Модель политики Cisco ACI

Модель политики Cisco ACI

Максим Хаванкин системный архитектор, CCIE [email protected]

18 июня, 2015

2 © 2014–2015 Cisco and/or its affiliates. All rights reserved.

Что представляет собой ACI?

ACI фабрика

Неблокируемая фабрика на базе оверлеев

App DB Web

Внешняя сеть передачи данных

(Tenant VRF)

QoS

Filter

QoS QoS

Filter

Application Policy Infrastructure Controller

APIC

1. Профиль приложения

2. Кластер контроллеров

3. Cеть на базе Nexus 9000

Service

Filter

Service Сеть ЦОД на базе коммутаторов Nexus 9000 с централизованным

управлением при помощи контроллера на основе политик


§  Требования приложения к сети ЦОД §  Определение приложения при помощи ACI

§  Tenant §  Private network §  Bridge domain §  EPG §  Подсети §  Сетевой профиль приложения (ANP)

§  Реализация политик на уровне фабрики

Содержание



приложение

Приложение это больше чем одна виртуальная машина Набор взаимосвязанных

компонент

VM

VM

…

web

VM

VM …

app

VM

VM

…

db Internet

Внутренняя сеть

(мониторинг, управление)

Каким образом описать/формализовать/определить сетевые требования приложения?

? Что приложению требуется от сети?



Определяем приложение

§  Приложение – это конструкция которую необходимо определить

§  Приложение это набор порт-групп и политик, которые их объединяют

§  Каждая порт-группа это набор серверов

§  Каждая политика это связь в терминах §  протокол §  порт §  сервисный граф §  роль потребитель или/и поставщик

EPG Policy A Policy B Policy C


Логическая модель: tenant, как контейнер для хранения сетевых свойств приложений

Tenant: Организация «А», подразделение организации «Б», комплекс приложений «С» и т.д.


Логическая модель: private network, как набор изолированных сетевых сегментов, или VRF


VRF: 01


Bridge Domain - логическая конструкция представляющая L2-сегмент передачи данных внутри фабрики Один или несколько EPG могут быть ассоциированы с одним BD

Можно «превратить» в аналог VLAN:

1.  Влючить flood для L2 unknown unicast

2.  Включить ARP Flooding

Новая концепция: Bridge Domain


Логическая модель: bridge domain логическая конструкция обозначающая границы L2-сегмента

Bridge Domain: ESXi


VRF: 01


Bridge Domain может обеспечить подключение ко внешнему L2-сегменту

Bridge Domain: ESXi


VRF: 01

Node-101/eth1/1 Node-102/eth1/1

Outside

EPG: L2-Outside-ACI Security Zone


L3 подключение ко внешнему миру происходит на уровне VRF

Bridge Domain: ESXi


VRF: 01

Node-101/eth1/1 Node-102/eth1/1

Outside

EPG: L3-Outside-ACI Security Zone


Новая концепция: EndPoint Group (EPG) •  EPG – это группа приложений или компонент приложений, которые не зависят от сетевых конструкций

HTTPS Service

HTTPS Service

HTTPS Service

HTTPS Service

HTTP Service

HTTP Service

HTTP Service

HTTP Service

Endpoint Group


Логическая модель: различные методы определения EPG

Ø  Интерфейс, при помощи которого конечное устройство подключается к сети

Ø  Имеет адрес (identity), местоположения, атрибуты (version, patch level)

Ø  Может быть физическим или виртуальным

•  Примеры: •  End Point Group (EPG) определяются при помощи:

•  Физический портв (leaf или FEX) •  Логический порт (VM port group) •  VLAN ID •  VXLAN (VNID) •  IP адрес (применимо ко внешним подключениям external/border leaf) •  IP Prefix/Subnet (применимо ко внешним подключениям external/border leaf)

•  NVGRE (VSID) (план) •  Атрибуты виртуальных машин (план) •  Порты 4-го уровня модели OSI (план)

15

Сервер

Виртуальные машины или контейнеры

СХД

Клинты


Логическая модель: подсети •  EPG отделяют адресацию, которую использует приложение, от политик, которые применяются в сети

•  EPG могут находится в разных сетевых сегментах

HTTPS Service

HTTPS Service

HTTPS Service

HTTPS Service

HTTP Service

HTTP Service

HTTP Service

HTTP Service

Endpoint Group A

Политики и правила безопасности применяются на уровне EPG

192.168.10.x

192.168.20.x


Знакомая концепция: подсети – primary/secondary IP адреса на SVI-интерфейсах

Bridge Domain: ESXi


VRF: 01

Secondary 192.168.20.x/24

Primary 192.168.10.x/24


Новая концепция: профиль приложения •  Сетевой профиль приложения представляет собой набор EPG и политик, которые определяют правила взаимоотношений между группами

Inbound/Outbound политики

Сетевой Профиль Приложения

Inbound/Outbound политики

EPG A Service A

Service A

Service A

Service A

Service B

Service B

Service B

Service B

EPG B Service C

Service C

Service C

Service C

Service C Service C

EPG C Service D

Service E

Service D

Service E


Сетевой профиль ANP содержит один или несколько EPG

Bridge Domain: ESXi


VRF: 01

vPC_to_UCS_a vlan-10

vPC_to_UCS_b vlan-10

EPG: Host-Mgmt Security Zone



EPG: vMotion Security Zone

ANP: ESXi-Hosts Нет контрактов = нет передачи данных



EPG: vmk-storage Security Zone


Primary 192.168.10.x/24


Логическая модель: контракт

EPG-WEB EP 1

EP 2

EPG-APP EP 1

EP 2

EPG-DB EP 1

EP 2

Контракт Контракт

Сетевой профиль приложения


Контракт: filter, action, label

Subject -‐ это комбинация следующих

действий-‐ filter, acDon*и label*

Контракты определяют правила

взаимодействия между EPG

Filter | Action | Label Subject

TCP Port 80 Фильтр

Permit Действие

Web Access Метка

Контракт 1 Subject 1

Subject 2 Subject 3

*roadmap


Контракты необходимы для передачи данных между EPG

Bridge Domain: ESXi


VRF: 01



EPG: vmk-storage

vPC Node104_105/1/50 vlan-40

EPG: Shared-storage

Контакт = передача данных ANP: ESXi-Hosts



EPG: Host-Mgmt 192.168.10.13 192.168.20.10 192.168.10.12


Primary 192.168.10.x/24

192.168.10.11 192.168.10.10

Нет контрактов = нет передачи данных


VM

VM

…

VM

VM

…

VM

VM

…

web app db

appl

icat

ion

Внешние сети

Набор конечных объектов, которые подключаются к сети … вирт. машины, физические хосты, …

Уровни приложений End Point Group или VMware Port Group

Набор правил по которым компоненты приложения взаимодействуют друг с другом

Контакты Правила доступа QoS Сетевые сервисы

Правила по которым приложение взаимодействует со внешними частными и публичными сетями

Сетевой профиль Ориентированные на приложения политики

Сеть à Виртуальная Коммутационная Панель

ACI – Сетевой профиль приложения


Логическая модель: сетевые конструкции root\uni

Арендатор A Арендатор B

L3 сегмент A L3 сегмент B L3 сегмент A

Bridge Domain

Подсеть A

Bridge Domain

Подсеть B

Подсеть C

Bridge Domain

Подсеть A

Bridge Domain

Подсеть D

Private-L3 and subnets are independent between tenants


Логическая модель: картина целиком

Outside (внешняя сеть)

App. profile

(профиль)

Контекст (VRF) Контракт Фильтр

EPG Subject

Bridge Domain

Subnet (подсеть)

Tenant (Арендатор) 1 1 1 1 1 1

n n n n n n

n n n 1 1 1 1 1 1

n n


Tenant: Логический контейнер для размещения политик приложений. Этот контейнер может быть выделен отдельному арендатору, организации или приложению.

Private network: набор изолированных сетевых сегментов, аналог VRF

Subnet: IP подсеть, в которой размещается нагрузка

Пример № 1: 2-уровневое приложение Tenant_001

Private network VRF1

Bridge D

omain B

D1

Subnet 10.1.1.254/24

Bridge Domain: Логическая конструкция представляющая L2-сегмент передачи данных внутри фабрики. Один или несколько EPG могут быть ассоциированы с одним BD.

Application Profile: профиль приложения моделирует требования приложения к сети и включает в себя необходимое количество EPG. Ко

нтракт

EPG Front end

EPG Back-end

End Point Group (EPG): EPG это набор физических или виртуальных объектов, для которых должны быть обеспечены одинаковые политики и сервисы при подключении к сети.

Контракты: регламентирует правила передачи данных между EPG при помощи механизмов фильтрации, обеспечения качества обслуживания и перенаправления трафика на внешние сервисные устройства, такие как МСЭ и т.д.

VRF2

Bridge D

omain B

D3

ANP 2-tier App B

D2

Subnet 20.2.2.254/24


Пример № 2: Microsoft Exchange

EPG CAS

EPG Mail_Box

EPG AD

EPG Outside

Сервисное устройство SLB


Контракт

Контракт

Пример № 2: Microsoft Exchange

EPG Mail_Box

EPG AD

EPG Outside

EPG CAS Контракт

Контракт

SLB

Service Graph Template


Логическая модель определяет политику подключения

NXOS: VXLAN, VRFs, etc…

Concrete Model

порты, карты, интерфейсы, VLAN-ы, узлы

Логическая модель

Конфигурация ориентированная на приложение, целевая группа политики,

правила

(subset) Logical Model

Часть логической модели

Преобразование (implicit render) Применение

Обновление политики

Animation Complete*

Обратная связь

Программный коммутатор

Сетевое устройство


Пример № 2: рендеринг политики для Microsoft Exchange

ACI фабрика

Неблокируемая фабрика на базе оверлеев Application Policy

Infrastructure Controller

APIC

Виртуальные и физические порты фабрики настраиваются

автоматически согласно ANP

Устройство балансировки нагрузки настраивается

автоматически



APIC

OpFlex: открытый, расширяемый протокол

OPFLEX ОБЕСПЕЧИВАЕТ:

Политики: •  Кто и с кем может говорить

•  О чем? •  Ops requirements

Абстракцию политик вместо device-specific конфигурации 1. Гибкость и расширяемость с использованием XML / JSON 2.

Поддержку любых устройств, включая виртуальные коммутаторы, физические коммутаторы, МСЭ, обеспечивая совместимость между продуктами различных производителей

3.

Открытый и стандартизированный API с реализации в open source 4.

OPFLEX PROXY

OPFLEX AGENT

OPFLEX AGENT

OPFLEX AGENT

HYPERVISOR SWITCH ADC FIREWALL


ACI фабрика IP сеть с интегрированным оверлеями

•  ACI фабрика базируется на IP фабрике, обеспечивающей маршрутизацию во внешние сети и интегрированных оверлеях для маршрутизации/коммутации между хостами фабрики ‒  весь трафик между конечными хостами внутри фабрики передается при помощи оверлеев

•  Почему интегрированные оверлеи? ‒  Мобильность, масштабируемость, поддержка multi-tenancy и интеграция с гипервизорами

‒  Вместе с трафиком данных можно передавать мета-данных необходимые для реализации распределенных политик

IP фабрика с оверлеями Каждому узлу

назначается IP loopback, который анонсируется IS-IS

IP un-numbered 40 Gb линки

APIC


ACI Фабрика Распределенный контроль за выполнением политик

Tenant VRF - Context

VRF - Context

Bridge Domain

Bridge Domain

Bridge Domain

EPG EPG

EPG EPG

EPG EPG

EPG

M/LB/SP Flags Flags/DRE VNID Source Group == EPG

DRE MCAST LB DL E SP DP

SP: Indicates Source Policy has been applied DP: Indicates Destination Policy has been applied

•  ACI фабрика использует ориентированную на приложения модель политик

•  Поле VXLAN Source Group используется как тег/метка для идентификации конкретного конечного объекта (ВМ/физ. порт) принадлежащего определенному EPG

•  Политика применяется в направлении от source application tier (EPG) в сторону egress/destination application tier (EPG)

•  Политика может применяться на источнике или получателе


vSwitch (VMWare) vSwitch (MSFT)

vSwitch инкапсулирует пакеты, ассоциированные с EPG при помощи назначенного VLAN/VXLAN/NVGRE идентификатора

2

Если коммутатору Leaf известен исходящий EPG который ассоциирован с узлом назначения, то он реализует политику устанавливая в соответствующее значение бит в заголовке eVXLAN, показывающий, что входящая политика была применена к пакету

4

На основе классификации коммутатор Leaf формирует значение поля Source Group в eVXLAN заголовке

3

Payload IP NVGRE GRE IP

Коммутатор Leaf пересылает пакет vSwitch-у или подключенному напрямую физическому серверу.

7

Пакет идентифицируется как принадлежащий определенной end point group (EPG) на основе входящей классификации (port group, физический порт, IP адрес, VLAN)

1

Payload VNID Flags aVTEP SRC Group

Если политика приложения требует передачу пакета через сервисное устройство или цепочку таких устройств, то фабрика в качестве VTEP узла назначения указывает адрес коммутатора, в которому подключено сервисное устройство

5

Исходящий Leaf коммутатор проверяет был ли установлен policy флаг в заголовке eVXLAN и если требуется применяет политику

6

Реализация политик в ACI фабрике

Payload VNID Flags aVTEP SRC Group

Спасибо.

Technology

Модель политики Cisco ACI