14 | 04 | 2020

Automatización de redes de datos, ¿cómo Cisco ACI ofrece una plataforma de redes ágil?

Escribimos este blog como una actualización o guía rápida basada en la cantidad de recursos y publicaciones de Internet. Todos tenemos una interpretación diferente del mismo objetivo, pero a veces es bueno verificarlo con lo que otros puedan pensar.

Cisco ACI para empresas en centros de datos

En el mundo de las redes, todo el mundo habla o utiliza la Infraestructura centrada en aplicaciones (ACI). Comencemos con algunas preguntas.

¿Qué es Cisco ACI?

ACI significa Application Centric Infrastructure y es la solución Cisco SDN para el entorno del centro de datos. ACI es una forma de crear un marco común basado en políticas para el entorno de TI. Específicamente en los dominios de aplicaciones, redes y seguridad. Se basa en políticas: un conjunto de pautas o reglas que determinan un curso de acción. Un ejemplo sería: el tráfico que va de un servidor web al host final debe pasar a través de un firewall. Intente visualizar, como QoS, seguridad y SLA

¿Cuáles son las características / beneficios clave?

  • Automatización
  • Enfoque en las aplicaciones
  • Capacidades de integración
  • Virtualización
  • Redes de contenedores
  • Orquestación
  • Redes públicas en la nube

¿Por qué ACI?

  • Topología hoja-espina-hoja: simple y escalable
  • ECMP: enrutamiento de Ethernet en modo activo / activo
  • Optimización de tráfico este-oeste, puerta de enlace Anycast en cada hoja
  • Microsegmentación: ¿la misma subred? ¡No es un problema en absoluto!
  • Seguridad: política de lista blanca por defecto

¿Cuáles son los componentes de ACI?

  • Switches -> Roles: hojas y espinas
  • Modos Nexus 9K: ACI para ACI y NX-OS para uso independiente
  • Controladores: Controlador de infraestructura de políticas de aplicación (APIC). Servidor UCS-C -> varias capacidades para diferentes tamaños de tejido. No se permite hardware que no sea de Cisco; no funcionará.

Arquitectura ACI

Por favor, vea la figura a continuación. La regla de oro es que Interruptores de columna debe estar conectado a todos los interruptores Leaf y viceversa. Sin embargo, los Spine no están conectados entre sí y Leaves tampoco puede conectarse. Los servidores solo se pueden conectar a Leaves y NO a Spines. Si un servidor está conectado a la columna vertebral, MCP (Protocolo de cableado incorrecto) lo detectará y detendrá la conexión. LLDP (Protocolo de descubrimiento de capa de enlace) no permitirá conexiones Spine <> Spine y Leaf <> Leaf

Topología de la columna vertebral

  • Tela basada en IP de 40 Gbps con superposición de VXLAN integrada -> capacidad para 100 Gbps
  • Tejido simple / consistente / escalable
  • Compuesto por dispositivos N9K, conmutadores 9500 como los de la columna vertebral (al menos 2 veces para la redundancia) utilizados para el ancho de banda de la tela
  • Switches Cisco 9300 en la capa Leaf (ToR - Top of the Rack). Los dispositivos finales, normalmente servidores, chasis VMWare se conectan aquí.

Hoja de espina ACI

ACI - Enrutamiento subyacente de columna y hoja

  • IS-IS (protocolo de enrutamiento) proporciona enrutamiento subyacente
  • En el alcance están: interfaces IP no numeradas, conexiones L1 solamente (internas), anuncia direcciones VTEP, genera árboles de multidifusión FTAG, identifica y anuncia túneles

¿Qué es el VTEP?

La encapsulación de trama es realizada por una entidad conocida como punto final de túnel VXLAN (VTEP.) UNA VTEP tiene dos interfaces lógicas: un enlace ascendente y un enlace descendente. El enlace ascendente es responsable de recibir las tramas VXLAN y actúa como un punto final del túnel con una dirección IP utilizada para enrutar las tramas encapsuladas VXLAN (desde Cisco Portal)

¿Qué es el APIC?

Application Policy Infrastructure Controller - APIC, es el componente principal de la solución ACI. Proporciona automatización y administración para el tejido Cisco ACI, la aplicación de políticas y el monitoreo de la salud. El controlador optimiza el rendimiento y administra y opera una estructura Cisco ACI multiusuario escalable.

  • APIC es el controlador de políticas en ACI
  • Clúster altamente redundante: normalmente tres o más APIC para redundancia y quórum. NO están en configuración activa / en espera. Están en implementación activa / activa y los datos se comparten entre los nodos. Cada fragmento tiene 3 réplicas en los controladores.
  • APIC NO tiene el control ni el plano de datos de la estructura. Una vez que el entorno de red está configurado y la APIC está inactiva, no afectará la infraestructura. Sin embargo, se requiere APIC para movimientos / adiciones / cambios / eliminaciones y cualquier operación diaria. Entonces, debe tener APIC a largo plazo. Su red puede sobrevivir sin ella durante un tiempo.

ACI - Descubrimiento de tejidos

  • El APIC es responsable de: descubrimiento y direccionamiento de estructuras, gestión de imágenes, topología y validación de cableado.
  • Fabric Discovery se realiza mediante Link Layer Discovery Protocol (LLDP), TLV específicos de ACI (OUI) y conexión de administración APIC a la infraestructura-vrf

Pollo o huevo? ¿Cómo se descubren?

ACI en el proceso de descubrimiento utiliza el método de mensajería Intra-Fabric (IFM) en el que APIC y los nodos intercambian mensajes de latido. La técnica utilizada por el APIC para impulsar la política a los nodos de la hoja de la tela se llama Proceso IFM. En la etapa final procesa el descubrimiento de los otros nodos hoja y APIC en el clúster.

  • API de Bootstrap
  • El interruptor de hoja descubre APIC a través de LLDP, solicita la dirección TEP y el archivo de arranque de APIC.
  • El interruptor de columna encontrará Leaf, solicita TEP y el archivo de arranque de APIC.
  • La tela ahora se autoensambla
  • Cuando se descubren múltiples APIC en el AV (vector de dispositivo), formarán un clúster resistente.

¿Qué es el inquilino de Cisco ACI?

An ACI El modelo de objetos de inquilino representa el objeto de más alto nivel. En el interior, puede diferenciar entre los objetos que definen la red de inquilinos, como redes privadas (VRF), dominios de puente y subredes; y los objetos que definen las políticas de inquilinos, como los perfiles de aplicaciones y los grupos de terminales.

  • Inquilino: una unidad lógica para la gestión
  • Pueden ser clientes, unidades de negocio (BU) o grupos
  • Permite: Administración separada y flujos de datos, espacio de dirección IP reutilizable, espacio de perfil distinto.
  • Tres inquilinos predeterminados: Común: proporciona servicios comunes a todos los inquilinos, Infra: se usa para todas las comunicaciones internas de la estructura, Mgmt: se usa para las políticas de acceso de administración dentro y fuera de banda.

Construyamos ACI como Lego Bricks

Contexto: un VRF dentro de un inquilino

  • Inquilinos puede tener uno o más contextos, permite la duplicación de direcciones IP

Dominio de puente - contenedor para subredes

  • Estos son necesariamente VXLAN, que utilizan la funcionalidad IRB: el tráfico dentro de una BD está puenteado, el tráfico entre BD está enrutado, las subredes son, por lo tanto, irrelevantes ya que el tráfico se enruta en función de rutas de host ./32.
  • La inundación de capa 2 está deshabilitada de manera predeterminada; se puede habilitar dentro de Bridge Domain para ARP, DHCP e integración de CE.

¿Cómo gestionar el acceso OOB?

Administración de la estructura, alcance de Cisco Nexus 9K Mgmt

  • En banda, a través de los VRF de infraestructura y administración, puertos de consola, puerto de administración dedicado fuera de banda (como otros dispositivos Nexus, N5k y N7k)
  • Alcance de gestión APIC; Puertos de estructura (2x datos), gestión de OOB, consola Ethernet, CIMC / IPMI

¿Cómo funciona ACI Forwarding en el tejido?

En pocas palabras, si un servidor conectado a un conmutador Leaf desea comunicarse con el otro servidor en algún otro lugar de la LAN, Leaf buscará su 'Tabla de estaciones locales' para un VTEP (punto final de túnel virtual). Si no puede encontrarlo allí, intentará 'Global Station Table'. Aún así, si tampoco puede encontrarlo allí en comunicaciones anteriores, le pedirá al interruptor de Spine. La (s) columna (s) lo saben todo y verán una entrada VTEP para reenviar el tráfico al destino.

Reenvío, canalizando su LISP interno.

  • La capa 2 y la capa 3 se reenvían en función de la subred IP, Intra e Inter de destino.
  • Cada conmutador Leaf tiene 2x tablas de reenvío: Global Station Table -> Cache of Fabric endpoints, Local Station Table -> Hosts directamente conectados a Leaf, o fuera de Leaf, 'muestre endpoint' en CLI.

Pasarela generalizada de SVI

  • Sin HSRP o VRRP, disponible en todas las hojas (donde residen los puntos finales), similar al IP distribuido AnyCast GW en VXLAN eVPN

Protocolos de gestión y políticas de interfaz para ACI

  • Protocolo de descubrimiento de Cisco (CDP): la política predeterminada está 'desactivada' -> se usa en 'políticas de interfaz'
  • Protocolo de descubrimiento de capa de enlace (LLDP): la política predeterminada es 'habilitada' -> se usa en 'políticas de interfaz'
  • Network Tim Protocol (NTP): puede usar NTP dentro o fuera de banda, según el esquema MGMT que utilice la estructura
  • Servicios de nombres de dominio (DNS): útiles y pueden ser necesarios para la resolución del nombre de host a la dirección IP

ACI, Políticas de acceso al tejido

Agrupaciones de VLAN representan bloques de identificadores de VLAN de tráfico. Un grupo de VLAN es un recurso compartido y puede ser consumido por múltiples dominios como dominios VMM y servicios de Capa 4 a Capa 7.
Cada grupo tiene un tipo de asignación (estático o dinámico), definido en el momento de su creación. El tipo de asignación determina si los identificadores contenidos en él serán utilizados para la asignación automática por el APIC (dinámico) o establecidos explícitamente por el administrador (estático). De forma predeterminada, todos los bloques contenidos en un grupo de VLAN tienen el mismo tipo de asignación que el grupo, pero los usuarios pueden cambiar el tipo de asignación de los bloques de encapsulación contenidos en grupos dinámicos a estático.

  • La política de espacio de nombres define los rangos de ID utilizados para la encapsulación de VLAN. Especifica los Vlan que puede usar un dominio (algo así como una 'lista permitida'). 1x grupo de Vlan por dominio
  • Modos de operaciones 2x: Asignación estática: se usa con servidores bare-metal, transferencias de capa 2 / capa 3 para acciones como 'enlaces de ruta estática', asignación dinámica: APIC extrae dinámicamente un Vlan del grupo (familiarizado con las implementaciones de VMM)

sistemas v500 | blog | aci

La estructura ACI puede asignar automáticamente ID de VLAN desde los grupos de VLAN. Ahorra una enorme cantidad de tiempo, en comparación con la reducción de VLAN en un centro de datos tradicional.

Los dominios - Políticas de acceso a la tela

Los dominios actúan como el pegamento entre la configuración realizada en la pestaña de estructura para el modelo de política y la configuración del grupo de punto final que se encuentra en el panel de inquilinos. El operador de estructura crea los dominios, y los administradores de inquilinos asocian dominios a grupos de punto final.

  • Se les llama  dominios, porque 'cómo' los dispositivos / elementos se conectan a la estructura.
  • Físico - utilizado para hosts / servidores Bare-Metal.
  • Puente externo - utilizado para conexiones externas de Capa 2, a una red conmutada externa
  • Enrutado externo - se utiliza para conectarse a un dispositivo externo de Capa 3 para enrutar dentro / fuera del tejido.
  • VMM - utilizado para conectarse a un entorno controlado por hipervisor como vCenter, OpenStack o MS SCVMM

Perfil de entidad de acceso conectable (AAEP) o (AEP)

Un perfil de entidad adjunta (AEP) representa un grupo de entidades externas con requisitos de política de infraestructura similares. Las políticas de infraestructura consisten en políticas de interfaz física que configuran varias opciones de protocolo, como el Protocolo de descubrimiento de Cisco (CDP), el Protocolo de descubrimiento de capa de enlace (LLDP) o el Protocolo de control de agregación de enlace (LACP).
Se requiere un AEP para implementar agrupaciones de VLAN en conmutadores hoja. Los bloques de encapsulación (y las VLAN asociadas) son reutilizables en los conmutadores hoja. Un AEP proporciona implícitamente el alcance del conjunto de VLAN a la infraestructura física.

  • Por lo general, tendrá un AEP por inquilino.
  • Un grupo de entidades 'externas' con una política similar, Requerido para implementar el grupo de VLAN en Leafs, Define el rango, pero NO aprovisiona
  • Reúne las interfaces y las VLAN para que la APIC sepa dónde implementar las VLAN (es decir, qué conmutadores Leaf para impulsar las VLAN también)
  • Los AAEP contienen dominios y son
  • en poder de los grupos de políticas de interfaz

Grupos de puntos finales ACI (EPG)

Los grupos de punto final (EPG) se utilizan para crear agrupaciones lógicas de hosts o servidores que realizan funciones similares dentro de la estructura y que compartirán políticas similares. Cada grupo de punto final creado puede tener una política de supervisión única o una política de QoS y están asociadas a un dominio de puente.

  • Las EPG son grupos de aplicaciones y / o entidades independientes de la fórmula de red (es decir, VLAN, IP, etc.)
  • Normalmente de naturaleza similar (es decir, web, base de datos, servidores de aplicaciones)
  • Grupo de puntos finales que requieren una política similar: redes externas, grupos de servidores / aplicaciones, servicios de red, dispositivos de almacenamiento
  • Los tipos de EPG incluyen: EPG de aplicación, EPG externa de capa 2, EPG externa de capa 3, EPG de gestión (Mgmt, OOB y entrante)

  • Las EPG son flexibles y extensibles
  • Las EPG son el punto de aplicación de la política para los objetos de grupo.
  • La política NO es aplicada por subredes
  • Los cambios en la dirección IP no afectarán la política a menos que el punto final esté definido por la dirección IP
  • Los nodos dentro de una EPG pueden comunicarse
  • Los nodos entre EPG deben tener un 'contrato' para poder comunicarse

Contratos: conectando todos juntos

  • Los contratos dictan cómo las EPG se comunican entre sí, definen los permisos y denegaciones de entrada / salida, la calidad del servicio, las redirecciones y los gráficos de servicio.
  • Trabajar en un modelo de proveedor / consumidor; una EPG puede proporcionar un contrato que otro consumirá

ARTÍCULOS RELACIONADOS

08 | 09 | 2022

Cómo hacer que la revisión de documentos legales sea menos costosa

Los bufetes de abogados y los equipos legales corporativos a menudo subcontratan a proveedores externos para extraer datos de contratos de sus carteras de contratos para obtener información procesable.
04 | 07 | 2022

Automatización en la Plataforma Cloud

La inteligencia artificial tiene el potencial de aumentar significativamente la eficiencia de nuestras industrias al mismo tiempo que mejora el trabajo que los humanos pueden realizar. Cuando la IA se hace cargo de tareas mundanas o peligrosas, libera al trabajador humano para que sea CREATIVO
15 | 06 | 2022

¡Los bufetes de abogados se sientan en toneladas de datos no estructurados, sin darse cuenta de la mina de oro que poseen!

La investigación de Gartner predice que el volumen de datos en el mundo crecerá un 800 % en los próximos cinco años, y hasta el 80 % de esos datos estarán completamente desestructurados. Ahora existe una forma más inteligente de realizar esta tarea: leer y comprender.
15 | 05 | 2022

Automatización Inteligente para el Sector Financiero y Legal

Sabemos que al aprovechar la inteligencia artificial y el aprendizaje automático dentro de sus organizaciones, puede reducir una gran cantidad de tiempo y ahorrar dinero al mismo tiempo.