思科ACI以应用为中心的架构UCS Director统一融合基础架构介绍

ACI&UCSD,解决方案部田波,ACI以应用为中心的基础架构,ACI组件与概念ACI与传统网络的对比ACIFabric的转发ACI的控制器APIC,ACI组件与概念,ACIFabric,ApplicationPolicyInfrastructureController,Non-BlockingPenaltyFreeOverlay,4,ACI组件-对无状态硬件的逻辑网络配置,End-PointGroup(EPG)是ACI策略实施的基本单元,HTTPSService,HTTPSService,HTTPSService,HTTPSService,HTTPService,HTTPService,HTTPService,HTTPService,EPG-Web,EPGsareagroupingofend-pointsrepresentingapplicationorapplicationcomponentsindependentofothernetworkconstructs.,5,End-Points与EPG分类,设备总是直接或间接连接在网络上设备具有address(identity),location,attributes(version,patchlevel)设备可为物理的或虚拟的举例:EndPointGroup(EPG)membershipdefinedby:Ingressphysicalport(leaforFEX)Ingresslogicalport(VMportgroup)VLANIDVXLAN(VNID)IPaddress(onlyapplicabletoexternal/borderleafconnectivityatFCS)IPPrefix/Subnet(onlyapplicabletoexternal/borderleafconnectivityatFCS)NVGRE(VSID)(future)DNSname(future)Layer4ports(future),6,举例:EPGs,SubnetsandPolicy,EPGsseparatetheaddressingofanapplicationfromitsmappingandpolicyenforcementonthenetwork.,10.10.10.x,10.10.11.x,Policy/SecurityenforcementoccursattheEPGlevel,HTTPSService,HTTPSService,HTTPSService,HTTPSService,HTTPService,HTTPService,HTTPService,HTTPService,EPGWeb,7,EPGs将应用从IP地址中解耦合出来，使得应用与IP地址无关，与网络设备连接位置无关,ApplicationNetworkProfiles(ANP),Inbound/OutboundPolicies,Inbound/OutboundPolicies,ApplicationNetworkProfile,ApplicationNetworkprofiles是一组EPGsand用于定义它们之间通讯的策略,=,EPG-WEB,EPG-APP,EPG-DB,8,ACI逻辑模型,Context,Tenant,9,ACI支持多租户Multi-Tenants。一个Tenant包括多个业务系统(Context)。一个Context由多个ANP组成。一个ANP包括了一组应用EPGs以及EPG互访策略。EPG代表了与IP和位置无关的应用。EPG互访策略代表了网络策略或服务。,在EPGs之间实施策略:ACIcontracts,EPGA,EPGB,EPGC,Contract02,策略模型可支持双向或者单向的策略,Contracts定义了EPGs交互的方式.,UnidirectionalCommunication,BidirectionalCommunication,Contract01,Ex:ACILogicalModelappliedtothe“3-TierApp”ANP,10,建立ACIContracts,Subjects是包括了Afilter,anactionandalabel的组合,Contracts定义了源和目标EPGs之间的通讯。,Contracts是多个Subjects组，Subject定义了EPGs之间的通讯。,11,Contracts包括了三种类型：RegularContractsOutOfBandContractsTabooContracts,Filters支持L2-L4的属性，如：EthertypeIPprotocoltypeTCPflagsApplicationports,EPGs通讯策略的结果:Actions,支持6种通讯结果:允许该数据流阻断该数据流重定向该数据流记录该数据流拷贝该数据流标记该数据流的QoS属性(DSCP/CoS),Policy包括了数据流的处理、QoS、安全监控、记录。,12,举例:Contract模型,ApplicationNetworkProfile,13,10.10.40/24,10.10.30/24,10.10.20/24,10.10.10/24,VLAN40010.10.40/24,VLAN30010.10.30/24,VLAN20010.10.20/24,VLAN10010.10.10/24,传统的网络模型,ACI的网络模型,EPG100,EPG200,EPG300,EPG400,EPGsACI带来了真正的网络抽象,14,ACI以应用为中心的基础架构,ACI组件与概念ACI与传统网络的对比ACIFabric的转发ACI的控制器APIC,ACI控制器APIC,VMsonComputeNodes,NeutronCiscoApplicationPolicyInfrastructureController(APIC)DriverandPlugin,17,NeutronServer,NeutronCoreplugin(ML2),CiscoAPICDriver,APIC,VMsonComputeNodes,vSwitchDriver,ACISpine/LeafSwitches,RESTAPI,Network:EPG,Router:Contract,ProvidesdistributedL2,L3functionality,DevelopingIntegrationwithAPICUsingOpenStackNeutronGroupPolicyAPI,vswitch,APIC可以集中控制虚拟化层和物理层-CiscoIAC&OpenStackBase,vDS,PortGroup,VMM会在VM创建的时候，更新APIC的终位置信息,ARP/DHCP,数据层面的学习,(location,identity)advertisedfromLeaftospineproxyusingZeroMQ(ZeroMessageQueue),COOP,APIC控制层面地址学习,终端位置以及终端类型映射实现方法如下：APIC手动配置或编程定义映射VMM程序获取位置与类别DHCP报文可以获取ARP以及RARP可以学习Leaf节点的数据层面学习Leaf节点将学习到的内容传递给Spine代理,ACI控制器上定义BridgeDomain的转发特性,classicLayer2switching,Advancedhostbasedforwarding,L3forwardingtable/IPspace,ACIFabric的转发与配置,今天你是如何配置网络的?,创建VRF配置多个VLAN来隔离服务器配置多个VLANInterface并指定VRF配置IPaddress配置ACLs以控制数据流在上联接口上配置Trunk并指定允许的VLANs,21,PhysicalNetwork,LogicalConfiguration,VLANsegments,VRFs,将刚才的逻辑模型真正配置到物理网络设备中,22,在每一台交换机上配置VLANs在每一台汇聚交换机上配置VRF在每一台汇聚交换机上配置IP地址，配置HSRP在每一条链路上配置VLAN或者Trunk在每一台交换机上配置ACLs维护VLANServer的对应关系/TenantMapping,PhysicalNetwork,Entitiesthatneedtobeconfiguredandmaintainedconsistent,在大型网络中传统做法非常复杂,需要配置的点增多了在大型网络中维护VLANtrunking/VRFmappings容易出错部署和维护逻辑网络的时间?如何清除配置?,23,在ACI中实现同样的事情,24,PushittoAPICDone,最终结果,25,ItdoesntmatterwhereworkloadsAre,the“policy”staysthesame,Borderleaves,支持FEX+VPC组网架构：所有基于VTEPorNON-VTEP都可接入FEXAVSorVDS只支持PortChannel形式分别连接到两台ACIfabric中的FEX，不支持直连（PS：与传统VPC架构有区别）,可扩展标记语言XML下发：FEXPOLICYSAMPLE,VPC成员VNI一致性检查（举例）：一台交换机有一个VLAN到VXLAN的VNI的映射，另外一台交换机没有VLAN的映射两台交换机的VLAN映射到了不同的VNI,成员VNI必须完全一样；如果两台VPC交换机的一些VNI不是共有的，将会关闭相应的VLAN；一致性检查不通过，VPC会挂起所有VLAN，也就是网断了！,BudNodeTopology,VXLANVNI使用组播组。,从主机1-主机2的VXLAN组播封装的流量，VTEP-1进行反向路径检查组播组，然后VXLAN解封装；对于从主机1-主机3的VXLAN组播组封装的流量，VTEP-1是一个IP传输设备传输组播报文。它基于外层的IP地址转发并执行反向路径检查和报文转发。当这2个角色在一台同样的设备上碰撞，这台设备就是一个budnode。,ALE可以成为budnode。,incoming和translatedVLAN配置转换,ConfiguringPortVLANMappingonaTrunkPort在Trunk端口上配置端口vlan映射,可以在一个端口上的incoming和translatedVLAN配置转换。对于到达开启VLAN转换功能的接口的流量，incomingvlan被映射到支持VXLAN的translatedVLAN；底层网络架构，被映射到VNI之后，内部dot1q的标签被删除，并且交换到vxlan网络；在出向交换机上，VNI被映射到translatedVLAN。在出向端口上（端口开启translatedVLAN功能），流量转换成原始VLAN帧，然后转发出去。VLAN在translatedVLAN上为流量计数做计数，而不是在ingressVLAN。PV映射是一个接入侧的特性，并且支持所有的对于泛洪和学习的组播和入向复制以及BGPEVPN的VXLAN模式。对于VLAN映射的注意点：Incomingvlan不需要在交换机上被配置为VLAN。translatedVLAN需要被配置并且VN分段映射需要给定；左右的二层的源地址学习和二层MAC目的地址查找发生在translatedVLAN.VLAN在translatedVLAN上为流量计数做计数，而不是在ingressVLAN；PVSwitching和PVrouting在FEX端口不支持；9300系列PV在40G端口不支持；PVrouting支持在一个translatedVLAN上配置一个SVI接口去泛洪和学习以及BGPEVPN的VXLAN模式；当在translatedVLAN上改变一个属性，一个端口已经用translatedVLAN映射了配置，此时需要斟酌再三配置。首先:确定VLAN转换的端口是一个L2的trunk口，确保translatedVLANs在交换机上创建并且添加到allowedvlan-list中去。最后确保所有的translatedVLAN是VXLAN-enable的。所有VLANID都是1-4094范围。,在一个Trunk端口上配置内层和外层标签的映射,可以配置一个VLAN转换：在端口上发生在内层和外层VLAN与translatedVLAN之间。可以做双tagvlan的转换。支持VXLAN。配置内层vlan和外层vlan的注意点如下：1，内层和外层vlan不能在vlanallowed的list里面。2，在同样的端口上，没有两个映射的配置有相同的外层vlantranslatedVLAN；多个内层+外层的VLAN映射可以有相同的内层VLAN。,创建NVE接口并关联VNI,NVE的接口是一个overlay接口，终结VTEP隧道的。一台交换机只可以一个NVE接口。,ConfiguringQ-in-VNI配置Q-in-VNI,用Q-in-VNI可以通过映射一个特定的端口去区分流量。在多租户环境下，你可以为一个租户指定一个端口，并且在VXLANoverlay网络上收发报文。关于Q-in-VNI的配置：1，支持VXLAN桥接2，dot1q模式不支持40G端口的93与953，不支持FEX,VerifyingtheVXLANConfiguration查看VXLAN配置,Overlay内部与外部路由交换采用MP-BGP路由反射，将Overlay子网路由发布到非虚拟化网络,Overlay网络以及非overlay网络互联,不关心封装格式,灵活智能的控制层面APIC控制层面协商封装格式的交换能力支持多种封装形式的网关(NVGREVXLAN)迎合最优的流量模型,ACIFabric中的VXLAN封装区别-VXLAN支持需要N9K交换机购买N9X(3or5)-LAN1K9,免费ARP&设备迁移,一台leaf节点下的虚机或物理机发生了迁移？ACI是如何应对这段时间内的流量转发的？,VM迁移后所连接的leafASIC会转发一个免费ARP至原先迁移前的leaf交换机原leaf交换机会注入一条跳跃路由重定向流量到新的VTEP节点直到所有的leaf知晓迁移的发生,免费ARP&设备迁移,vSwitch(VMWare),vSwitch(MSFT),ACI单播报文转发流程,对称与非对称IRB路由桥接,对称性IRB路由桥接,Layer3-VNI以及RouterMac,泛洪形式下的VXLAN行为,ARP帧从终端发出,ARPPayload,ARP帧转发给目标终端,Leaf节点使用ARP包头中的目标IP地址，查询该主机位于哪个Leaf节点，然后建立到该Leaf节点的VXLAN隧道,Fabric如何规避ARP泛洪,VXLAN泛洪和学习：发现与地址学习,VXLAN泛洪和学习VSFabricpath,分布式三层网关,VXLANBGPEVPN控制层,通过BGPEVPN去分发MAC地址可达性信息去优化相关的二层未知单播帧的泛洪，这种优化是通过BGP-EVPN分发，本地缓存到接入交换机，最后广播报文本地应答。独立特定的标准规格的APIC控制层面：NLRI和隧道端点主动分发主机mac可达性报文减少未知单播泛洪提供IPMAC映射抑制本地ARP主机移动性单一的addressfamily去分发L2和L3层的路由可达信息L2与L3的分片流量：流量分隔通过VXLAN的封装，VNI作为分隔符号。,分布式独立网关转发BGPRR,对于给定的租户子网来说，所有的跨fabric的入向接口和默认网关接口共享一个相同的IP地址和MAC地址每个网关支持VXLAN的包头封装与解封装,-RDRT,VM1发送ARP请求到默认网关TOR收到额ARP请求，引擎会将MAC/IP信息分发给其他节点TOR扮演了ARP代答角色：GW_MACtoVM1,VM1ARPCache0-GW_MAC,SVIIPAddress(VRFBlue)MAC:0000.dead.beefIP:,rib,分布式三层网关实现,VM1生成去往PM2IP(0)的报文，目的MAC：GW_MACTOR接收到报文并进行三层地址查找TOR封装VXLAN头部信息(DestinationVTEP,VNI,etc)并且在Fabric内部转发报文，注意：转发过程遵循多链路等价目的TOR接收报文，拆掉VXLAN头部，进行二层表项查找，并转发报文至PM2,0-PM2_MACPM2_MAC-eth1/32,分布式三层网关实现,分布式三层网关-Anycast网关,分布式三层网关-ARP抑制,分布式三层网关-MPBGPEVPN多租户环境下外部路由连接（BGP-OSPF),ConfiguringStaticMACforVXLANVTEP在VXLANVTEP上配置静态MAC,StaticMAC在控制层为BGPEVPN-（开启VNI）,江苏师范大学数据中心统一管理与自动化布署,田波,CiscoUCSDirector,CiscoUCSDirector提供的解决方案,实时的自动化布署,策略导向的配置,UCSDirector,单一接口统一管理端到端的自动化管理,物理层,CiscoNexus,UCSCentral,虚拟层,所面临的挑战:人工手动配置网络、计算、存储、虚拟化统一管理资源的回收与再利用部门之间繁琐的沟通协调结果:过长时间的业务布署无法及时推行业务至市场高OPEX基础设备资源无法充分有效利用,复杂的IT程序:传统布署业务的流程,3,4,5,6,UCSDirector部署指南,UCSDirectorOVF安装,UCSDirector系统环境要求,部署OVF文件,思科UCSDirector为64-bit虚机文档并使用标准OVF模版1.下载UCSDirectorVMwareOVF模版（当前最新为5.1版本）,部署OVF文件,调整UCSDirector虚机资源,调整CPU、MEM和磁盘空间,点击“Options”，选择VMwareTools,选择Synchronizeguesttimewithhost,开启虚机，配置相应的静态IP地址,Login进入UCSDirectorShellportal进行系统维护(shelladmin/changeme),UpgradeUCSDirector,sshUCSD(shelladmin/changeme)在升级之前先要停止服务并进行备份。,SELECT3Doyouwanttostopservicesy/n?:y,Selectanumberfromthemenubelow1)ChangeShellAdminPassword2)DisplayServicesStatus3)StopServices11)ShowVersion19)ApplyPatch,将升级文件上传到FTP或HTTP服务器，选择ApplypatchSELECT19ApplyingPatch.Doyouwanttotakedatabasebackupbeforeapplyingpatchy/n?N（如果之前有数据需要备份）Userselectedoptionnottotakebackup,proceedingwithapplyingpatchApplyingPatch:PatchURL:ftp:/ucsd:ucsd/cucsd_patch_5_0_0_1.zipApplyingthePatchftp:/ucsd:ucsd/cucsd_patch_5_0_0_1.zipy/n?y,SELECT11CiscoUCSDirector-Version:BuildNumber:50132,UCSDirector配置,UCSDirector配置流程,Step1,Step2,Step3,HTTP方式登入UCSDirector管理操作接口如下(admin/admin),License,如给用户Demo，可申请60天许可：,设置用户及用户组,可修改管理员用户角色以及输入