Модель политики Cisco ACI Запись вебинара можно найти по ссылке: http://ciscoclub.ru/tektorial-po-cod-cisco-aci-arhitektura-preimushchestva-praktika-proektirovaniya-i-vnedreniya

1. Модель политики Cisco ACI
Максим Хаванкин
системный архитектор, CCIE
mkhavank@cisco.com
18 июня, 2015

2. 2© 2014–2015 Cisco and/or its affiliates. All rights reserved.
Что представляет собой ACI?
ACI фабрика
Неблокируемая фабрика на базе оверлеев
App DBWeb
Внешняя сеть
передачи
данных
(Tenant VRF)
QoS
Filter
QoSQoS
Filter
Application Policy
Infrastructure Controller
APIC
1. Профиль
приложения
2. Кластер
контроллеров
3. Cеть на базе
Nexus 9000
Service
Filter
ServiceСеть ЦОД на базе коммутаторов
Nexus 9000 с централизованным
управлением при помощи
контроллера на основе политик

3. 3© 2014–2015 Cisco and/or its affiliates. All rights reserved.
§ Требования приложения к сети ЦОД
§ Определение приложения при помощи ACI
§ Tenant
§ Private network
§ Bridge domain
§ EPG
§ Подсети
§ Сетевой профиль приложения (ANP)
§ Реализация политик на уровне фабрики
Содержание

4. 4© 2014–2015 Cisco and/or its affiliates. All rights reserved.

5. 5© 2014–2015 Cisco and/or its affiliates. All rights reserved.
приложение
Приложение это больше чем
одна виртуальная машина
Набор взаимосвязанных
компонент
VM
VM
…
web
VM
VM
…
app
VM
VM
…
db
Internet
Внутренняя
сеть
(мониторинг,
управление)
Каким образом
описать/формализовать/определить
сетевые требования приложения?
?
Что приложению требуется от сети?

6. 6© 2014–2015 Cisco and/or its affiliates. All rights reserved.

7. 7© 2014–2015 Cisco and/or its affiliates. All rights reserved.
Определяем приложение
§ Приложение – это конструкция которую
необходимо определить
§ Приложение это набор порт-групп и
политик, которые их объединяют
§ Каждая порт-группа это набор серверов
§ Каждая политика это связь в терминах
§ протокол
§ порт
§ сервисный граф
§ роль потребитель или/и поставщик
EPG
Policy A
Policy B
Policy C

8. 8© 2014–2015 Cisco and/or its affiliates. All rights reserved.
Логическая модель: tenant, как контейнер для хранения
сетевых свойств приложений
Tenant: Организация «А», подразделение организации «Б», комплекс приложений «С» и т.д.

9. 9© 2014–2015 Cisco and/or its affiliates. All rights reserved.
Логическая модель: private network, как набор изолированных
сетевых сегментов, или VRF
Tenant: Организация «А», подразделение организации «Б», комплекс приложений «С» и т.д.
VRF: 01

10. 10© 2014–2015 Cisco and/or its affiliates. All rights reserved.
Bridge Domain - логическая конструкция
представляющая L2-сегмент передачи
данных внутри фабрики
Один или несколько EPG могут быть
ассоциированы с одним BD
Можно «превратить» в аналог VLAN:
1. Влючить flood для L2 unknown unicast
2. Включить ARP Flooding
Новая концепция: Bridge Domain

11. 11© 2014–2015 Cisco and/or its affiliates. All rights reserved.
Логическая модель: bridge domain логическая конструкция
обозначающая границы L2-сегмента
Bridge Domain: ESXi
Tenant: Организация «А», подразделение организации «Б», комплекс приложений «С» и т.д.
VRF: 01

12. 12© 2014–2015 Cisco and/or its affiliates. All rights reserved.
Bridge Domain может обеспечить подключение ко внешнему
L2-сегменту
Bridge Domain: ESXi
Tenant: Организация «А», подразделение организации «Б», комплекс приложений «С» и т.д.
VRF: 01
Node-101/eth1/1 Node-102/eth1/1
Outside
EPG: L2-Outside-ACI
Security Zone

13. 13© 2014–2015 Cisco and/or its affiliates. All rights reserved.
L3 подключение ко внешнему миру происходит на уровне
VRF
Bridge Domain: ESXi
Tenant: Организация «А», подразделение организации «Б», комплекс приложений «С» и т.д.
VRF: 01
Node-101/eth1/1 Node-102/eth1/1
Outside
EPG: L3-Outside-ACI
Security Zone

14. 14© 2014–2015 Cisco and/or its affiliates. All rights reserved.
Новая концепция: EndPoint Group (EPG)
• EPG – это группа приложений или компонент приложений, которые не зависят от сетевых
конструкций
HTTPS Service
HTTPS Service
HTTPS Service
HTTPS Service
HTTP Service
HTTP Service
HTTP Service
HTTP Service
Endpoint Group

15. 15© 2014–2015 Cisco and/or its affiliates. All rights reserved.
Логическая модель: различные методы определения EPG
Ø Интерфейс, при помощи которого конечное устройство
подключается к сети
Ø Имеет адрес (identity), местоположения, атрибуты (version, patch
level)
Ø Может быть физическим или виртуальным
• Примеры:
• End Point Group (EPG) определяются при помощи:
• Физический портв (leaf или FEX)
• Логический порт (VM port group)
• VLAN ID
• VXLAN (VNID)
• IP адрес (применимо ко внешним подключениям external/border leaf)
• IP Prefix/Subnet (применимо ко внешним подключениям external/border leaf)
• NVGRE (VSID) (план)
• Атрибуты виртуальных машин (план)
• Порты 4-го уровня модели OSI (план)
Сервер
Виртуальные машины
или контейнеры
СХД
Клинты

16. 16© 2014–2015 Cisco and/or its affiliates. All rights reserved.
Логическая модель: подсети
• EPG отделяют адресацию, которую использует приложение, от политик, которые
применяются в сети
• EPG могут находится в разных сетевых сегментах
HTTPS Service
HTTPS Service
HTTPS Service
HTTPS Service
HTTP Service
HTTP Service
HTTP Service
HTTP Service
Endpoint Group A
Политики и
правила
безопасности
применяются
на уровне EPG
192.168.10.x
192.168.20.x

17. 17© 2014–2015 Cisco and/or its affiliates. All rights reserved.
Знакомая концепция: подсети – primary/secondary IP
адреса на SVI-интерфейсах
Bridge Domain: ESXi
Tenant: Организация «А», подразделение организации «Б», комплекс приложений «С» и т.д.
VRF: 01
Secondary
192.168.20.x/24
Primary
192.168.10.x/24

18. 18© 2014–2015 Cisco and/or its affiliates. All rights reserved.
Новая концепция: профиль приложения
• Сетевой профиль приложения представляет собой набор EPG и политик, которые
определяют правила взаимоотношений между группами
Inbound/Outbound политики
Сетевой Профиль Приложения
Inbound/Outbound политики
EPG A
Service A
Service A
Service A
Service A
Service B
Service B
Service B
Service B
EPG B
Service C
Service C
Service C
Service C
Service C Service C
EPG C
Service D
Service E
Service D
Service E

19. 19© 2014–2015 Cisco and/or its affiliates. All rights reserved.
Сетевой профиль ANP содержит один или несколько
EPG
Bridge Domain: ESXi
Tenant: Организация «А», подразделение организации «Б», комплекс приложений «С» и т.д.
VRF: 01
vPC_to_UCS_a
vlan-10
vPC_to_UCS_b
vlan-10
EPG: Host-Mgmt
Security Zone
vPC_to_UCS_a
vlan-20
vPC_to_UCS_b
vlan-20
EPG: vMotion
Security Zone
ANP: ESXi-Hosts Нет контрактов = нет передачи данных
vPC_to_UCS_a
vlan-30
vPC_to_UCS_b
vlan-30
EPG: vmk-storage
Security Zone
Secondary
192.168.20.x/24
Primary
192.168.10.x/24

20. 20© 2014–2015 Cisco and/or its affiliates. All rights reserved.
Логическая модель: контракт
EPG-WEB
EP 1
EP 2
EPG-APP
EP 1
EP 2
EPG-DB
EP 1
EP 2
Контракт Контракт
Сетевой профиль приложения

21. 21© 2014–2015 Cisco and/or its affiliates. All rights reserved.
Контракт: filter, action, label
Subject
-­‐
это
комбинация
следующих
действий-­‐
filter,
acDon*и
label*
Контракты
определяют
правила
взаимодействия
между
EPG
Filter | Action | LabelSubject
TCP Port 80
Фильтр
Permit
Действие
Web Access
Метка
Контракт
1
Subject 1
Subject 2
Subject 3
*roadmap

22. 22© 2014–2015 Cisco and/or its affiliates. All rights reserved.
Контракты необходимы для передачи данных между EPG
Bridge Domain: ESXi
Tenant: Организация «А», подразделение организации «Б», комплекс приложений «С» и т.д.
VRF: 01
vPC_to_UCS_a
vlan-30
vPC_to_UCS_b
vlan-30
EPG: vmk-storage
vPC Node104_105/1/50
vlan-40
EPG: Shared-storage
Контакт = передача данныхANP: ESXi-Hosts
vPC_to_UCS_a
vlan-10
vPC_to_UCS_b
vlan-10
EPG: Host-Mgmt
192.168.10.13192.168.20.10 192.168.10.12
Secondary
192.168.20.x/24
Primary
192.168.10.x/24
192.168.10.11 192.168.10.10
Нет контрактов = нет передачи данных

23. 23© 2014–2015 Cisco and/or its affiliates. All rights reserved.
VM
VM
…
VM
VM
…
VM
VM
…
web app db
application
Внешние
сети
Набор конечных объектов,
которые подключаются к сети
… вирт. машины, физические
хосты, …
Уровни приложений
End Point Group
или VMware Port Group
Набор правил по которым
компоненты приложения
взаимодействуют друг с другом
Контакты
Правила доступа
QoS
Сетевые сервисы
Правила по которым
приложение взаимодействует
со внешними частными и
публичными сетями
Сетевой профиль
Ориентированные на приложения политики
Сеть à Виртуальная Коммутационная Панель
ACI – Сетевой профиль приложения

24. 24© 2014–2015 Cisco and/or its affiliates. All rights reserved.
Логическая модель: сетевые конструкции
rootuni
Арендатор A Арендатор B
L3 сегмент A L3 сегмент B L3 сегмент A
Bridge Domain
Подсеть A
Bridge Domain
Подсеть B
Подсеть C
Bridge Domain
Подсеть A
Bridge Domain
Подсеть D
Private-L3 and subnets are independent between tenants

25. 25© 2014–2015 Cisco and/or its affiliates. All rights reserved.
Логическая модель: картина целиком
Outside
(внешняя
сеть)
App.
profile
(профиль)
Контекст
(VRF)
Контракт Фильтр
EPG Subject
Bridge
Domain
Subnet
(подсеть)
Tenant (Арендатор)
1 1 1 1 1 1
n n n n n n
n n n
1 11 1 1 1
nn

26. 26© 2014–2015 Cisco and/or its affiliates. All rights reserved.
Tenant: Логический контейнер для размещения политик
приложений. Этот контейнер может быть выделен
отдельному арендатору, организации или приложению.
Private network: набор изолированных сетевых
сегментов, аналог VRF
Subnet: IP подсеть, в которой размещается нагрузка
Пример № 1: 2-уровневое приложение
Tenant_001
Private network VRF1
BridgeDomainBD1
Subnet
10.1.1.254/24
Bridge Domain: Логическая конструкция представляющая
L2-сегмент передачи данных внутри фабрики. Один или
несколько EPG могут быть ассоциированы с одним BD.
Application Profile: профиль приложения моделирует
требования приложения к сети и включает в себя
необходимое количество EPG.
Контракт
EPG
Front end
EPG
Back-endEnd Point Group (EPG): EPG это набор физических или
виртуальных объектов, для которых должны быть
обеспечены одинаковые политики и сервисы при
подключении к сети.
Контракты: регламентирует правила передачи данных
между EPG при помощи механизмов фильтрации,
обеспечения качества обслуживания и перенаправления
трафика на внешние сервисные устройства, такие как МСЭ
и т.д.
VRF2
BridgeDomainBD3
ANP 2-tier App
BD2
Subnet
20.2.2.254/24

27. 27© 2014–2015 Cisco and/or its affiliates. All rights reserved.
Пример № 2: Microsoft Exchange
EPG
CAS
EPG
Mail_Box
EPG
AD
EPG
Outside
Сервисное
устройство SLB

28. 28© 2014–2015 Cisco and/or its affiliates. All rights reserved.
Контракт
Контракт
Пример № 2: Microsoft Exchange
EPG
Mail_Box
EPG
AD
EPG
Outside
EPG
CAS
Контракт
Контракт
SLB
Service Graph Template

29. 29© 2014–2015 Cisco and/or its affiliates. All rights reserved.
Логическая модель определяет политику подключения
NXOS: VXLAN, VRFs, etc…
Concrete Model
порты, карты,
интерфейсы,
VLAN-ы, узлы
Логическая модель
Конфигурация ориентированная на
приложение, целевая группа политики,
правила
(subset)
Logical
Model
Часть
логической
модели
Преобразование
(implicit render) Применение
Обновление политики
Animation Complete*
Обратная
связь
Программный коммутатор
Сетевое
устройство

30. 30© 2014–2015 Cisco and/or its affiliates. All rights reserved.
Пример № 2: рендеринг политики для Microsoft Exchange
ACI фабрика
Неблокируемая фабрика на базе оверлеев
Application Policy
Infrastructure Controller
APIC
Виртуальные и физические
порты фабрики
настраиваются
автоматически согласно
ANP
Устройство балансировки
нагрузки настраивается
автоматически

31. 31© 2014–2015 Cisco and/or its affiliates. All rights reserved.

32. 32© 2014–2015 Cisco and/or its affiliates. All rights reserved.
APIC
OpFlex: открытый, расширяемый протокол
OPFLEX
ОБЕСПЕЧИВАЕТ:
Политики:
• Кто и с кем может
говорить
• О чем?
• Ops requirements
Абстракцию политик вместо
device-specific конфигурации1.
Гибкость и расширяемость с
использованием XML / JSON2.
Поддержку любых устройств, включая
виртуальные коммутаторы, физические
коммутаторы, МСЭ, обеспечивая
совместимость между продуктами
различных производителей
3.
Открытый и стандартизированный API с
реализации в open source4.
OPFLEX
PROXY
OPFLEX
AGENT
OPFLEX
AGENT
OPFLEX
AGENT
HYPERVISOR
SWITCH ADCFIREWALL

33. 33© 2014–2015 Cisco and/or its affiliates. All rights reserved.
ACI фабрика
IP сеть с интегрированным оверлеями
• ACI фабрика базируется на IP фабрике, обеспечивающей маршрутизацию во внешние сети
и интегрированных оверлеях для маршрутизации/коммутации между хостами фабрики
‒ весь трафик между конечными хостами внутри фабрики передается при помощи оверлеев
• Почему интегрированные оверлеи?
‒ Мобильность, масштабируемость, поддержка multi-tenancy и интеграция с гипервизорами
‒ Вместе с трафиком данных можно передавать мета-данных необходимые для реализации
распределенных политик
IP фабрика с
оверлеямиКаждому узлу
назначается IP
loopback, который
анонсируется IS-IS
IP un-numbered
40 Gb линки
APIC

34. 34© 2014–2015 Cisco and/or its affiliates. All rights reserved.
ACI Фабрика
Распределенный контроль за выполнением политик
Tenant
VRF - Context
VRF - Context
Bridge Domain
Bridge Domain
Bridge Domain
EPGEPG
EPGEPG
EPGEPG
EPG
M/LB/SPFlags
Flags/
DRE
VNIDSource Group == EPG
DRE
MCAST
LB DL E SP DP
SP: Indicates Source Policy has been applied
DP: Indicates Destination Policy has been applied
• ACI фабрика использует ориентированную
на приложения модель политик
• Поле VXLAN Source Group используется как
тег/метка для идентификации конкретного
конечного объекта (ВМ/физ. порт)
принадлежащего определенному EPG
• Политика применяется в направлении от
source application tier (EPG) в сторону egress/
destination application tier (EPG)
• Политика может применяться на источнике
или получателе

35. 35© 2014–2015 Cisco and/or its affiliates. All rights reserved.
vSwitch (VMWare) vSwitch (MSFT)
vSwitch инкапсулирует пакеты,
ассоциированные с EPG при
помощи назначенного VLAN/
VXLAN/NVGRE идентификатора
2
Если коммутатору Leaf известен
исходящий EPG который ассоциирован
с узлом назначения, то он реализует
политику устанавливая в
соответствующее значение бит в
заголовке eVXLAN, показывающий, что
входящая политика была применена к
пакету
4
На основе классификации
коммутатор Leaf формирует
значение поля Source Group в
eVXLAN заголовке
3
PayloadIPNVGREGRE IP
Коммутатор Leaf пересылает
пакет vSwitch-у или
подключенному напрямую
физическому серверу.
7
Пакет идентифицируется как
принадлежащий определенной end point
group (EPG) на основе входящей
классификации (port group, физический
порт, IP адрес, VLAN)
1
PayloadVNIDFlagsaVTEP
SRC
Group
Если политика приложения требует передачу пакета через сервисное устройство
или цепочку таких устройств, то фабрика в качестве VTEP узла назначения
указывает адрес коммутатора, в которому подключено сервисное устройство
5
Исходящий Leaf коммутатор проверяет
был ли установлен policy флаг в
заголовке eVXLAN и если требуется
применяет политику
6
Реализация политик в ACI фабрике
PayloadVNIDFlagsaVTEP
SRC
Group

36. Спасибо.