Cisco ACI как универсальная сеть для облачной инфраструктуры

1. Cisco ACI как универсальная сеть для
облачной инфраструктуры
Скороходов Александр
Системный инженер-консультант
askorokh@cisco.com
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.

2. Облачная инфраструктура
Подключения
Оркестратор
Каталог сервисов
Портал
Вычис-
ления
Сеть
L4-L7
(FW,
IDS,
SLB…)
Хране-
ние
Управление
Облачное управление
Инфраструктура и её
контроллеры

3. ACI для «облака»
Ключевые аспекты
Поддержка средств облачной автоматизации/оркестрации
• Обеспечивает уровень абстракции инфраструктуры
• OpenStack, Cisco UCSD, Microsoft Azure Pack, VMWare vRealize…
Поддержка вычислительных нагрузок
• «Понимание» подключений
• Виртуальные машины на разных гипервизорах
• VMWare vSphere, MS Hyper-V, Linux KVM
• Невиртуализированные серверы
• Контейнеры
Сервисные элементы
• Организация сервисных цепочек и настройка элементов
• Средства безопасности (МСЭ, IPS, …) и балансировщики
• Виртуальные и физические
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.3

4. Интеграция ACI с системами виртуализации

5. Взаимодействие гипервизоров с ACI
Два режима работы
§ ACI фабрика используется как IP-
Ethernet транспорт
§ Инкапсуляция настраивается
руками
§ Разные домены политик для
физической и виртуальной среды
Неинтегрированный режим
VXLAN
10000
VLAN 10
§ ACI фабрика контролирует
подключение в виртуальной среде
§ Инкапсуляция нормализуется и
настраивается динамически
§ Единый домен управления для
физической и виртуальной среды
APP WEB DB
Интегрированный режим
DB

6. vCenter DVS SCVMM
§ APIC контроллер и Virtual
Machine Manager (VMM)
интегрируются друг с другом
§ Несколько VMM могут
подключаться к одной ACI
фабрике
§ Каждый VMM ассоциируется с
набором хостов: VMM домен
§ Отношение 1:1 между
виртуальным коммутатором и
VMM Domain-ом
VMM Domain 1
Взаимодействие гипервизоров с ACI
Концепция VMM Domain
vCenter AVS
VMM Domain 2 VMM Domain 3

7. Взаимодействие гипервизоров с ACI
Endpoint Discovery
ESXi с
DVS
APIC
VMM
Control
(vCenter API)
Передача
данных
§ Виртуальные машины обнаруживаются
двумя методами:
§ Control Plane Learning:
Out-of-Band Handshake: vCenter API
Inband Handshake: хосты с поддержкой
OpFlex (сегодня : AVS и Hyper-V)
§ Data Path Learning: выучивание
адресов на основе передавемых
данных
§ LLDP используется для
идентификации Virtual host ID (HV) и
физического порта, к которому
подключен гипервизор (для случаев
когда OpFlex не используется)
OpFlex Host
(ESXi с AVS или Hyper-V)
Control
(OpFlex)
Передача
данных

8. L/B
EPG
APP
EPG
DBF/W
EPG
WEB
Application Network Profile
VM VM VM
WEB PORT GROUP APP PORT GROUP DB PORT GROUP
Взаимодействие гипервизоров с ACI
Концепция VMM Domain
APIC
§ ACI фабрика использует EPG для
управления политиками
§ В виртуальной среде EPG может
представлять собой порт
виртуального коммутатора, к которому
подключен vNIC виртуальной машины
§ VMM применяет сетевую
конфигурацию сетевым интерфейсам
виртуальных машин с использованием
следующих объектов:
Port Groups (VMware)
VM Networks (Hyper-V)
Networks (OpenStack)

9. Взаимодействие гипервизоров с ACI
Нормализация инкапсуляции
VXLAN
VNID = 5789
VXLAN
VNID = 11348
NVGRE
VSID = 7456
Any to Any
802.1Q
VLAN 50
Нормализация
инкапсуляции
Локализация
инкапсуляции
IP фабрика
использует
GBP VXLAN тег
ДанныеIPGBP VXLANVTEP
• Весь трафик инкапсулируется при помощи extended VXLAN (eVXLAN)
заголовка
• Внешний тег VLAN, VXLAN, NVGRE* на входящем порту отображается во
внутренний eVXLAN тег
• Внешние идентификаторы локальны на уровне Leaf устройства или Leaf
порта
• Возможность переиспользования, если требуется
Данные
Данные
Данные
Данные
Данные
Eth
IP
VXLAN
Outer
IP
IPNVGRE
Outer
IP
IP802.1Q
Eth
IP
Eth
MAC
Нормализация входящей
инкапсуляции
APIC

10. Нормализация инкапусуляции и универальные политики
Пример: 4 разных типа подключений в одной EPG
• ESX – распределенный коммутатор
VMware (VLAN)
• ESX – коммутатор AVS от Cisco (VXLAN)
• Hyper-V – коммутатор от Microsoft
(VLAN)
• Порт физического сервера (VLAN)

11. EP
EP
EP
EP
EP
EP EP
EP
EP
EP
EP
EP
EP
EP
VMM Domain 1
4K EPGs
VMM Domain 2
4K EPGs
16M Virtual Networks § VLAN ID дает возможность
создать 4K уникальных
EPG (12 бит)
§ Масштабирование пулами
по 4K EPG
§ Выбор VMM домена для
EPG на основе требований
к миграции
§ Миграция (vMotion, Live
migration) внутри VMM
домена
Взаимодействие гипервизоров с ACI
VMM домены и VLAN инкапсуляция

12. Интеграция с VMware

13. Интеграция ACI и VMware vCenter
Три режима интеграции
+
Distributed Virtual Switch
(DVS)
vCenter + vShield Manager
Application Virtual Switch
(AVS)
• Инкапсуляция: VLAN
• Установка: Native
• Обнаружение VM:
LLDP
• Software/Licenses:
vCenter с лицензией
EnterprisePlu
• Инкапсуляция: VLAN,
VXLAN
• Установка: Native
• Обнаружение VM:
LLDP
• Software/Licenses:
vCenter с лицензией
EnterprisePlus, vShield
Manager с лицензией
vShield
• Инкапсуляция: VLAN,
VXLAN
• Установка: VIB при
помощи VUM или
консоли
• Обнаружение VM:
OpFlex
• Software/Licenses:
vCenter с лицензией
EnterprisePlus

14. Интеграция ACI и VMware vCenter
Определение EPG при помощи Port-Group
§ VM подключаются к порт-группа, определенным для каждой EPG
§ Трафик инкапсулируется при помощи VLAN или VXLAN
VXLAN
VNID = 5789
VXLAN
VNID = 11348
802.1Q
VLAN 50
PayloadIP
GBP
VXLAN
VTEP
VXLAN
Leaf
VTEP
802.1Q
vSwitch
WEB PORT
GROUP
APP PORT
GROUP
vSwitch
WEB PORT
GROUP
APP PORT
GROUP
802.1Q
VLAN 125
PayloadIP
PayloadIP
Port-group
создается для
каждой EPG
+( (

15. APIC Admin
VI/Server Admin Instantiate VMs,
Assign to Port Groups
L/B
EPG
APP
EPG DB
F/W
EPG
WEB
Application Network Profile
Create Application Policy
WebWebWeb App
HYPERVISOR HYPERVISOR
VIRTUAL DISTRIBUTED SWITCH
WEB PORT GROUP APP PORT GROUP DB PORT GROUP
vCenter
Server / vShield
8
5
1
9
ACI
Fabric
Automatically Map
EPG To Port Groups
Push Policy
Create VDS2
Cisco APIC and VMware
vCenter Initial
Handshake
6
DB DB
7
Create Port
Groups
Интеграция ACI и VMware vCenter: DVS
APIC
3
Attach Hypervisor
to VDS
4
Learn location of ESX
Host through LLDP

16. Southbound
OpFlex API
VMVM VM VM
VEM
vSphere
vCenter
§ OpFlex Control protocol
Протокол, контролирующий
состояние
Операции VM attach/detach,
уведомления о состоянии
канала
§ VEM как продолжение
фабрики
§ С релиза vSphere 5.0 и выше
§ BPDU Filter/BPDU Guard
§ SPAN/ERSPAN
§ Сбор статистики
§ Remote Virtual Leaf (план)
Application Virtual Switch (AVS)
Возможности по интеграции

17. APIC
OpFlex: открытый, расширяемый протокол
OPFLEX
ОБЕСПЕЧИВАЕТ:
Политики:
• Кто и с кем может
говорить
• О чем?
• Ops requirements
Абстракцию политик вместо
device-specific конфигурации1.
Гибкость и расширяемость с
использованием XML / JSON2.
Поддержку любых устройств, включая
виртуальные коммутаторы, физические
коммутаторы, МСЭ, обеспечивая
совместимость между продуктами
различных производителей
3.
Открытый и стандартизированный API с
реализации в open source4.
OPFLEX
PROXY
OPFLEX
AGENT
OPFLEX
AGENT
OPFLEX
AGENT
HYPERVISOR
SWITCH ADCFIREWALL

18. Application Virtual Switch (AVS)
Особенности режимов работы
Гипервизор
VM VM
EPG App
No Local Switching Mode
VM VM
EPG Web
Весь трафик через Leaf
Гипервизор
VM VM
EPG App
Local Switching Mode
VM VM
EPG Web
Inter-EPG трафик через Leaf
No Local Switching Mode
• Все политики на Leaf коммутаторе
• Только VXLAN
• “FEX Enable Mode”
Local Switching Mode (рекомендуется)
• Внутри EPG коммутация локальна
• Поддерживает VLAN и VXLAN
• “FEX Disable Mode”

19. APIC Admin
VI/Server Admin Instantiate VMs,
Assign to Port Groups
L/B
EPG
APP
EPG
DB
F/W
EPG
WEB
Application Network Profile
Create Application Policy
WebWebWeb App
HYPERVISOR HYPERVISOR
Application Virtual Switch (AVS)
WEB PORT GROUP APP PORT GROUP DB PORT GROUP
vCenter
Server
8
5
1
9
ACI
Fabric
Automatically Map
EPG To Port Groups
Push Policy
Create AVS
VDS
2
Cisco APIC and VMware
vCenter Initial
Handshake
6
DB DB
7
Create Port
Groups
Интеграция ACI и VMware vCenter: AVS
19
APIC
3
Attach Hypervisor
to VDS
4
Learn location of ESX
Host through OpFlex
OpFlex Agent OpFlex Agent

20. Микросегментация на базе ACI
EPG классификация при помощи атрибутов VM
• End Point Group (EPG) могут использовать
несколько методов для классификации
• VM Port Group – это самый простой
механизм классификации ВМ
• Атрибуты ВМ также могут использоваться
для классификации EPG
• Используется ACI релиз 1.1 с AVS
(первоначальная доступность)
• Поддержка коммутаторов в
гипервизорах VMware vDS, Microsoft
vSwitch, OVS (планируется)
Атрибуты ВМ
Guest OS
VM Name
VM (id)
VNIC (id)
Hypervisor
DVS port-group
DVS
Datacenter
Custom Attribute
MAC Address
IP Address
vCenterVMAttributes
VMTraffic
Attributes

21. AVS with ACI 11.1
EPG Classification via VM Attributes
vSwitch (AVS)
Port Group
EPG == VM
Attribute ‘x’
EPG == VM
Attribute ‘y’
APIC Admin
Create an EPG ==
VM Attribute ‘x’ on
VMM Domain ‘A’
3
4
APIC Distributes VM
Attribute Policies to
Leaf nodes
AVS notifies Leaf of
VM Attach via
OpFlex Channel
6
Leaf Determines
Attribute to EPG
Classification
7
Leaf Pushes EPG
encapsulation
binding to AVS via
OpFlex Channel
8802.1Q
VLAN 50
AVS forwards traffic
with the correct EPG
label (encapsulation)
9
APIC Retrieves
Hypervisor State
(VM State & VM
Attributes) & Initiate
a Listener Process
for any changes/
updates
2
Administrator
Creates new vDS
(AVS)
1
VI/Server Admin
Boot new VM with
desired VM
Attributes and
connect them to the
“Base port-group”
5

22. Распределенный межсетевой экран на базе ACI
Provider
B
Consumer
A
Src class Src port Dest Class Dest port Flag Action
A * B 80 * Allow
B 80 A * ACK Allow
• Создание новой записи внутри «flow table»
• Передача пакета на leaf коммутатор
Коммутатор Leaf
реализует
stateless policy
Аппаратная
политика разрешает
передачу пакета
При получении пакета
TCP SYN создается
новая запись
Пакет
передается VM
• Получен пакет от VM
• Поиск внутри «flow table»
VLAN Proto Src ip Src port Dst IP Dst port
A tcp IP_A 1234 IP_B 80
A tcp IP_B 80 IP_A 1234
VLAN Proto Src ip Src port Dst IP Dst port
B tcp IP_A 1234 IP_B 80
B tcp IP_B 80 IP_A 1234
Если уже есть запись
то пакет передается на
коммутатор Leaf
Применение
политики на Leaf
Отслеживание
состояния на AVS
Ответ от VM
Поиск в таблице
Reflexive policy на
коммутаторе разрешает
передачу обратного
пакета
AVS AVS

23. What is the ACI vCenter Plugin?
§ A VMware vCenter Web Client plugin (vSphere 5.5) for ACI
§ Empowers virtualization admins to define network connectivity independently
of the networking team while sharing the same infrastructure
Virtualization admin is able to configure network connectivity (subnets, port-groups)
with tenant isolation
• Focused on simplicity
User does not need to understand the ACI Policy Model
Follows the vCenter Web Client GUI standards
No configuration of “in-depth” networking stuff – this is done through APIC by the
networking expert
23

24. VMware vCenter Plugin View
24

25. VMware vCenter Plugin View
25

26. Облачная автоматизация - ACI с vRealize
Интеграция ACI c vRealize для внедрений под vSphere
Day Zero Operations
Инициализация фабрики
Развёртывание инфраструктуры
Домены безопасности
Day 1/ Day 2 Operations
Shared Services Plans
Virtual Private Cloud
Сети, подсети, безопасность
ACI Policy Driven vRealize Automation Blueprints to Accelerate
Application Deployment
С релиза 1.2
vRealize Suite
APIC REST APIvSphere SDK
Compute Network &
Services
vRealize Orchestrator (vRO 6.x)
vRealize Automation (vRA 6.x)
vCenter Plugin APIC Plugin

27. Интеграция с Microsoft Hyper-V

28. Интеграция решений Microsoft и ACI
Два режима интеграции
• Управление политиками: посредством
APIC
• Software / License: Windows Server с
HyperV, SCVMM
• Обнаружение виртуальных машин:
OpFlex
• Инкапсуляция: VLAN, NVGRE (План)
• Установка plugin-а: в ручную
Интеграция с SCVMM
APIC
Интеграция с Azure Pack
APIC
• Расширение возможностей SCVMM
• Управление политиками: посредством
APIC или через Azure Pack
• Software / License: Windows Server с
HyperV, SCVMM, Azure Pack
(бесплатно)
• Обнаружение виртуальных машин:
OpFlex
• Инкапсуляция: VLAN, NVGRE (План)
• Установка plugin-а: интегрирована
+

29. EPG = VM Networks
29

30. APIC Admin
SCVMM Admin Instantiate VMs,
Assign to VM Networks
L/B
EPG
APP
EPG
DB
F/W
EPG
WEB
Application Network Profile
Create Application Policy
MSFT SCVMM
8
5
1
9
ACI
Fabric
Automatically Map
EPG To VM Networks
Push Policy
Create Virtual
Switch
2
Cisco APIC and MSFT
SCVMM Initial
Handshake
6
Интеграция MSFT SCVMM и ACI
APIC
3 Attach Hypervisor
to Virtual Switch
4
Learn location of HyperV
Host through OpFlex
HYPERVISOR HYPERVISOR
OpFlex Agent
HYPER-V VIRTUAL SWITCH
7
Create VM
Networks
OpFlex Agent
WEB VM NETWORK APP VM NETWORK DB VM NETWORK
Web Web AppApp DB

31. Интеграция с SCVMM
Интеграция с SCVMM
концептуально ничем не
отличается от интеграции с
vCenter от VMware.
APIC получает всю информацию о
виртуальных машинах с Hyper-V
хостов, зарегистрированных на
APIC при помощи протокола Opflex
APIC создает виртуальные сети
внутри SCVMM когда VMM domain
подключается к EPG

32. • Гранулярное назначение EPG на основе атрибутов VM таких как VM
Name, Guest OS, MAC, IP и т.д.
• Начиная с релиза 1.2 добавляется также для интеграции ACI +
SCVMM
• Примеры применения:
• Изоляция заражённой VM
• Дополнительные зоны безопасности
• Дополнительная безопасность и сегментация без необходимости
создания новых VM Networks и смены ассоциации с ними VM
Microsoft Hyper-V
EPG на основе атрибутов VM: микро-сегментация

33. Интеграция Microsoft Azure Pack и ACI
33
§ Для этого режима интеграции с
Microsoft требуется:
Windows Server 2012
Systems Center 2012 R2 с SPF
Windows Azure Pack
§ Azure Pack обеспечивает
централизованное определение, настройку
и управление облачными сервисами
§ Состоит из портала администратора
(Admin) и портала самообслуживания
(Tenant)
§ Cisco ACI Service Plugin использует APIC
REST API
R2 w/ Service Provider
Foundation
Web
Sites
Service
Plans
Users
Порта
админа
Портал
пользователя
Web Sites
Apps
Database
VMs
ACI
Service Provider Пользователь
VMs SQL
Service
Bus …

34. Сценарии использования ACI и Azure Pack
Портал администратора: разделяемый балансировщик и сервисы
F5 или Citrix
являющиеся
частью ACI
фабрики
Разделяемые
сервисы

35. Сценарии использования ACI и Azure Pack
Разделяемые сервисы между WAP контейнерами (tenants)
Tenant 1
Провайдер
• Интеграция поддерживает
концепцию разделяемых между
ACI-тенантами сервисов
• Один из тенантов может быть
наделен правом публиковать
разделяемые сервисы
• Другие тенанты могу быть
наделены правами потреблять
сервисы
• Для работы сценария требуется
использование правильной
схемы адресации
• Централизованное
управление
• Пространства адресов,
которые не пересекаются
Tenant 2
Tenant 3
Tenant 4
Потребитель
FTP
DB
NFS

36. Сценарии использования ACI и Azure Pack
Портал пользователя: управление интеграционными возможностями
Вычислительные
и сетевые
ресурсы, к
которым есть
доступ
Application Network Profile создается средствами
Azure Pack, и настраивается на APIC при
помощи REST API
Доступные
пользователю
ACI объекты

37. ACI as a Resource Provider
The ACI resource provider has three sub-components:
§ Tenant Portal Extension:
— This implements the user interface and APIs for the tenant portal to expose ACI capabilities
§ Admin Portal Extension:
— This implements the user interface and APIs for the admin portal
§ Resource Provider Backend.
— This is the component that interacts with the SCVMM via Service pack Foundation power
shell and with APIC using the Rest interface.
37

38. Интеграция с KVM/OpenStack

39. Два варианта интеграции ACI и OpenStack
NEUTRON ROUTER
SECURITY
GROUP
NEUTRON NETWORK
Neutron API Group Policy API
NEUTRON
NETWORK
Port
Port
Tenant Tenant
Используется существующий
Neutron API с контроллером APIC и
Cisco ACI фабрикой
Contract
GROUP
SERVICE
CHAIN
GROUP
Конструкция Group Policy
предлагает новый API который
напрямую использует модель
политик ACI (Juno Release)

40. APIC драйвер
отображает:
• Network -> EPG
• Router -> Context
OpenStack APIC Plugin – neutron (Фаза № 1)
APIC
APIC Plugin
APIC
Driver
OVS Driver
Neutron
Networking
Host 1
OVS
Network B
V(X)LAN
101
10.0.1.0/24
Network A
V(X)LAN
100
10.0.0.0/24
IPTables
Host 2
OVS
Network C
V(X)LAN
102
10.0.2.0/24
Network A
V(X)LAN
100
10.0.0.0/24
IPTables
Host 3
OVS
Network B
V(X)LAN
101
10.0.1.0/24
Network A
V(X)LAN
100
10.0.0.0/24
IPTables
Host 4
OVS
Network C
V(X)LAN
102
10.0.2.0/24
Network A
V(X)LAN
100
10.0.0.0/24
IPTables
IP tables для
контроля
безопасности
ACI фабрика
обеспечивает
распределенный
L2 и L3 (без L3
агента). Туннели
терминируются на
ToR
коммутаторах.
OVS терминирует
VLAN / VXLAN
теги для каждой
сети
OVS драйвер
выбирает VLAN /
VXLAN тег для
каждой сети и
настраивает OVS
APIC REST API

41. APIC Admin
(Performs Steps 3)
OpenStack Tenant
(Performs Steps 1,4) Instantiate VMs
Create Application Policy
Web WebWebWeb AppApp4
3
5
ACI
Fabric
Automatically Push
Network Profiles to
APIC
Push Policy
Create Network, Subnet,
Security Groups, Policy
NETWORK SUBNET SECURITY
1
2
DB DB
HYPERVISOR HYPERVISOR HYPERVISOR
NOVANEUTRON
OPEN VIRTUAL SWITCH OPEN VIRTUAL SWITCH OPEN VIRTUAL SWITCH
APIC
41
Интеграция OpenStack и APIC (Фаза № 1)
41

42. APIC ML2 Plugin: отображение сущностей Neutron и APIC
Объект Neutron Объект APIC
Project Tenant
Network EPG
Subnet Subnet
Security Group + Rule N / A (handled by host)
Router Context
Network:external Outside

43. Представляем Group-Based Policy
100% open source, проект по
лицензии Apache для OpenStack
Интерфейс для описания желаемого
состояния приложения
Создан сообществом разработчиков
нескольких компаний
Policy Rules Set
Web
Group
Classifier Action
FIREWALL
DB
Group
Classifier Action
Service
Chain
Модель групповых политик

44. Что было улучшено при помощи GBP?
§ Определение сервисной
цепочки по которым данные
должны передаваться между
компонентами приложения
Поддержка сетевых
сервисов
§ Само-документирование
взаимосвязей между
различными
компонентами
приложения
Возможность
определить
взаимосвязи
Сервис
A
Сервис
C
Сервис A потребляет
ресурсы сервисов B и C
Сервис B
Сервис
A
Сервис
C
МЕЖСЕТЕВОЙ
ЭКРАН
§ Разделение API на низко- и
высокоуровневые
§ Две зоны ответственности:
tenant admin и operator
Разделение зон
ответственности
Сервис
A
Сервис
C
Абстракция при помощи API
Низкоуровневые API
Operator /
Admin
OpenStack
Tenant

45. OpenStack GBP обзор
Neutron Driver - отображает
GBP на существующие
Neutron API и обеспечивает
совместимость с любым
Neutron Plugin
Native Driver – существует
для OpenDaylight а так же
различных производителей
(Cisco, Nuage Networks и
One Convergence)
Group Policy
CLI Horizon Heat
Neutron Driver
Neutron
Любой существующий
плагин и ML2 драйвер
Открытая модель, обеспечивающая
совместимость с физической и виртуальной
инфраструктурой
Native Driver
1
1
2
2
Архитектура на основе драйверов

46. Модель Group-Based Policy
Детали описания политики
Policy Group: набор виртуальных машин с одинаковыми характеристиками. Например, уровень приложения
Policy RuleSet: Набор правил (Classifier + Action) описывающих взаимодействие между Policy Group.
Policy Classifier: фильтр для трафика, включает протокол, порт и направление передачи.
Policy Action: описывает набор действий, в случае если трафик отвечает условиям классификации, например –
передача без доп. действий “allow” или перенаправление на сервисное устройство “redirect”
Service Chain: упорядоченный набор сервисных устройств через которые передается трафик
L2 Policy: определяет границы домена коммутации. Опциональное включение режима «broadcast»
L3 Policy: изолированное адресное пространство, содержащее L2 Policies / Подсети
L3 PolicyPolicy
Rule Set
Policy Rule
Policy Rule
Service Chain
Classifier Action
Classifier Action
L2 Policy
Policy
Group
Policy Target
Policy Target
Policy Target
Policy
Group
Policy Target
Policy Target
Policy Target
L2 Policy
provide consume
Node Node

47. APIC драйвер создает
сетевой профиль
приложения
OpenStack APIC Plugin – group Policy (Фаза № 2)
APIC
Host 1
OVS
Network B
V(X)LAN
101
10.0.1.0/24
Network A
V(X)LAN
100
10.0.0.0/24
IPTables
Host 2
OVS
Network C
V(X)LAN
102
10.0.2.0/24
Network A
V(X)LAN
100
10.0.0.0/24
IPTables
Host 3
OVS
Network B
V(X)LAN
101
10.0.1.0/24
Network A
V(X)LAN
100
10.0.0.0/24
IPTables
Host 4
OVS
Network C
V(X)LAN
102
10.0.2.0/24
Network A
V(X)LAN
100
10.0.0.0/24
IPTables
IP tables для контроля
безопасности
ACI фабрика
обеспечивает
распределенный
L2 и L3 (без L3
агента). Туннели
терминируются на
ToR
коммутаторах.
OVS терминирует
VLAN / VXLAN теги
для каждой сети
OVS драйвер
выбирает VLAN /
VXLAN тег для
каждой сети и
настраивает OVS
Group Policy Extensions
OVS Driver
Neutron
Networking
APIC Group Driver
Group Policy extension
расширяет существующий
neutron APIs
APIC REST API

48. 2
ACI Admin
(manages physical
network, monitors tenant
state)
L/B
EPG
APP
EPG DB
F/W
L/B
EPG
WEB
Application Network Profile
Create Application Policy
3
5
ACI
Fabric
Push Policy
APIC
OpenStack Tenant
(Performs step 1,4) Instantiate VMs
Web WebWebWeb AppApp4
Create Application Network Profile
1
DB DB
HYPERVISOR HYPERVISOR HYPERVISOR
NOVANEUTRON
Automatically Push
Network Profiles to
APIC
L/B
EPG
APP
EPG DB
F/W
L/B
EPG
WEB
Application Network Profile
Интеграция OpenStack и APIC (Фаза № 2)

49. ACI и OpenStack с поддержкой OpFlex
Автоматизация политик в OpenStack
OpenStack контроллер
Hypervisor
APIC ML2
DRIVER
OVS OpFlex Agent
Supported Solutions
with Major OpenStack Distributions
Available
Now!
GROUP-BASED
POLICY
OpFlex Proxy
Open Source OpFlex агент для интеграции ACI с OVS
OpFlex Proxy – новый API для ACI фабрики
OpFlex для OVS
Полностью распределённое применение политик
Интегрированные оверлеи с централизованным
управелением
Единая видимость OpenStack, Linux и APIC
Выбор между опорой на Neutron ML2 (виртуальные
сети) или Group-based Policy
Feature Highlights
NEW
NEW
С релиза 1.2

50. Cisco ACI + OpFlex
OpenStack APIC ML2 драйвер
§ Применение политики в OVS с
использованием IP-Tables by OpenStack
(outside of APIC)
§ L2/L3 forwarding in fabric
§ Floating IP / NAT support
§ APIC GUI integration / VMM Domain for
OpenStack
§ Statistics
§ Service redirection
OpFlex Agent обеспечивает:
OpenStack Controller
Hypervisor
vm1
Project 1 Project 2 Project 3
vm2
vm5
vm4
vm3
OpFlex
Agent
APIC ML2 Driver
V(X)LAN
Open
vSwitch
OpFlex
Proxy
Security Group Enforcement
in OVS using IP-Tables
Neutron Object APIC Object (ML2 Driver Mapping)
Project Tenant
Network EPG + BD
Subnet Subnet
Security Group + Rule IP Tables (outside of APIC by OpenStack)
Router Contract
С релиза 1.2

51. APIC GBP Driver Security Implementation in
OVS via Opflex and ACI Fabric
§ Security policy enforcement in OVS
via OF action and ACI Fabric via
whitelist policy simultaneously
§ Floating IP / NAT support
§ APIC GUI integration / VMM
Domain for OpenStack
§ Statistics
§ Service redirection
OpFlex Agent Offers:
OpenStack Controller
Hypervisor
vm1
Project 1 Project 2 Project 3
vm2
vm5
vm4
vm3
OpFlex
Agent
V(X)LAN
Open
vSwitch
GBP APIC Driver
OpFlex
Proxy
Fabric Traffic Security
Enforcement using ACI
Whitelist Policy
Local traffic in Hypervisor:
Security Group Enforcement
in OVS using Open Flow
• gbp policy-classiifer-create
• gbp policy-rule-create blah --actions allow
Group Based Policy
С релиза 1.2

52. Расширение политик ACI на Docker контейнеры
Проект Contiv: Open Source интеграция Docker с APIC
Docker
Kubernetes
Mesos
Управление
контейнерами
Будущее
Q1CY16
Единый механизм автоматизации и применения политик
во всех средах – серверы, VM, контейнеры
• Open source проект по определению
политик для внедрения контейнеров
• Включае сетевой plugin для Docker,
обеспечивающий интеграцию с APIC API
• Политики ACI теперь могут быть
внедрены для физических серверов,
виртуальных машин и Docker
контейнеров
Проект Contiv
Возможности решения
Contiv Master
Contiv APIC Plugin
Q4 CY
2015
OVS Contiv Plugin
HYPERVISORHYPERVISORHYPERVISOR
Docker Host
Q4 CY
2015
Скоро!
http://blogs.cisco.com/datacenter/project-contiv

53. Интеграция со средами виртуализации
• Выбор среды
виртуализации за
Вами!
• Выбор это всегда
хорошо J
23.11.15 © 2015 Cisco and/or its affiliates. All rights reserved.53

54. Интеграция ACI с Cisco UCS Director

55. UCSD: автоматизация мультивендорной
инфраструктуры
55
VBLOCK
200, 300,
700
VPLEX
FlexPod
Data Center
FlexPod
Express
Compute Network
Nexus
MDS
StorageVM
UCS Director
L4-L7
vASA,
CSR1000v
Converged
*
*
* Integration is in progress/planned

56. Интеграция ACI и UCSD
Подключения
• Материалы на сайте Cisco:
• «Cisco Application Centric Infrastructure
Fundamentals»
• «Operating Cisco Application Centric Infrastructure»
• «Troubleshooting Cisco Application Centric
Infrastructure»
• Книга на русском языке – только что
выпущена. Автор и тираж на конференции!
• Заинтересовались? Вопросы? Хотите демо?
Обращайтесь на aci-russia@cisco.com

57. Multi Tiered Application
Пример совместного внедрения UCS Director и ACI
F5
VCenter
End User
ASA
v
Infoblox
External
EPG
Web
EPG
App
EPG
APIC
VM
VM
VM
VM

58. Application Centric Infrastructure
…для облачных архитекторов
• Открытый REST интерфейс для управления/
оркестрации
• Поддержка разных сред виртуализации и физических
нагрузок
• Интеграция с несколькими гипервизорами в одном
приложении
• Возможность развёртывания невиртуализированных
ландшафтов (Big Data и т.д.)
• Возможность развёртывания приложений с
виртуальными и физическими компонентами
• Поддержка изоляции организаций
• Тысячи заказчиков (tenants)
• Управление инфраструктурой, а не коммутаторами
• Декларативная модель: «сеть как сервис»
• Автоматизация сервисных цепочек
• Поддержка OpenStack
• Интеграция c OpenStack Neutron
• Интеграция модели политик (Group Based Policy)
ФИЗИЧЕСКИЙ СЕРВЕР
VLAN
VXLAN
VLAN
NVGRE
VLAN
VXLAN
VLAN
ESX Hyper-V KVM
ACI фабрикаAPIC

59. В заключение
• Материалы на сайте Cisco:
• «Cisco Application Centric Infrastructure
Fundamentals»
• «Operating Cisco Application Centric Infrastructure»
• «Troubleshooting Cisco Application Centric
Infrastructure»
• Книга на русском языке – только что
выпущена. Автор и тираж на конференции!
• Заинтересовались? Вопросы? Хотите демо?
Обращайтесь на aci-russia@cisco.com

60. CiscoRu Cisco CiscoRussia
Ждем ваших сообщений с хештегом
#CiscoConnectRu
CiscoRu
Пожалуйста, заполните анкеты.
Ваше мнение очень важно для нас.
Спасибо
Contacts:
Name Александр Скороходов
Phone +7(495)789-8615
E-mail askorokh@cisco.com
© 2015 Cisco and/or its affiliates. All rights reserved.