Модель политики Cisco ACI
Максим Хаванкин системный архитектор, CCIE [email protected]
18 июня, 2015
2 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
Что представляет собой ACI?
ACI фабрика
Неблокируемая фабрика на базе оверлеев
App DB Web
Внешняя сеть передачи данных
(Tenant VRF)
QoS
Filter
QoS QoS
Filter
Application Policy Infrastructure Controller
APIC
1. Профиль приложения
2. Кластер контроллеров
3. Cеть на базе Nexus 9000
Service
Filter
Service Сеть ЦОД на базе коммутаторов Nexus 9000 с централизованным
управлением при помощи контроллера на основе политик
3 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
§ Требования приложения к сети ЦОД § Определение приложения при помощи ACI
§ Tenant § Private network § Bridge domain § EPG § Подсети § Сетевой профиль приложения (ANP)
§ Реализация политик на уровне фабрики
Содержание
4 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
5 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
приложение
Приложение это больше чем одна виртуальная машина Набор взаимосвязанных
компонент
VM
VM
…
web
VM
VM …
app
VM
VM
…
db Internet
Внутренняя сеть
(мониторинг, управление)
Каким образом описать/формализовать/определить сетевые требования приложения?
? Что приложению требуется от сети?
6 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
7 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
Определяем приложение
§ Приложение – это конструкция которую необходимо определить
§ Приложение это набор порт-групп и политик, которые их объединяют
§ Каждая порт-группа это набор серверов
§ Каждая политика это связь в терминах § протокол § порт § сервисный граф § роль потребитель или/и поставщик
EPG Policy A Policy B Policy C
8 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
Логическая модель: tenant, как контейнер для хранения сетевых свойств приложений
Tenant: Организация «А», подразделение организации «Б», комплекс приложений «С» и т.д.
9 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
Логическая модель: private network, как набор изолированных сетевых сегментов, или VRF
Tenant: Организация «А», подразделение организации «Б», комплекс приложений «С» и т.д.
VRF: 01
10 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
Bridge Domain - логическая конструкция представляющая L2-сегмент передачи данных внутри фабрики Один или несколько EPG могут быть ассоциированы с одним BD
Можно «превратить» в аналог VLAN:
1. Влючить flood для L2 unknown unicast
2. Включить ARP Flooding
Новая концепция: Bridge Domain
11 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
Логическая модель: bridge domain логическая конструкция обозначающая границы L2-сегмента
Bridge Domain: ESXi
Tenant: Организация «А», подразделение организации «Б», комплекс приложений «С» и т.д.
VRF: 01
12 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
Bridge Domain может обеспечить подключение ко внешнему L2-сегменту
Bridge Domain: ESXi
Tenant: Организация «А», подразделение организации «Б», комплекс приложений «С» и т.д.
VRF: 01
Node-101/eth1/1 Node-102/eth1/1
Outside
EPG: L2-Outside-ACI Security Zone
13 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
L3 подключение ко внешнему миру происходит на уровне VRF
Bridge Domain: ESXi
Tenant: Организация «А», подразделение организации «Б», комплекс приложений «С» и т.д.
VRF: 01
Node-101/eth1/1 Node-102/eth1/1
Outside
EPG: L3-Outside-ACI Security Zone
14 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
Новая концепция: EndPoint Group (EPG) • EPG – это группа приложений или компонент приложений, которые не зависят от сетевых конструкций
HTTPS Service
HTTPS Service
HTTPS Service
HTTPS Service
HTTP Service
HTTP Service
HTTP Service
HTTP Service
Endpoint Group
15 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
Логическая модель: различные методы определения EPG
Ø Интерфейс, при помощи которого конечное устройство подключается к сети
Ø Имеет адрес (identity), местоположения, атрибуты (version, patch level)
Ø Может быть физическим или виртуальным
• Примеры: • End Point Group (EPG) определяются при помощи:
• Физический портв (leaf или FEX) • Логический порт (VM port group) • VLAN ID • VXLAN (VNID) • IP адрес (применимо ко внешним подключениям external/border leaf) • IP Prefix/Subnet (применимо ко внешним подключениям external/border leaf)
• NVGRE (VSID) (план) • Атрибуты виртуальных машин (план) • Порты 4-го уровня модели OSI (план)
15
Сервер
Виртуальные машины или контейнеры
СХД
Клинты
16 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
Логическая модель: подсети • EPG отделяют адресацию, которую использует приложение, от политик, которые применяются в сети
• EPG могут находится в разных сетевых сегментах
HTTPS Service
HTTPS Service
HTTPS Service
HTTPS Service
HTTP Service
HTTP Service
HTTP Service
HTTP Service
Endpoint Group A
Политики и правила безопасности применяются на уровне EPG
192.168.10.x
192.168.20.x
17 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
Знакомая концепция: подсети – primary/secondary IP адреса на SVI-интерфейсах
Bridge Domain: ESXi
Tenant: Организация «А», подразделение организации «Б», комплекс приложений «С» и т.д.
VRF: 01
Secondary 192.168.20.x/24
Primary 192.168.10.x/24
18 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
Новая концепция: профиль приложения • Сетевой профиль приложения представляет собой набор EPG и политик, которые определяют правила взаимоотношений между группами
Inbound/Outbound политики
Сетевой Профиль Приложения
Inbound/Outbound политики
EPG A Service A
Service A
Service A
Service A
Service B
Service B
Service B
Service B
EPG B Service C
Service C
Service C
Service C
Service C Service C
EPG C Service D
Service E
Service D
Service E
19 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
Сетевой профиль ANP содержит один или несколько EPG
Bridge Domain: ESXi
Tenant: Организация «А», подразделение организации «Б», комплекс приложений «С» и т.д.
VRF: 01
vPC_to_UCS_a vlan-10
vPC_to_UCS_b vlan-10
EPG: Host-Mgmt Security Zone
vPC_to_UCS_a vlan-20
vPC_to_UCS_b vlan-20
EPG: vMotion Security Zone
ANP: ESXi-Hosts Нет контрактов = нет передачи данных
vPC_to_UCS_a vlan-30
vPC_to_UCS_b vlan-30
EPG: vmk-storage Security Zone
Secondary 192.168.20.x/24
Primary 192.168.10.x/24
20 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
Логическая модель: контракт
EPG-WEB EP 1
EP 2
EPG-APP EP 1
EP 2
EPG-DB EP 1
EP 2
Контракт Контракт
Сетевой профиль приложения
21 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
Контракт: filter, action, label
Subject -‐ это комбинация следующих
действий-‐ filter, acDon*и label*
Контракты определяют правила
взаимодействия между EPG
Filter | Action | Label Subject
TCP Port 80 Фильтр
Permit Действие
Web Access Метка
Контракт 1 Subject 1
Subject 2 Subject 3
*roadmap
22 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
Контракты необходимы для передачи данных между EPG
Bridge Domain: ESXi
Tenant: Организация «А», подразделение организации «Б», комплекс приложений «С» и т.д.
VRF: 01
vPC_to_UCS_a vlan-30
vPC_to_UCS_b vlan-30
EPG: vmk-storage
vPC Node104_105/1/50 vlan-40
EPG: Shared-storage
Контакт = передача данных ANP: ESXi-Hosts
vPC_to_UCS_a vlan-10
vPC_to_UCS_b vlan-10
EPG: Host-Mgmt 192.168.10.13 192.168.20.10 192.168.10.12
Secondary 192.168.20.x/24
Primary 192.168.10.x/24
192.168.10.11 192.168.10.10
Нет контрактов = нет передачи данных
23 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
VM
VM
…
VM
VM
…
VM
VM
…
web app db
appl
icat
ion
Внешние сети
Набор конечных объектов, которые подключаются к сети … вирт. машины, физические хосты, …
Уровни приложений End Point Group или VMware Port Group
Набор правил по которым компоненты приложения взаимодействуют друг с другом
Контакты Правила доступа QoS Сетевые сервисы
Правила по которым приложение взаимодействует со внешними частными и публичными сетями
Сетевой профиль Ориентированные на приложения политики
Сеть à Виртуальная Коммутационная Панель
ACI – Сетевой профиль приложения
24 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
Логическая модель: сетевые конструкции root\uni
Арендатор A Арендатор B
L3 сегмент A L3 сегмент B L3 сегмент A
Bridge Domain
Подсеть A
Bridge Domain
Подсеть B
Подсеть C
Bridge Domain
Подсеть A
Bridge Domain
Подсеть D
Private-L3 and subnets are independent between tenants
25 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
Логическая модель: картина целиком
Outside (внешняя сеть)
App. profile
(профиль)
Контекст (VRF) Контракт Фильтр
EPG Subject
Bridge Domain
Subnet (подсеть)
Tenant (Арендатор) 1 1 1 1 1 1
n n n n n n
n n n 1 1 1 1 1 1
n n
26 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
Tenant: Логический контейнер для размещения политик приложений. Этот контейнер может быть выделен отдельному арендатору, организации или приложению.
Private network: набор изолированных сетевых сегментов, аналог VRF
Subnet: IP подсеть, в которой размещается нагрузка
Пример № 1: 2-уровневое приложение Tenant_001
Private network VRF1
Bridge D
omain B
D1
Subnet 10.1.1.254/24
Bridge Domain: Логическая конструкция представляющая L2-сегмент передачи данных внутри фабрики. Один или несколько EPG могут быть ассоциированы с одним BD.
Application Profile: профиль приложения моделирует требования приложения к сети и включает в себя необходимое количество EPG. Ко
нтракт
EPG Front end
EPG Back-end
End Point Group (EPG): EPG это набор физических или виртуальных объектов, для которых должны быть обеспечены одинаковые политики и сервисы при подключении к сети.
Контракты: регламентирует правила передачи данных между EPG при помощи механизмов фильтрации, обеспечения качества обслуживания и перенаправления трафика на внешние сервисные устройства, такие как МСЭ и т.д.
VRF2
Bridge D
omain B
D3
ANP 2-tier App B
D2
Subnet 20.2.2.254/24
27 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
Пример № 2: Microsoft Exchange
EPG CAS
EPG Mail_Box
EPG AD
EPG Outside
Сервисное устройство SLB
28 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
Контракт
Контракт
Пример № 2: Microsoft Exchange
EPG Mail_Box
EPG AD
EPG Outside
EPG CAS Контракт
Контракт
SLB
Service Graph Template
29 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
Логическая модель определяет политику подключения
NXOS: VXLAN, VRFs, etc…
Concrete Model
порты, карты, интерфейсы, VLAN-ы, узлы
Логическая модель
Конфигурация ориентированная на приложение, целевая группа политики,
правила
(subset) Logical Model
Часть логической модели
Преобразование (implicit render) Применение
Обновление политики
Animation Complete*
Обратная связь
Программный коммутатор
Сетевое устройство
30 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
Пример № 2: рендеринг политики для Microsoft Exchange
ACI фабрика
Неблокируемая фабрика на базе оверлеев Application Policy
Infrastructure Controller
APIC
Виртуальные и физические порты фабрики настраиваются
автоматически согласно ANP
Устройство балансировки нагрузки настраивается
автоматически
31 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
32 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
APIC
OpFlex: открытый, расширяемый протокол
OPFLEX ОБЕСПЕЧИВАЕТ:
Политики: • Кто и с кем может говорить
• О чем? • Ops requirements
Абстракцию политик вместо device-specific конфигурации 1. Гибкость и расширяемость с использованием XML / JSON 2.
Поддержку любых устройств, включая виртуальные коммутаторы, физические коммутаторы, МСЭ, обеспечивая совместимость между продуктами различных производителей
3.
Открытый и стандартизированный API с реализации в open source 4.
OPFLEX PROXY
OPFLEX AGENT
OPFLEX AGENT
OPFLEX AGENT
HYPERVISOR SWITCH ADC FIREWALL
33 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
ACI фабрика IP сеть с интегрированным оверлеями
• ACI фабрика базируется на IP фабрике, обеспечивающей маршрутизацию во внешние сети и интегрированных оверлеях для маршрутизации/коммутации между хостами фабрики ‒ весь трафик между конечными хостами внутри фабрики передается при помощи оверлеев
• Почему интегрированные оверлеи? ‒ Мобильность, масштабируемость, поддержка multi-tenancy и интеграция с гипервизорами
‒ Вместе с трафиком данных можно передавать мета-данных необходимые для реализации распределенных политик
IP фабрика с оверлеями Каждому узлу
назначается IP loopback, который анонсируется IS-IS
IP un-numbered 40 Gb линки
APIC
34 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
ACI Фабрика Распределенный контроль за выполнением политик
Tenant VRF - Context
VRF - Context
Bridge Domain
Bridge Domain
Bridge Domain
EPG EPG
EPG EPG
EPG EPG
EPG
M/LB/SP Flags Flags/DRE VNID Source Group == EPG
DRE MCAST LB DL E SP DP
SP: Indicates Source Policy has been applied DP: Indicates Destination Policy has been applied
• ACI фабрика использует ориентированную на приложения модель политик
• Поле VXLAN Source Group используется как тег/метка для идентификации конкретного конечного объекта (ВМ/физ. порт) принадлежащего определенному EPG
• Политика применяется в направлении от source application tier (EPG) в сторону egress/destination application tier (EPG)
• Политика может применяться на источнике или получателе
35 © 2014–2015 Cisco and/or its affiliates. All rights reserved.
vSwitch (VMWare) vSwitch (MSFT)
vSwitch инкапсулирует пакеты, ассоциированные с EPG при помощи назначенного VLAN/VXLAN/NVGRE идентификатора
2
Если коммутатору Leaf известен исходящий EPG который ассоциирован с узлом назначения, то он реализует политику устанавливая в соответствующее значение бит в заголовке eVXLAN, показывающий, что входящая политика была применена к пакету
4
На основе классификации коммутатор Leaf формирует значение поля Source Group в eVXLAN заголовке
3
Payload IP NVGRE GRE IP
Коммутатор Leaf пересылает пакет vSwitch-у или подключенному напрямую физическому серверу.
7
Пакет идентифицируется как принадлежащий определенной end point group (EPG) на основе входящей классификации (port group, физический порт, IP адрес, VLAN)
1
Payload VNID Flags aVTEP SRC Group
Если политика приложения требует передачу пакета через сервисное устройство или цепочку таких устройств, то фабрика в качестве VTEP узла назначения указывает адрес коммутатора, в которому подключено сервисное устройство
5
Исходящий Leaf коммутатор проверяет был ли установлен policy флаг в заголовке eVXLAN и если требуется применяет политику
6
Реализация политик в ACI фабрике
Payload VNID Flags aVTEP SRC Group
Спасибо.
Top Related