Escrevemos este blog como um guia de atualização ou rápido, com base no número de recursos e publicações da Internet. Todos temos uma interpretação diferente do mesmo objetivo, mas às vezes é bom checar com o que os outros podem pensar.

Cisco ACI para empresas nos data centers

No mundo da rede, todo mundo está falando ou usando a infraestrutura centrada em aplicativos (ACI). Vamos começar com algumas perguntas.

O que é o Cisco ACI?

ACI significa Application Centric Infrastructure e é a solução Cisco SDN para ambiente de data center. ACI é uma forma de criar uma estrutura comum baseada em políticas para o ambiente de TI. Especificamente nos domínios do aplicativo, rede e segurança. É baseado em políticas - um conjunto de diretrizes ou regras que determinam um curso de ação. Um exemplo seria: o tráfego que vai de um servidor web para o host final deve passar por um firewall. Tente visualizar, como QoS, Segurança e SLA's

Quais são os principais recursos / benefícios?

• Automação
• Foco em aplicativos
• Capacidades de Integração
• Virtualização
• Rede de contêineres
• Orquestração
• Rede em nuvem pública

Por que ACI?

• Topologia folha-espinha-folha - simples e escalonável
• ECMP - Roteamento Ethernet de maneira ativa / ativa
• Otimização de tráfego Leste-Oeste, gateway Anycast em cada Folha
• Microssegmentação - mesma sub-rede? Não um problema de todos!
• Segurança - Política de lista branca por padrão

Quais são os componentes ACI?

• Opções -> Funções: Folhas e espinhos
• Modos do Nexus 9K: ACI para ACI e NX-OS para uso independente
• Controladores: Controlador de infraestrutura de política de aplicativo (APIC). Servidor UCS-C -> várias capacidades para diferentes tamanhos de malha. Hardware não Cisco não é permitido; não vai funcionar.

Arquitetura ACI

Por favor, veja a figura abaixo. A regra de ouro é que Chaves de coluna deve ser conectado a todos os interruptores Leaf e vice-versa. No entanto, os espinhos não estão conectados uns aos outros e as folhas também não podem se conectar. Os servidores só podem ser conectados a Folhas e NÃO a Spines. Se um servidor estiver conectado ao Spine - o MCP (MisCabling Protocol) detectará isso e interromperá a conexão. LLDP (Link Layer Discovery Protocol) não permitirá conexões Spine <> Spine e Leaf <> Leaf

Topologia da coluna vertebral

• Tecido baseado em IP de 40 Gbps com sobreposição de VXLAN integrada - capacidade> 100 Gbbps
• Tecido Simples / Consistente / Escalável
• Composto por dispositivos N9K, 9500 switches como o Spine (pelo menos 2x para redundância) usado para largura de banda da malha
• Switches Cisco 9300 na camada Folha (ToR - Parte superior do rack). Dispositivos finais, normalmente servidores, chassis VMWare se conectam aqui.

ACI - Encaminhamento de base da coluna e da folha

• IS-IS (protocolo de roteamento) fornece roteamento subjacente
• No escopo estão: interfaces IP não numeradas, conexões somente L1 (internas), Anuncia endereços VTEP, Gera árvore FTAG multicast, Identifica e anuncia túneis

O que é VTEP?

O encapsulamento de quadro é feito por uma entidade conhecida como VXLAN Tunnel Endpoint (VTEP.) UMA VTEP possui duas interfaces lógicas: um uplink e um downlink. O uplink é responsável por receber os quadros VXLAN e atua como um ponto final do túnel com um endereço IP usado para rotear os quadros encapsulados VXLAN (do Cisco Portal)

O que é o APIC?

O Application Policy Infrastructure Controller - APIC, é o principal componente da solução ACI. Ele fornece automação e gerenciamento para a malha ACI da Cisco, aplicação de políticas e monitoramento de integridade. O controlador otimiza o desempenho e gerencia e opera uma malha Cisco ACI escalonável e com vários níveis.

• APIC é o controlador de políticas na ACI
• Cluster altamente redundante: normalmente três ou mais APICs para redundância e quorum. Eles NÃO estão na configuração Ativo / Standby. Eles estão em implantação ativa / ativa e os dados são compartilhados entre os nós. Cada fragmento tem 3 réplicas em todos os controladores.
• O APIC NÃO está no controle ou plano de dados do tecido. Depois que o ambiente de rede estiver configurado e o APIC estiver inativo, isso não afetará a infraestrutura. No entanto, o APIC é necessário para movimentações / adições / alterações / exclusões e quaisquer operações diárias. Então você tem que ter APIC no longo prazo. Sua rede pode sobreviver sem ele por um curto período.

ACI - Descoberta de Tecido

• O APIC é responsável por: descoberta e endereçamento de malha, gerenciamento de imagens, validação de topologia e cabeamento.
• O Fabric Discovery é feito através do Link Layer Discovery Protocol (LLDP), TLVs específicos de ACI (OUI) e conexão de gerenciamento APIC para a infraestrutura-vrf

Frango ou ovo? Como eles se descobrem?

A ACI no processo de descoberta usa o método Intra-Fabric Messaging (IFM) no qual APIC e nós trocam mensagens de pulsação. A técnica usada pelo APIC para enviar políticas aos nós das folhas de tecido é chamada de Processo IFM. Na fase final, processa a descoberta dos outros nós de folhas e APICs no cluster.

• API de inicialização
• O switch Leaf descobre o APIC via LLDP, solicita o endereço TEP e o arquivo de inicialização do APIC.
• O switch Spine encontrará Leaf, solicita TEP e arquivo de inicialização da APIC.
• O tecido agora se monta
• Quando vários APICs são descobertos no AV (Appliance Vector), eles formarão um cluster resiliente.

O que é o inquilino Cisco ACI?

An ACI O modelo de objeto do locatário representa o objeto de nível mais alto. No interior, você pode diferenciar entre os objetos que definem a rede do locatário, como redes privadas (VRFs), domínios de ponte e sub-redes; e os objetos que definem as políticas de locatário, como perfis de aplicativos e grupos de terminais.

• Locatário - uma unidade lógica para gerenciamento
• Podem ser clientes, unidades de negócios (BUs) ou grupos
• Permite: Administração separada e fluxos de dados, espaço de endereço IP reutilizável, espaço de perfil distinto.
• Três locatários padrão: Comum - fornece serviços comuns a todos os locatários, Infra - usado para todas as comunicações de malha interna, Gerenciamento - usado para políticas de acesso de gerenciamento dentro e fora da banda.

Vamos construir um ACI como Lego Bricks

Contexto - um VRF dentro de um locatário

• Inquilinos pode ter um ou mais contextos, permite duplicação de endereço IP

Domínio de ponte - contêiner para sub-redes

• Eles são necessariamente VXLAN, usando a funcionalidade IRB: o tráfego dentro de um BD é interligado, o tráfego entre os BDs é roteado, as sub-redes são, portanto, irrelevantes, pois o tráfego é roteado com base em rotas de host ./32.
• A inundação da camada 2 está desativada por padrão; ele pode ser ativado no domínio de ponte para ARP, DHCP e integração do CE.

Como gerenciar, acesso OOB?

Gerenciando o escopo, escopo Cisco Nexus 9K Mgmt

• In-band, através dos VRF's de infra e gerenciamento, portas de console, porta de gerenciamento Out-of-Band dedicada (como outros dispositivos Nexus, N5k e N7k)
• Escopo APIC Mgmt; Portas de malha (2x dados), OOB Mgmt, console Ethernet, CIMC / IPMI

Como o ACI Forwarding na malha?

Resumindo, se um servidor conectado a um switch Leaf quiser se comunicar com outro servidor em algum outro lugar da LAN, Leaf fará uma pesquisa em sua 'Tabela de estação local' para um VTEP (Terminal de túnel virtual). Se não conseguir encontrar lá, ele tentará 'Tabela de estação global'. Ainda assim, se ele também não conseguir encontrá-lo por meio de comunicações anteriores, ele solicitará a troca da coluna. Os Spine (s) sabem tudo e verão uma entrada VTEP para encaminhar o tráfego para o destino.

Encaminhamento, canalizando seu LISP interno.

• As camadas 2 e 3 são encaminhadas com base no IP de destino, Intra e Sub-rede.
• Cada switch Leaf possui 2x tabelas de encaminhamento: Global Station Table -> Cache de endpoints do Fabric, Local Station Table -> Hosts diretamente conectados ao Leaf, ou fora da Leaf, 'mostre o endpoint' no CLI.

Portal SVI Pervasivo

• Sem HSRP ou VRRP, disponível em todas as folhas (onde os pontos de extremidade residem), semelhante ao IP distribuído do AnyCast GW no VXLAN eVPN

Protocolos de gerenciamento e políticas de interface para ACI

• Cisco Discovery Protocol (CDP) - a política padrão é 'off' -> usado em 'políticas de interface'
• Link Layer Discovery Protocol (LLDP) - a política padrão é 'habilitado' -> usado em 'políticas de interface'
• Network Tim Protocol (NTP) - você pode usar NTP in-band ou out-of-band, dependendo do esquema MGMT que a malha utiliza
• Domain Name Services (DNS) - útil e pode ser necessário para o nome do host para resolução de endereço IP

ACI, políticas de acesso à malha

Pools de VLAN representam blocos de identificadores de VLAN de tráfego. Um pool de VLAN é um recurso compartilhado e pode ser consumido por vários domínios, como domínios do VMM e serviços da camada 4 à camada 7.
Cada pool possui um tipo de alocação (estática ou dinâmica), definido no momento de sua criação. O tipo de alocação determina se os identificadores contidos nele serão usados ​​para atribuição automática pelo APIC (dinâmico) ou definido explicitamente pelo administrador (estático). Por padrão, todos os blocos contidos em um pool de VLAN têm o mesmo tipo de alocação que o pool, mas os usuários podem alterar o tipo de alocação de blocos de encapsulamento contidos em pools dinâmicos para estático.

• A política de namespace define os intervalos de ID usados ​​para o encapsulamento de VLAN. Especifica as Vlan que podem ser usadas por um domínio (como uma 'lista permitida'). 1x pool Vlan por domínio
• 2x Modos de Operações: Alocação estática - Usado com servidores bare-metal, handoffs de Camada 2 / Camada 3 para ações como 'vinculações de caminho estático', Alocação dinâmica - APIC puxa dinamicamente um Vlan para fora do pool (familiarizado com implementações VMM)

A malha ACI pode atribuir automaticamente IDs de VLAN de pools de VLAN. Isso economiza uma quantidade enorme de tempo, em comparação com o entroncamento de VLANs em um Data Center tradicional.

Os Domínios - Políticas de acesso à malha

Os domínios atuam como a cola entre a configuração feita na guia fabric para o modelo de política e a configuração do grupo de terminais encontrados no painel de inquilinos. O operador de malha cria os domínios e os administradores de inquilino associam domínios a grupos de terminais.

• Eles são chamados  domínios, porque 'como' dispositivos / elementos se conectam ao tecido.
• Físico - usado para hosts / servidores Bare-Metal.
• Ponte externa - usado para conexões externas da camada 2, para uma rede comutada externa
• Roteado externo - usado para conectar a um dispositivo externo da Camada 3 para roteamento para dentro / fora do tecido.
• VMM - usado para se conectar a um ambiente controlado por hipervisor, como vCenter, OpenStack, o MS SCVMM

Perfil de entidade de acesso anexável (AAEP) ou (AEP)

Um AEP (Attachable Entity Profile) representa um grupo de entidades externas com requisitos de diretiva de infraestrutura semelhantes. As políticas de infraestrutura consistem em políticas de interface física que configuram várias opções de protocolo, como Cisco Discovery Protocol (CDP), Link Layer DiscoveryProtocol (LLDP) ou Link Aggregation Control Protocol (LACP).
É necessário um AEP para implantar pools de VLAN em switches de folha. Blocos de encapsulamento (e VLANs associados) são reutilizáveis ​​entre comutadores em folha. Um AEP fornece implicitamente o escopo do pool de VLAN à infraestrutura física.

• Você normalmente terá um AEP por inquilino.
• Um grupo de entidades 'externas' com uma política semelhante, necessário para implantar o pool de VLAN no Leafs, define o intervalo, mas NÃO provisiona
• Reúne as interfaces e VLANs para que o APIC saiba onde implantar VLANs (ou seja, quais Leaf muda para empurrar VLANs também)
• AAEPs contêm domínios e são
• realizada por Grupos de Política de Interface

Grupos de endpoint ACI (EPGs)

Os grupos de terminais (EPGs) são usados ​​para criar agrupamentos lógicos de hosts ou servidores que executam funções semelhantes na malha e que compartilham políticas semelhantes. Cada grupo de terminais criado pode ter uma política de monitoramento exclusiva ou uma política de QoS e está associada a um domínio de ponte.

• EPGs são grupos de aplicativos e / ou entidades independentes da fórmula de rede (ou seja, VLANs, IPs, etc ...)
• Normalmente de natureza semelhante (por exemplo, web, banco de dados, servidores de aplicativos)
• Grupo de terminais que exigem políticas semelhantes: Redes externas, Grupos de servidores / aplicativos, Serviços de rede, Dispositivos de armazenamento
• Os tipos de EPGs incluem: Application EPG, Layer 2 External EPG, Layer 3 External EPG, Management EPG (Mgmt, OOB e Inbound)

• EPGs são flexíveis e extensíveis
• EPGs são o ponto de aplicação da política para os objetos do grupo
• A política NÃO é aplicada por sub-rede (s)
• As alterações de endereço IP não afetarão a política, a menos que o ponto de extremidade seja definido pelo endereço IP
• Nós dentro de um EPG podem se comunicar
• Os nós entre os EPGs devem ter um "contrato" em vigor para se comunicar

Contratos - conectando todos juntos

• Os contratos determinam como o EPG se comunica, define a permissão de entrada / saída e nega, QoS, redirecionamentos e gráficos de serviço
• Trabalhar em um modelo de provedor / consumidor; um EPG pode fornecer um contrato que outro consumirá