cisco aci vrf 192.168.1.254/24 • l4-l7 サービスを含めたネットワークの...
TRANSCRIPT
Cisco ACI
Takayuki Mitsue
Sep. 2016
Application Centric Infrastracture
ACIとは
ACI とは
•データセンター/クラウドのネットワーク迅速化・自動化を達成
• IT のサービス化をネットワークの側面から実現
自動化
ベアメタル & 仮想サーバ
オープン & セキュア
APIC
ポリシーモデル
コントローラ
ファブリック
接続端末
ACI とは ---構成要素
Spine
N9504 / 9508 / 9516
Leaf
N9336
ファブリックとは Spine
Leaf
• Cisco Nexus 9000 ベース
• Spine/Leafの 2階層型
• スモールスタート&スケールアウト
9396 SFP+(48x10+12x40G)
93120 Copper (96x10+6x40G)
9372PX,TX(-E) Copper/SFP+
(48x10+6x40G)
9332 QSFP+ (32x40G)
93180YC-EX SFP+
(48 x 10/25G + 6x40/100G)
93108TC-EX Copper
(48 x 10G + 6x40/100G)
• ポリシー管理
• ファブリック管理
• API(プログラム可能)
• エコシステム
• 仮想サーバ連携
• 仮想ネットワーク
• L4−7(FW/ADC)
• 高度な可視化・運用ツール
APIC
コントローラとはAPIC (Application Policy Infrastructure Controller)
ポリシーとは?• なぜネットワークの設定には時間がかかってしまうのか?従来のネットワークの構築手法
QoS(優先制御)
L3ネットワーク(VRF, FHRP, ルーティング)
アプリケーション要件
アクセス制御, ファイアウォール, ロギング
モニタリング
ロードバランシング
L2ネットワーク(VLAN, STP, L2マルチパス)スイッチ設計、設定
QoS 設計、設定ルータ設計、設定
負荷分散装置設計、設定
FW/ACL 設計、設定
設定すべきポイント
ポリシーとは
• ネットワークに対するアプローチの根本的革新
従来のネットワーク構築手法
QoS(優先制御)
L3ネットワーク(VRF, FHRP, ルーティング)
アプリケーション要件
アクセス制御, ファイアウォール, ロギング
モニタリング
ロードバランシング
L2ネットワーク(VLAN, STP, L2マルチパス)
アプリケーション要件
Cisco ACIにおけるアプローチ
ポリシー
”ポリシー”の作成だけで動作
• “ここ” と ”ここ” を ”こう” つなげよう
•インフラでの実装を意識しない宣言(抽象化)
•ホワイトリスト型のネットワーク定義• “ここ”= EPG (End Point Group) サーバの集合,IPサブネット非依存
• ”こう” = Contract , 通信要件(http#80 etc)
DB
サーバ群
App
サーバ群
Web
サーバ群
EPG EPGEPGEPGContract Contract Contract
利用者
ACI 動作概要
①アプリの接続要件をポリシーとして定義EPG
APP
EPG
DBEPG
WEBAPIC
ネットワーク接続ポリシー
ポリシー
ポリシー ポリシー ポリシー
②APICからファブリックへポリシー伝達
スイッチがファブリックの自動構成ポリシー
Webサーバ Appサーバ DBサーバ
③サーバを接続(物理・仮想)
ファブリックのどこにつなげてもよい
④サーバはポリシー通りの通信が可能
ACIの特徴
ACI 特徴さまざまな基盤の統合ネットワーク
WAN
ベアメタルアプリケーション
ベアメタルサーバ
vSphere vCenter
ACI
ファブリック(L2 / L3)
ESXi
Hyper-V
Rhel KVM
40GE以上のハードウェア転送
ポリシーベースの一元管理
APP DBWEBWAN
Cisco ACI 管理連携ソリューション概要
VLANなどの識別情報に基づいて連携する
VMwareVDS
その他物理・仮想スイッチなど
Open vSwitch
(w/o OpFlex)
APICを通じてACIを構成する (North-bound)
UCSDirector
OpenStack
VMwarevRealiz
e
AzurePack
DockerContiv ACI
Plugin
APICから構成される (South-
bound)Microsoft
SCVMM
L4-7Device
Package
VMware vCenter
OpFlexに基づいて連携する (VTEP/VXLAN)
Hyper-VVM
Network(with Hyper-V Agent)
AVSApplication
Virtual Switch
Open vSwitch
(with OpFlex)
DCIN7k/ASR9k
ACI 特徴仮想基盤との連携
Port Group – Web
VXLAN 5001
Port Group – App
VXLAN 5002
Port Group – DB
VXLAN 5003
Virtual Distributed Switch EPG Web
Policy
EPG App
Policy
EPG DB
APIC
vSphere vCenter
連携・自動化
ACI 特徴仮想基盤との連携
APIC
OpenStack Neutron
プロジェクトの作成Tenant
ネットワークの作成EPG
サブネットの作成BD
VRF
192.168.1.254/24
• L4-L7 サービスを含めたネットワークのポリシー管理
• 各ベンダーの特徴的な機能のりようが可能
• サードパーティ、マルチベンダー対応• 仮想 / 物理アプライアンス対応
L2-L3 ネットワークだけでなく、システムに必要不可欠なファイアウォールやロードバランサ等のL4-L7 サービスも APIC で管理できます。必要なサービスを並べて繋げることで構成できるため、複雑になりがちな L4-L7 アプライアンスへの経路デザイン・設定を気にする必要がありません。また、よく使うデザインをテンプレート化して活用することで、作業の手間を大幅に削減ができます。
Cisco 製品だけでなく F5, Citrix, A10, CheckPointといった各種ベンダのL4-L7 アプライアンスに対応。マルチベンダで構成可能です。
L4-L7 サービス連携ACIファブリッ
ク
WEB APP
L4-L7 サービス
Policy Redirection
FW ….. LB
ファイアウォール ロードバランサ
…
APIC
WEB APP外部ネットワーク
DB
テナント:Customer-A
80
アプリケーション:Sharepoint
50WEB EPG
100APP EPG
100DB EPG
0
テナント:Customer−A
アプリ:Sharepoint
実際のネットワーク(アンダーレイ) 論理ネットワーク(オーバレイ)
ヘルススコア
ネットワークの健全性をヘルススコアとして可視化
障害
Root cause analysis
アプリケーションサービス単位にどのH/Wに依存し問題が発生しているか即座に確認
ACI 特徴可視化
ACI 特徴セキュリティ+影響範囲の局所化
テナントごと、アプリケーションごとに独立したポリシー管理
W
E
B
A
P
P
DB
F
W
A
D
CAPP APP APPWEB WEB WEB
DB DB DB
W
E
B
A
P
P
DB
F
W
A
D
CAPP APP APPWEB WEB WEB
DB DB DBW
E
B
A
P
P
DB
F
/
W
A
D
C
A
D
CAPP APP APPWEB WEB WEB
DB DB DB
APICAPICが物理仮想問わずインフラのポリシーを
一元的に管理
アプリケーションプロファイルの追加、変更、削除が他のテナントやアプリケーションに影響しない
テナント、アプリケーションが増えても、他への影響を心配せず、セキュアかつシンプルなオペレーションが可能
W
E
B
A
P
P
DB
F
W
A
D
CAPP APP APPWEB WEB WEB
DB DB DB
W
E
B
A
P
P
DB
F
/
W
A
D
C
A
D
CAPP APP APPWEB WEB WEB
DB DB DB
W
E
B
A
P
P
DB
F
W
A
D
CAPP APP APPWEB WEB WEB
DB DB DB
直近でのアップデート(ACI 2.0)
ACI Release Timelines
Shipped EC’ed PlanningLegend:
Q4 CY
2015
Q2 CY
2016
Q3 CY16
Q4 CY16
Bronx Congo CrystalBrazos
Long-Lived Release Train
Q4 CY16
Congo MR Danub
Q1 CY17
Q2 CY17
Danube MR
今ここ
ACI 2.0
Cisco Nexus 93108TC-EX Switch: 1RU 48-Port 1/10GBASE-T & 6-Port 40/100G QSFP Switch
48 x 1/10-Gbps Copper Server
Ports
6 x 40/100-Gbps Uplinks
2.16-Tbps Bandwidth
Cisco® NX-OS and Cisco Application Centric Infrastructure (Cisco ACI™)
FRU Fans and Power Supplies
Choice of Airflow Direction
Cisco Nexus® 93108TC-EX Switch Hardware Installation Guide
Service Graphデバイスを通したいトラフィックをデバイス向けにリダイレクトできる(曲げる)ようになりました。
Policy Based Redirect
ContractEPG EPG
Subject1(HTTP) : Service Graph
Subject2(Others) : permit
ファイアウォール
MAC: 00:00:00:00:00:01IP : 192.168.1.1
SubjectにHitしたトラフィックの送信先をService GraphノードのMACアドレスに変換(リダイレクト)してServiceGraphノード側に送信。
特定のトラフィックのみRedirectも可能
EPG Client EPG Web
HTTPトラフィックのみがFWへリダイレクトされ、その後Web
Endpointに向かう。その他のトラフィック(但しcontractに許可されたものに限る)はWeb Endpointに直接向かう。
EPG
Client
EPG
WebContract
Redirect
providerconsumer
• FWによる特定トラフィックの監査
Thank you
シスコシステムズ合同会社
SDN応用技術室
畝高 孝雄
ACI関連 dCloudデモシナリオ
1. dCloud デモラインナップ
2. Nexus 9000 NX-OS デモ
3. ACI デモ (管理連携・デバイスパッケージ連携)
4. 近日提供開始予定 デモ
もくじ
1. dCloud UI
dCloudデモ環境は、v2.0となりUIが大幅に変更されています。
1. dCloud デモラインナップ
ACI関連デモは、以下の条件でカタログから抽出できます。
• Content Categories: Demonstration
• Solutions: Application Centric Infrastructure
最新デモを確認したい場合は、以下の条件でソートしてください。
• Sort by “Published Data” 降順
1. dCloud デモ 日本語参考ドキュメント
dCloudのデモスクリプトは、順次 日本語化を行っています。英語版の正規ガイドと合わせて参考ください。
日本語の参考ドキュメントは以下のURLに、順次公開されます。
https://communities.cisco.com/docs/DOC-52558
2. Nexus 9000 NX-OS デモ
Nexus 9000 NX-OS (Standalone)関連デモは以下を提供中。
• Cisco Nexus 9000: Open NXOS Programmability and Automation v1 (2016/2/5)
デモ: https://dcloud2-sng.cisco.com/content/demo/71356
ドキュメント: https://dcloud2-sng.cisco.com/document/1519
ライフサイクルの各フェーズに合わせてNexus9000が備えるプログラマビリティを活用する実用例をデモ。Day0 (Ingineを用いた初期展開)、Day1 (Puppetを用いた自動構成)、Day2 (Splunkを用いた監視と最適化)、Day3 (NX-APIによる制御)、DayN (Ansibleを用いたアップグレード)
2. Nexus 9000 NX-OS デモ (Cont.)
• Cisco Nexus 9000: Open NXOS Programmability and Automation v1 (2014/7/11)
デモ: https://dcloud2-sng.cisco.com/content/demo/15817
ドキュメント: https://dcloud2-sng.cisco.com/document/1226
Pythonスクリプトを活用したEEM(Embedded Event Monitor)機能を用いて、Configモードに入った際に自動的に既存Configのバックアップを取得してメール送付する処理や、Grafana連携による取得値のグラフ化連携。NX-APIに関して、Sandbox機能、Postman連携、Splunk連携。Puppet連携による自動化。
3. ACI デモ※注意※
2016/9/14時点では、ACI 2.0対応のdCloudデモはまだ提供が開始されていません。
デモおよび基本的な操作感の学習としては有用ですが、本番導入にむけた評価・検証などは別途 実機環境もしくは最新のシュミレータなどを利用してください。
3. ACI デモ (1) - 管理連携ACI関連デモの内、管理連携に関するデモは以下を提供中。
• Cisco CloudCenter 4.5 - Install, Configure, and Manage Lab v1 (2016/6/22)
• Cisco Application Policy Infrastructure Controller 1.2 with CloudCenter 4.5 v1 (2016/4/25)
• Cisco Application Centric Infrastructure with shared Physical Fabric v2 (2016/1/11)
• Cisco Application Policy Infrastructure Controller 1.2 with VMware Integration v1 (2015/12/18)
3. ACI デモ (1) - 管理連携 (Cont.)ACI関連デモの内、管理連携に関するデモは以下を提供中。
• Cisco Application Policy Infrastructure Controller 1.0 with OpenStack Integration v2 (2015/3/12)
• Cisco Application Policy Infrastructure Controller 1.0 with UCS Director 5.2 v2 (2015/2/19)
3. ACI デモ (1) - 管理連携 (Cont.)
• Cisco CloudCenter 4.5 - Install, Configure, and Manage Lab v1 (2016/6/22)
デモ: https://dcloud2-sng.cisco.com/content/demo/93832
ドキュメント: https://dcloud2-sng.cisco.com/document/1840
CloudCenterの概要・構成要素などを押さえた上で、インストールと初期構成手順などを実施する。ACI環境はシュミレータ。 ※CliQrのWikiに用意されたハンズオンラボガイドを使用する
3. ACI デモ (1) - 管理連携 (Cont.)
• Cisco Application Policy Infrastructure Controller 1.2 with CloudCenter 4.5 v1 (2016/4/25)
デモ: https://dcloud2-sng.cisco.com/content/demo/84021
ドキュメント: https://dcloud2-sng.cisco.com/document/1662
日本語ドキュメント: https://communities.cisco.com/docs/DOC-68413
CloudCenterによるアプリケーションの展開操作、UCS Directorとの連携、アプリケーションベンチマーク実行、アプリケーションプロファイルの作成、各種ポリシーの定義
※構成済のCloudCenterを操作する運用フェーズデモ。ACIはシュミレータを使用。
3. ACI デモ (1) - 管理連携 (Cont.)
• Cisco Application Centric Infrastructure with shared Physical Fabric v2 (2016/1/11)
デモ: https://dcloud2-sng.cisco.com/content/demo/68652
ドキュメント: https://dcloud2-sng.cisco.com/document/1481
日本語ドキュメント: https://communities.cisco.com/docs/DOC-66552
dCloud用として用意された実際のACIファブリックを共有利用して、UCS Director連携によるアプリケーションプロファイルおよび環境の構成、OpenStack環境との連携構成などを実際にデモすることが可能です。
※物理リソースを共有利用しているため、一定の制限範囲内での対応となりますが、疎通確認なども可能な環境です。デモスクリプトの内容以外でも、各種動作確認や構成テストなどSandbox的にもご利用頂けます。
※ただし、物理リソースを共有利用するため、ポッド数に制限があります。事前スケジュール予約をオススメします。
3. ACI デモ (1) - 管理連携 (Cont.)
• Cisco Application Policy Infrastructure Controller 1.2 with VMware Integration v1 (2015/12/18)
デモ: https://dcloud2-sng.cisco.com/content/demo/67148
ドキュメント: https://dcloud2-sng.cisco.com/document/1471
日本語ドキュメント: https://communities.cisco.com/docs/DOC-67043
APICのWeb UIの理解、BasicモードとAdvancedモードの違い、CLIによるAPICの操作、Pythonスクリプトを利用したデバイスパッケージ連携の構成、vCenterプラグインからの操作、APICとUCS Managerの間でネットワーク構成を連携させるB2C(Better Together / PHPプログラム)の動作デモなどが用意されています。
※ACI環境はシュミレータのため、実際の疎通確認を行うことは出来ません
※vCenterプラグインは開発初期版となっており、現在提供中の正式サポート版とはUIが大きく異なります
3. ACI デモ (1) - 管理連携 (Cont.)
• Cisco Application Policy Infrastructure Controller 1.0 with OpenStack Integration v2 (2015/3/12)
デモ: https://dcloud2-sng.cisco.com/content/demo/44832
ドキュメント: https://dcloud2-sng.cisco.com/document/1118
RHEL-OSP6(Juno)環境とACIの組み合わせで、Heatによるオーケストレーション連携を活用したNeutron GBP連携環境の構成手順をデモすることができます。
※Heatを用いずに手動で構成手順を実施することも可能です
※VMMドメイン連携が可能となる以前の仕様のため、APICでOpenStack環境の情報を確認することはできません
※ACI環境はシュミレータのため、実際の疎通確認を行うことは出来ません
3. ACI デモ (1) - 管理連携 (Cont.)
• Cisco Application Policy Infrastructure Controller 1.0 with UCS Director 5.2 v2 (2015/2/19)
デモ: https://dcloud2-sng.cisco.com/content/demo/34848
ドキュメント: https://dcloud2-sng.cisco.com/document/987
UCS Director のワークフローを用いたカタログを使って、ACIやvSphere環境、デバイスパッケージを通じたASAファイアウォール環境などを構成するデモを実施できます。
※ACI環境はシュミレータのため、実際の疎通確認を行うことは出来ません
3. ACI デモ (2) - デバイスパッケージ連携ACI関連デモの内、DP連携に関するデモは以下を提供中。
• Cisco Application Policy Infrastructure Controller 1.2 with AVI Networks Integration v1 (2016/3/8)https://dcloud2-sng.cisco.com/content/demo/75898
• Cisco Application Policy Infrastructure Controller 1.2 with Citrix NetScaler Integration v1 (2016/2/23)https://dcloud2-sng.cisco.com/content/demo/74136
• Cisco Application Policy Infrastructure Controller 1.0 with F5 Integration v2 (2015/4/3)https://dcloud2-sng.cisco.com/content/demo/39940
※いずれもACI環境はシュミレータのため、実際の疎通確認を行うことは出来ません
4. 近日提供開始予定 デモACI関連デモとしては、以下の提供を近日中に開始する予定です。
• Cisco Application Centric Infrastructure with shared Physical Fabric v3
CloudCenter, VMware, Microsoft, OpenStackなどとの管理連携や、Tetrationとの組み合わせなどを予定。
• Cisco Application Policy Infrastructure Controller 2.0 with Firepower Integration v1
ASAおよびFirepowerとのデバイスパッケージ連携
• Cisco CloudCenter 4.6 with ACI v2