14 | 04 | 2020

Adathálózati automatizálás, hogyan nyújtja a Cisco ACI az agilis hálózati platformot?

Ezt a blogot frissítő vagy gyors útmutatóként írtuk, az internetről származó erőforrások és kiadványok száma alapján. Mindannyian eltérően értelmezzük ugyanazt a célt, de néha jó összehasonlítani azt azzal, amit mások gondolnak.

Cisco ACI vállalati vállalkozások számára adatközpontokban

A hálózati világban mindenki az Alkalmazáscentrikus Infrastruktúrát (ACI) használja vagy használja. Kezdjük néhány kérdéssel.

Mi a Cisco ACI?

Az ACI az alkalmazásközpontú infrastruktúrát jelenti, és a Cisco SDN megoldása az adatközpont környezete számára. Az ACI lehetővé teszi az informatikai környezet közös politikai alapú keretének létrehozását. Konkrétan az alkalmazás, a hálózat és a biztonság területén. Házirend-alapú - iránymutatások vagy szabályok összessége, amelyek meghatározzák a cselekvés menetét. Például: a webszerverről a végállomásig tartó forgalomnak át kell haladnia egy tűzfalon. Próbáljon vizualizálni, mint például a QoS, a Security és az SLA

Melyek a legfontosabb jellemzők / előnyök?

  • Automatizálás
  • Összpontosítson az alkalmazásokra
  • Integrációs képességek
  • Virtualizáció
  • Konténerhálózat
  • hangszerelés
  • Nyilvános felhő hálózat

Miért az ACI?

  • Levél-gerinc-levél topológia - egyszerű és méretezhető
  • ECMP - Ethernet továbbítása aktív / aktív módon
  • Kelet-Nyugat forgalom optimalizálás, Anycast átjáró minden Leaf-en
  • Mikrosegmentáció - ugyanaz az alhálózat? Egyáltalán nem probléma!
  • Biztonság - Alapértelmezés szerint a fehér listára vonatkozó irányelv

Melyek az ACI komponensek?

  • Kapcsolók -> Szerepek: Levelek és gerincek
  • Nexus 9K módok: ACI ACI és NX-OS rendszerekhez önálló használatra
  • Vezérlők: Application Policy Infrastructure Controller (APIC). UCS-C Server -> különféle kapacitások a különböző szövetméretekhez. Nem Cisco hardver nem megengedett; nem fog menni.

ACI építészet

Lásd az alábbi ábrát. Az aranyszabály ez Gerinckapcsolók csatlakoztatni kell az összes Leaf kapcsolóhoz és fordítva. A gerincek azonban nincsenek összekapcsolva egymással, és a Leaves sem tud csatlakozni. A szerverek csak a Leaves-hez és a NOT Spines-hez köthetők. Ha egy szerver csatlakozik a Spine-hez, az MCP (MisCapping Protocol) észleli ezt és leállítja a kapcsolatot. Az LLDP (Link Layer Discovery Protocol) tiltja a Spine <> Spine és a Leaf <> Leaf kapcsolatokat

Gerinc-levél topológia

  • 40 Gbps IP alapú szövet integrált VXLAN overlay-vel -> 100Gbbps képes
  • Egyszerű / következetes / méretezhető szövet
  • N9K eszközökből áll, a szövet sávszélességéhez használt gerincekként (legalább 9500x redundancia esetén) 2 kapcsoló
  • A Cisco 9300 a Leaf rétegnél kapcsol (ToR - az állvány teteje). Végeszközök, általában szerverek, VMWare ház csatlakozik ide.

ACI gerinclevél

ACI - Gerinc és levél alátét útválasztás

  • Az IS-IS (útválasztási protokoll) biztosítja az alsó útválasztást
  • A hatókörbe tartoznak: IP számozatlan interfészek, csak L1 (belső) kapcsolatok, VTEP címek hirdetése, csoportos FTAG fák létrehozása, alagutak azonosítása és bejelentése

Mi a VTEP?

A keret beágyazását egy VXLAN alagút végpontjaként ismert entitás hajtja végre (VTEP.) A VTEP két logikai interfészből áll: egy felfelé és lefelé. A felfelé irányuló kapcsolat felelős a VXLAN keretek fogadásáért, és egy alagút végpontjaként működik, amelynek IP-címe a VXLAN beágyazott keretek továbbításához szolgál (a Cisco Portal-tól)

Mi az APIC?

Alkalmazáspolitikai infrastruktúra-vezérlő - APIC, az ACI-megoldás fő alkotóeleme. Automatizálást és menedzsmentet biztosít a Cisco ACI szövet számára, a házirendek végrehajtásához és az egészségfigyeléshez. A vezérlő optimalizálja a teljesítményt, és kezeli és működteti a méretezhető multitenáns Cisco ACI szövetet.

  • Az APIC az ACI házirend-ellenőrzője
  • Rendkívül redundáns klaszter: általában három vagy több APIC redundancia és határozatképesség szempontjából. NEM aktív / készenléti konfigurációban vannak. Aktív / aktív telepítésben vannak, és az adatokat megosztják a csomópontok. Minden szilánk háromszoros replikával rendelkezik a vezérlőkön.
  • Az APIC NEM az irányító, vagy a szövet adatsíkja. Ha a hálózati környezet konfigurálva van, és az APIC nem működik, az nem befolyásolja az infrastruktúrát. Az APIC azonban szükséges az áthelyezésekhez / hozzáadásokhoz / változtatásokhoz / törlésekhez és minden napi művelethez. Tehát hosszú távon APIC-vel kell rendelkeznie. Hálózata rövid ideig anélkül is fennmaradhat.

ACI - Fabric Discovery

  • Az APIC a következőkért felel: Szövet felfedezés és címzés, Képkezelés, Topológia és kábelezés érvényesítése.
  • A Fabric Discovery az LLDP (Link Layer Discovery Protocol), az ACI-specifikus TLV-k (OUI) és az APIC felügyeleti kapcsolat révén valósul meg az infrastruktúra-vrf segítségével.

Csirke vagy tojás? Hogyan fedezik fel egymást?

Az ACI a felfedezési folyamatban a szöveten belüli üzenetküldés (IFM) módszert használja, amelyben az APIC és a csomópontok szívveréses üzeneteket cserélnek. Az APIC által az irányelveknek a szövetlemez-csomópontokhoz történő továbbítására alkalmazott technikát IFM-folyamatnak nevezik. Az utolsó szakaszban a többi levélcsomópont és APIC felfedezése a klaszterben található.

  • Bootstrap API
  • A levélkapcsoló az APIC-t felismeri az LLDP-n keresztül, TEP-címet és indító fájlt kér az APIC-től.
  • A gerinckapcsoló megtalálja a Leaf-t, a TEP-t és az indító fájlt az APIC-től.
  • A szövet most összeszerelhető
  • Ha több APIC-et fedeznek fel az AV-n (Appliance Vector), akkor rugalmas fürtöt alkotnak.

Mi a Cisco ACI bérlő?

An ACI A bérlői objektum modell a legmagasabb szintű objektumot képviseli. Belül meg lehet különböztetni a bérlői hálózatot meghatározó objektumokat, például a magánhálózatokat (VRF), a hídtartományokat és az alhálózatokat; és a bérlői házirendeket meghatározó objektumok, például az alkalmazásprofilok és a végpontcsoportok.

  • Bérlő - logikus egység a menedzsmenthez
  • Lehetnek ügyfelek, üzleti egységek vagy csoportok
  • Lehetővé teszi: Különálló adminisztráció és adatfolyamok, Újrafelhasználható IP-címtér, Megkülönböztető profilterület.
  • Három alapértelmezett bérlő: Közös - Közös szolgáltatásokat nyújt az összes bérlő számára, Infra - Minden belső szövetes vesszőhöz használatos, Mgmt - sávon belüli és sávon kívüli menedzsment hozzáférési házirendekhez.

Építsük az ACI-t, mint a Lego Bricks

Kontextus - VRF a Bérlőn belül

  • bérlők lehet egy vagy több összefüggésben, lehetővé teszi az IP-cím másolását

Híd domain - alhálózatok tárolója

  • Ezek szükségszerűen VXLAN-k, IRB-funkcionalitást használva: A forgalom egy BD-n belül áthidalva van, a BD-k közötti forgalom át van vezetve, ezért az alhálózatok nem relevánsak, mivel a forgalmat ./32 hoszt útvonalak alapján vezetik.
  • A 2. réteg elárasztása alapértelmezés szerint le van tiltva; engedélyezhető a Bridge Domain-en belül ARP, DHCP és a CE integrálása számára.

Hogyan kezeljük az OOB hozzáférést?

A szövet kezelése, a Cisco Nexus 9K Mgmt hatóköre

  • Sávon belül, infravörös és felügyeleti VRF-ek, konzolportok, sávon kívüli dedikált felügyeleti port (mint más Nexus eszközök, N5k és N7k)
  • APIC Mgmt hatálya; Szövetportok (2x adat), OOB Mgmt, Konzol ethernet, CIMC / IPMI

Hogyan működik az ACI továbbítás az anyagban?

Dióhéjban, ha egy Leaf kapcsolóhoz kapcsolt szerver kommunikálni akar a másik szerverrel valahol másutt a LAN-on, akkor a Leaf megkeresi a VTEP (Virtuális alagút végpont) 'helyi állomás táblázatát'. Ha nem találja ott, akkor megpróbálja a "Global Station Table" -et. Mégis, ha a korábbi kommunikációból sem találja ott, akkor megkérdezi a Spine kapcsolót. A gerinc (ek) mindent tudnak, és látni fogják a VTEP bejegyzést, amely továbbítja a forgalmat a cél felé.

Továbbítás, a belső LISP csatornázása.

  • A 2. és a 3. réteg továbbításra kerül a cél IP, belső és belső alhálózat alapján.
  • Minden Leaf kapcsolónak 2x továbbító táblája van: Globális állomástábla -> Fabric végpontok gyorsítótára, Helyi állomások tábla -> A közvetlenül a Leafhez csatolt vagy a Leaf kikapcsolt házigazdái a végponton mutatják a végpontot.

Áthatoló SVI átjáró

  • Nincs HSRP vagy VRRP, elérhető minden lapon (ahol a végpontok találhatók), hasonlóan a VXLAN eVPN elosztott IP AnyCast GW-hez

Kezelési protokollok és interfész házirendek az ACI számára

  • Cisco Discovery Protocol (CDP) - az alapértelmezett házirend „ki” -> az „interfész házirendekben” használatos
  • Link Layer Discovery Protocol (LLDP) - az alapértelmezett házirend „engedélyezve” -> az „interfész házirendjeiben” használt
  • Network Tim Protocol (NTP) - sávon belüli vagy sávon kívüli NTP-t használhat, attól függően, hogy a szövet milyen MGMT-sémát használ
  • Domain Name Services (DNS) - hasznos és szükséges lehet a hosztnév és az IP-cím felbontásához

ACI, Szövet hozzáférési házirendek

VLAN medencék forgalmi VLAN-azonosítók blokkjai. A VLAN készlet egy megosztott erőforrás, amelyet több domain is felhasználhat, például a VMM tartományok és a 4. és 7. réteg szolgáltatásai.
Minden egyes készletnek van egy allokációs típusa (statikus vagy dinamikus), amelyet a létrehozásakor határoztak meg. Az allokáció típusa meghatározza, hogy az abban szereplő azonosítókat automatikusan hozzárendelik-e az APIC (dinamikus), vagy az adminisztrátor kifejezetten beállítja-e (statikus). Alapértelmezés szerint a VLAN-készlet összes blokkja ugyanazzal a kiosztással rendelkezik, mint a készlet, de a felhasználók statikusra változtathatják a dinamikus poolokban lévő kapszulázási blokkok allokációs típusát.

  • A névtér házirend meghatározza a VLAN beágyazásához használt azonosító tartományokat. Megadja azokat a Vlan-okat, amelyeket egy tartomány használhat (például „engedélyezett lista”). 1x Vlan készlet tartományonként
  • 2x műveleti mód: Statikus allokáció - Csupasz fém szerverekkel használva, 2. réteg / 3. réteg átadás-átadás olyan műveletekhez, mint „statikus útvonal-összerendelések”, dinamikus allokáció - az APIC dinamikusan kihúz egy Vlan-ot a készletből (ismeri a VMM-implementációkat)

v500 rendszerek | blog | ACI

Az ACI szövet automatikusan hozzárendelhet VLAN azonosítókat a VLAN készletekből. Óriási időt takarít meg, összehasonlítva a VLAN-k hagyományos adatközpontban történő lecsökkentésével.

A tartományok - Szövet hozzáférési házirendek

A domainek ragasztóként szolgálnak a szövet lapon elvégzett konfiguráció és a házirend-modell konfigurációja és a bérlő ablakon található végpontcsoport konfiguráció között. A szövetkezelő létrehozza a tartományokat, és a bérlő rendszergazdái tartományokat társítanak végpontcsoportokhoz.

  • Felhívták őket  Domains, mert a „hogyan” eszközök / elemek csatlakoznak a szövethez.
  • Fizikai - a Bare-Metal hosztokhoz / szerverekhez használják.
  • Külső híd - külső 2-es szintű kapcsolathoz, külső kapcsolású hálózathoz használják
  • Külső irányítva - egy külső, 3. rétegű eszközhöz való csatlakozáshoz használatos, amely a szövetbe való be- és kihelyezésre szolgál.
  • VMM - olyan hypervisor által vezérelt környezethez való csatlakozáshoz használják, mint a vCenter, OpenStack vagy o MS SCVMM

Csatlakoztatható hozzáférési egység profil (AAEP) vagy (AEP)

Egy csatolható entitásprofil (AEP) egy olyan külső entitást képvisel, amely hasonló infrastruktúra-politikai követelményekkel rendelkezik. Az infrastruktúra-házirendek fizikai interfész-házirendekből állnak, amelyek különböző protokoll-lehetőségeket konfigurálnak, például a Cisco Discovery Protocol (CDP), a Link Layer DiscoveryProtocol (LLDP) vagy a Link Aggregation Control Protocol (LACP).
AEP szükséges a VLAN készletek telepítéséhez a levélkapcsolókon. Az kapsulációs blokkok (és a kapcsolódó VLAN-ok) újrafelhasználhatók a levélkapcsolókon keresztül. Az AEP hallgatólagosan biztosítja a VLAN készlet tartalmát a fizikai infrastruktúrához.

  • Bérlőnként általában egy AEP lesz.
  • Hasonló házirenddel rendelkező „külső” entitások csoportja, amely szükséges a VLAN-készlet telepítéséhez a Leafs-on, meghatározza a tartományt, de NEM rendelkezik
  • Összehozza az interfészeket és a VLAN-okat, hogy az APIC tudja, hová telepítse a VLAN-okat (vagyis hogy a Leaf milyen kapcsolókkal tolja a VLAN-okat is)
  • Az AAEP-k domaineket tartalmaznak és vannak
  • az Interface Policy Groups tartja

ACI végpont-csoportok (EPG-k)

Végpontcsoportok (EPG-k) az olyan gazdagépek vagy kiszolgálók logikai csoportosításainak létrehozására szolgálnak, amelyek hasonló funkciókat hajtanak végre a szöveten belül, és amelyek megosztják a hasonló irányelveket. Minden létrehozott végpontcsoportnak lehet egyedi megfigyelési házirendje vagy QoS házirendje, és híddoménhez társíthatók.

  • Az EPG-k a hálózati képlettől független alkalmazások és / vagy entitások csoportjai (azaz VLAN-ok, IP-k stb.)
  • Általában hasonló jellegű (pl. Web, adatbázis, alkalmazáskiszolgálók)
  • Végpontok csoportja, amelyek hasonló politikát igényelnek: Külső hálózatok, Szerverek / alkalmazások csoportjai, Hálózati szolgáltatások, Tárolóeszközök
  • Az EPG típusai a következők: Alkalmazás-EPG, 2. réteg külső EPG, 3. réteg külső EPG, kezelési EPG (Mgmt, OOB és bejövő)

  • Az EPG rugalmas és bővíthető
  • Az EPG-k a házobjektumok házirend-végrehajtási pontjai
  • A házirendet NEM hajtja végre alhálózat (ok)
  • Az IP-cím változásai csak akkor érintik a házirendet, ha a végpontot az IP-cím határozza meg
  • Az EPG csomópontjai képesek kommunikálni
  • Az EPG-k közötti csomópontoknak „szerződéssel” kell rendelkezniük a kommunikációhoz

Szerződések - minden összekapcsolása

  • A szerződések meghatározzák, hogy az EPG hogyan kommunikál egymással, meghatározza a bejövő / kimenő engedélyeket és elutasítja a QoS-t, az átirányításokat és a szolgáltatási grafikonokat.
  • Munka egy szolgáltató / fogyasztó modellben; az EPG olyan szerződést nyújthat, amelyet egy másik fogyaszt majd

KAPCSOLÓDÓ CIKKEK

23 | 03 | 2024

Jogvédők: Szuperhősök AI szuperképességekkel

Merüljön el a jogvédők és mesterséges intelligencia által hajtott szuperképességeik világában, miközben precízen és innovációval navigálnak bonyolult jogi tájakon.
20 | 03 | 2024

Miért vagyok annyira lenyűgözve Szókratésztől?

Csatlakozzon hozzánk egy utazásra a szókratészi filozófia és a matematika mélységein keresztül, feltárva a bölcsesség maradandó örökségét és annak rezonanciáját a digitális korban – mesterséges intelligencia
16 | 03 | 2024

Az OCR rétegeinek hámozása: Kulcs a fájdalommentes PDF-navigációhoz

Belefáradt a beolvasott PDF-fájlok végtelen görgetésébe? Ismerje meg, hogyan alakítja át az OCR-technológia PDF-navigációját, mentesítve ezzel a kényelmetlenséget és a frusztrációt. Köszöntheti a zökkenőmentes dokumentumfeltárást
09 | 03 | 2024

A mesterséges intelligencia kihasználása a jogértelmezéshez

Fedezze fel, hogyan hasznosítja a Quantum5 Alliance Group a mesterséges intelligencia erejét a 3. epizódban, forradalmasítva a jogértelmezést páratlan hatékonysággal és pontossággal