1. Клуб Cisco
новый сезон
ноябрь - декабрь, 2017
Центр обработки данных
Развитие сетевой архитектуры
для ЦОД Cisco ACI
Александр Скороходов
Инженер-консультант
2. Cisco ACI
Самое полное решение для сети ЦОД
Application Centric
Infrastructure
Автоматизация на основе политик
Физические серверы, виртуальные
машины и контейнеры
“SDN из коробки”
Открытость, опора на стандарты,
встроенная безопасность
Более 4000 заказчиков!
3. Cisco ACI
новое поколение инфраструктуры ЦОД
ACI фабрика
Программируемость, масштабируемость, открытость
App DBWeb
Внешняя сеть
передачи
данных
QoS
ACL
QoS
LB
QoS
МСЭ, LB
Application Policy
Infrastructure Controller
APIC
4. Cisco ACI: лидер индустрии
Заказчиков ACI Рост квартальной выручки Экосистемных партнёров
38+%4,000+ 65+
Ecosystem Partners
5. Что нового в ACI 3.0?
Оборудование, безопасность, масштабируемость, расширяемость...
Policy-Driven
Infrastructure
Fabric Management &
Networking
• Multi-Site (multiple APICs)
• Graceful Insertion and Removal
• Latency and Precision Time Protocol
• QinQ to EPG Mapping
• Forwarding Scale Profile Policy
• APIC GUI Enhancements
Infrastructure
• Nexus 9364C (Fixed 100GE Spine)
• Nexus 9348GC-FXP (Fixed 1GE ToR)
• N9K-X9736C-FX (Spine 100GE LC)
• Ingress QoS Policing per EPG
Virtualization &
Containers
• Kubernetes Integration
• AVS: QoS Marking and Distributed
Netflow
• vSphere VMM: Delayed EP
detach/attach for DVS and AVS
Security
• Micro-segmentation Enhancements
• First Hop Security
• 802.1X – End Point Authentication
• 2 Factor Authentication
6. Развитие протестированной масштабируемости
FEX
Up to 650 / Fabric
Up to 20 / Leaf
Leafs
Up to 400 Per Fabric
8 Border Leafs per L3 Out
Multicast Groups
Up to 8,000 (S,G) routes with
Convergence of 5 seconds
Bridge Domains
Up to 21,000 (L2), 15,000 (L3)
Up to 1750 Bridge Domains/VRF
3967 VLANs per leaf
3967 VLANs + BDs
EPGs
Up to 15000
Up to 1k L3 EPGs/EX-Leaf
4k L3 EPGs for one tenant
& one context
250 Isolated EPGs
Other
Up to 200 vCenters
Up to 2,000 Contracts
Up to 61k TCAM Rules
500 Service Graphs Per Cluster
Up to 12 Pods in Multi-Pod
Tenants
Up to 3000
Layer-3
50 VRFs Per Tenant , 1k IPs/MAC
8. Работа в режимах ACI (Spine) и NX-OS
100G шифрование MACSEC и VTEP-
VTEP на 16 портах*
40 MB «умный» буфер
QSFP28 совместимость с 40G QSFP+
64 порта с поддержкой
1,10,25,40,50,100G
6.4 T производительности на чип
Nexus 9364C 64p 40/100G
Фиксированный Spine 2-го поколения
* планируется
Идеально подходит для
небольших фабрик
Поддержка сочетания leaf
коммутаторов 1 и 2 поколения
Поддержка смешанных
скоростей фабрик 40/100G
9. Nexus 9348GC-FXP
ACI Leaf: 48p 100M/1G, 4p 10/25G, 2p 40/100G
• 48 портов с поддержкой 100M и 1GE
• 4 порта SFP+ 10/25G
• 2 порта QSFP+ 40/100G
• Полнофункциональный чип L2/L3
• 40 MB «умный» буфер
• Применение для 1G подключений
• Поддержка режимов NX-OS (включая
VXLAN/EVPN) и ACI Leaf
• Резерирование блоков питания и вентиляторов
• Альтернатива FEX и Nexus 3048 с существенной
лучшей функциональностью
2p
40/100G
48p
100M/1G
4p
10/25G
11. Cisco ACI
Развитие решений для связи ЦОД и масштабирования фабрики
ACI 1.1
Geographically
Stretch a single fabric
DC1 DC2
ACI Stretched Fabric
APIC Cluster
ACI 2.0 - Multiple
Networks (Pods) in a
single Availability Zone
(Fabric)
Pod ‘A’
MP-BGP - EVPN
…
IPN
Pod ‘n’
ACI Multi-Pod Fabric
APIC Cluster
ACI Single Pod Fabric
ACI 1.0 Leaf/Spine
Single Pod Fabric
ACI 3.0 - Multiple Availability
Zones (Fabrics) in a Single
Region ’and’ Multi-Region
Policy Management
Fabric ‘A’
MP-BGP - EVPN
…
IP
Fabric ‘n’
ACI Multi-Site
…more to
come!
12. VMVMVM
Site A
Site B
Site C
Site D
VMVMVM
ACI Multi-Site Multi-Site
Policy Manager
Согласованный транспорт и
политики между ЦОД
Бесшовная мобильность
Единая точка оркестрации
Полная изоляция доменов отказа
13. Inter-Site IP Network
ACI Multi-site
Расширяет виртуализацию сети, политики и сервисы на многие ЦОД
Site A Site B
Multi-Site
Policy Manager
Географически
разнесенные ЦОД
Active/Active
Катастрофоустойчивые ЦОД
Active/Standby
Растягивание приложений
между ЦОД
Задержки до
500мс - 1 с
14. ACI Multi-Site
Обзор
MP-BGP - EVPN
Availability Zone ‘A’ Availability Zone ‘B’
IP Network
REST
API
GUI
From ACI 3.0
Release
Отдельные ACI фабрики с независимыми APIC
кластерами
ACI Multi-Site Policy Manager для определения и
применения сквозных политик на мноих APIC
кластерах
MP-BGP EVPN control plane
VXLAN инкапсуляция
Сквозное определение и применение
политик
15. VMVMVM
Site A
Site B
Site C
Site D
VMVMVM
ACI Multi-Site Policy Manager
Multi-Site
Policy Manager
Созданение «растянутых»
тенантов, профилей
политик, правил RBAC
Мониторинг
здоровья
Добавление и
настройка сайтов
Поиск проблем
между сайтами
16. ACI Multi-Site
Namespace Normalization
Site to Site VTEP traffic (VTEPs, VNID
and Class-ID are mapped on spine)
Leaf to Leaf VTEP, Class-ID is local to the Fabric
Leaf to Leaf VTEP, Class-ID is local to the Fabric
VTEP
IP
Class-ID Tenant PacketVNID
Отдельные «пространства имён» с трансляцией иденификаторов на spine коммутаторах
Не требуется Multicast транспорт на магистрали, для всего Layer 2 BUM выполняется
Head-End репликация через Unicast
Требуетcя аппаратная поддержка на spine коммутаторе
VTEP
IP
Class-ID Tenant PacketVNID
VTEP
IP
Class-ID Tenant PacketVNID
Site 1
MP-BGP - EVPN
Site n
…
Translation of Source
VTEP address
IP Network
Translation of Class-ID, VNID
(scoping of name spaces)
17. ACI Multi-Site
Требования
Поддерживаются любые ACI leaf
коммутаторы (1-го поколения, -EX и -FX)
Только -EX Spine (или более новые) для
подкдючения к inter-site сети
Новый фиксированный Spine коммутатор
(9364C, 64x40G/100G порта) планируется
поддерживать для Multi-Site архитектуры
в районе Q1CY18
Spine коммутаторы 1-го поколения
(включая 9336PQ) не поддериваются
Могут использоваться для связи между leaf
внутри сайта
1st Gen
IP Network
-EX-EX
Can have only a subset
of spines connecting to
the IP network
1st Gen
18. ACI Multi-Site
Multi-Site Policy Manager
Hypervisor
REST
API
GUI
ACI Multi-Site
…..
VM
Site 1 Site 2 Site n
Микросервисная архитектура
• Используются несколько VM (active/active)
• Первоначально поддерживается vSphere (для
будущих релизов рассматривается использование
KVM и физического appliance)
Связь с APIC кластерами сайтов через сеть OOB
управления
• Поддержвается RTT до 500 мс - 1 с
Основные фунции ACI Multi-Site Policy Manager:
• Мониторинг «состояния здоровья» для различных
ACI Site
• Настройка перовоначальной конфигурации для
работы EVPN control plane между сайтами
• Определение и распространение политик по сайтам
• Траблшутинг между сайтами (в будущем релизе)
Рекомендуется рассмотреть использование ACI
Multi-Site Policy Manager даже для единственного
сайта, если в будущем планиуется Multi-Site
внедрение
VM VM
20. Безопасность ЦОД с Cisco ACI
Фокус на упрощении, масштабировании и «облаках»
Автоматизация
аудита,
обнаружения,
устранения угроз
Политика –
физические,
виртуальные,
контейнеры,
облака...
Распределённый
МСЭ и
микросегментация
Встроены в ACI Интеграция и партнёры
Validated for Deployment in PCI Compliant Networks
21. Инструментарий (микро)сегментации Cisco ACI
EPG и контракты
Модель политик ACI
Изоляция внутри EPG
Микросегментация с
использованием
атрибутов
Интеграция с
сервисами L4/L7
22. Безопасность по принципу «нулевого доверия»
Dot1X Authentication, First Hop Security & Granular Policy Enforcement
Пресечение атак на уровне доступа
(например, подмена IP/MAC) с
фунциями First Hop Security
Аутентификация серверов и
автоматическое помещение в
доверенные группы безопасности
Применение детальных политик
безопасности для взаимодействия
в рамках одной группы
Bare-Metal Hypervisor
Radius
Аутентификация
dot1x
Защищённая EPG
Bare-Metal
Pass Fail Pass
23. • 5 фукнций для IPv4/v6
• BD Level
1. DHCP Snooping/Inspection
2. Dynamic ARP/ND Inspection
3. IP Source Guard
4. RA Guard v6
• EPG Level
1. Trusted EPG
• Реализация на Leaf коммутаторе
• В ACI 3.0 – для физических подключений, VMM – в планах
Функции ACI 1st Hop Security
24. • Контракты
• Контракты внутри EPG – ACI 3.0
• Наследование контрактов – ACI 2.3
• Микросегментационные группы
• Поддержка vSphere Tags – ACI 2.3
• Поддержка DNS – бета в ACI 2.3
• Поддержка логических операторов (AND/OR) – ACI 2.3,
• Паритет (custom attributes (бета), AND/OR, Intra-EPG Isolation)
для Hyper-V – ACI 3.0
Разитие функций безопасности
25. Cisco ACI : микросегментация для bare metal
серверов, разных платформ виртуализации, с
поддержкой многих vCenter и ЦОД
SITE 1 SITE 2
IP connectivity
vCenter1 vCenter2
Cluster-01 Cluster-02
Consistent Micro EPG
Attribute-Based Classification
Web
Prod
Web
Prod
uEPG-Web
App
Prod
App
Prod
uEPG-App
SQL-EPG
Consistent Policies across
multiple sites
Inter-EPG Contracts
Intra-EPG Contracts
27. Фабрика с поддержкой нескольких гипервизоров
• Заказчик не ограничен в выборе
платформы виртуализации: VMWare,
Microsoft, KVM/OpenStack или
невиртуализированных серверов
• Возможность использования
нескольких VMM в одной группе EPG
• Интегрированный шлюз для VLAN и
VxLAN сетей
• Не требуется дополнительное
лицензирование
• Поддержка контейнеров – проект Contiv
Интеграция с физическим
и виртуальным миром
Сетевой
администратор
Администратор
приложения
ФИЗИЧЕСКИЙ
СЕРВЕР
VLAN
VXLAN
VLAN
NVGRE*
VLAN
VXLAN
VLAN
ESX Hyper-V KVM
Управление
гипервизором
ACI фабрика
APIC
APIC
28. Интеграция с Kubernetes
Node
OpFlex OVS
Node
OpFlex OVS
Изоляция тенантов и интеграция сетевых
политик Kubernetes и политик ACI
Видимость: мониторинг в APIC на уровне
контейнеров и отслеживание «здоровья»
Единый транспорт для контейнеров, VM и
невиртуализированных серверов
Интегрированная в фабрику балансировка
нагрузки между микросервисами для
отказоустойчивости и масштабирования
ACI и контейнеры
Используются существующие APIC,
не нужен новый контроллер
29. Kubernetes VMM домен
APIC keeps inventory of PODs
and their metadata (labels,
annotations), deployments and
replicasets, etc.
View PODs per node, map to
encapsulation, physical point
in the fabric.
Fabric admin can search
APIC for k8s nodes, masters,
PODs, services …
30. Изоляция кластера
Различные подходы к определению EPG
Изоляция namespace Изоляция deployment
Pod
Pod
Pod
Pod
Pod
Pod
• Единая EPG для всего кластера
Kubernetes
• Для внутреннего взаимодействия
не нужны контракты
• Каждое namespace – своя EPG
• Для взаимодействия нужны
контракты
• Каждое deployment – своя EPG
• Жёсткий контроль с помощью
контрактов
Pod
Pod
Pod
Pod
Pod
Pod
Pod
Pod
Pod
Pod
Pod
Pod
Pod
Pod
Pod
Pod
Pod
Pod
Contract
Pod
Pod
Pod
Pod
Pod
Pod
Pod
Pod
Pod
Pod
Pod
Pod
Contract
Contract
Contract
Contract
EPG
Network
Policy
31. Ключевые новости
ACI Multi-Site
Единый транспорт для
контейнеров, VM и
невиртуализированных серверов
Бесшовное объединение и
управление многими ЦОД
Интеграция с
Kubernetes
Аутентификация и
защита серверов
Безопасность на
подключении и
аутентификация
32. Удалённый Pod Multi-Pod / Multi-Site Расширение в гибридные облака
ACI Anywhere – стратегическое видение
Любая нагрузка, любое место, любое облако
ACI Anywhere
IP
WAN
IP
WAN
Удалённый офис Публичные облакаВнутри ЦОДов
Безопасность везде Политики вездеАналитика везде