Abbiamo scritto questo blog come aggiornamento o guida rapida in base al numero di risorse e pubblicazioni da Internet. Abbiamo tutti una diversa interpretazione dello stesso obiettivo, ma a volte è bene verificarlo con quello che gli altri potrebbero pensare.

Cisco ACI per le aziende in data center

Nel mondo del networking, tutti parlano o utilizzano l'Application Centric Infrastructure (ACI). Cominciamo con alcune domande.

Che cos'è Cisco ACI?

ACI è l'acronimo di Application Centric Infrastructure ed è la soluzione Cisco SDN per l'ambiente Data Center. ACI è un modo per creare un framework comune basato su policy per l'ambiente IT. In particolare nei domini Applicazione, Rete e Sicurezza. È basato su criteri: un insieme di linee guida o regole che determinano una linea di condotta. Un esempio potrebbe essere: il traffico che va da un server web all'host finale, deve passare attraverso un firewall. Prova a visualizzare, come QoS, Sicurezza e SLA

Quali sono le caratteristiche / i vantaggi principali?

• Automazione
• Concentrarsi sulle applicazioni
• Capacità di integrazione
• virtualizzazione
• Rete di container
• Orchestrazione
• Rete di cloud pubblico

Perché ACI

• Topologia foglia-spina-foglia: semplice e scalabile
• ECMP - Routing Ethernet in modo attivo / attivo
• Ottimizzazione del traffico est-ovest, gateway Anycast su ogni foglia
• Microsegmentazione - Stessa sottorete? Non è affatto un problema!
• Sicurezza: criterio della lista bianca per impostazione predefinita

Quali sono i componenti ACI?

• Interruttori -> Ruoli: foglie e spine
• Modalità Nexus 9K: ACI per ACI e NX-OS per utilizzo autonomo
• Controller: APIC (Application Policy Infrastructure Controller). Server UCS-C -> varie capacità per diverse dimensioni di fabric. L'hardware non Cisco non è consentito; non funzionerà.

Architettura ACI

Si prega di consultare la figura seguente. La regola d'oro è quella Interruttori spinali deve essere collegato a tutti gli interruttori Anta e viceversa. Tuttavia, le Spine non sono collegate tra loro e nemmeno le Foglie possono connettersi. I server possono essere collegati solo a Foglie e NON a spine. Se un server è connesso a Spine - MCP (MisCabling Protocol) lo rileverà e interromperà la connessione. LLDP (Link Layer Discovery Protocol) non consentirà le connessioni Spine <> Spine and Leaf <> Leaf

Topologia foglia-spina

• Fabric basato su IP a 40 Gbps con overlay VXLAN integrato - capacità> 100 Gbps
• Tessuto semplice / coerente / scalabile
• Composto da dispositivi N9K, 9500 switch come quelli di Spine (almeno 2x per la ridondanza) utilizzati per la larghezza di banda del tessuto
• Switch Cisco 9300 a livello Leaf (ToR - Top of the Rack). I dispositivi finali, in genere server, chassis VMWare si connettono qui.

ACI - Routing per colonna vertebrale e fogliare

• IS-IS (protocollo di routing) fornisce routing underlay
• Nell'ambito sono: interfacce IP non numerate, connessioni solo L1 (interne), annuncia indirizzi VTEP, genera alberi FTAG multicast, identifica e annuncia i tunnel

Che cos'è VTEP?

L'incapsulamento del frame viene eseguito da un'entità nota come endpoint tunnel VXLAN (VTEP.) UN VTEP ha due interfacce logiche: un uplink e un downlink. L'uplink è responsabile della ricezione dei frame VXLAN e funge da endpoint del tunnel con un indirizzo IP utilizzato per il routing dei frame incapsulati VXLAN (da Cisco Portal)

Cos'è l'APIC?

Application Policy Infrastructure Controller - APIC, è il componente principale della soluzione ACI. Fornisce automazione e gestione per il tessuto Cisco ACI, l'applicazione delle politiche e il monitoraggio dell'integrità. Il controller ottimizza le prestazioni, gestisce e gestisce un fabric Cisco ACI multi-tenant scalabile.

• APIC è il Policy Controller in ACI
• Cluster altamente ridondante: in genere tre o più APIC per ridondanza e quorum. NON sono in configurazione Attivo / Standby. Sono in distribuzione attivo / attivo e i dati vengono condivisi tra i nodi. Ogni frammento ha 3 repliche tra i controller.
• APIC NON ha il controllo o il piano dati del tessuto. Una volta che l'ambiente di rete è configurato e l'APIC è inattivo, non influirà sull'infrastruttura. Tuttavia, APIC è richiesto per spostamenti / aggiunte / modifiche / eliminazioni e per qualsiasi operazione quotidiana. Quindi devi avere APIC a lungo termine. La tua rete può sopravvivere senza di essa per un breve periodo.

ACI - Fabric Discovery

• L'APIC è responsabile di: rilevamento e indirizzamento dei fabric, gestione delle immagini, topologia e convalida del cablaggio.
• Fabric Discovery viene effettuato tramite Link Layer Discovery Protocol (LLDP), TLV specifico ACI (OUI) e connessione di gestione APIC all'infrastruttura-vrf

Pollo o uovo? Come si scoprono?

L'ACI nel processo di rilevamento utilizza il metodo IFM (Intra-Fabric Messaging) in cui APIC e nodi scambiano messaggi heartbeat. La tecnica utilizzata dall'APIC per inviare la politica ai nodi foglia fabric è chiamata processo IFM. Nella fase finale elabora la scoperta degli altri nodi foglia e APIC nel cluster.

• API Bootstrap
• Il commutatore foglia rileva APIC tramite LLDP, richiede l'indirizzo TEP e il file di avvio da APIC.
• L'opzione Spine troverà Leaf, richiede TEP e il file di avvio da APIC.
• Il tessuto ora si monta da solo
• Quando più APIC vengono rilevati su AV (Appliance Vector), formeranno un cluster resiliente.

Che cos'è il tenant Cisco ACI?

An ACI Il modello a oggetti tenant rappresenta l'oggetto di livello più alto. All'interno è possibile distinguere tra gli oggetti che definiscono il tenant networking, come le reti private (VRF), i domini bridge e le sottoreti; e gli oggetti che definiscono le politiche tenant come i profili dell'applicazione e i gruppi di endpoint.

• Tenant: un'unità logica per la gestione
• Possono essere clienti, business unit (BU) o gruppi
• Consente: Flussi di dati e amministrazione separati, Spazio indirizzo IP riutilizzabile, Spazio profilo distinto.
• Tre tenant predefiniti: Common: fornisce servizi comuni a tutti i tenant, Infra, utilizzato per tutte le comunicazioni dell'infrastruttura interna, Mgmt, utilizzato per le politiche di accesso alla gestione in banda e fuori banda.

Costruiamo ACI come i mattoncini Lego

Contesto: un VRF all'interno di un tenant

• Inquilini può avere uno o più contesti, consente la duplicazione dell'indirizzo IP

Dominio Bridge - contenitore per sottoreti

• Questi sono necessariamente VXLAN, che utilizzano la funzionalità IRB: il traffico all'interno di un BD è sottoposto a bridging, il traffico tra i BD viene instradato, le sottoreti sono, quindi, irrilevanti in quanto il traffico viene instradato in base a route host ./32.
• Il flooding di livello 2 è disabilitato per impostazione predefinita; può essere abilitato in Bridge Domain per ARP, DHCP e l'integrazione di CE.

Come gestire, accesso OOB?

Gestione del tessuto, ambito Cisco Nexus 9K Mgmt

• In banda, tramite i VRF infra e di gestione, porte console, porta di gestione dedicata fuori banda (come altri dispositivi Nexus, N5k e N7k)
• Ambito APIC Mgmt; Porte fabric (2x dati), OOB Mgmt, Console ethernet, CIMC / IPMI

In che modo ACI Forwarding nel fabric?

In poche parole, se un server connesso a uno switch Leaf desidera comunicare con un altro server da qualche altra parte sulla LAN, Leaf cercherà la sua "Tabella della stazione locale" per un VTEP (Virtual Tunnel Endpoint). Se non riesce a trovarlo, proverà "Global Station Table". Tuttavia, se non riesce a trovarlo nemmeno lì dalle comunicazioni precedenti, chiederà l'interruttore Spine. Le Spine sanno tutto e vedranno una voce VTEP per inoltrare il traffico alla destinazione.

Inoltro, canalizzazione del tuo LISP interno.

• Il livello 2 e il livello 3 vengono inoltrati in base all'IP di destinazione, alla sottorete Intra e Inter.
• Ogni switch Leaf ha 2x tabelle di inoltro: Global Station Table -> Cache of Fabric endpoints, Local Station Table -> Host direttamente collegati a Leaf, o al di fuori di Leaf, "mostra endpoint" nella CLI.

Gateway SVI pervasivo

• Nessun HSRP o VRRP, disponibile su tutti i Leafs (dove risiedono gli endpoint), simile all'IP distribuito AnyCast GW in VXLAN eVPN

Protocolli di gestione e politiche di interfaccia per ACI

• Cisco Discovery Protocol (CDP): il criterio predefinito è "off" -> utilizzato in "criteri di interfaccia"
• Link Layer Discovery Protocol (LLDP): il criterio predefinito è "abilitato" -> utilizzato in "criteri di interfaccia"
• Network Tim Protocol (NTP): puoi utilizzare NTP in banda o fuori banda, a seconda dello schema MGMT utilizzato dal fabric
• Domain Name Services (DNS): utile e può essere necessario per la risoluzione da nome host a indirizzo IP

ACI, Politiche di accesso al tessuto

Pool VLAN rappresentano blocchi di identificatori VLAN del traffico. Un pool VLAN è una risorsa condivisa e può essere utilizzato da più domini come domini VMM e servizi da Layer 4 a Layer 7.
Ogni pool ha un tipo di allocazione (statico o dinamico), definito al momento della sua creazione. Il tipo di allocazione determina se gli identificatori in esso contenuti verranno utilizzati per l'assegnazione automatica dall'APIC (dinamico) o impostati esplicitamente dall'amministratore (statico). Per impostazione predefinita, tutti i blocchi contenuti in un pool VLAN hanno lo stesso tipo di allocazione del pool, ma gli utenti possono modificare statico il tipo di allocazione per i blocchi di incapsulamento contenuti nei pool dinamici.

• Il criterio dello spazio dei nomi definisce gli intervalli di ID utilizzati per l'incapsulamento della VLAN. Specifica i Vlan che possono essere utilizzati da un dominio (un po 'come un' elenco consentito '). 1x pool Vlan per dominio
• 2x modalità di funzionamento: allocazione statica: utilizzata con server bare metal, handoff Layer 2 / Layer 3 per azioni come "binding di percorsi statici", allocazione dinamica: APIC estrae dinamicamente un Vlan dal pool (familiarità con le implementazioni VMM)

Il fabric ACI può assegnare automaticamente gli ID VLAN dai pool VLAN. Consente di risparmiare un'enorme quantità di tempo, rispetto al trunking VLAN in un Data Center tradizionale.

I domini - Criteri di accesso al tessuto

I domini fungono da collante tra la configurazione effettuata nella scheda Fabric al modello di politica e la configurazione del gruppo di endpoint presenti nel riquadro dei titolari. L'operatore fabric crea i domini e gli amministratori tenant associano i domini ai gruppi di endpoint.

• Sono chiamati  Domini, perché i dispositivi / elementi "come" si collegano al tessuto.
• Fisico - utilizzato per host / server Bare-Metal.
• Ponticello esterno - utilizzato per connessioni Layer 2 esterne, a una rete commutata esterna
• Instradato esterno - utilizzato per connettersi a un dispositivo Layer 3 esterno per il routing dentro / fuori dal tessuto.
• VMM - utilizzato per connettersi a un ambiente controllato da hypervisor come vCenter, OpenStack o MS SCVMM

Profilo entità accesso accessibile (AAEP) o (AEP)

Un profilo di entità attaccabile (AEP) rappresenta un gruppo di entità esterne con requisiti di politica infrastrutturale simili. I criteri di infrastruttura sono costituiti da criteri di interfaccia fisica che configurano varie opzioni di protocollo, come Cisco Discovery Protocol (CDP), Link Layer DiscoveryProtocol (LLDP) o Link Aggregation Control Protocol (LACP).
È necessario un AEP per distribuire pool VLAN su switch foglia. I blocchi di incapsulamento (e le VLAN associate) sono riutilizzabili attraverso switch foglia. Un AEP fornisce implicitamente l'ambito del pool VLAN all'infrastruttura fisica.

• In genere si avrà un AEP per inquilino.
• Un gruppo di entità 'esterne' con una politica simile, Necessario per distribuire il pool VLAN su Leafs, Definisce l'intervallo, ma NON esegue il provisioning
• Riunisce le interfacce e le VLAN in modo che l'APIC sappia dove distribuire le VLAN (vale a dire quale interruttore Leaf per spingere anche le VLAN)
• Gli AAEP contengono domini e sono
• tenuto da Interface Policy Groups

Gruppi di endpoint ACI (EPG)

I gruppi di endpoint (EPG) vengono utilizzati per creare raggruppamenti logici di host o server che svolgono funzioni simili all'interno del fabric e condividono criteri simili. Ogni gruppo di endpoint creato può avere una politica di monitoraggio univoca o una politica QoS e sono associati a un dominio bridge.

• Gli EPG sono gruppi di applicazioni e / o entità indipendenti dalla formula di rete (es. VLAN, IP, ecc ...)
• Normalmente simile in natura (ad es. Web, database, application server)
• Gruppo di endpoint che richiedono criteri simili: reti esterne, gruppi di server / applicazioni, servizi di rete, dispositivi di archiviazione
• I tipi di EPG includono: Application EPG, Layer 2 External EPG, Layer 3 External EPG, Management EPG (Mgmt, OOB and Inbound)

• Gli EPG sono flessibili ed estensibili
• Gli EPG sono il punto di applicazione della politica per gli oggetti del gruppo
• La politica NON è applicata dalle subnet
• Le modifiche dell'indirizzo IP non influiranno sulla politica a meno che l'endpoint non sia definito dall'indirizzo IP
• I nodi all'interno di un EPG possono comunicare
• I nodi tra gli EPG devono avere un "contratto" in atto per poter comunicare

Contratti: connettersi tutti insieme

• I contratti determinano le modalità di intercomunicazione di EPG, definiscono permessi e negazioni in entrata / uscita, QoS, reindirizzamenti e grafici di servizio
• Lavorare in un modello fornitore / consumatore; un EPG può fornire un contratto che un altro consumerà