Nous avons écrit ce blog comme un rappel ou un guide rapide basé sur le nombre de ressources et de publications sur Internet. Nous avons tous une interprétation différente du même objectif, mais il est parfois bon de le recouper avec ce que les autres peuvent penser.

Cisco ACI pour les entreprises dans les centres de données

Dans le monde des réseaux, tout le monde parle ou utilise l'infrastructure centrée sur les applications (ACI). Commençons par quelques questions.

Qu'est-ce que Cisco ACI?

ACI signifie Application Centric Infrastructure et est la solution Cisco SDN pour l'environnement Data Center. ACI est un moyen de créer un cadre commun basé sur des politiques pour l'environnement informatique. Plus précisément dans les domaines Application, Réseau et Sécurité. Il est basé sur des politiques - un ensemble de lignes directrices ou de règles qui déterminent un plan d'action. Un exemple serait: le trafic allant d'un serveur Web à l'hôte final, doit passer par un pare-feu. Essayez de visualiser, comme la qualité de service, la sécurité et les SLA

Quelles sont les principales fonctionnalités / avantages?

• Automation
• Focus sur les applications
• Capacités d'intégration
• Virtualisation
• Mise en réseau de conteneurs
• Orchestration
• Mise en réseau du cloud public

Pourquoi ACI?

• Topologie feuille-épine-feuille - Simple et évolutive
• ECMP - Routage Ethernet en mode actif / actif
• Optimisation du trafic Est-Ouest, passerelle Anycast sur chaque feuille
• Microsegmentation - Même sous-réseau? Pas un problème du tout!
• Sécurité - Politique de liste blanche par défaut

Quels sont les composants ACI?

• Commutateurs -> Rôles: Feuilles et épines
• Modes Nexus 9K: ACI pour ACI et NX-OS pour une utilisation autonome
• Contrôleurs: Application Policy Infrastructure Controller (APIC). Serveur UCS-C -> diverses capacités pour différentes tailles de structure. Le matériel non-Cisco n'est pas autorisé; ça ne marchera pas.

Architecture ACI

Veuillez consulter la figure ci-dessous. La règle d'or est que Commutateurs de colonne vertébrale doit être connecté à tous les commutateurs Leaf et vice-versa. Cependant, les Spine ne sont pas connectés les uns aux autres et les feuilles ne peuvent pas non plus se connecter. Les serveurs ne peuvent être connectés qu'aux feuilles et PAS aux épines. Si un serveur est connecté au Spine - MCP (MisCabling Protocol) le détecte et arrête la connexion. LLDP (Link Layer Discovery Protocol) interdira les connexions Spine <> Spine et Leaf <> Leaf

Topologie à feuilles vertébrales

• Tissu basé sur IP 40 Gbit / s avec superposition VXLAN intégrée -> 100 Gbit / s
• Tissu simple / cohérent / évolutif
• Composé de périphériques N9K, 9500 commutateurs comme Spine (au moins 2x pour la redondance) utilisés pour la bande passante Fabric
• Commutateurs Cisco 9300 au niveau de la couche Leaf (ToR - Top of the Rack). Les périphériques terminaux, généralement des serveurs, des châssis VMWare se connectent ici.

ACI - Acheminement des sous-couches de la colonne vertébrale et des feuilles

• IS-IS (protocole de routage) fournit un routage sous-jacent
• Dans la portée sont: les interfaces IP non numérotées, les connexions L1 uniquement (internes), annonce les adresses VTEP, génère des arborescences FTAG multidiffusion, identifie et annonce les tunnels

Qu'est-ce que le VTEP?

L'encapsulation de trame est effectuée par une entité appelée point de terminaison de tunnel VXLAN (VTEP.) UNE VTEP a deux interfaces logiques: une liaison montante et une liaison descendante. La liaison montante est responsable de la réception des trames VXLAN et agit comme un point de terminaison de tunnel avec une adresse IP utilisée pour le routage des trames encapsulées VXLAN (à partir de Cisco Portal)

Qu'est-ce que l'APIC?

Le contrôleur d'infrastructure de politique d'application - APIC, est le composant principal de la solution ACI. Il fournit l'automatisation et la gestion de la structure Cisco ACI, l'application des politiques et la surveillance de l'intégrité. Le contrôleur optimise les performances et gère et exploite une structure évolutive Cisco ACI multi-locataire.

• APIC est le contrôleur des politiques d'ACI
• Cluster hautement redondant: généralement trois APIC ou plus pour la redondance et le quorum. Ils ne sont PAS en configuration Active / Standby. Ils sont en déploiement actif / actif et les données sont partagées entre les nœuds. Chaque fragment a 3x répliques sur les contrôleurs.
• APIC n'est PAS dans le contrôle ou le plan de données de la structure. Une fois que l'environnement réseau est configuré et que l'APIC est en panne, cela n'affectera pas l'infrastructure. Cependant, APIC est requis pour les déplacements / ajouts / changements / suppressions et toutes les opérations quotidiennes. Vous devez donc avoir APIC à long terme. Votre réseau peut survivre sans lui pendant une courte période.

ACI - Découverte de tissus

• L'APIC est responsable de: la découverte et l'adressage de la matrice, la gestion des images, la topologie et la validation du câblage.
• Fabric Discovery est effectuée via le protocole LLDP (Link Layer Discovery Protocol), les TLV spécifiques ACI (OUI) et la connexion de gestion APIC à infrastructure-vrf

Poulet ou œuf? Comment se découvrent-ils?

ACI dans le processus de découverte utilise la méthode IFM (Intra-Fabric Messaging) dans laquelle APIC et les nœuds échangent des messages de pulsation. La technique utilisée par l'APIC pour pousser la politique vers les nœuds terminaux de structure est appelée processus IFM. Dans la phase finale, traite la découverte des autres nœuds feuilles et APIC du cluster.

• API d'amorçage
• Le commutateur feuille découvre APIC via LLDP, demande l'adresse TEP et le fichier de démarrage à APIC.
• Le commutateur Spine trouvera Leaf, demande TEP et le fichier de démarrage de l'APIC.
• Le tissu s'auto-assemble maintenant
• Lorsque plusieurs APIC sont découverts sur l'AV (Appliance Vector), ils forment un cluster résilient.

Qu'est-ce que Cisco ACI Tenant?

An ACI Le modèle objet Tenant représente l'objet de plus haut niveau. À l'intérieur, vous pouvez différencier les objets qui définissent la mise en réseau des locataires, tels que les réseaux privés (VRF), les domaines de pont et les sous-réseaux; et les objets qui définissent les stratégies de locataire telles que les profils d'application et les groupes de points de terminaison.

• Locataire - une unité logique pour la gestion
• Il peut s'agir de clients, d'unités commerciales (BU) ou de groupes
• Permet: une administration et des flux de données séparés, un espace d'adressage IP réutilisable, un espace de profil distinct.
• Three Default Tenants: Common - Fournit des services communs à tous les locataires, Infra - utilisé pour toutes les communications internes de fabric, Mgmt - utilisé pour les stratégies d'accès de gestion dans la bande et hors bande.

Construisons ACI comme des briques Lego

Contexte - un VRF au sein d'un locataire

• Locataires peut avoir un ou plusieurs contextes, permet la duplication d'adresse IP

Domaine du pont - conteneur pour sous-réseaux

• Ce sont nécessairement des VXLAN, utilisant la fonctionnalité IRB: le trafic dans un BD est ponté, le trafic entre les BD est acheminé, les sous-réseaux ne sont donc pas pertinents car le trafic est acheminé sur la base de routes hôtes ./32.
• L'inondation de la couche 2 est désactivée par défaut; il peut être activé dans Bridge Domain pour ARP, DHCP et l'intégration de CE.

Comment gérer, l'accès OOB?

Gestion de la structure, portée de Cisco Nexus 9K Mgmt

• Intrabande, via les VRF infra et de gestion, les ports de console, le port de gestion dédié hors bande (comme les autres appareils Nexus, N5k et N7k)
• Portée de gestion APIC; Ports Fabric (2x données), OOB Mgmt, Console Ethernet, CIMC / IPMI

Comment ACI Forwarding dans le tissu?

En un mot, si un serveur connecté à un commutateur Leaf veut communiquer avec l'autre serveur ailleurs sur le LAN, Leaf effectuera une recherche dans sa «table de station locale» pour un VTEP (Virtual Tunnel Endpoint). S'il ne peut pas le trouver là-bas, il essaiera 'Global Station Table'. Pourtant, s'il ne peut pas le trouver là non plus à partir de communications précédentes, il demandera le commutateur Spine. Le ou les Spine (s) savent tout, et ils verront une entrée VTEP pour transférer le trafic vers la destination.

Transfert, canalisation de votre LISP intérieur.

• La couche 2 et la couche 3 sont transmises en fonction de l'adresse IP de destination, de l'intra et de l'inter-réseau.
• Chaque commutateur Leaf a 2x tables de transfert: Global Station Table -> Cache of Fabric endpoints, Local Station Table -> Hosts directement attachés à Leaf, ou hors de Leaf, font «show endpoint» dans CLI.

Passerelle SVI omniprésente

• Pas de HSRP ou VRRP, disponible sur toutes les feuilles (où résident les points de terminaison), similaire à l'IP distribué AnyCast GW dans VXLAN eVPN

Protocoles de gestion et politiques d'interface pour ACI

• Cisco Discovery Protocol (CDP) - la politique par défaut est «off» -> utilisée dans les «politiques d'interface»
• Link Layer Discovery Protocol (LLDP) - la stratégie par défaut est «activée» -> utilisée dans les «stratégies d'interface»
• Network Tim Protocol (NTP) - vous pouvez utiliser le NTP en bande ou hors bande, selon le schéma MGMT utilisé par la structure
• Services de noms de domaine (DNS) - utiles et peuvent être nécessaires pour la résolution du nom d'hôte en adresse IP

ACI, politiques d'accès à Fabric

Pools de VLAN représentent des blocs d'identifiants VLAN de trafic. Un pool de VLAN est une ressource partagée et peut être consommé par plusieurs domaines tels que les domaines VMM et les services de couche 4 à couche 7.
Chaque pool possède un type d'allocation (statique ou dynamique), défini lors de sa création. Le type d'allocation détermine si les identifiants qu'il contient seront utilisés pour l'attribution automatique par l'APIC (dynamique) ou définis explicitement par l'administrateur (statique). Par défaut, tous les blocs contenus dans un pool de VLAN ont le même type d'allocation que le pool, mais les utilisateurs peuvent changer le type d'allocation pour les blocs d'encapsulation contenus dans les pools dynamiques en statique.

• La politique d'espace de noms définit les plages d'ID utilisées pour l'encapsulation VLAN. Spécifie les Vlan qui peuvent être utilisés par un domaine (un peu comme une «liste autorisée»). 1x pool Vlan par domaine
• 2x modes de fonctionnement: allocation statique - Utilisé avec des serveurs bare-metal, transferts de couche 2 / couche 3 pour des actions telles que `` liaisons de chemin statiques '', allocation dynamique - APIC extrait dynamiquement un Vlan du pool (familier avec les implémentations VMM)

La structure ACI peut attribuer automatiquement des ID de VLAN à partir de pools de VLAN. Cela permet d'économiser énormément de temps par rapport à la jonction des VLAN dans un centre de données traditionnel.

Les domaines - Politiques d'accès à la structure

Les domaines servent de lien entre la configuration effectuée dans l'onglet Fabric et le modèle de stratégie et la configuration du groupe de noeuds finaux trouvée dans le volet client. L'opérateur de matrice crée les domaines et les administrateurs de locataire associent les domaines aux groupes de points de terminaison.

• Elles sont appelées  Domaines, parce que «comment» les périphériques / éléments se connectent à la structure.
• Physique - utilisé pour les hôtes / serveurs Bare-Metal.
• Pont externe - utilisé pour les connexions externes de couche 2, à un réseau commuté extérieur
• Routé externe - utilisé pour se connecter à un périphérique externe de couche 3 pour le routage dans / hors de la matrice.
• VMM - utilisé pour se connecter à un environnement contrôlé par hyperviseur comme vCenter, OpenStack, o MS SCVMM

Profil d'entité d'accès amovible (AAEP) ou (AEP)

Un profil d'entité amovible (AEP) représente un groupe d'entités externes ayant des exigences de politique d'infrastructure similaires. Les stratégies d'infrastructure consistent en des stratégies d'interface physique qui configurent diverses options de protocole, telles que Cisco Discovery Protocol (CDP), Link Layer DiscoveryProtocol (LLDP) ou Link Aggregation Control Protocol (LACP).
Un AEP est requis pour déployer des pools de VLAN sur des commutateurs terminaux. Les blocs d'encapsulation (et les VLAN associés) sont réutilisables sur les commutateurs terminaux. Un AEP fournit implicitement l'étendue du pool de VLAN à l'infrastructure physique.

• Vous aurez généralement un AEP par locataire.
• Un groupe d'entités `` externes '' avec une politique similaire, requis pour déployer le pool VLAN sur Leafs, définit la plage, mais ne fournit PAS
• Rassemble les interfaces et les VLAN afin que l'APIC sache où déployer les VLAN (c'est-à-dire quels commutateurs Leaf pour pousser les VLAN aussi)
• Les AAEP contiennent des domaines et sont
• détenus par les groupes de stratégies d'interface

Groupes de points de terminaison ACI (EPG)

Les groupes de points de terminaison (EPG) sont utilisés pour créer des regroupements logiques d'hôtes ou de serveurs qui exécutent des fonctions similaires au sein de la structure et qui partagent des stratégies similaires. Chaque groupe de noeuds finaux créé peut avoir une stratégie de surveillance ou une stratégie de QoS unique et est associé à un domaine de pont.

• Les EPG sont des groupes d'applications et / ou d'entités indépendantes de la formule de mise en réseau (ie VLAN, IP, etc.)
• Normalement de nature similaire (c.-à-d. Web, base de données, serveurs d'applications)
• Groupe de points de terminaison nécessitant une stratégie similaire: réseaux externes, groupes de serveurs / applications, services réseau, périphériques de stockage
• Les types d'EPG incluent: EPG d'application, EPG externe de couche 2, EPG externe de couche 3, EPG de gestion (Mgmt, OOB et entrant)

• Les EPG sont flexibles et extensibles
• Les EPG sont le point d'application de la politique pour les objets de groupe
• La politique n'est PAS appliquée par les sous-réseaux
• Les modifications d'adresse IP n'affecteront pas la stratégie sauf si le point de terminaison est défini par l'adresse IP
• Les nœuds d'un EPG peuvent communiquer
• Les nœuds entre EPG doivent avoir un `` contrat '' en place afin de communiquer

Contrats - connecter tous ensemble

• Les contrats dictent la manière dont l'EPG communique, définissent les autorisations entrantes / sortantes et refusent, la qualité de service, les redirections et les graphiques de service
• Travailler dans un modèle fournisseur / consommateur; un EPG peut fournir un contrat qu'un autre consommera