Интеграция aci с виртуальными средами
TRANSCRIPT
Интеграция ACI с виртуальными средами
Максим Хаванкин системный архитектор, CCIE [email protected]
18 июня, 2015
Cisco Confidential 2 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ Концепция интеграции § Интеграция с VMware
§ Интеграция с Microsoft Hyper-V
§ Интеграция с KVM/OpenStack
§ Интеграция с Docker контейнерами
§ Бонус
Содержание
Cisco Confidential 3 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential 4 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Взаимодействие гипервизоров с ACI Два режима работы
§ ACI фабрика используется как IP-Ethernet транспорт
§ Инкапсуляция настраивается руками
§ Разные домены политик для физической и виртуальной среды
Non-Integrated Mode
VXLAN
10000 VLAN 10
§ ACI фабрика контролирует подключение в виртуальной среде
§ Инкапсуляция нормализуется и настраивается динамически
§ Единый домен управления для физической и виртуальной среды
APP WEB DB
Integrated Mode
DB
Cisco Confidential 5 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
vCenter DVS SCVMM
§ APIC контроллер и Virtual Machine Manager (VMM) интегрируются друг с другом
§ Несколько VMM могут подключаться к одной ACI фабрике
§ Каждый VMM ассоциируется с набором хостов
VMM Domain
§ Отношение 1:1 между виртуальным коммутатором и VMM Domain-ом
VMM Domain 1
Взаимодействие гипервизоров с ACI Концепция VMM Domain
vCenter AVS
VMM Domain 2 VMM Domain 3
Cisco Confidential 6 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
L/B
EPGAPP
EPG DB F/W
EPG WEB
Application Network Profile
VM VM VM
WEB PORT GROUP
APP PORT GROUP
DB PORT GROUP
Взаимодействие гипервизоров с ACI Концепция VMM Domain
APIC § ACI фабрика использует EPG для управления политиками
§ В виртуальной среде EPG может представлять собой порт виртуального коммутатора, к которому подключен vNIC виртуальной машины
§ VMM применяет сетевую конфигурацию сетевым интерфейсам виртуальных машин с использованием следующих объектов:
Port Groups (VMware) VM Networks (Hyper-V) Networks (OpenStack)
Cisco Confidential 7 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Взаимодействие гипервизоров с ACI Нормализация инкапсуляции
VXLAN VNID = 5789
VXLAN VNID = 11348
NVGRE VSID = 7456
Any to Any
802.1Q VLAN 50
Нормализация инкапсуляции
Локализация инкапсуляции
IP фабрика использует eVXLAN тег
Данные IP eVXLAN VTEP
• Весь трафик инкапсулируется при помощи extended VXLAN (eVXLAN) заголовка
• Внешний тег VLAN, VXLAN, NVGRE на входящем порту отображается во внутренний eVXLAN тег
• Внешние идентификаторы локализуются на уровне Leaf устройства или Leaf порта
• Возможность переиспользования, если требуется
Данные
Данные
Данные
Данные
Данные
Eth IP VXLAN Outer
IP
IP NVGRE Outer IP
IP 802.1Q
Eth IP
Eth MAC
Нормализация входящей инкапсуляции
APIC
Cisco Confidential 8 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
EP
EP
EP
EP
EP
EP EP
EP
EP
EP
EP
EP
EP
EP
VMM Domain 1 4K EPGs
VMM Domain 2 4K EPGs
16M Virtual Networks § VLAN ID дает возможность создать 4K уникальных EPG (12 бит)
§ Масштабирование пулами по 4K EPG
§ Выбор VMM домена для EPG на основе требований к миграции
§ Миграция (vMotion, Live migration) внутри VMM домена
Взаимодействие гипервизоров с ACI VMM домены и VLAN инкапсуляция
Cisco Confidential 9 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Взаимодействие гипервизоров с ACI Endpoint Discovery
ESXi с DVS
APIC
VMM
Control (vCenter API)
Передача данных
§ Виртуальные машины обнаруживаются двумя методами:
§ Control Plane Learning: Out-of-Band Handshake: vCenter API
Inband Handshake: хосты с поддержкой OpFlex (сегодня AVS и Hyper-V)
§ Data Path Learning: выучивание адресов на основе передавемых данных
§ LLDP используется для идентификации Virtual host ID (HV) и физического порта, к которому подключен гипервизор (для случаев когда OpFlex не используется)
OpFlex Host (ESXi с AVS или Hyper-V)
Control (OpFlex)
Передача данных
Cisco Confidential 10 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential 11 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Интеграция ACI и VMware vCenter Три режима интеграции
+
Distributed Virtual Switch (DVS) vCenter + vShield Manager Application Virtual Switch
(AVS)
• Инкапсуляция: VLAN • Установка: Native • Обнаружение VM:
LLDP • Software/Licenses:
vCenter с лицензией EnterprisePlu
• Инкапсуляция: VLAN, VXLAN
• Установка: Native • Обнаружение VM:
LLDP • Software/Licenses:
vCenter с лицензией EnterprisePlus, vShield Manager с лицензией vShield
• Инкапсуляция: VLAN, VXLAN
• Установка: VIB при помощи VUM или консоли
• Обнаружение VM: OpFlex
• Software/Licenses: vCenter с лицензией EnterprisePlus
Cisco Confidential 12 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Интеграция ACI и VMware vCenter Определение EPG при помощи Port-Group
§ VM подключаются к порт-группа, определенным для каждой EPG § Трафик инкапсулируется при помощи VLAN или VXLAN
VXLAN VNID = 5789
VXLAN VNID = 11348
802.1Q VLAN 50
Payload IP GBP VXLAN VTEP
VXLAN Leaf VTEP
802.1Q vSwitch
WEB PORT GROUP
APP PORT GROUP
vSwitch
WEB PORT GROUP
APP PORT GROUP
802.1Q VLAN 125
Payload IP Payload IP
Port-group создается для каждой EPG
+ ( (
Cisco Confidential 13 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
APIC Admin
VI/Server Admin Instantiate VMs, Assign to Port Groups
L/B
EPG APP
EPG DB
F/W
EPG WEB
Application Network Profile
Create Application Policy
Web Web Web App
HYPERVISOR HYPERVISOR
VIRTUAL DISTRIBUTED SWITCH
WEB PORT GROUP
APP PORT GROUP
DB PORT GROUP
vCenter Server / vShield
8
5
1
9 ACI Fabric
Automatically Map EPG To Port Groups
Push Policy
Create VDS 2
Cisco APIC and VMware vCenter Initial
Handshake
6
DB DB
7 Create Port Groups
Интеграция ACI и VMware vCenter: DVS
APIC
3
Attach Hypervisor to VDS
4 Learn location of ESX Host through LLDP
Cisco Confidential 14 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Southbound OpFlex API
VM VM VM VM
VEM
vSphere
vCenter
§ OpFlex Control protocol Протокол, контролирующий состояние Операции VM attach/detach, уведомления о состоянии канала
§ VEM как продолжение фабрики
§ С релиза vSphere 5.0 и выше § BPDU Filter/BPDU Guard § SPAN/ERSPAN § Сбор статистики § Remote Virtual Leaf (план)
Application Virtual Switch (AVS) Возможности по интеграции
Cisco Confidential 15 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Application Virtual Switch (AVS) Особенности режимов работы
Гипервизор
VM VM EPG App
No Local Switching Mode
VM VM EPG Web
Весь трафик через Leaf
Гипервизор
VM VM EPG App
Local Switching Mode
VM VM EPG Web
Inter-EPG трафик через Leaf
No Local Switching Mode • Все политики на Leaf коммутаторе • Только VXLAN • “FEX Enable Mode”
Local Switching Mode (рекомендуется) • Внутри EPG коммутация локальна • Поддерживает VLAN и VXLAN • “FEX Disable Mode”
Cisco Confidential 16 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
APIC Admin
VI/Server Admin Instantiate VMs, Assign to Port Groups
L/B
EPG APP
EPG DB F/W
EPG WEB
Application Network Profile
Create Application Policy
Web Web Web App
HYPERVISOR HYPERVISOR
Application Virtual Switch (AVS)
WEB PORT GROUP
APP PORT GROUP
DB PORT GROUP
vCenter Server
8
5
1
9 ACI Fabric
Automatically Map EPG To Port Groups
Push Policy
Create AVS VDS 2
Cisco APIC and VMware vCenter Initial
Handshake
6
DB DB
7 Create Port Groups
Интеграция ACI и VMware vCenter: AVS
16
APIC
3
Attach Hypervisor to VDS
4 Learn location of ESX Host through OpFlex
OpFlex Agent OpFlex Agent
Cisco Confidential 17 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Микросегментация на базе ACI EPG классификация при помощи атрибутов VM
• End Point Group (EPG) могут использовать несколько методов для классификации
• VM Port Group – это самый простой механизм классификации ВМ
• Атрибуты ВМ так же могут использоваться для классификации EPG
• Используется ACI релиз 11.1 с AVS (первоначальная доступность)
• Поддержка коммутаторов в гипервизорах VMware vDS, Microsoft vSwitch, OVS (планируется)
Атрибуты ВМ Guest OS
VM Name
VM (id)
VNIC (id)
Hypervisor
DVS port-group
DVS
Datacenter
Custom Attribute
MAC Address
IP Address
vCenter VM
Attributes
VM Traffic
Attributes
Cisco Confidential 18 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Распределенный межсетевой экран на базе ACI
Provider B
Consumer A
Src class Src port Dest Class Dest port Flag Action
A * B 80 * Allow
B 80 A * ACK Allow
• Создание новой записи внутри «flow table» • Передача пакета на leaf коммутатор
Коммутатор Leaf реализует stateless policy
Аппаратная политика разрешает передачу пакета
При получении пакета TCP SYN создается новая запись
Пакет передается VM
• Получен пакет от VM • Поиск внутри «flow table»
VLAN Proto Src ip Src port Dst IP Dst port
A tcp IP_A 1234 IP_B 80
A tcp IP_B 80 IP_A 1234
VLAN Proto Src ip Src port Dst IP Dst port
B tcp IP_A 1234 IP_B 80
B tcp IP_B 80 IP_A 1234
Если уже есть запись то пакет передается на коммутатор Leaf
Применение политики на Leaf
Отслеживание состояния на AVS
Ответ от VM Поиск в таблице
Reflexive policy на коммутаторе разрешает передачу обратного пакета
AVS AVS
Cisco Confidential 19 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential 20 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Интеграция решений Microsoft и ACI Два режима интеграции
• Управление политиками: посредством APIC
• Software / License: Windows Server с HyperV, SCVMM
• Обнаружение виртуальных машин: OpFlex
• Инкапсуляция: VLAN, NVGRE (План) • Установка plugin-а: в ручную
Интеграция с SCVMM
APIC
Интеграция с Azure Pack
APIC
• Расширение возможностей SCVMM • Управление политиками: посредством
APIC или через Azure Pack • Software / License: Windows Server с
HyperV, SCVMM, Azure Pack (бесплатно)
• Обнаружение виртуальных машин: OpFlex
• Инкапсуляция: VLAN, NVGRE (План) • Установка plugin-а: интегрирована
+
Cisco Confidential 21 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Opflex – открытое управление элементами фабрики ACI
ПРОТОКОЛ OPFLEX + ЭКОСИСТЕМА
OPEN SOURCE Открытый код, доступный всем
ЭКОСИСТЕМА Широкая и постоянно расширяющаяся поддержка производителей включая гипервизоры, сетевые устройства L4-7
СТАНДАРТ Стандартизация Opflex в IETF
APIC
OPFLEX
ЗАЩИТА ИНВЕСТИЦИИ ЗА СЧЕТ ВОЗМОЖНОСТИ ЛЮБОМУ УСТРОЙСТВУ ИНТЕГРИРОВАТЬСЯ В ФАБРИКУ CISCO ACI
L4-7 DEVICE
КОММУТАТОР ГИПЕРВИЗОРА
Cisco Confidential 22 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
APIC
OpFlex: открытый, расширяемый протокол
OPFLEX ОБЕСПЕЧИВАЕТ:
Политики: • Кто и с кем может говорить
• О чем?
• Ops requirements Абстракцию политик вместо device-specific конфигурации 1. Гибкость и расширяемость с использованием XML / JSON 2.
Поддержку любых устройств, включая виртуальные коммутаторы, физические коммутаторы, МСЭ, обеспечивая совместимость между продуктами различных производителей
3.
Открытый и стандартизированный API с реализации в open source 4.
OPFLEX PROXY
OPFLEX AGENT
OPFLEX AGENT
OPFLEX AGENT
HYPERVISOR SWITCH ADC FIREWALL
Cisco Confidential 23 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Сетевое устройство интерпретирует политику и отображает ее на возможности оборудования
Как работает OpFlex
POLICY APIC Владелец политик, например APIC, создает логическую модель желаемого состояния политики (logical model of desired state)
HARDWARE
PORTS, VLANS, INTERFACES
SUBSET OF POLICY
4
IMPLICIT RENDER
POLICY UPDATE
POLICY RESOLUTION 3 2
1
Cisco Confidential 24 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
APIC Admin
SCVMM Admin Instantiate VMs, Assign to VM Networks
L/B
EPG APP
EPG DB F/W
EPG WEB
Application Network Profile
Create Application Policy
MSFT SCVMM
8
5
1
9 ACI Fabric
Automatically Map EPG To VM Networks
Push Policy
Create Virtual Switch
2
Cisco APIC and MSFT SCVMM Initial
Handshake
6
Интеграция MSFT SCVMM и ACI
APIC
3 Attach Hypervisor to Virtual Switch
4 Learn location of HyperV Host through OpFlex
HYPERVISOR HYPERVISOR
OpFlex Agent
HYPER-V VIRTUAL SWITCH
7 Create VM Networks
OpFlex Agent
WEB VM NETWORK
APP VM NETWORK
DB VM NETWORK
Web Web App App DB
24
Cisco Confidential 25 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Интеграция с SCVMM Интеграция с SCVMM концептуально ничем не отличается от интеграции с vCenter от VMware. APIC получает всю информацию о виртуальных машинах с Hyper-V хостов, зарегистрированных на APIC при помощи протокола Opflex APIC создает виртуальные сети внутри SCVMM когда VMM domain подключается к EPG
Cisco Confidential 26 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Интеграция с SCVMM 2 виртуальных машины в одном EPG
Виртуальные машины на гипервизорах ESXi и Hyper-V:
Cisco Confidential 27 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Интеграция Microsoft Azure Pack и ACI
27
§ Для этого режима интеграции с Microsoft требуется: Windows Server 2012 Systems Center 2012 R2 с SPF
Windows Azure Pack § Azure Pack обеспечивает централизованное определение, настройку и управление облачными сервисами
§ Состоит из портала администратора (Admin) и портала самообслуживания (Tenant)
§ Cisco ACI Service Plugin использует APIC REST API
R2 w/ Service Provider Foundation
Web Sites
Service Plans Users
Порта админа
Портал пользователя
Web Sites Apps Database VMs ACI
Service Provider Пользователь
VMs SQL Service Bus …
Cisco Confidential 28 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
APIC Admin (Basic Infrastructure)
Azure Pack Tenant Admin
3
6
ACI Fabric
Push Network Profiles to APIC
Pull Policy on leaf where EP attaches
Indicate EP Attach to attached leaf when VM starts (via OpFlex)
1
2
HYPERVISOR HYPERVISOR HYPERVISOR
Интеграция Azure Pack и ACI
APIC
Get VLANs allocated for each EPG
Create Application Policy
7
Azure Pack \ SPF
SCVMM Plugin APIC Plugin OpFlex Agent OpFlex Agent OpFlex Agent
Instantiate VMs
5
1
4Create VM Networks
4
Web Web Web Web App App DB DB 28
Cisco Confidential 29 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Отображение объектов ACI и WAP
Cisco ACI Microsoft Windows Azure Pack
Tenant Subscriber ID
EPG VM Network
Contract Firewall
Cisco Confidential 30 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Сценарии использования ACI и Azure Pack Разделяемый балансировщик нагрузки между WAP контейнерами (tenants)
Разделяемый балансировщик
нагрузки
Tenant 1 EPG1 Application Servers
VIP1 для EPG1
Tenant 2 EPG 2 Application Servers
VIP2 для EPG2
• Разделяемый балансировщик нагрузки размемещается в ACI Tenant Common • Интеграция при помощи device package • Поддерживаемые устройства: F5 и Citrix
Cisco Confidential 31 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Сценарии использования ACI и Azure Pack Разделяемые сервисы между WAP контейнерами (tenants)
Tenant 1
Провайдер • Интеграция поддерживает концепцию разделяемых между ACI-тенантами сервисов
• Один из тенантов может быть наделен правом публиковать разделяемые сервисы
• Другие тенанты могу быть наделены правами потреблять сервисы
• Для работы сценария требуется использование правильной схемы адресации
• Централизованное управление
• Пространства адресов, которые не пересекаются
Tenant 2
Tenant 3
Tenant 4
Потребитель
FTP
DB
NFS
Cisco Confidential 32 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Сценарии использования ACI и Azure Pack Портал администратора: разделяемый балансировщик и сервисы
F5 или Citrix являющиеся частью ACI фабрики
Разделяемые сервисы
Cisco Confidential 33 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Сценарии использования ACI и Azure Pack Портал пользователя: управление интеграционными возможностями
Вычислительные и сетевые ресурсы, к которым есть доступ
Application Network Profile создается средствами Azure Pack, и настраивается на APIC при
помощи REST API
Доступные пользователю ACI объекты
Cisco Confidential 34 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential 35 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Два варианта использования OpenStack API
NEUTRON ROUTER
SECURITY
GROUP
NEUTRON NETWORK
Neutron API Group Policy API
NE
UTRO
N NE
TWOR
K
Port
Port
Tenant Tenant
Используется существующий Neutron API с контроллером APIC и
Cisco ACI фабрикой
Contract
GROUP
SERVICE CHAIN
GROUP
Конструкция Group Policy предлагает новый API который напрямую использует модель политик ACI (Juno Release)
Cisco Confidential 36 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
APIC драйвер отображает: • Network -> EPG • Router -> Context
OpenStack APIC Plugin – neutron (Фаза № 1)
APIC APIC Plugin
APIC Driver OVS Driver
Neutron Networking
Host 1
OVS
Network B V(X)LAN
101 10.0.1.0/24
Network A V(X)LAN
100 10.0.0.0/24
IPTables Host 2
OVS
Network C V(X)LAN
102 10.0.2.0/24
Network A V(X)LAN
100 10.0.0.0/24
IPTables Host 3
OVS
Network B V(X)LAN
101 10.0.1.0/24
Network A V(X)LAN
100 10.0.0.0/24
IPTables Host 4
OVS
Network C V(X)LAN
102 10.0.2.0/24
Network A V(X)LAN
100 10.0.0.0/24
IPTables
IP tables для контроля безопасности
ACI фабрика обеспечивает распределенный L2 и L3 (без L3 агента). Туннели терминируются на ToR коммутаторах.
OVS терминирует VLAN / VXLAN теги для каждой сети
OVS драйвер выбирает VLAN / VXLAN тег для каждой сети и настраивает OVS
APIC REST API
Cisco Confidential 37 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
APIC Admin (Performs Steps 3)
OpenStack Tenant (Performs Steps 1,4)
Instantiate VMs
Create Application Policy
Web Web Web Web App App 4
3
5 ACI Fabric
Automatically Push Network Profiles to APIC
Push Policy
Create Network, Subnet, Security Groups, Policy
NETWORK
SUBNET
SECURITY
1
2
DB DB
HYPERVISOR HYPERVISOR HYPERVISOR
NOVA
NEUTRON
OPEN VIRTUAL SWITCH OPEN VIRTUAL SWITCH OPEN VIRTUAL SWITCH
APIC
37
Интеграция OpenStack и APIC (Фаза № 1)
37
Cisco Confidential 38 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
APIC Plugin: отображение сущностей Neutron и APIC (Фаза № 1)
Объект Neutron Объект APIC
Project Tenant
Network EPG
Subnet Subnet
Security Group + Rule N / A (handled by host)
Router Context
Network:external Outside
Cisco Confidential 39 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ 100% open source, проект по лицензии Apache для OpenStack
§ Интерфейс для описания желаемого состояния приложения
§ Создан сообществом разработчиков нескольких компаний
Представляем Group-Based Policy
Policy Rules Set Web Group
Classifier Action
FIREWALL
DB Group
Classifier Action
Service Chain
Модель групповых политик
Cisco Confidential 40 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Что было улучшено при помощи GBP?
§ Определение сервисной цепочки по которым данные должны передаваться между компонентами приложения
Поддержка сетевых сервисов
§ Само-документирование взаимосвязей между различными компонентами приложения
Возможность определить взаимосвязи
Сервис A
СервисC
Сервис A потребляет ресурсы сервисов B и C
Сервис B
Сервис A
Сервис C
МЕЖСЕТЕВОЙ ЭКРАН
§ Разделение API на низко и высоко уровневые
§ Две зоны ответственности: tenant admin и operator
Разделение зон ответственности
Сервис A
Сервис C
Абстракция при помощи API
Низкоуровневые API
Operator / Admin
OpenStack Tenant
Cisco Confidential 41 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Neutron Driver - отображает GBP на существующие Neutron API и обеспечивает совместимость с любым Neutron Plugin
Native Driver – существует для OpenDaylight а так же различных производителей (Cisco, Nuage Networks и One Convergence)
OpenStack GBP обзор
Group Policy
CLI Horizon Heat
Neutron Driver
Neutron Любой существующий плагин и ML2 драйвер
Открытая модель, обеспечивающая совместимость с физической и виртуальной
инфраструктурой
Native Driver 1
1
2
2
Архитектура на основе драйверов
Cisco Confidential 42 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Модель Group-Based Policy Policy Group: набор виртуальных машин с одинаковыми характеристиками. Например, компоненты приложения (application tier).
Policy RuleSet: Набор из Classifier / Actions описывающих взаимодействие между Policy Group.
Policy Classifier: фильтр для трафика, включает протокол, порт и направление передачи.
Policy Action: описывает набор действий, в случае если трафик отвечает условиям классификации, например трафик передается дальше без доп. действий “allow” или перенаправляется на сервисное устройство “redirect”
Service Chain: упорядоченный набор сервисных устройств через которые передается трафик
L2 Policy: определяет границы домена коммутации. Опциональное включение режима «broadcast»
L3 Policy: изолированное адресное пространство, содержащее L2 Policies / Подсети
L3 Policy
Policy Rule Set
Policy Rule Policy Rule
Service Chain
Classifier Action
Classifier Action
L2 Policy
Policy Group
Policy Target
Policy Target
Policy Target
Policy Group
Policy Target
Policy Target
Policy Target
L2 Policy
provide consume
Node Node
Cisco Confidential 43 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
APIC драйвер создает сетевой профиль приложения
OpenStack APIC Plugin – group Policy (Фаза № 2)
APIC
Host 1
OVS
Network B V(X)LAN
101 10.0.1.0/24
Network A V(X)LAN
100 10.0.0.0/24
IPTables Host 2
OVS
Network C V(X)LAN
102 10.0.2.0/24
Network A V(X)LAN
100 10.0.0.0/24
IPTables Host 3
OVS
Network B V(X)LAN
101 10.0.1.0/24
Network A V(X)LAN
100 10.0.0.0/24
IPTables Host 4
OVS
Network C V(X)LAN
102 10.0.2.0/24
Network A V(X)LAN
100 10.0.0.0/24
IPTables
IP tables для контроля безопасности
ACI фабрика обеспечивает распределенный L2 и L3 (без L3 агента). Туннели терминируются на ToR коммутаторах.
OVS терминирует VLAN / VXLAN теги для каждой сети
OVS драйвер выбирает VLAN / VXLAN тег для каждой сети и настраивает OVS
Group Policy Extensions
OVS Driver
Neutron Networking
APIC Group Driver
Group Policy extension расширяет существующий neutron APIs
APIC REST API
Cisco Confidential 44 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Group Based Policy Workflow
2
ACI Admin (manages physical
network, monitors tenant state)
L/B
EPG APP
EPG DB F/W
L/B
EPG WEB
Application Network Profile
Create Application Policy
3
5 ACI Fabric
Push Policy
APIC
OpenStack Tenant (Performs step 1,4) Instantiate VMs
Web Web Web Web App App 4
Create Application Network Profile
1
DB DB
HYPERVISOR HYPERVISOR HYPERVISOR
NOVA
NEUTRON
Automatically Push Network Profiles to APIC
L/B
EPG APP
EPG DB F/W
L/B
EPG WEB
Application Network Profile
Интеграция OpenStack и APIC (Фаза № 2)
Cisco Confidential 45 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
§ Семинар 24 июня в рамках Cisco Expo Learning Club
§ http://ciscoclub.ru/events/grid/24/all/all
Детали по интеграции с OpenStack
Cisco Confidential 46 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential 47 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
SECURITY
Trusted Zone
DB Tier
DMZ
External Zone
APP DB WEB EXTERNAL ACI Policy
ACI Policy
ACI Policy
Вариант № 1: поддержка контейнеров в решении ACI на базе модели политик и протокола OpFlex на коммутаторе OVS (план)
! ! !FW
ADC
Virtual Machines Docker Containers Bare-Metal Server
HYPERVISOR HYPERVISOR HYPERVISOR
ACI Virtual Leaf: OpFlex + OVS
Application Network Profile
47
Cisco Confidential 48 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
ACI Fabric
EPG A
EPG B
EPG = VLAN
ACI Contract 1) Load the ACI Toolkit on your machine (documentation is at http://datacenter.github.io/acitoolkit/docsbuild/html/genindex.html)
2) Run the Toolkit to automate the following:
1) Create the ACI constructs: Tenant, BD, context, Application Network Profile, EPG, Contract
2) Attach physical interfaces to EPG(s)
3) Create a VLAN interface:
4) Attach the logical interface (VLAN) to the Physical Interface 5) Attach the EPG to the logical interface
Вариант № 2: поддержка контейнеров при помощи конструкции MACVLAN на Linux
48
Cisco Confidential 49 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
ACI Fabric
! !! ! ! !! ! ! ! !
20
20
30
30
EPG A
EPG B
EPG = VLAN
ACI Contract
3) Example with LXC
# Show the EPGs on the APIC aci-show-epgs.py # Create the container lxc-create --template ubuntu --name container_name # Attach the container to the EPG aci-attach-epg.py --container container_name --epg epg_name # Start the container lxc-start --name container_name
4) Example with Docker “docker run” with “macvlan” network type • allows to map the docker container (MAC) to a VLAN by the “fire up” of
the Docker container • VLAN got previously mapped to EPG via interface (physical or trunk) • Connectivity is done without “virtual switching” which increases
performance • cross-server / cross-racks policy consistency granted via ACI.
• P.S.: you may consider to previously run a network type “empty” to remove the masquerade rule and not have the default docker0 associated with br0 linux bridge
Вариант № 2: поддержка контейнеров при помощи конструкции MACVLAN на Linux
49
Cisco Confidential 50 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Confidential 51 © 2013-2014 Cisco and/or its affiliates. All rights reserved.
4 разных типа интерфейсов в одном EPG
§ ESX – распределенный коммутатор VMware (VLAN)
§ ESX – коммутатор AVS от Cisco ( VXLAN)
§ Hyper-V – коммутатор от Microsoft (VLAN)
§ Порт физического сервера (VLAN)
Спасибо!