cisco aci vrf 192.168.1.254/24 • l4-l7 サービスを含めたネットワークの...

Cisco ACI

Takayuki Mitsue

[email protected]

Sep. 2016

Application Centric Infrastracture

mailto:[email protected]

ACIとは

ACI とは

•データセンター/クラウドのネットワーク迅速化・自動化を達成

• IT のサービス化をネットワークの側面から実現

自動化

ベアメタル & 仮想サーバ

オープン & セキュア

APIC

ポリシーモデル

コントローラ

ファブリック

接続端末

ACI とは ---構成要素

Spine

N9504 / 9508 / 9516

Leaf

N9336

ファブリックとは Spine

Leaf

• Cisco Nexus 9000 ベース

• Spine/Leafの 2階層型

• スモールスタート＆スケールアウト

9396 SFP+(48x10+12x40G)

93120 Copper (96x10+6x40G)

9372PX,TX(-E) Copper/SFP+

(48x10+6x40G)

9332 QSFP+ (32x40G)

93180YC-EX SFP+

(48 x 10/25G + 6x40/100G)

93108TC-EX Copper

(48 x 10G + 6x40/100G)

• ポリシー管理

• ファブリック管理

• API（プログラム可能）

• エコシステム

• 仮想サーバ連携

• 仮想ネットワーク

• L4−7（FW/ADC）

• 高度な可視化・運用ツール

APIC

コントローラとはAPIC (Application Policy Infrastructure Controller)

ポリシーとは？• なぜネットワークの設定には時間がかかってしまうのか？従来のネットワークの構築手法

QoS(優先制御)

L3ネットワーク(VRF, FHRP, ルーティング)

アプリケーション要件

アクセス制御, ファイアウォール, ロギング

モニタリング

ロードバランシング

L2ネットワーク(VLAN, STP, L2マルチパス)スイッチ設計、設定

QoS 設計、設定ルータ設計、設定

負荷分散装置設計、設定

FW/ACL 設計、設定

設定すべきポイント

ポリシーとは

• ネットワークに対するアプローチの根本的革新

従来のネットワーク構築手法

QoS(優先制御)

L3ネットワーク(VRF, FHRP, ルーティング)


アクセス制御, ファイアウォール, ロギング

モニタリング

ロードバランシング

L2ネットワーク(VLAN, STP, L2マルチパス)


Cisco ACIにおけるアプローチ

ポリシー

”ポリシー”の作成だけで動作

• “ここ” と ”ここ” を ”こう” つなげよう

•インフラでの実装を意識しない宣言（抽象化）

•ホワイトリスト型のネットワーク定義• “ここ”＝ EPG (End Point Group) サーバの集合,IPサブネット非依存

• ”こう” = Contract , 通信要件（http#80 etc)

DB

サーバ群

App

サーバ群

Web

サーバ群

EPG EPGEPGEPGContract Contract Contract

利用者

ACI 動作概要

①アプリの接続要件をポリシーとして定義EPG

APP

EPG

DBEPG

WEBAPIC

ネットワーク接続ポリシー

ポリシー

ポリシーポリシーポリシー

②APICからファブリックへポリシー伝達

スイッチがファブリックの自動構成ポリシー

Webサーバ Appサーバ DBサーバ

③サーバを接続（物理・仮想）

ファブリックのどこにつなげてもよい

④サーバはポリシー通りの通信が可能

ACIの特徴

ACI 特徴さまざまな基盤の統合ネットワーク

WAN

ベアメタルアプリケーション

ベアメタルサーバ

vSphere vCenter

ACI

ファブリック（L2 / L3）

ESXi

Hyper-V

Rhel KVM

40GE以上のハードウェア転送

ポリシーベースの一元管理

APP DBWEBWAN

Cisco ACI 管理連携ソリューション概要

VLANなどの識別情報に基づいて連携する

VMwareVDS

その他物理・仮想スイッチなど

Open vSwitch

(w/o OpFlex)

APICを通じてACIを構成する (North-bound)

UCSDirector

OpenStack

VMwarevRealiz

e

AzurePack

DockerContiv ACI

Plugin

APICから構成される (South-

bound)Microsoft

SCVMM

L4-7Device

Package

VMware vCenter

OpFlexに基づいて連携する (VTEP/VXLAN)

Hyper-VVM

Network(with Hyper-V Agent)

AVSApplication

Virtual Switch

Open vSwitch

(with OpFlex)

DCIN7k/ASR9k

ACI 特徴仮想基盤との連携

Port Group – Web

VXLAN 5001

Port Group – App

VXLAN 5002

Port Group – DB

VXLAN 5003

Virtual Distributed Switch EPG Web

Policy

EPG App

Policy

EPG DB

APIC

vSphere vCenter

連携・自動化

ACI 特徴仮想基盤との連携

APIC

OpenStack Neutron

プロジェクトの作成Tenant

ネットワークの作成EPG

サブネットの作成BD

VRF

192.168.1.254/24

• L4-L7 サービスを含めたネットワークのポリシー管理

• 各ベンダーの特徴的な機能のりようが可能

• サードパーティ、マルチベンダー対応• 仮想 / 物理アプライアンス対応

L2-L3 ネットワークだけでなく、システムに必要不可欠なファイアウォールやロードバランサ等のL4-L7 サービスも APIC で管理できます。必要なサービスを並べて繋げることで構成できるため、複雑になりがちな L4-L7 アプライアンスへの経路デザイン・設定を気にする必要がありません。また、よく使うデザインをテンプレート化して活用することで、作業の手間を大幅に削減ができます。

Cisco 製品だけでなく F5, Citrix, A10, CheckPointといった各種ベンダのL4-L7 アプライアンスに対応。マルチベンダで構成可能です。

L4-L7 サービス連携ACIファブリッ

ク

WEB APP

L4-L7 サービス

Policy Redirection

FW ….. LB

ファイアウォールロードバランサ

…

APIC

WEB APP外部ネットワーク

DB

テナント：Customer-A

80

アプリケーション：Sharepoint

50WEB EPG

100APP EPG

100DB EPG

0

テナント：Customer−A

アプリ：Sharepoint

実際のネットワーク（アンダーレイ）論理ネットワーク（オーバレイ）

ヘルススコア

ネットワークの健全性をヘルススコアとして可視化

障害

Root cause analysis

アプリケーションサービス単位にどのH/Wに依存し問題が発生しているか即座に確認

ACI 特徴可視化

ACI 特徴セキュリティ＋影響範囲の局所化

テナントごと、アプリケーションごとに独立したポリシー管理

W

E

B

A

P

P

DB

F

W

A

D

CAPP APP APPWEB WEB WEB

DB DB DB

W

E

B

A

P

P

DB

F

W

A

D


DB DB DBW

E

B

A

P

P

DB

F

/

W

A

D

C

A

D


DB DB DB

APICAPICが物理仮想問わずインフラのポリシーを

一元的に管理

アプリケーションプロファイルの追加、変更、削除が他のテナントやアプリケーションに影響しない

テナント、アプリケーションが増えても、他への影響を心配せず、セキュアかつシンプルなオペレーションが可能

W

E

B

A

P

P

DB

F

W

A

D


DB DB DB

W

E

B

A

P

P

DB

F

/

W

A

D

C

A

D


DB DB DB

W

E

B

A

P

P

DB

F

W

A

D


DB DB DB

直近でのアップデート(ACI 2.0)

ACI Release Timelines

Shipped EC’ed PlanningLegend:

Q4 CY

2015

Q2 CY

2016

Q3 CY16

Q4 CY16

Bronx Congo CrystalBrazos

Long-Lived Release Train

Q4 CY16

Congo MR Danub

Q1 CY17

Q2 CY17

Danube MR

今ここ

ACI 2.0

Cisco Nexus 93108TC-EX Switch: 1RU 48-Port 1/10GBASE-T & 6-Port 40/100G QSFP Switch

48 x 1/10-Gbps Copper Server

Ports

6 x 40/100-Gbps Uplinks

2.16-Tbps Bandwidth

Cisco® NX-OS and Cisco Application Centric Infrastructure (Cisco ACI™)

FRU Fans and Power Supplies

Choice of Airflow Direction

Cisco Nexus® 93108TC-EX Switch Hardware Installation Guide

Service Graphデバイスを通したいトラフィックをデバイス向けにリダイレクトできる（曲げる）ようになりました。

Policy Based Redirect

ContractEPG EPG

Subject1(HTTP) : Service Graph

Subject2(Others) : permit

ファイアウォール

MAC: 00:00:00:00:00:01IP : 192.168.1.1

SubjectにHitしたトラフィックの送信先をService GraphノードのMACアドレスに変換（リダイレクト）してServiceGraphノード側に送信。

特定のトラフィックのみRedirectも可能

EPG Client EPG Web

HTTPトラフィックのみがFWへリダイレクトされ、その後Web

Endpointに向かう。その他のトラフィック（但しcontractに許可されたものに限る）はWeb Endpointに直接向かう。

EPG

Client

EPG

WebContract

Redirect

providerconsumer

• FWによる特定トラフィックの監査

Thank you

シスコシステムズ合同会社

SDN応用技術室

畝高孝雄

ACI関連 dCloudデモシナリオ

1. dCloud デモラインナップ

2. Nexus 9000 NX-OS デモ

3. ACI デモ (管理連携・デバイスパッケージ連携)

4. 近日提供開始予定デモ

もくじ

1. dCloud UI

dCloudデモ環境は、v2.0となりUIが大幅に変更されています。

1. dCloud デモラインナップ

ACI関連デモは、以下の条件でカタログから抽出できます。

• Content Categories: Demonstration

• Solutions: Application Centric Infrastructure

最新デモを確認したい場合は、以下の条件でソートしてください。

• Sort by “Published Data” 降順

1. dCloud デモ日本語参考ドキュメント

dCloudのデモスクリプトは、順次日本語化を行っています。英語版の正規ガイドと合わせて参考ください。

日本語の参考ドキュメントは以下のURLに、順次公開されます。

https://communities.cisco.com/docs/DOC-52558


2. Nexus 9000 NX-OS デモ

Nexus 9000 NX-OS (Standalone)関連デモは以下を提供中。

• Cisco Nexus 9000: Open NXOS Programmability and Automation v1 (2016/2/5)

デモ： https://dcloud2-sng.cisco.com/content/demo/71356

ドキュメント： https://dcloud2-sng.cisco.com/document/1519

ライフサイクルの各フェーズに合わせてNexus9000が備えるプログラマビリティを活用する実用例をデモ。Day0 (Ingineを用いた初期展開)、Day1 (Puppetを用いた自動構成)、Day2 (Splunkを用いた監視と最適化)、Day3 (NX-APIによる制御)、DayN (Ansibleを用いたアップグレード)

https://dcloud2-sng.cisco.com/content/demo/71356

https://dcloud2-sng.cisco.com/document/1519

2. Nexus 9000 NX-OS デモ (Cont.)

• Cisco Nexus 9000: Open NXOS Programmability and Automation v1 (2014/7/11)



Pythonスクリプトを活用したEEM(Embedded Event Monitor)機能を用いて、Configモードに入った際に自動的に既存Configのバックアップを取得してメール送付する処理や、Grafana連携による取得値のグラフ化連携。NX-APIに関して、Sandbox機能、Postman連携、Splunk連携。Puppet連携による自動化。



3. ACI デモ※注意※

2016/9/14時点では、ACI 2.0対応のdCloudデモはまだ提供が開始されていません。

デモおよび基本的な操作感の学習としては有用ですが、本番導入にむけた評価・検証などは別途実機環境もしくは最新のシュミレータなどを利用してください。

3. ACI デモ (1) - 管理連携ACI関連デモの内、管理連携に関するデモは以下を提供中。

• Cisco CloudCenter 4.5 - Install, Configure, and Manage Lab v1 (2016/6/22)

• Cisco Application Policy Infrastructure Controller 1.2 with CloudCenter 4.5 v1 (2016/4/25)

• Cisco Application Centric Infrastructure with shared Physical Fabric v2 (2016/1/11)

• Cisco Application Policy Infrastructure Controller 1.2 with VMware Integration v1 (2015/12/18)

3. ACI デモ (1) - 管理連携 (Cont.)ACI関連デモの内、管理連携に関するデモは以下を提供中。

• Cisco Application Policy Infrastructure Controller 1.0 with OpenStack Integration v2 (2015/3/12)

• Cisco Application Policy Infrastructure Controller 1.0 with UCS Director 5.2 v2 (2015/2/19)

3. ACI デモ (1) - 管理連携 (Cont.)

• Cisco CloudCenter 4.5 - Install, Configure, and Manage Lab v1 (2016/6/22)



CloudCenterの概要・構成要素などを押さえた上で、インストールと初期構成手順などを実施する。ACI環境はシュミレータ。 ※CliQrのWikiに用意されたハンズオンラボガイドを使用する




• Cisco Application Policy Infrastructure Controller 1.2 with CloudCenter 4.5 v1 (2016/4/25)



日本語ドキュメント： https://communities.cisco.com/docs/DOC-68413

CloudCenterによるアプリケーションの展開操作、UCS Directorとの連携、アプリケーションベンチマーク実行、アプリケーションプロファイルの作成、各種ポリシーの定義

※構成済のCloudCenterを操作する運用フェーズデモ。ACIはシュミレータを使用。





• Cisco Application Centric Infrastructure with shared Physical Fabric v2 (2016/1/11)




dCloud用として用意された実際のACIファブリックを共有利用して、UCS Director連携によるアプリケーションプロファイルおよび環境の構成、OpenStack環境との連携構成などを実際にデモすることが可能です。

※物理リソースを共有利用しているため、一定の制限範囲内での対応となりますが、疎通確認なども可能な環境です。デモスクリプトの内容以外でも、各種動作確認や構成テストなどSandbox的にもご利用頂けます。

※ただし、物理リソースを共有利用するため、ポッド数に制限があります。事前スケジュール予約をオススメします。





• Cisco Application Policy Infrastructure Controller 1.2 with VMware Integration v1 (2015/12/18)




APICのWeb UIの理解、BasicモードとAdvancedモードの違い、CLIによるAPICの操作、Pythonスクリプトを利用したデバイスパッケージ連携の構成、vCenterプラグインからの操作、APICとUCS Managerの間でネットワーク構成を連携させるB2C(Better Together / PHPプログラム)の動作デモなどが用意されています。

※ACI環境はシュミレータのため、実際の疎通確認を行うことは出来ません

※vCenterプラグインは開発初期版となっており、現在提供中の正式サポート版とはUIが大きく異なります





• Cisco Application Policy Infrastructure Controller 1.0 with OpenStack Integration v2 (2015/3/12)



RHEL-OSP6(Juno)環境とACIの組み合わせで、Heatによるオーケストレーション連携を活用したNeutron GBP連携環境の構成手順をデモすることができます。

※Heatを用いずに手動で構成手順を実施することも可能です

※VMMドメイン連携が可能となる以前の仕様のため、APICでOpenStack環境の情報を確認することはできません





• Cisco Application Policy Infrastructure Controller 1.0 with UCS Director 5.2 v2 (2015/2/19)



UCS Director のワークフローを用いたカタログを使って、ACIやvSphere環境、デバイスパッケージを通じたASAファイアウォール環境などを構成するデモを実施できます。




3. ACI デモ (2) - デバイスパッケージ連携ACI関連デモの内、DP連携に関するデモは以下を提供中。

• Cisco Application Policy Infrastructure Controller 1.2 with AVI Networks Integration v1 (2016/3/8)https://dcloud2-sng.cisco.com/content/demo/75898

• Cisco Application Policy Infrastructure Controller 1.2 with Citrix NetScaler Integration v1 (2016/2/23)https://dcloud2-sng.cisco.com/content/demo/74136

• Cisco Application Policy Infrastructure Controller 1.0 with F5 Integration v2 (2015/4/3)https://dcloud2-sng.cisco.com/content/demo/39940

※いずれもACI環境はシュミレータのため、実際の疎通確認を行うことは出来ません




4. 近日提供開始予定デモACI関連デモとしては、以下の提供を近日中に開始する予定です。

• Cisco Application Centric Infrastructure with shared Physical Fabric v3

CloudCenter, VMware, Microsoft, OpenStackなどとの管理連携や、Tetrationとの組み合わせなどを予定。

• Cisco Application Policy Infrastructure Controller 2.0 with Firepower Integration v1

ASAおよびFirepowerとのデバイスパッケージ連携

• Cisco CloudCenter 4.6 with ACI v2

cisco aci vrf 192.168.1.254/24 • l4-l7 サービスを含めたネットワークの...

Documents