Модель политики Cisco ACI

Модель политики Cisco ACI
Максим Хаванкин
системный архитектор, CCIE
mkhavank@cisco.com
18 июня, 2015

2© 2014–2015 Cisco and/or its affiliates. All rights reserved.
Что представляет собой ACI?
ACI фабрика
Неблокируемая фабрика на базе оверлеев
App DBWeb
Внешняя сеть
передачи
данных
(Tenant VRF)
QoS
Filter
QoSQoS
Filter
Application Policy
Infrastructure Controller
APIC
1. Профиль
приложения
2. Кластер
контроллеров
3. Cеть на базе
Nexus 9000
Service
Filter
ServiceСеть ЦОД на базе коммутаторов
Nexus 9000 с централизованным
управлением при помощи
контроллера на основе политик

§  Требования приложения к сети ЦОД
§  Определение приложения при помощи ACI
§  Tenant
§  Private network
§  Bridge domain
§  EPG
§  Подсети
§  Сетевой профиль приложения (ANP)
§  Реализация политик на уровне фабрики
Содержание

приложение
Приложение это больше чем
одна виртуальная машина
Набор взаимосвязанных
компонент
VM
VM
…
web
VM
VM
…
app
VM
VM
…
db
Internet
Внутренняя
сеть
(мониторинг,
управление)
Каким образом
описать/формализовать/определить
сетевые требования приложения?
?
Что приложению требуется от сети?

Определяем приложение
§  Приложение – это конструкция которую
необходимо определить
§  Приложение это набор порт-групп и
политик, которые их объединяют
§  Каждая порт-группа это набор серверов
§  Каждая политика это связь в терминах
§  протокол
§  порт
§  сервисный граф
§  роль потребитель или/и поставщик
EPG
Policy A
Policy B
Policy C

Логическая модель: tenant, как контейнер для хранения
сетевых свойств приложений
Tenant: Организация «А», подразделение организации «Б», комплекс приложений «С» и т.д.

Логическая модель: private network, как набор изолированных
сетевых сегментов, или VRF
VRF: 01

Bridge Domain - логическая конструкция
представляющая L2-сегмент передачи
данных внутри фабрики
Один или несколько EPG могут быть
ассоциированы с одним BD
Можно «превратить» в аналог VLAN:
1.  Влючить flood для L2 unknown unicast
2.  Включить ARP Flooding
Новая концепция: Bridge Domain

Логическая модель: bridge domain логическая конструкция
обозначающая границы L2-сегмента
Bridge Domain: ESXi
VRF: 01

Bridge Domain может обеспечить подключение ко внешнему
L2-сегменту
Bridge Domain: ESXi
VRF: 01
Node-101/eth1/1 Node-102/eth1/1
Outside
EPG: L2-Outside-ACI
Security Zone

L3 подключение ко внешнему миру происходит на уровне
VRF
Bridge Domain: ESXi
VRF: 01
Node-101/eth1/1 Node-102/eth1/1
Outside
EPG: L3-Outside-ACI
Security Zone

Новая концепция: EndPoint Group (EPG)
•  EPG – это группа приложений или компонент приложений, которые не зависят от сетевых
конструкций
HTTPS Service
HTTPS Service
HTTPS Service
HTTPS Service
HTTP Service
HTTP Service
HTTP Service
HTTP Service
Endpoint Group

Логическая модель: различные методы определения EPG
Ø  Интерфейс, при помощи которого конечное устройство
подключается к сети
Ø  Имеет адрес (identity), местоположения, атрибуты (version, patch
level)
Ø  Может быть физическим или виртуальным
•  Примеры:
•  End Point Group (EPG) определяются при помощи:
•  Физический портв (leaf или FEX)
•  Логический порт (VM port group)
•  VLAN ID
•  VXLAN (VNID)
•  IP адрес (применимо ко внешним подключениям external/border leaf)
•  IP Prefix/Subnet (применимо ко внешним подключениям external/border leaf)
•  NVGRE (VSID) (план)
•  Атрибуты виртуальных машин (план)
•  Порты 4-го уровня модели OSI (план)
Сервер
Виртуальные машины
или контейнеры
СХД
Клинты

Логическая модель: подсети
•  EPG отделяют адресацию, которую использует приложение, от политик, которые
применяются в сети
•  EPG могут находится в разных сетевых сегментах
HTTPS Service
HTTPS Service
HTTPS Service
HTTPS Service
HTTP Service
HTTP Service
HTTP Service
HTTP Service
Endpoint Group A
Политики и
правила
безопасности
применяются
на уровне EPG
192.168.10.x
192.168.20.x

Знакомая концепция: подсети – primary/secondary IP
адреса на SVI-интерфейсах
Bridge Domain: ESXi
VRF: 01
Secondary
192.168.20.x/24
Primary
192.168.10.x/24

Новая концепция: профиль приложения
•  Сетевой профиль приложения представляет собой набор EPG и политик, которые
определяют правила взаимоотношений между группами
Inbound/Outbound политики
Сетевой Профиль Приложения
Inbound/Outbound политики
EPG A
Service A
Service A
Service A
Service A
Service B
Service B
Service B
Service B
EPG B
Service C
Service C
Service C
Service C
Service C Service C
EPG C
Service D
Service E
Service D
Service E

Сетевой профиль ANP содержит один или несколько
EPG
Bridge Domain: ESXi
VRF: 01
vPC_to_UCS_a
vlan-10
vPC_to_UCS_b
vlan-10
EPG: Host-Mgmt
Security Zone
vPC_to_UCS_a
vlan-20
vPC_to_UCS_b
vlan-20
EPG: vMotion
Security Zone
ANP: ESXi-Hosts Нет контрактов = нет передачи данных
vPC_to_UCS_a
vlan-30
vPC_to_UCS_b
vlan-30
EPG: vmk-storage
Security Zone
Secondary
192.168.20.x/24
Primary
192.168.10.x/24

Логическая модель: контракт
EPG-WEB
EP 1
EP 2
EPG-APP
EP 1
EP 2
EPG-DB
EP 1
EP 2
Контракт Контракт
Сетевой профиль приложения

Контракт: filter, action, label
Subject
-‐
это

комбинация

следующих

действий-‐
ﬁlter,

acDon*и
label*

Контракты

определяют

правила

взаимодействия

между

EPG

Filter | Action | LabelSubject
TCP Port 80
Фильтр
Permit
Действие
Web Access
Метка
Контракт
1

Subject 1
Subject 2
Subject 3
*roadmap

Контракты необходимы для передачи данных между EPG
Bridge Domain: ESXi
VRF: 01
vPC_to_UCS_a
vlan-30
vPC_to_UCS_b
vlan-30
EPG: vmk-storage
vPC Node104_105/1/50
vlan-40
EPG: Shared-storage
Контакт = передача данныхANP: ESXi-Hosts
vPC_to_UCS_a
vlan-10
vPC_to_UCS_b
vlan-10
EPG: Host-Mgmt
192.168.10.13192.168.20.10 192.168.10.12
Secondary
192.168.20.x/24
Primary
192.168.10.x/24
192.168.10.11 192.168.10.10
Нет контрактов = нет передачи данных

VM
VM
…
VM
VM
…
VM
VM
…
web app db
application
Внешние
сети
Набор конечных объектов,
которые подключаются к сети
… вирт. машины, физические
хосты, …
Уровни приложений
End Point Group
или VMware Port Group
Набор правил по которым
компоненты приложения
взаимодействуют друг с другом
Контакты
Правила доступа
QoS
Сетевые сервисы
Правила по которым
приложение взаимодействует
со внешними частными и
публичными сетями
Сетевой профиль
Ориентированные на приложения политики
Сеть à Виртуальная Коммутационная Панель
ACI – Сетевой профиль приложения

Логическая модель: сетевые конструкции
rootuni
Арендатор A Арендатор B
L3 сегмент A L3 сегмент B L3 сегмент A
Bridge Domain
Подсеть A
Bridge Domain
Подсеть B
Подсеть C
Bridge Domain
Подсеть A
Bridge Domain
Подсеть D
Private-L3 and subnets are independent between tenants

Логическая модель: картина целиком
Outside
(внешняя
сеть)
App.
profile
(профиль)
Контекст
(VRF)
Контракт Фильтр
EPG Subject
Bridge
Domain
Subnet
(подсеть)
Tenant (Арендатор)
1 1 1 1 1 1
n n n n n n
n n n
1 11 1 1 1
nn

Tenant: Логический контейнер для размещения политик
приложений. Этот контейнер может быть выделен
отдельному арендатору, организации или приложению.
Private network: набор изолированных сетевых
сегментов, аналог VRF
Subnet: IP подсеть, в которой размещается нагрузка
Пример № 1: 2-уровневое приложение
Tenant_001
Private network VRF1
BridgeDomainBD1
Subnet
10.1.1.254/24
Bridge Domain: Логическая конструкция представляющая
L2-сегмент передачи данных внутри фабрики. Один или
несколько EPG могут быть ассоциированы с одним BD.
Application Profile: профиль приложения моделирует
требования приложения к сети и включает в себя
необходимое количество EPG.
Контракт
EPG
Front end
EPG
Back-endEnd Point Group (EPG): EPG это набор физических или
виртуальных объектов, для которых должны быть
обеспечены одинаковые политики и сервисы при
подключении к сети.
Контракты: регламентирует правила передачи данных
между EPG при помощи механизмов фильтрации,
обеспечения качества обслуживания и перенаправления
трафика на внешние сервисные устройства, такие как МСЭ
и т.д.
VRF2
BridgeDomainBD3
ANP 2-tier App
BD2
Subnet
20.2.2.254/24

Пример № 2: Microsoft Exchange
EPG
CAS
EPG
Mail_Box
EPG
AD
EPG
Outside
Сервисное
устройство SLB

Контракт
Контракт
Пример № 2: Microsoft Exchange
EPG
Mail_Box
EPG
AD
EPG
Outside
EPG
CAS
Контракт
Контракт
SLB
Service Graph Template

Логическая модель определяет политику подключения
NXOS: VXLAN, VRFs, etc…
Concrete Model
порты, карты,
интерфейсы,
VLAN-ы, узлы
Логическая модель
Конфигурация ориентированная на
приложение, целевая группа политики,
правила
(subset)
Logical
Model
Часть
логической
модели
Преобразование
(implicit render) Применение
Обновление политики
Animation Complete*
Обратная
связь
Программный коммутатор
Сетевое
устройство

Пример № 2: рендеринг политики для Microsoft Exchange
ACI фабрика
Неблокируемая фабрика на базе оверлеев
Application Policy
Infrastructure Controller
APIC
Виртуальные и физические
порты фабрики
настраиваются
автоматически согласно
ANP
Устройство балансировки
нагрузки настраивается
автоматически

APIC
OpFlex: открытый, расширяемый протокол
OPFLEX
ОБЕСПЕЧИВАЕТ:
Политики:
•  Кто и с кем может
говорить
•  О чем?
•  Ops requirements
Абстракцию политик вместо
device-specific конфигурации1.
Гибкость и расширяемость с
использованием XML / JSON2.
Поддержку любых устройств, включая
виртуальные коммутаторы, физические
коммутаторы, МСЭ, обеспечивая
совместимость между продуктами
различных производителей
3.
Открытый и стандартизированный API с
реализации в open source4.
OPFLEX
PROXY
OPFLEX
AGENT
OPFLEX
AGENT
OPFLEX
AGENT
HYPERVISOR
SWITCH ADCFIREWALL

ACI фабрика
IP сеть с интегрированным оверлеями
•  ACI фабрика базируется на IP фабрике, обеспечивающей маршрутизацию во внешние сети
и интегрированных оверлеях для маршрутизации/коммутации между хостами фабрики
‒  весь трафик между конечными хостами внутри фабрики передается при помощи оверлеев
•  Почему интегрированные оверлеи?
‒  Мобильность, масштабируемость, поддержка multi-tenancy и интеграция с гипервизорами
‒  Вместе с трафиком данных можно передавать мета-данных необходимые для реализации
распределенных политик
IP фабрика с
оверлеямиКаждому узлу
назначается IP
loopback, который
анонсируется IS-IS
IP un-numbered
40 Gb линки
APIC

ACI Фабрика
Распределенный контроль за выполнением политик
Tenant
VRF - Context
VRF - Context
Bridge Domain
Bridge Domain
Bridge Domain
EPGEPG
EPGEPG
EPGEPG
EPG
M/LB/SPFlags
Flags/
DRE
VNIDSource Group == EPG
DRE
MCAST
LB DL E SP DP
SP: Indicates Source Policy has been applied
DP: Indicates Destination Policy has been applied
•  ACI фабрика использует ориентированную
на приложения модель политик
•  Поле VXLAN Source Group используется как
тег/метка для идентификации конкретного
конечного объекта (ВМ/физ. порт)
принадлежащего определенному EPG
•  Политика применяется в направлении от
source application tier (EPG) в сторону egress/
destination application tier (EPG)
•  Политика может применяться на источнике
или получателе

vSwitch (VMWare) vSwitch (MSFT)
vSwitch инкапсулирует пакеты,
ассоциированные с EPG при
помощи назначенного VLAN/
VXLAN/NVGRE идентификатора
2
Если коммутатору Leaf известен
исходящий EPG который ассоциирован
с узлом назначения, то он реализует
политику устанавливая в
соответствующее значение бит в
заголовке eVXLAN, показывающий, что
входящая политика была применена к
пакету
4
На основе классификации
коммутатор Leaf формирует
значение поля Source Group в
eVXLAN заголовке
3
PayloadIPNVGREGRE IP
Коммутатор Leaf пересылает
пакет vSwitch-у или
подключенному напрямую
физическому серверу.
7
Пакет идентифицируется как
принадлежащий определенной end point
group (EPG) на основе входящей
классификации (port group, физический
порт, IP адрес, VLAN)
1
PayloadVNIDFlagsaVTEP
SRC
Group
Если политика приложения требует передачу пакета через сервисное устройство
или цепочку таких устройств, то фабрика в качестве VTEP узла назначения
указывает адрес коммутатора, в которому подключено сервисное устройство
5
Исходящий Leaf коммутатор проверяет
был ли установлен policy флаг в
заголовке eVXLAN и если требуется
применяет политику
6
Реализация политик в ACI фабрике
PayloadVNIDFlagsaVTEP
SRC
Group

Модель политики Cisco ACI

More Related Content

What's hot

Viewers also liked

Similar to Модель политики Cisco ACI

More from Cisco Russia

Модель политики Cisco ACI