Интеграция ACI с виртуальными средами

Интеграция ACI с виртуальными средами
Максим Хаванкин
системный архитектор, CCIE
mkhavank@cisco.com
18 июня, 2015

Cisco Confidential 2© 2013-2014 Cisco and/or its affiliates. All rights reserved.
§  Концепция интеграции
§  Интеграция с VMware
§  Интеграция с Microsoft Hyper-V
§  Интеграция с KVM/OpenStack
§  Интеграция с Docker контейнерами
§  Бонус
Содержание

Взаимодействие гипервизоров с ACI
Два режима работы
§  ACI фабрика используется как IP-
Ethernet транспорт
§  Инкапсуляция настраивается
руками
§  Разные домены политик для
физической и виртуальной среды
Non-Integrated Mode
VXLAN
10000
VLAN 10
§  ACI фабрика контролирует
подключение в виртуальной среде
§  Инкапсуляция нормализуется и
настраивается динамически
§  Единый домен управления для
физической и виртуальной среды
APP WEB DB
Integrated Mode
DB

vCenter DVS SCVMM
§  APIC контроллер и Virtual
Machine Manager (VMM)
интегрируются друг с другом
§  Несколько VMM могут
подключаться к одной ACI
фабрике
§  Каждый VMM ассоциируется с
набором хостов
VMM Domain
§  Отношение 1:1 между
виртуальным коммутатором и
VMM Domain-ом
VMM Domain 1
Концепция VMM Domain
vCenter AVS
VMM Domain 2 VMM Domain 3

L/B
EPG
APP
EPG
DBF/W
EPG
WEB
Application Network Profile
VM VM VM
WEB PORT GROUP APP PORT GROUP DB PORT GROUP
Концепция VMM Domain
APIC
§  ACI фабрика использует EPG для
управления политиками
§  В виртуальной среде EPG может
представлять собой порт
виртуального коммутатора, к которому
подключен vNIC виртуальной машины
§  VMM применяет сетевую
конфигурацию сетевым интерфейсам
виртуальных машин с использованием
следующих объектов:
Port Groups (VMware)
VM Networks (Hyper-V)
Networks (OpenStack)

Нормализация инкапсуляции
VXLAN
VNID = 5789
VXLAN
VNID = 11348
NVGRE
VSID = 7456
Any to Any
802.1Q
VLAN 50
Нормализация
инкапсуляции
Локализация
IP фабрика
использует
eVXLAN тег
ДанныеIPeVXLANVTEP
•  Весь трафик инкапсулируется при помощи extended VXLAN (eVXLAN)
заголовка
•  Внешний тег VLAN, VXLAN, NVGRE на входящем порту отображается во
внутренний eVXLAN тег
•  Внешние идентификаторы локализуются на уровне Leaf устройства или
Leaf порта
•  Возможность переиспользования, если требуется
Данные
Данные
Данные
Данные
Данные
Eth
IP
VXLAN
Outer
IP
IPNVGRE
Outer
IP
IP802.1Q
Eth
IP
Eth
MAC
Нормализация входящей
APIC

EP
EP
EP
EP
EP
EP EP
EP
EP
EP
EP
EP
EP
EP
VMM Domain 1
4K EPGs
VMM Domain 2
4K EPGs
16M Virtual Networks §  VLAN ID дает возможность
создать 4K уникальных
EPG (12 бит)
§  Масштабирование пулами
по 4K EPG
§  Выбор VMM домена для
EPG на основе требований
к миграции
§  Миграция (vMotion, Live
migration) внутри VMM
домена
VMM домены и VLAN инкапсуляция

Endpoint Discovery
ESXi с
DVS
APIC
VMM
Control
(vCenter API)
Передача
данных
§  Виртуальные машины обнаруживаются
двумя методами:
§  Control Plane Learning:
Out-of-Band Handshake: vCenter API
Inband Handshake: хосты с поддержкой
OpFlex (сегодня AVS и Hyper-V)
§  Data Path Learning: выучивание
адресов на основе передавемых
данных
§  LLDP используется для
идентификации Virtual host ID (HV) и
физического порта, к которому
подключен гипервизор (для случаев
когда OpFlex не используется)
OpFlex Host
(ESXi с AVS или Hyper-V)
Control
(OpFlex)
Передача
данных

Интеграция ACI и VMware vCenter
Три режима интеграции
+
Distributed Virtual Switch
(DVS)
vCenter + vShield Manager
Application Virtual Switch
(AVS)
•  Инкапсуляция: VLAN
•  Установка: Native
•  Обнаружение VM:
LLDP
•  Software/Licenses:
vCenter с лицензией
EnterprisePlu
•  Инкапсуляция: VLAN,
VXLAN
•  Установка: Native
LLDP
EnterprisePlus, vShield
Manager с лицензией
vShield
•  Инкапсуляция: VLAN,
VXLAN
•  Установка: VIB при
помощи VUM или
консоли
OpFlex
EnterprisePlus

Интеграция ACI и VMware vCenter
Определение EPG при помощи Port-Group
§  VM подключаются к порт-группа, определенным для каждой EPG
§  Трафик инкапсулируется при помощи VLAN или VXLAN
VXLAN
VNID = 5789
VXLAN
VNID = 11348
802.1Q
VLAN 50
PayloadIP
GBP
VXLAN
VTEP
VXLAN
Leaf
VTEP
802.1Q
vSwitch
WEB PORT
GROUP
APP PORT
GROUP
vSwitch
WEB PORT
GROUP
APP PORT
GROUP
802.1Q
VLAN 125
PayloadIP
PayloadIP
Port-group
создается для
каждой EPG
+( (

APIC Admin
VI/Server Admin Instantiate VMs,
Assign to Port Groups
L/B
EPG
APP
EPG DB
F/W
EPG
WEB
Create Application Policy
WebWebWeb App
HYPERVISOR HYPERVISOR
VIRTUAL DISTRIBUTED SWITCH
vCenter
Server / vShield
8
5
1
9
ACI
Fabric
Automatically Map
EPG To Port Groups
Push Policy
Create VDS2
Cisco APIC and VMware
vCenter Initial
Handshake
6
DB DB
7
Create Port
Groups
Интеграция ACI и VMware vCenter: DVS
APIC
3
Attach Hypervisor
to VDS
4
Learn location of ESX
Host through LLDP

Southbound
OpFlex API
VMVM VM VM
VEM
vSphere
vCenter
§  OpFlex Control protocol
Протокол, контролирующий
состояние
Операции VM attach/detach,
уведомления о состоянии
канала
§  VEM как продолжение
фабрики
§  С релиза vSphere 5.0 и выше
§  BPDU Filter/BPDU Guard
§  SPAN/ERSPAN
§  Сбор статистики
§  Remote Virtual Leaf (план)
Application Virtual Switch (AVS)
Возможности по интеграции

Особенности режимов работы
Гипервизор
VM VM
EPG App
No Local Switching Mode
VM VM
EPG Web
Весь трафик через Leaf
Гипервизор
VM VM
EPG App
Local Switching Mode
VM VM
EPG Web
Inter-EPG трафик через Leaf
No Local Switching Mode
• Все политики на Leaf коммутаторе
• Только VXLAN
• “FEX Enable Mode”
Local Switching Mode (рекомендуется)
• Внутри EPG коммутация локальна
• Поддерживает VLAN и VXLAN
• “FEX Disable Mode”

APIC Admin
VI/Server Admin Instantiate VMs,
Assign to Port Groups
L/B
EPG
APP
EPG
DB
F/W
EPG
WEB
WebWebWeb App
vCenter
Server
8
5
1
9
ACI
Fabric
Automatically Map
EPG To Port Groups
Push Policy
Create AVS
VDS
2
Cisco APIC and VMware
vCenter Initial
Handshake
6
DB DB
7
Create Port
Groups
Интеграция ACI и VMware vCenter: AVS
1
APIC
3
Attach Hypervisor
to VDS
4
Learn location of ESX
Host through OpFlex
OpFlex Agent OpFlex Agent

Микросегментация на базе ACI
EPG классификация при помощи атрибутов VM
•  End Point Group (EPG) могут использовать
несколько методов для классификации
•  VM Port Group – это самый простой
механизм классификации ВМ
•  Атрибуты ВМ так же могут использоваться
для классификации EPG
•  Используется ACI релиз 11.1 с AVS
(первоначальная доступность)
•  Поддержка коммутаторов в
гипервизорах VMware vDS, Microsoft
vSwitch, OVS (планируется)
Атрибуты ВМ
Guest OS
VM Name
VM (id)
VNIC (id)
Hypervisor
DVS port-group
DVS
Datacenter
Custom Attribute
MAC Address
IP Address
vCenterVMAttributes
VMTraffic
Attributes

Распределенный межсетевой экран на базе ACI
Provider
B
Consumer
A
Src class Src port Dest Class Dest port Flag Action
A * B 80 * Allow
B 80 A * ACK Allow
•  Создание новой записи внутри «flow table»
•  Передача пакета на leaf коммутатор
Коммутатор Leaf
реализует
stateless policy
Аппаратная
политика разрешает
передачу пакета
При получении пакета
TCP SYN создается
новая запись
Пакет
передается VM
•  Получен пакет от VM
•  Поиск внутри «flow table»
VLAN Proto Src ip Src port Dst IP Dst port
A tcp IP_A 1234 IP_B 80
A tcp IP_B 80 IP_A 1234
VLAN Proto Src ip Src port Dst IP Dst port
B tcp IP_A 1234 IP_B 80
B tcp IP_B 80 IP_A 1234
Если уже есть запись
то пакет передается на
коммутатор Leaf
Применение
политики на Leaf
Отслеживание
состояния на AVS
Ответ от VM
Поиск в таблице
Reflexive policy на
коммутаторе разрешает
передачу обратного
пакета
AVS AVS

Интеграция решений Microsoft и ACI
Два режима интеграции
•  Управление политиками: посредством
APIC
•  Software / License: Windows Server с
HyperV, SCVMM
•  Обнаружение виртуальных машин:
OpFlex
•  Инкапсуляция: VLAN, NVGRE (План)
•  Установка plugin-а: в ручную
Интеграция с SCVMM
APIC
Интеграция с Azure Pack
APIC
•  Расширение возможностей SCVMM
•  Управление политиками: посредством
APIC или через Azure Pack
•  Software / License: Windows Server с
HyperV, SCVMM, Azure Pack
(бесплатно)
•  Обнаружение виртуальных машин:
OpFlex
•  Инкапсуляция: VLAN, NVGRE (План)
•  Установка plugin-а: интегрирована
+

Opflex – открытое управление элементами фабрики ACI
ПРОТОКОЛ OPFLEX + ЭКОСИСТЕМА
OPEN SOURCE
Открытый код, доступный всем
ЭКОСИСТЕМА
Широкая и постоянно расширяющаяся
поддержка производителей включая
гипервизоры, сетевые устройства L4-7
СТАНДАРТ
Стандартизация Opflex в IETF
APIC
OPFLEX
ЗАЩИТА ИНВЕСТИЦИИ ЗА СЧЕТ ВОЗМОЖНОСТИ ЛЮБОМУ УСТРОЙСТВУ
ИНТЕГРИРОВАТЬСЯ В ФАБРИКУ CISCO ACI
L4-7 DEVICE
КОММУТАТОР
ГИПЕРВИЗОРА

APIC
OpFlex: открытый, расширяемый протокол
OPFLEX
ОБЕСПЕЧИВАЕТ:
Политики:
•  Кто и с кем может
говорить
•  О чем?
•  Ops requirements
Абстракцию политик вместо
device-specific конфигурации1.
Гибкость и расширяемость с
использованием XML / JSON2.
Поддержку любых устройств, включая
виртуальные коммутаторы, физические
коммутаторы, МСЭ, обеспечивая
совместимость между продуктами
различных производителей
3.
Открытый и стандартизированный API с
реализации в open source4.
OPFLEX
PROXY
OPFLEX
AGENT
OPFLEX
AGENT
OPFLEX
AGENT
HYPERVISOR
SWITCH ADCFIREWALL

Сетевое устройство
интерпретирует политику и
отображает ее на
возможности оборудования
Как работает OpFlex
POLICYAPIC
Владелец политик, например
APIC, создает логическую
модель желаемого состояния
политики (logical model of
desired state)
HARDWARE
PORTS, VLANS,
INTERFACES
SUBSET OF
POLICY
4
IMPLICIT
RENDER
POLICY
UPDATE
POLICY
RESOLUTION
32
1

APIC Admin
SCVMM Admin Instantiate VMs,
Assign to VM Networks
L/B
EPG
APP
EPG
DB
F/W
EPG
WEB
MSFT SCVMM
8
5
1
9
ACI
Fabric
Automatically Map
EPG To VM Networks
Push Policy
Create Virtual
Switch
2
Cisco APIC and MSFT
SCVMM Initial
Handshake
6
Интеграция MSFT SCVMM и ACI
APIC
3 Attach Hypervisor
to Virtual Switch
4
Learn location of HyperV
Host through OpFlex
OpFlex Agent
HYPER-V VIRTUAL SWITCH
7
Create VM
Networks
OpFlex Agent
WEB VM NETWORK APP VM NETWORK DB VM NETWORK
Web Web AppApp DB
24

концептуально ничем не
отличается от интеграции с
vCenter от VMware.
APIC получает всю информацию о
виртуальных машинах с Hyper-V
хостов, зарегистрированных на
APIC при помощи протокола Opflex
APIC создает виртуальные сети
внутри SCVMM когда VMM domain
подключается к EPG

2 виртуальных машины в одном EPG
Виртуальные машины на гипервизорах ESXi и Hyper-V:

Интеграция Microsoft Azure Pack и ACI
2
§  Для этого режима интеграции с
Microsoft требуется:
Windows Server 2012
Systems Center 2012 R2 с SPF
Windows Azure Pack
§  Azure Pack обеспечивает
централизованное определение, настройку
и управление облачными сервисами
§  Состоит из портала администратора
(Admin) и портала самообслуживания
(Tenant)
§  Cisco ACI Service Plugin использует APIC
REST API
R2 w/ Service Provider
Foundation
Web
Sites
Service
Plans
Users
Порта
админа
Портал
пользователя
Web Sites
Apps
Database
VMs
ACI
Service Provider Пользователь
VMs SQL
Service
Bus …

APIC Admin
(Basic Infrastructure)
Azure Pack Tenant Admin
3
6
ACI
Fabric
Push Network
Profiles to APIC
Pull Policy on leaf
where EP attaches
Indicate EP Attach to attached leaf
when VM starts (via OpFlex)
1
2
HYPERVISOR HYPERVISOR HYPERVISOR
Интеграция Azure Pack и ACI
APIC
Get VLANs allocated
for each EPG
Create Application
Policy
7
Azure Pack SPF
SCVMM PluginAPIC Plugin
OpFlex Agent OpFlex Agent OpFlex Agent
Instantiate VMs
5
1
4
Create VM Networks
4
Web WebWebWeb AppApp DB DB 28

Отображение объектов ACI и WAP
Cisco ACI Microsoft Windows Azure Pack
Tenant Subscriber ID
EPG VM Network
Contract Firewall

Сценарии использования ACI и Azure Pack
Разделяемый балансировщик нагрузки между WAP контейнерами (tenants)
Разделяемый
балансировщик
нагрузки
Tenant 1
EPG1 Application Servers
VIP1 для EPG1
Tenant 2
EPG 2 Application Servers
VIP2 для EPG2
•  Разделяемый балансировщик нагрузки размемещается в ACI Tenant Common
•  Интеграция при помощи device package
•  Поддерживаемые устройства: F5 и Citrix

Разделяемые сервисы между WAP контейнерами (tenants)
Tenant 1
Провайдер •  Интеграция поддерживает
концепцию разделяемых
между ACI-тенантами
сервисов
•  Один из тенантов может быть
наделен правом публиковать
разделяемые сервисы
•  Другие тенанты могу быть
наделены правами
потреблять сервисы
•  Для работы сценария
требуется использование
правильной схемы адресации
•  Централизованное
управление
•  Пространства адресов,
которые не пересекаются
Tenant 2
Tenant 3
Tenant 4
Потребитель
FTP
DB
NFS

Портал администратора: разделяемый балансировщик и сервисы
F5 или Citrix
являющиеся
частью ACI
фабрики
Разделяемые
сервисы

Портал пользователя: управление интеграционными возможностями
Вычислительные
и сетевые
ресурсы, к
которым есть
доступ
Application Network Profile создается средствами
Azure Pack, и настраивается на APIC при
помощи REST API
Доступные
пользователю
ACI объекты

Два варианта использования OpenStack API
NEUTRON ROUTER
SECURITY
GROUP
NEUTRON NETWORK
Neutron API Group Policy API
NEUTRON
NETWORK
Port
Port
Tenant Tenant
Используется существующий
Neutron API с контроллером APIC и
Cisco ACI фабрикой
Contract
GROUP
SERVICE
CHAIN
GROUP
Конструкция Group Policy
предлагает новый API который
напрямую использует модель
политик ACI (Juno Release)

APIC драйвер
отображает:
•  Network -> EPG
•  Router -> Context
OpenStack APIC Plugin – neutron (Фаза № 1)
APIC
APIC Plugin
APIC
Driver
OVS Driver
Neutron
Networking
Host 1
OVS
Network B
V(X)LAN
101
10.0.1.0/24
Network A
V(X)LAN
100
10.0.0.0/24
IPTables
Host 2
OVS
Network C
V(X)LAN
102
10.0.2.0/24
Network A
V(X)LAN
100
10.0.0.0/24
IPTables
Host 3
OVS
Network B
V(X)LAN
101
10.0.1.0/24
Network A
V(X)LAN
100
10.0.0.0/24
IPTables
Host 4
OVS
Network C
V(X)LAN
102
10.0.2.0/24
Network A
V(X)LAN
100
10.0.0.0/24
IPTables
IP tables для
контроля
безопасности
ACI фабрика
обеспечивает
распределенный
L2 и L3 (без L3
агента). Туннели
терминируются на
ToR
коммутаторах.
OVS терминирует
VLAN / VXLAN
теги для каждой
сети
OVS драйвер
выбирает VLAN /
VXLAN тег для
каждой сети и
настраивает OVS
APIC REST API

APIC Admin
(Performs Steps 3)
OpenStack Tenant
(Performs Steps 1,4) Instantiate VMs
Web WebWebWeb AppApp4
3
5
ACI
Fabric
Automatically Push
Network Profiles to
APIC
Push Policy
Create Network, Subnet,
Security Groups, Policy
NETWORK SUBNET SECURITY
1
2
DB DB
NOVANEUTRON
OPEN VIRTUAL SWITCH OPEN VIRTUAL SWITCH OPEN VIRTUAL SWITCH
APIC
37
Интеграция OpenStack и APIC (Фаза № 1)
37

APIC Plugin: отображение сущностей Neutron и APIC (Фаза № 1)
Объект Neutron Объект APIC
Project Tenant
Network EPG
Subnet Subnet
Security Group + Rule N / A (handled by host)
Router Context
Network:external Outside

§  100% open source, проект по
лицензии Apache для
OpenStack
§  Интерфейс для описания
желаемого состояния
приложения
§  Создан сообществом
разработчиков нескольких
компаний
Представляем Group-Based Policy
Policy Rules Set
Web
Group
Classifier Action
FIREWALL
DB
Group
Classifier Action
Service
Chain
Модель групповых политик

Что было улучшено при помощи GBP?
§  Определение сервисной
цепочки по которым данные
должны передаваться между
компонентами приложения
Поддержка сетевых
сервисов
§  Само-документирование
взаимосвязей между
различными
компонентами
Возможность
определить
взаимосвязи
Сервис
A
Сервис
C
Сервис A потребляет
ресурсы сервисов B и C
Сервис B
Сервис
A
Сервис
C
МЕЖСЕТЕВОЙ
ЭКРАН
§  Разделение API на низко и
высоко уровневые
§  Две зоны ответственности:
tenant admin и operator
Разделение зон
ответственности
Сервис
A
Сервис
C
Абстракция при помощи API
Низкоуровневые API
Operator /
Admin
OpenStack
Tenant

Neutron Driver -
отображает GBP на
существующие Neutron
API и обеспечивает
совместимость с любым
Neutron Plugin
Native Driver –
существует для
OpenDaylight а так же
различных
производителей (Cisco,
Nuage Networks и One
Convergence)
OpenStack GBP обзор
Group Policy
CLI Horizon Heat
Neutron Driver
Neutron
Любой существующий
плагин и ML2 драйвер
Открытая модель, обеспечивающая
совместимость с физической и виртуальной
инфраструктурой
Native Driver
1
1
2
2
Архитектура на основе драйверов

Модель Group-Based Policy
Policy Group: набор виртуальных машин с
одинаковыми характеристиками. Например,
компоненты приложения (application tier).
Policy RuleSet: Набор из Classifier / Actions
описывающих взаимодействие между Policy
Group.
Policy Classifier: фильтр для трафика,
включает протокол, порт и направление
передачи.
Policy Action: описывает набор действий, в
случае если трафик отвечает условиям
классификации, например трафик
передается дальше без доп. действий “allow”
или перенаправляется на сервисное
устройство “redirect”
Service Chain: упорядоченный набор
сервисных устройств через которые
передается трафик
L2 Policy: определяет границы домена
коммутации. Опциональное включение
режима «broadcast»
L3 Policy: изолированное адресное
пространство, содержащее L2 Policies /
Подсети
L3 Policy
Policy
Rule Set
Policy Rule
Policy Rule
Service Chain
Classifier Action
Classifier Action
L2 Policy
Policy
Group
Policy Target
Policy Target
Policy Target
Policy
Group
Policy Target
Policy Target
Policy Target
L2 Policy
provide consume
Node Node

APIC драйвер создает
сетевой профиль
OpenStack APIC Plugin – group Policy (Фаза № 2)
APIC
Host 1
OVS
Network B
V(X)LAN
101
10.0.1.0/24
Network A
V(X)LAN
100
10.0.0.0/24
IPTables
Host 2
OVS
Network C
V(X)LAN
102
10.0.2.0/24
Network A
V(X)LAN
100
10.0.0.0/24
IPTables
Host 3
OVS
Network B
V(X)LAN
101
10.0.1.0/24
Network A
V(X)LAN
100
10.0.0.0/24
IPTables
Host 4
OVS
Network C
V(X)LAN
102
10.0.2.0/24
Network A
V(X)LAN
100
10.0.0.0/24
IPTables
IP tables для контроля
безопасности
ACI фабрика
обеспечивает
распределенный
L2 и L3 (без L3
агента). Туннели
терминируются на
ToR
коммутаторах.
OVS терминирует
VLAN / VXLAN теги
для каждой сети
OVS драйвер
выбирает VLAN /
VXLAN тег для
каждой сети и
настраивает OVS
Group Policy Extensions
OVS Driver
Neutron
Networking
APIC Group Driver
Group Policy extension
расширяет существующий
neutron APIs
APIC REST API

Group Based Policy Workflow
2
ACI Admin
(manages physical
network, monitors tenant
state)
L/B
EPG
APP
EPG DB
F/W
L/B
EPG
WEB
3
5
ACI
Fabric
Push Policy
APIC
OpenStack Tenant
(Performs step 1,4) Instantiate VMs
Web WebWebWeb AppApp4
Create Application Network Profile
1
DB DB
NOVANEUTRON
Automatically Push
Network Profiles to
APIC
L/B
EPG
APP
EPG DB
F/W
L/B
EPG
WEB
Интеграция OpenStack и APIC (Фаза № 2)

§  Семинар 24 июня в рамках Cisco Expo
Learning Club
§  http://ciscoclub.ru/events/grid/24/all/all
Детали по интеграции с OpenStack

SECURITY
Trusted
Zone
DB
Tier
DMZ
External
Zone
APP DBWEB
EXTERNAL
ACI
Policy
ACI
Policy
ACI
Policy
Вариант № 1: поддержка контейнеров в решении ACI на базе модели
политик и протокола OpFlex на коммутаторе OVS (план)
! ! !
FW
ADC
Virtual Machines Docker Containers Bare-Metal Server
HYPERVISORHYPERVISORHYPERVISOR
ACI Virtual Leaf: OpFlex + OVS

ACI Fabric
EPG
A
EPG
B
EPG = VLAN
ACI Contract 1)  Load the ACI Toolkit on your machine (documentation is at
http://datacenter.github.io/acitoolkit/docsbuild/html/genindex.html)
2)  Run the Toolkit to automate the following:
1)  Create the ACI constructs:
Tenant, BD, context, Application Network Profile, EPG, Contract
2) Attach physical interfaces to EPG(s)
3) Create a VLAN interface:
4) Attach the logical interface (VLAN) to the Physical Interface
5) Attach the EPG to the logical interface
Вариант № 2: поддержка контейнеров при помощи конструкции MACVLAN на
Linux

ACI Fabric
! !! ! ! !! ! ! ! !
20 20 3030
EPG
A
EPG
B
EPG = VLAN
ACI Contract
3)  Example with LXC
# Show the EPGs on the APIC
aci-show-epgs.py
# Create the container
lxc-create --template ubuntu --name container_name
# Attach the container to the EPG
aci-attach-epg.py --container container_name --epg epg_name
# Start the container
lxc-start --name container_name
4)  Example with Docker
“docker run” with “macvlan” network type
•  allows to map the docker container (MAC) to a VLAN by the “fire up” of
the Docker container
•  VLAN got previously mapped to EPG via interface (physical or trunk)
•  Connectivity is done without “virtual switching” which increases
performance
•  cross-server / cross-racks policy consistency granted via ACI.
•  P.S.: you may consider to previously run a network type “empty” to remove the masquerade
rule and not have the default docker0 associated with br0 linux bridge
Вариант № 2: поддержка контейнеров при помощи конструкции MACVLAN на
Linux

4 разных типа интерфейсов в одном EPG
§  ESX – распределенный коммутатор
VMware (VLAN)
§  ESX – коммутатор AVS от Cisco ( VXLAN)
§  Hyper-V – коммутатор от Microsoft
(VLAN)
§  Порт физического сервера (VLAN)

Интеграция ACI с виртуальными средами

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Интеграция ACI с виртуальными средами

Similar to Интеграция ACI с виртуальными средами (20)

More from Cisco Russia

More from Cisco Russia (20)

Интеграция ACI с виртуальными средами