Post on 16-Oct-2021
2 © 2015 NIL, Varnostna oznaka: JAVNO 2
Cisco Data Center Day
POVEZAVA MED CISCO ACI IN MICROSOFT SCVMM &
AZURE PACK
Robert Turnšek
3 © 2015 NIL, Varnostna oznaka: JAVNO 3
ŽELENI DESIGN
Fizični strežnik Virtualni strežnik
Požarna pregrada ASA Delilnik bremena F5
4 © 2015 NIL, Varnostna oznaka: JAVNO 4
Umestitev traja dneve in vključuje
različne ekipe
Časovno potratno in
velika možnost napak
Težko sledenje spremembam
IZZIVI
Tradicionalni način
Router
Router
Switch
LB
FW
Mrežne nastavitve na požarni pregradi
Nastavitev mreže za vključitev požarne pregrade
Nastavitev varnostnih pravil
Preusmeritev prometa na delilnik bremena
Mrežne nastavitve na delilniku bremena
Nastavitev delilnika bremena
vFW
servers
5 © 2015 NIL, Varnostna oznaka: JAVNO 5
UPORABA APLIKACIJSKIH POLITIK
Povezave med strežniki tako, da niso vezane na: § VLANe § IP naslove § Virtualno ali fizično povezljivost § Jih lahko ponovno uporabimo
6 © 2015 NIL, Varnostna oznaka: JAVNO 6
NOV MODEL UPRAVLJANJA
TRADICIONALNI MODEL
DANAŠNJI SDN MODEL
HIBRIDNI IN ODPRT MODEL
Potrebuje agilnost in hitrost, ki jo imajo
aplikacije
Problem razširljivosti in varnosti
Bolj kompleksno Manjša zanesljivost
Ni povezave med „overlay „ in transportnim omrežjem
Bazirano na odprtih standardih
Javni programski vmesniki
Povezava fizičnega in virtualnega sveta
Aplikacijske politike in avtomatizacija
Razširljivost in varnost
Programska virtualizacija omrežij
Application Centric Infrastructure
Omrežje naprav
7 © 2015 NIL, Varnostna oznaka: JAVNO 7
Uporabiti idejo SDN in jo nadgraditi z ACI
DC PODs
DC Core
Existing 3-TIER DESIGNS PROGRAMMABLE SDN OVERLAY MODEL
APIC
APPLICATION CENTRIC INFRASTRUCTURE
Programska virtualizacija omrežja
Application Centric Infrastructure
VXLAN premoščanje & usmerjanje
Podpora OpenFlow
Neodvisno od hipervizorja
Fizično & Virtualno
Odprti API’s & kontroler
Obstoječi 2-nivojski & 3-nivojski design
NOV MODEL UPRAVLJANA
8 © 2015 NIL, Varnostna oznaka: JAVNO 8
KAJ JE ACI
ACI Fabric
Non-Blocking Penalty Free Overlay
App DB Web
Outside (Tenant VRF)
QoS
Filter
QoS
Service
QoS
Filter
Application Policy Infrastructure
kontroler
APIC
9 © 2015 NIL, Varnostna oznaka: JAVNO 9
APIC
KAJ JE ACI
OPFLEX OMOGOČA: Politika:
• Kdo lahko govori s kom
• O čem
• Upravljavske zahteve Abstraktne politike neodvisne od
specifičnih konfiguracij posameznih naprav 1. Prilagodljive in razširljive politike z uporabo XML / JSON 2.
Podpora vsem napravam vključno z virtualnimi in fizičnimi stikali, mrežnimi storitvami različnih proizvajalcev
3.
Odprt in standardiziran API z odprtokodno referenčno implementacijo
4.
OPFLEX PROXY
OPFLEX AGENT
OPFLEX AGENT
OPFLEX AGENT
HYPERVISOR SWITCH ADC FIREWALL
10 © 2015 NIL, Varnostna oznaka: JAVNO 10
ACI APLIKACIJSKA POLITIKA
§ Razširitev ideje profilov iz Cisco
UCS § Aplikacijski profil: definicija
aplikacijskih zahtev: § Aplikacijski nivoji § Povezljivost § L4-L7 servisi § XML/JSON shema
§ Neodvisno od infrastrukture § Prenosljivo v drug
podatkovni center § Ni odvisnosti od strojne
opreme
## Network Profile: Defines Application Level Metadata (Pseudo Code Example) <Network-Profile = Production_Web> <App-Tier = Web> <Connected-To = Application_Client> <Connection-Policy = Secure_Firewall_External> <Connected-To = Application_Tier> <Connection-Policy = Secure_Firewall_Internal & High_Priority> . . . <App-Tier = DataBase> <Connected-To = Storage> <Connection-Policy = NFS_TCP & High_BW_Low_Latency> . . .
App Tier DB Tier
Storage Storage
Web Tier
Aplikacija
Aplikacijska politika točno opiše vse zahteve za povezljivost
11 © 2015 NIL, Varnostna oznaka: JAVNO 11
MULTI-HIPERVIZOR PODPORA
§ Integriran prehod za VLAN, VxLAN, NVGRE med virtualnim in fizičnim svetom
§ Normalizacija med NVGRE, VXLAN, and VLAN omrežji
§ Stranka ni omejena na hipervizor
Hipervizor integracija Mrežni Admin
Aplikacijski Admin
Fizični strežniki
VLAN VXLAN
VLAN NVGRE
VLAN VXLAN
VLAN
ESX Hyper-V KVM
Upravljanje Hipervizorja
ACI Fabric
APIC
APIC
12 © 2015 NIL, Varnostna oznaka: JAVNO 12
POVEZAVA MED HIPERVIZOR IN ACI
Dva načina upravljanja
§ ACI Fabric kot IP-Ethernet Transport
§ Nastavitve enkapsulacije ročne § Posebne politike za fizični in
virtualni svet
VLAN 10 VLAN 10 VXLAN 10000
Ne integriran način
§ ACI Fabric kot avtoriteta za politike
§ Uporaba normalizacije in dinamičnih nastavitev enkapsulacije
§ Integrirane politike med fizičnim in virtualnim svetom
APP WEB DB
Integriran način
DB
13 © 2015 NIL, Varnostna oznaka: JAVNO 13
MICROSOFT IN ACI
Dva načina upravljanja
§ Upravljanje politik: preko APIC § Potrebna programska oprema:
Windows Server z HyperV, SCVMM § Odkrivanje VM : OpFlex § Enkapsulacije: VLAN, NVGRE § Namestitev vmesnikov: Ročna
Integracija s SCVMM
APIC
Integracija z Azure Pack
APIC
§ Nadgradnja SCVMM § Upravljanje politik: preko APIC ali
skozi Azure Pack § Potrebna programska opreme:
Windows Server z HyperV, SCVMM, Azure Pack (zastonj)
§ Odkrivanje VM : OpFlex
§ Enkapsulacije: VLAN, NVGRE § Namestitev vmesnikov: Integrirana
+
14 © 2015 NIL, Varnostna oznaka: JAVNO 14
APIC Admin
SCVMM Admin Poveže VMs, v VM omrežja
L/B
EPG APP
EPG DB F/W
EPG WEB
Aplikacijska profil
Izdelava aplikacijskih profilov
MSFT SCVMM
8
5
1
9 ACI Fabric
Mapiranje EPG v VM omrežja
Sinhronizacija aplikacijskih
politik
Ustvari virtualno stikalo
2
Cisco APIC in MSFT SCVMM začetna
konfiguracija
6
ACI IN SCVMM
APIC
3 Poveže hipervizor in virtualno stikalo
4 Odkrije HyperV strežnike z OpFlex
HYPERVISOR HYPERVISOR
OpFlex Agent
HYPERV VIRTUAL SWITCH
7 Naredi VM omrežja
OpFlex Agent
WEB VM NETWORK
APP VM NETWORK
DB VM NETWORK
Web Web App App DB
15 © 2015 NIL, Varnostna oznaka: JAVNO 15
ACI IN AZURE PACK
§ Azure Pack omogoča enoten pogled nad definicijami, izdelavo in upravljanjem zasebnega oblaka
§ Razdeljen je v dva portala:
§ Ponudnik ali administrator
§ Uporabnik ali najemnik
§ Cisco ACI se upravlja in vključi v Azure pack preko REST API vmesnika
R2 w/ Service Provider Foundation
Web Sites
Service Plans Users
Ponudnik Portal
Uporabnik Self-Service
Portal
Web Sites Apps Database VMs ACI
Service Provider Customer
VMs SQL Service Bus …
16 © 2015 NIL, Varnostna oznaka: JAVNO 16
APIC Admin (Osnovna Infrastructura)
Azure Pack Tenant
3
6
ACI Fabric
Sinhronizacija aplikacijskih politik v APIC
Potisne aplikacijsko politiko na stikalo
Sporoči ACI fabric, ko se VM požene
1
2
HYPERVISOR HYPERVISOR HYPERVISOR
ACI IN AZURE PACK
16
APIC
Preberi VLANe alocirane za vsak EPG
Izdelava aplikacijske politike
7
Azure Pack \ SPF
SCVMM Plugin APIC Plugin OpFlex Agent OpFlex Agent OpFlex Agent
Naredi VM-je
5
1
4
Naredi VM Omrežja
4
Web Web Web Web App App DB DB
L/B
EPG APP
EPG DB F/W
EPG WEB
Aplikacijska politika