ACI
33
§ Для этого режима интеграции с Microsoft требуется: Windows Server 2012 Systems Center 2012 R2 с SPF
Windows Azure Pack § Azure Pack обеспечивает централизованное определение, настройку и управление облачными сервисами
§ Состоит из портала администратора (Admin) и портала самообслуживания (Tenant)
§ Cisco ACI Service Plugin использует APIC REST API
R2 w/ Service Provider Foundation
Web Sites
Service Plans Users
Порта админа
Портал пользователя
Web Sites Apps Database VMs ACI
Service Provider Пользователь
VMs SQL Service Bus …
Сценарии использования ACI и Azure Pack Портал администратора: разделяемый балансировщик и сервисы
F5 или Citrix являющиеся частью ACI фабрики
Разделяемые сервисы
Сценарии использования ACI и Azure Pack Разделяемые сервисы между WAP контейнерами (tenants)
Tenant 1
Провайдер • Интеграция поддерживает концепцию разделяемых между ACI-тенантами сервисов
• Один из тенантов может быть наделен правом публиковать разделяемые сервисы
• Другие тенанты могу быть наделены правами потреблять сервисы
• Для работы сценария требуется использование правильной схемы адресации
• Централизованное управление
• Пространства адресов, которые не пересекаются
Tenant 2
Tenant 3
Tenant 4
Потребитель
FTP
DB
NFS
Сценарии использования ACI и Azure Pack Портал пользователя: управление интеграционными возможностями
Вычислительные и сетевые ресурсы, к которым есть доступ
Application Network Profile создается средствами Azure Pack, и настраивается на APIC при
помощи REST API
Доступные пользователю ACI объекты
ACI as a Resource Provider
The ACI resource provider has three sub-components:
§ Tenant Portal Extension: — This implements the user interface and APIs for the tenant portal to expose ACI capabilities
§ Admin Portal Extension: — This implements the user interface and APIs for the admin portal
§ Resource Provider Backend.
— This is the component that interacts with the SCVMM via Service pack Foundation power shell and with APIC using the Rest interface.
37
Интеграция с KVM/OpenStack
Два варианта интеграции ACI и OpenStack
NEUTRON ROUTER
SECURITY
GROUP
NEUTRON NETWORK
Neutron API Group Policy API
NE
UTRO
N NE
TWOR
K
Port
Port
Tenant Tenant
Используется существующий Neutron API с контроллером APIC и
Cisco ACI фабрикой
Contract
GROUP
SERVICE CHAIN
GROUP
Конструкция Group Policy предлагает новый API который напрямую использует модель политик ACI (Juno Release)
APIC драйвер отображает: • Network -> EPG • Router -> Context
OpenStack APIC Plugin – neutron (Фаза № 1)
APIC APIC Plugin
APIC Driver OVS Driver
Neutron Networking
Host 1
OVS
Network B V(X)LAN
101 10.0.1.0/24
Network A V(X)LAN
100 10.0.0.0/24
IPTables Host 2
OVS
Network C V(X)LAN
102 10.0.2.0/24
Network A V(X)LAN
100 10.0.0.0/24
IPTables Host 3
OVS
Network B V(X)LAN
101 10.0.1.0/24
Network A V(X)LAN
100 10.0.0.0/24
IPTables Host 4
OVS
Network C V(X)LAN
102 10.0.2.0/24
Network A V(X)LAN
100 10.0.0.0/24
IPTables
IP tables для контроля безопасности
ACI фабрика обеспечивает распределенный L2 и L3 (без L3 агента). Туннели терминируются на ToR коммутаторах.
OVS терминирует VLAN / VXLAN теги для каждой сети
OVS драйвер выбирает VLAN / VXLAN тег для каждой сети и настраивает OVS
APIC REST API
APIC Admin (Performs Steps 3)
OpenStack Tenant (Performs Steps 1,4)
Instantiate VMs
Create Application Policy
Web Web Web Web App App 4
3
5 ACI Fabric
Automatically Push Network Profiles to APIC
Push Policy
Create Network, Subnet, Security Groups, Policy
NETWORK
SUBNET
SECURITY
1
2
DB DB
HYPERVISOR HYPERVISOR HYPERVISOR
NOVA
NEUTRON
OPEN VIRTUAL SWITCH OPEN VIRTUAL SWITCH OPEN VIRTUAL SWITCH
APIC
41
Интеграция OpenStack и APIC (Фаза № 1)
41
APIC ML2 Plugin: отображение сущностей Neutron и APIC
Объект Neutron Объект APIC
Project Tenant
Network EPG
Subnet Subnet
Security Group + Rule N / A (handled by host)
Router Context
Network:external Outside
Представляем Group-Based Policy
100% open source, проект по лицензии Apache для OpenStack Интерфейс для описания желаемого состояния приложения Создан сообществом разработчиков нескольких компаний
Policy Rules Set Web Group
Classifier Action
FIREWALL
DB Group
Classifier Action
Service Chain
Модель групповых политик
Что было улучшено при помощи GBP?
§ Определение сервисной цепочки по которым данные должны передаваться между компонентами приложения
Поддержка сетевых сервисов
§ Само-документирование взаимосвязей между различными компонентами приложения
Возможность определить взаимосвязи
Сервис A
СервисC
Сервис A потребляет ресурсы сервисов B и C
Сервис B
Сервис A
Сервис C
МЕЖСЕТЕВОЙ ЭКРАН
§ Разделение API на низко- и высокоуровневые
§ Две зоны ответственности: tenant admin и operator
Разделение зон ответственности
Сервис A
Сервис C
Абстракция при помощи API
Низкоуровневые API
Operator / Admin
OpenStack Tenant
OpenStack GBP обзор
Neutron Driver - отображает GBP на существующие Neutron API и обеспечивает совместимость с любым Neutron Plugin Native Driver – существует для OpenDaylight а так же различных производителей (Cisco, Nuage Networks и One Convergence)
Group Policy
CLI Horizon Heat
Neutron Driver
Neutron Любой существующий плагин и ML2 драйвер
Открытая модель, обеспечивающая совместимость с физической и виртуальной
инфраструктурой
Native Driver 1
1
2
2
Архитектура на основе драйверов
Модель Group-Based Policy Детали описания политики
Policy Group: набор виртуальных машин с одинаковыми характеристиками. Например, уровень приложения Policy RuleSet: Набор правил (Classifier + Action) описывающих взаимодействие между Policy Group. Policy Classifier: фильтр для трафика, включает протокол, порт и направление передачи.
Policy Action: описывает набор действий, в случае если трафик отвечает условиям классификации, например – передача без доп. действий “allow” или перенаправление на сервисное устройство “redirect”
Service Chain: упорядоченный набор сервисных устройств через которые передается трафик L2 Policy: определяет границы домена коммутации. Опциональное включение режима «broadcast» L3 Policy: изолированное адресное пространство, содержащее L2 Policies / Подсети
L3 Policy Policy Rule Set
Policy Rule Policy Rule
Service Chain Classifier Action
Classifier Action
L2 Policy
Policy Group
Policy Target
Policy Target
Policy Target
Policy Group
Policy Target
Policy Target
Policy Target
L2 Policy
provide consume
Node Node
APIC драйвер создает сетевой профиль приложения
OpenStack APIC Plugin – group Policy (Фаза № 2)
APIC
Host 1
OVS
Network B V(X)LAN
101 10.0.1.0/24
Network A V(X)LAN
100 10.0.0.0/24
IPTables Host 2
OVS
Network C V(X)LAN
102 10.0.2.0/24
Network A V(X)LAN
100 10.0.0.0/24
IPTables Host 3
OVS
Network B V(X)LAN
101 10.0.1.0/24
Network A V(X)LAN
100 10.0.0.0/24
IPTables Host 4
OVS
Network C V(X)LAN
102 10.0.2.0/24
Network A V(X)LAN
100 10.0.0.0/24
IPTables
IP tables для контроля безопасности
ACI фабрика обеспечивает распределенный L2 и L3 (без L3 агента). Туннели терминируются на ToR коммутаторах.
OVS терминирует VLAN / VXLAN теги для каждой сети
OVS драйвер выбирает VLAN / VXLAN тег для каждой сети и настраивает OVS
Group Policy Extensions
OVS Driver
Neutron Networking
APIC Group Driver
Group Policy extension расширяет существующий neutron APIs
APIC REST API
2
ACI Admin (manages physical
network, monitors tenant state)
L/B
EPG APP
EPG DB F/W
L/B
EPG WEB
Application Network Profile
Create Application Policy
3
5 ACI Fabric
Push Policy
APIC
OpenStack Tenant (Performs step 1,4) Instantiate VMs
Web Web Web Web App App 4
Create Application Network Profile
1
DB DB
HYPERVISOR HYPERVISOR HYPERVISOR
NOVA
NEUTRON
Automatically Push Network Profiles to APIC
L/B
EPG APP
EPG DB F/W
L/B
EPG WEB
Application Network Profile
Интеграция OpenStack и APIC (Фаза № 2)
ACI и OpenStack с поддержкой OpFlex Автоматизация политик в OpenStack
OpenStack контроллер
Hypervisor
APIC ML2 DRIVER
OVS OpFlex Agent
Supported Solutions with Major OpenStack Distributions
Available Now!
GROUP-BASED POLICY
OpFlex Proxy
Open Source OpFlex агент для интеграции ACI с OVS OpFlex Proxy – новый API для ACI фабрики
OpFlex для OVS
Полностью распределённое применение политик Интегрированные оверлеи с централизованным управелением Единая видимость OpenStack, Linux и APIC
Выбор между опорой на Neutron ML2 (виртуальные сети) или Group-based Policy
Feature Highlights NEW
NEW
С релиза 1.2
Cisco ACI + OpFlex OpenStack APIC ML2 драйвер
§ Применение политики в OVS с использованием IP-Tables by OpenStack (outside of APIC)
§ L2/L3 forwarding in fabric
§ Floating IP / NAT support
§ APIC GUI integration / VMM Domain for OpenStack
§ Statistics
§ Service redirection
OpFlex Agent обеспечивает: OpenStack Controller
Hypervisor
vm1
Project 1 Project 2 Project 3
vm2 vm5
vm4 vm3
OpFlex Agent
APIC ML2 Driver
V(X)LAN
Open vSwitch
OpFlex Proxy
Security Group Enforcement in OVS using IP-Tables
Neutron Object APIC Object (ML2 Driver Mapping)
Project Tenant
Network EPG + BD
Subnet Subnet
Security Group + Rule IP Tables (outside of APIC by OpenStack)
Router Contract
Network:external L3Out / Outside EPG
С релиза 1.2
APIC GBP Driver Security Implementation in OVS via Opflex and ACI Fabric
§ Security policy enforcement in OVS via OF action and ACI Fabric via whitelist policy simultaneously
§ Floating IP / NAT support
§ APIC GUI integration / VMM Domain for OpenStack
§ Statistics
§ Service redirection
OpFlex Agent Offers:
OpenStack Controller
Hypervisor
vm1
Project 1 Project 2 Project 3
vm2 vm5
vm4 vm3
OpFlex Agent
V(X)LAN
Open vSwitch
GBP APIC Driver
OpFlex Proxy
Fabric Traffic Security Enforcement using ACI Whitelist Policy
Local traffic in Hypervisor: Security Group Enforcement in OVS using Open Flow • gbp policy-classiifer-create• gbp policy-rule-create blah --actions allow
Group Based Policy
С релиза 1.2
Расширение политик ACI на Docker контейнеры Проект Contiv: Open Source интеграция Docker с APIC
Docker
Kubernetes
Mesos
Управление контейнерами
Будущее
Q1CY16
Единый механизм автоматизации и применения политик во всех средах – серверы, VM, контейнеры
• Open source проект по определению политик для внедрения контейнеров
• Включае сетевой plugin для Docker, обеспечивающий интеграцию с APIC API
• Политики ACI теперь могут быть внедрены для физических серверов, виртуальных машин и Docker контейнеров
Проект Contiv
Возможности решения
Contiv Master
Contiv APIC Plugin
Q4 CY 2015
OVS Contiv Plugin HYPERVISOR HYPERVISOR HYPERVISOR Docker Host
Q4 CY 2015
Скоро!
http://blogs.cisco.com/datacenter/project-contiv
Интеграция со средами виртуализации
• Выбор среды виртуализации за Вами!
• Выбор это всегда хорошо J
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved. 53
Интеграция ACI с Cisco UCS Director
UCSD: автоматизация мультивендорной инфраструктуры
55
VBLOCK 200, 300,
700
VPLEX
FlexPod Data Center
FlexPod Express
Compute Network
Nexus MDS
Storage VM
UCS Director
L4-L7
vASA, CSR1000v
Converged
* *
* Integration is in progress/planned
Интеграция ACI и UCSD
Подключения • Материалы на сайте Cisco: • «Cisco Application Centric Infrastructure
Fundamentals» • «Operating Cisco Application Centric Infrastructure» • «Troubleshooting Cisco Application Centric
Infrastructure»
• Книга на русском языке – только что выпущена. Автор и тираж на конференции!
• Заинтересовались? Вопросы? Хотите демо? Обращайтесь на [email protected]
Multi Tiered Application
Пример совместного внедрения UCS Director и ACI
F5
VCenter
End User
ASAv
Infoblox
External
EPG Web
EPG App
EPG APIC
VM
VM
VM
VM
Application Centric Infrastructure …для облачных архитекторов
• Открытый REST интерфейс для управления/оркестрации
• Поддержка разных сред виртуализации и физических нагрузок
• Интеграция с несколькими гипервизорами в одном приложении
• Возможность развёртывания невиртуализированных ландшафтов (Big Data и т.д.)
• Возможность развёртывания приложений с виртуальными и физическими компонентами
• Поддержка изоляции организаций • Тысячи заказчиков (tenants)
• Управление инфраструктурой, а не коммутаторами • Декларативная модель: «сеть как сервис»
• Автоматизация сервисных цепочек • Поддержка OpenStack
• Интеграция c OpenStack Neutron • Интеграция модели политик (Group Based Policy)
ФИЗИЧЕСКИЙ СЕРВЕР
VLAN VXLAN
VLAN NVGRE
VLAN VXLAN
VLAN
ESX Hyper-V KVM
ACI фабрика APIC
В заключение
• Материалы на сайте Cisco: • «Cisco Application Centric Infrastructure
Fundamentals» • «Operating Cisco Application Centric Infrastructure» • «Troubleshooting Cisco Application Centric
Infrastructure»
• Книга на русском языке – только что выпущена. Автор и тираж на конференции!
• Заинтересовались? Вопросы? Хотите демо? Обращайтесь на [email protected]
CiscoRu Cisco CiscoRussia
Ждем ваших сообщений с хештегом #CiscoConnectRu
CiscoRu
Пожалуйста, заполните анкеты. Ваше мнение очень важно для нас.
Спасибо Contacts: Name Александр Скороходов Phone +7(495)789-8615 E-mail [email protected]
© 2015 Cisco and/or its affiliates. All rights reserved.
