aci3.0(1k) release
TRANSCRIPT
ACI 3.0(1k) Release
シスコシステムズ合同会社
2017年 9月
Cisco Systems G.K.
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
アジェンダ
1. ACI Anywhere - Vision
2. New Hardware Support
3. Multi-Site
4. 管理性
5. スケーラビリティ
6. 管理連携
7. セキュリティ
8. Micro Segmentation
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
ACI Anywhere- Vision
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Any Workload, Any Location, Any Cloud
Remote PoD Multi-Pod / Multi-Site Hybrid Cloud Extension
ACI Anywhere
IP
WAN
IP
WAN
Remote Location Public CloudOn Premise
Security Everywhere Policy EverywhereAnalytics Everywhere
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
NewHardware Support
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
待望の!? 新BOX型Spine: Nexus 9364C
• 第1世代・第2世代の全Leafスイッチモデルとの接続をサポート
• 40/100G混在利用をサポート
• 100G Line rate MACSECVTEP-VTEP Encryption ※3.1~
• 40MB Smart Buffer
• VXLAN Routing
• QSFP28 / QSFP+ (40G)
• 1/10/25/40/50/100Gサポート
• 6.4T L2/L3 ASIC
MACSEC対応(16ポート)
NX-OS/ACI両対応※ACIはSpineのみ
Multi-site構成対応※3.1~予定
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
100M/1G対応Leaf: Nexus 9348GC-FXP
• 100M/1G x48 (Port 1-48)
• 10G/25G x4 (Port 49-52)
• 40G/100G x2 (Port 53-54)
• 電源冗長構成対応
• FEX非サポート
APIC接続は10Gポートのみサポート
NX-OS/ACI両対応※ACIはLeafのみ
Spine接続Breakout非対応
価格および機能と仕様の最適化• RJ45/1G接続で十分な場合のNexus 9300の
1/10G Copperモデルからの置き換え• Nexus 3048 からの置き換え(ACIサポート)
• Nexus 2248 FEXからの置き換え
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
FX Spine: N9k-X9736C-FX
• ACI Spine対応
• 100G x36ポート
• MACSECおよびCloudSec対応
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Multi-Site
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
ACI の発展
Single Pod
Single Fabric
ACI 1.0
Single Pod
“Stretch”
Single Fabric
ACI 1.1
Multi Pod
Single Availability Zone
ACI 2.0
Multi Site (Multi AZ)
Single Region
Multi Site Management
ACI 3.0
• Pod共通のControl Plane (ISIS, BGP, COOPなど)で制御されたLeaf/Spineネットワーク
• Fabric単一のAPICクラスタによって管理される範囲(AZ)
• Multi-Pod単一AZ + 複数Pod
• Multi-Site複数AZ (複数Fabric)
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
ACI Multi-Site 概要
Site A
VMVMVM
Multi-SiteAppliance
Site B
Site C
VMVMVM
Site D
サイト間で一貫したネットワークとポリシー
シームレスなワークロードの移行
単一のオーケストレーションポイント
完全に隔離された障害ドメイン
サイトを跨いだポリシーの作成と管理• Tenant, Policy, Profile, RBAC rules
健全性ダッシュボード• 単一管理UI/APIコンソールの提供
サイト• 追加・削除・構成
Spine間接続• Peering
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
L2/L3
Inter-Pod IP Network Inter-Pod IP Network
L2/L3
EPG-Web
EPG-AppMP-BGP
IS-IS, COOP
DC1 – POD1
MP-BGP
IS-IS, COOP
DCn – PODn
シンプルに複数PODをActive/Activeで利用する仮想データセンターを構成することが可能
C1
Multi-POD構成:単一APICクラスタ(単一AZ)・複数POD(Max 12)・最大400Leaf※12 Pod/400 Leaf構成の場合はAPIC 7台でのクラスタ構成が必要。5台クラスタの場合は6 Pod/300Leaf構成まで。
管理性はSingle-Podのまま(単一のAPICクラスタがMulti-Pod全体の管理ポイントとなる)
MP-BGP - EVPN
(Max RTT 50msec)
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
シンプルに複数Site/Fabricをグローバル規模のActive/ActiveもしくはDRで利用する構成が可能
Multi-Site構成:複数APICクラスタ(複数AZ)・複数Site(Max 5)・最大200Leaf
※スケーラビリティは3.0リリース時点、今後順次拡張予定
Inter-site IP NetworkにはMulticast要件なし(BUMトラフィックはHER)、MTUサイズ要件もなし。
L2/L3
Inter-Site IP Network Inter-Site IP Network
L2/L3
EPG-Web
EPG-App
DC1 – SITE 1 DCn – SITE N
C1
Multi-SiteAppliance
MP-BGP - EVPN
(RTT 500msec to 1 sec)
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Multi-Site構成の主な想定ユースケース:
サイト間でのL3接続
L3
Site 1 Site 2
1
BDはサイト間で延伸しない
L3でのVRF内及びVRF間通信のみ利用
ACI
Multi
site
L3
Site 1
2 IPアドレスの移動ありDisaster Recovery
同一IPサブネットが異なるサイト間で構成されている
停止状態でのIPの移動や、サイト間での同一サブネットない通信を利用する
※サイト外からの接続には適切なサイトに通信を振り向けるソリューションが必要
サイト間を跨ぐL2フラッディングなし
Site 2
L3
Site 1 Site 2
3IPアドレスの移動ありActive/Active DC
可用性および拡張性を目的として分離したサイト間を接続する構成
サイトを超えたL2接続性を構成(Live VM Migration可能)
サイト間を跨ぐL2フラッディングあり
ACI
Multi-
Site
ACI
Multi
site
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
ACI Multi-Site / ハードウェア要件
• Leafスイッチは全てのモデルをサポート(必要要件なし)
• Inter-site Networkに接続するSpineスイッチは -EX 以降の世代のみ
• Nexus 9336PQ は未サポート(Spineとしての混在利用は可能)
• Nexus 9364C は CY18Q1 サポート予定
1st Gen
IP Network
-EX -EX 1st Gen
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
ACI Multi-Site / Multi-Site Policy Manager• マイクロサービスアーキテクチャ
(複数でのActive/Active構成をサポート)
• 3.0リリース時点ではvSphereのみサポート(KVM, 物理アプライアンスは将来サポート予定)
• APICクラスタとの ~1秒のRTTをサポート
• 主な機能• 各サイトの健全性モニタリング
• Inter-site EVPNコントロールプレーンの初期構成
• サイト間でのポリシーの展開と同期
• Inter-siteトラブルシューティング (今後提供予定)
• 現時点では全てのMulti-Siteアプライアンスを単一のACIサイトに構成することを強く推奨(将来的にマルチサイトでの展開に対応予定)
Hypervisor
REST
API GUI
ACI Multi-Site
…..
VM
Site 1 Site 2 Site n
VM VM
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
ACI Multi-Site / 展開時の考慮事項単一・近距離DCに複数サイトを展開する
ACI Multi-Site
VM VMVM
Hypervisor
IP Network
HypervisorHypervisor
Interconnecting DCs over WAN
San Jose
(Site2)
Tokyo
(Site1)
ACI
Multi-Site
WAN
Singapore
(Site3)
VMVM
Hypervisor
VM
Hypervisor
• ACIサイト間のRTT (~150 ms)
• ACI Multi-Site と APIC クラスタ間のRTT (~1 sec)
• Multi-Siteのノードを複数サイトに展開する (将来的な推奨)
• ACI Multi-Site は APIC と OOB ネットワーク経由で通信
• ACI Multi-Site の各ノードはそれぞれ個別のIPを保持
• ACI Multi-Site と APIC クラスタ間は非同期連携
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
ACI Multi-Site / テンプレートとプロファイル• テンプレート = APICにおけるポリシー定義
• テンプレートは全てのサイトもしくは一部のサイト群に対して関連付ける
• プロファイル = 共通に利用されるテンプレートのグループ
• プロファイルの変更は非同期で各サイトに対して構成される
Site 1
プロファイルTemplateテンプレート
ポリシー定義
SITE
LOCAL
有効なポリシー(使用中)
Site 2
EP1
EPGEP2
EPGC
有効なポリシー(使用中)
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
ACI APIC と Multi-Site それぞれの位置付け
APIC Multi Site
役割 Fabricを管理・構成する APICの機能を一部補完する
担当範囲
単一Fabricの範囲に対する全ての管理を担当する・ファブリックメンバの検出・構成・アクセスポリシー・ドメインの構成・サービスグラフ連携 などなど・・・
複数のACIサイトに対してネットワークポリシーを展開する
連携 サードパーティとの連携ポイント複数のAPICクラスタとの間でポリシーのインポートや統合を行う
保持するデータランタイムデータを保持する(VTEPアドレス、VNID、Class_ID等)
ランタイムデータは保持しない登録サイトとポリシーの紐付け等のみ
通信に対する影響範囲Fabricとしてのコントロールプレーンおよびデータプレーンとしての参加はしない(停止=通信の停止とはならない)
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Multi-Site? Multi-Pod?
何を基準に、どちらを選べばいいのか?
Multi-Pod
運用のシンプル化 PODを跨いだ完全機能の利用
APICノード数の最小化
PODを跨いだ単一のVMM Domain
Multi-Site
隔離ドメインの範囲の変更
Fabric全体のさらなるスケール
遅延の多い・遠距離のサイト間構成
マルチキャスト要件はない
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
管理性
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
APIC Web GUIの改善UIを全面的に改善。
• Cisco DC製品群との共通化(色使い・アイコン等)
• Simple GUIは将来的に廃止
• ユーザ毎の構成の保持に対応(User Preference)
• Critical Alert のより明確な表示
• Alert項目の一元表示UIの提供
• URIを用いたシェア機能の提供
• Object Browser へのリンクメニューを提供
• ポート構成UIの改善
• System Settings の提供
• プルダウンメニュー表示の改善
などなど・・・
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
APIC Web GUIの改善
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
APIC Web GUIの改善: System Settings
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
APIC Web GUIの改善: Faults
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
APIC Web GUIの改善: Object Browser
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
APIC Web GUIの改善: Object Clone
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
APIC Web GUIの改善: Object Share
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Forwarding Scale Profile
TCAMリソースの配分をポリシー定義することが可能となりました。
Dual Stack
(Default)IPv4
Endpoint MAC 12k 24k
Endpoint IPv4 12k 24k
Endpoint IPv6 6k 0
LPM 20k 38k
Policy 61k 61k
Multicast 8k 8k
EXおよびFXモデルのみ利用可能、モード変更時には対象Leafスイッチがリロードされます。今後、様々なモードのスケールプロファイルが提供される予定です。
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Maintenance Mode
ACIファブリックを構成するスイッチをメンバから外す際に、構成情報などは維持したまま除外する [Maintenance (GIR)] が可能になりました。
• メンテナンス指定後も管理ポートからの接続が可能な状態が維持され、ログの取得やデバッグ等が可能となります。
• Re-commision(Reboot)操作により再度ファブリックメンバとして参加させることが可能です。
• 10分間IS-ISはoverload modeとなります
• vPCポートは起動まで2分の遅延があります※非vPCポートでは遅延は設定されないため、サーバ側のチーミング設定によっては通信の損失が発生する可能性があります。
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
遅延/PTP
トラブルシューティングツールの1つとして、ファブリックレベルでの遅延測定が可能となりました。PTPによるファブリック全体での時刻精密同期が必要となります(単一PODの場合、外部GrandMasterは不要/例外あり。Multi-Podの場合は必須)。
送信元・送信先いずれもEXおよびFXモデルの組合せのみ利用可能
• On-goingモード
• TEP間の遅延測定 ※経由モードは非サポート
• On-Demandモード
• レイテンシTCAMにプログラムされたフロールールに一致するIPフローに対して測定
• EP-EP, EPG-EPG, EP-EPG, External IP-EP, Any-EP, IP-EPGなどを取得可能
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
スケーラビリティ
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
あくまでも”Verified” Scalability
Ciscoは検証したスケーラビリティ情報を公開しています。
大半のスケーラビリティに関する数値はハードウェアとしての制約ではなく、要望やソフトウェアの改善およびテスト結果に基いて各数値は継続的に向上・改善されていきます。
※ACI3.0リリースのスケーラビリティ情報
https://www.cisco.com/c/en/us/td/docs/switches/datacenter/aci/apic/sw/3-x/verified_scalabilty/b_Verified_Scalability_3_0_1x_and_13_0_1x.html
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
管理連携
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Kubernetes
OpFlex - OVS を用いた連携構成をサポート※要物理サーバ
Node
OpFlex OVS
Node
OpFlex OVS
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
セキュリティ
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Dot1X Authentication
EPG接続時におけるEndpointの認証
Bare-Metal Hypervisor
Radius
Authentication
dot1x
Secure EPG
Bare-Metal
Pass Fail Pass
• Endpointとしては物理サーバのみサポート(将来的には対象範囲を拡大予定)
• -EX, -FX Leafスイッチのみサポート
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
2 Factor Authentication (2要素認証)
APIC外部認証 (SAML 2.0): IdPとしてADFS, Oktaをサポート
APICローカル認証: TOTP (Time-based One-Time Password)
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Micro Segmentation
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Intra-EPG Contract• これまで:
”Allow All”(Default)か”Deny All”(Intra EPG Isolation)のみ
• Intra-EPG Contract:同一EPG内のEndpoint間での通信にContractによる通信制御が可能
• 3.0リリース時点のサポート対象
物理サーバ
ACI連携されたVMware標準分散仮想スイッチに接続したVM
• 物理サーバとVMの混在環境への適用をサポート
• 通常EPGおよびuSeg EPGのいずれについてもサポート
• 複数vCenter / Pod をまたいで利用可能
EXおよびFXモデルに接続されたEPGに対してのみサポートAVSおよびSCVMM管理下のHyper-V Domainは未サポート
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Proxy-ARP
ARPリクエストに対してLeafスイッチが自身のMACアドレスで代理応答する。これにより、Leafスイッチにおける通信制御が可能となる。
仮想マシンに対しては、Private VLAN機能と組み合わせて利用することにより、Intra-EPG Isolation/Contract機能を実現する。 VMware
分散仮想スイッチ
VM
1
VM
2
Web
X
Proxy ARP
Intra-EPG Contract/Proxy-ARP
vCenter
APIC Controller
Intra-EPG Contract
構成・適用
TCP 22 allow
Deny all
Enable
Private VLAN
ARP
リクエストProxy ARP
応答
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Hyper-V
• Hyper-V仮想マシンにおける Intra-EPG Isoation サポート
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Hyper-V
• VM-attributes による Hyper-V 連携において、AND/OR構成に対応
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Hyper-V
• Hyper-V仮想マシン カスタムアトリビュート※βサポート
For example
Location: DC1