كتبنا هذه المدونة كدليل تجديد أو دليل سريع بناءً على عدد الموارد والمنشورات من الإنترنت. لدينا جميعًا تفسير مختلف لنفس الهدف ، ولكن في بعض الأحيان يكون من الجيد التحقق من الأمر بما يعتقده الآخرون.

Cisco ACI للأعمال التجارية في مراكز البيانات

في عالم الشبكات ، يتحدث الجميع أو يستخدمون البنية التحتية المركزية للتطبيق (ACI). لنبدأ ببعض الأسئلة.

ما هو Cisco ACI؟

يرمز ACI إلى Application Centric Infrastructure وهو حل Cisco SDN لبيئة مركز البيانات. ACI هي طريقة لإنشاء إطار عمل مشترك قائم على السياسة لبيئة تكنولوجيا المعلومات. على وجه التحديد عبر مجالات التطبيقات والشبكات والأمان. إنه مستند إلى السياسة - مجموعة من المبادئ التوجيهية أو القواعد التي تحدد مسار العمل. مثال على ذلك: حركة المرور التي تنتقل من خادم ويب إلى مضيف نهائي ، يجب أن تمر عبر جدار حماية. حاول أن تتخيل ، مثل QoS و Security و SLA

ما هي الميزات / الفوائد الرئيسية؟

• أتمتة
• التركيز على التطبيقات
• قدرات التكامل
• المحاكاة الافتراضية
• شبكات الحاويات
• تزامن
• الشبكات السحابية العامة

لماذا ACI؟

• طبولوجيا الورقة - العمود الفقري - الأوراق - بسيطة وقابلة للتطوير
• ECMP - توجيه إيثرنت بطريقة نشطة / نشطة
• تحسين حركة المرور بين الشرق والغرب ، بوابة Anycast على كل ورقة
• التجزئة الدقيقة - نفس الشبكة الفرعية؟ ليست مشكلة على الإطلاق!
• الأمان - سياسة القائمة البيضاء بشكل افتراضي

ما هي مكونات ACI؟

• المفاتيح -> الأدوار: الأوراق والأشواك
• أوضاع Nexus 9K: ACI لـ ACI و NX-OS للاستخدام المستقل
• وحدات التحكم: وحدة تحكم البنية الأساسية لسياسة التطبيق (APIC). خادم UCS-C -> سعة مختلفة لأحجام نسيج مختلفة. غير مسموح بالأجهزة غير التابعة لشركة Cisco ؛ لن تنجح.

العمارة ACI

يرجى الاطلاع على الشكل أدناه. القاعدة الذهبية هي ذلك مفاتيح العمود الفقري يجب أن تكون متصلاً بجميع مفاتيح Leaf والعكس صحيح. ومع ذلك ، فإن العمود الفقري غير متصل ببعضه البعض ولا يمكن توصيل Leaves أيضًا. لا يمكن توصيل الخوادم إلا بأوراق الشجر وليس العمود الفقري. إذا كان الخادم متصلاً بالعمود الفقري - فسوف يكتشف MCP (MisCetting Protocol) ذلك ويوقف الاتصال. لن يسمح LLDP (بروتوكول اكتشاف طبقة الارتباط) بالاتصالات العمود الفقري <> العمود الفقري والأوراق <> الورقة

طوبولوجيا أوراق العمود الفقري

• نسيج قائم على بروتوكول الإنترنت بسرعة 40 جيجابت في الثانية مع تراكب VXLAN مدمج -> 100 جيجابت في الثانية
• نسيج بسيط / متناسق / قابل للتطوير
• يتكون من أجهزة N9K ، 9500 مفتاحًا مثل العمود الفقري (2x على الأقل للتكرار) المستخدم للنطاق الترددي القماش
• مفاتيح Cisco 9300 في طبقة الورقة (ToR - أعلى الرف). الأجهزة الطرفية ، عادةً الخوادم ، يتم توصيل هيكل VMWare هنا.

ACI - توجيه العمود الفقري وطبقة الأوراق

• يوفر IS-IS (بروتوكول التوجيه) التوجيه الأساسي
• في النطاق: واجهات IP غير المرقمة ، واتصالات L1 (الداخلية) فقط ، والإعلان عن عناوين VTEP ، وإنشاء شجرة FTAG ذات البث المتعدد ، وتحديد الأنفاق والإعلان عنها

ما هو VTEP؟

يتم تغليف الإطار بواسطة كيان يعرف باسم نقطة نهاية نفق VXLAN (فتيب.) أ فتيب له واجهتان منطقيتان: الوصلة الصاعدة والوصلة الهابطة. يعتبر الارتباط الأعلى مسؤولاً عن تلقي إطارات VXLAN ويعمل كنقطة نهاية نفق بعنوان IP يستخدم لتوجيه إطارات VXLAN المغلفة (من Cisco Portal)

ما هو APIC؟

مراقب البنية التحتية لسياسة التطبيق - APIC ، هو المكون الرئيسي لحل ACI. يوفر أتمتة وإدارة نسيج Cisco ACI وإنفاذ السياسة ومراقبة الصحة. تعمل أداة التحكم على تحسين الأداء وإدارة وتشغيل نسيج Cisco ACI متعدد الأبعاد القابل للتوسيع.

• APIC هو مراقب السياسة في ACI
• الكتلة الزائدة عن الحاجة: عادةً ثلاثة أو أكثر من APIC للتكرار والنصاب القانوني. هم ليسوا في التكوين النشط / الاستعداد. هم في النشر النشط / النشط ، ويتم مشاركة البيانات عبر العقد. كل جزء يحتوي على 3x نسخة طبق الأصل عبر وحدات التحكم.
• APIC ليست في السيطرة ، أو مستوى البيانات من القماش. بمجرد تكوين بيئة الشبكة وتعطل APIC ، فلن يؤثر ذلك على البنية التحتية. ومع ذلك ، فإن APIC مطلوب للتحركات / الإضافات / التغييرات / الحذف وأي عمليات يومية. لذلك يجب أن يكون لديك APIC على المدى الطويل. يمكن لشبكتك أن تعيش بدونها لفترة قصيرة.

ACI - اكتشاف النسيج

• APIC هي المسؤولة عن: اكتشاف النسيج والعنونة ، وإدارة الصور ، والطبولوجيا والتحقق من الكابلات.
• يتم إجراء اكتشاف النسيج عبر بروتوكول اكتشاف طبقة الارتباط (LLDP) ، و TLV (OUI) الخاص بـ ACI واتصال إدارة APIC بالبنية التحتية- vrf

دجاج أم بيض؟ كيف يكتشفون بعضهم البعض؟

يستخدم ACI في عملية الاكتشاف طريقة التراسل داخل النسيج (IFM) حيث يتبادل APIC والعقد رسائل نبضات القلب. تسمى التقنية المستخدمة من قبل APIC لدفع السياسة إلى عقد أوراق النسيج باسم عملية IFM. في المرحلة النهائية يعالج اكتشاف العقد الورقية الأخرى و APICs في الكتلة.

• واجهة برمجة تطبيقات بوتستراب
• يكتشف مفتاح Leaf APIC عبر LLDP ، ويطلب عنوان TEP وملف التمهيد من APIC.
• سيجد مفتاح Spine Leaf ، ويطلب TEP وملف التمهيد من APIC.
• النسيج الآن يتجمع ذاتيا
• عندما يتم اكتشاف العديد من APIC على AV (ناقل الأجهزة) ، فإنها ستشكل كتلة مرنة.

ما هو Cisco ACI Tenant؟

An ACI يمثل نموذج الكائن المستأجر الكائن ذي المستوى الأعلى. في الداخل ، يمكنك التمييز بين الكائنات التي تحدد شبكات المستأجر ، مثل الشبكات الخاصة (VRFs) ومجالات الجسر والشبكات الفرعية ؛ والكائنات التي تحدد سياسات المستأجر مثل ملفات تعريف التطبيقات ومجموعات نقاط النهاية.

• المستأجر - وحدة منطقية للإدارة
• يمكن أن تكون عملاء أو وحدات أعمال (BU's) أو مجموعات
• يسمح بـ: إدارة منفصلة وتدفق البيانات ، مساحة عنوان IP قابلة لإعادة الاستخدام ، مساحة ملف تعريف مميزة.
• ثلاثة مستأجرين افتراضيين: مشترك - يوفر خدمات مشتركة لجميع المستأجرين ، Infra - يستخدم لجميع اتصالات النسيج الداخلية ، Mgmt - يستخدم لسياسات الوصول إلى الإدارة داخل النطاق وخارج النطاق.

لنقم ببناء ACI مثل Lego Bricks

السياق - VRF داخل المستأجر

• للمستأجرين قد يحتوي على سياق واحد أو أكثر ، يسمح بتكرار عنوان IP

جسر المجال - حاوية للشبكات الفرعية

• هذه بالضرورة هي VXLAN ، باستخدام وظيفة IRB: يتم تجسير حركة المرور داخل BD ، ويتم توجيه حركة المرور بين BD ، وبالتالي ، تكون الشبكات الفرعية غير ذات صلة حيث يتم توجيه حركة المرور بناءً على مسارات مضيفة ./32.
• يتم تعطيل غمر الطبقة 2 افتراضيًا ؛ يمكن تمكينه داخل Bridge Domain لـ ARP و DHCP وتكامل CE.

كيفية إدارة وصول OOB؟

إدارة النسيج ، نطاق Cisco Nexus 9K Mgmt

• داخل النطاق ، عبر البنية التحتية وإدارة VRF ومنافذ وحدة التحكم ومنفذ الإدارة المخصص خارج النطاق (مثل أجهزة Nexus الأخرى و N5k و N7k)
• نطاق APIC Mgmt ؛ منافذ النسيج (بيانات 2x) ، OOB Mgmt ، وحدة تحكم إيثرنت ، CIMC / IPMI

كيف ACI إعادة توجيه في النسيج؟

باختصار ، إذا كان الخادم المتصل بمحول Leaf يريد الاتصال بالخادم الآخر في مكان آخر على الشبكة المحلية ، فسيقوم Leaf بالبحث في "جدول المحطة المحلية" الخاص به عن VTEP (نقطة نهاية النفق الافتراضي). إذا لم تتمكن من العثور عليها هناك ، فستحاول "Global Station Table". ومع ذلك ، إذا لم يتمكن من العثور عليه هناك إما من الاتصالات السابقة ، فسوف يطلب مفتاح Spine. يعرف العمود (الأعمدة) كل شيء ، وسوف يرون إدخال VTEP لإعادة توجيه حركة المرور إلى الوجهة.

إعادة التوجيه ، توجيه LISP الداخلي.

• يتم إعادة توجيه الطبقة 2 والطبقة 3 استنادًا إلى وجهة IP و Intra و Inter Subnet.
• يحتوي كل محول أوراق على جداول إعادة توجيه 2x: جدول المحطة العالمية -> ذاكرة التخزين المؤقت لنقاط نهاية النسيج ، وجدول المحطة المحلية -> المضيفين المرتبطين مباشرة بـ Leaf ، أو خارج الورقة ، "إظهار نقطة النهاية" في CLI.

بوابة SVI المنتشرة

• لا يوجد HSRP أو VRRP ، متوفر على جميع الأوراق (حيث توجد نقاط النهاية) ، على غرار IP الموزع AnyCast GW في VXLAN eVPN

بروتوكولات الإدارة وسياسات الواجهة لـ ACI

• بروتوكول اكتشاف Cisco (CDP) - السياسة الافتراضية هي "إيقاف التشغيل" -> تُستخدم في "سياسات الواجهة"
• بروتوكول اكتشاف طبقة الارتباط (LLDP) - السياسة الافتراضية "ممكّنة" -> تُستخدم في "سياسات الواجهة"
• بروتوكول توقيت الشبكة (NTP) - يمكنك استخدام NTP داخل النطاق أو خارج النطاق ، اعتمادًا على مخطط MGMT الذي يستخدمه النسيج
• خدمات اسم المجال (DNS) - مفيدة ويمكن أن تكون ضرورية لاسم المضيف لتحليل عنوان IP

ACI ، سياسات الوصول إلى النسيج

حمامات VLAN تمثل كتل معرفات حركة المرور VLAN. تجمع VLAN هو مورد مشترك ويمكن استهلاكه من قبل مجالات متعددة مثل نطاقات VMM وخدمات الطبقة 4 إلى الطبقة 7.
لكل تجمع نوع تخصيص (ثابت أو ديناميكي) ، تم تعريفه وقت إنشائه. يحدد نوع التخصيص ما إذا كانت المعرفات الواردة فيه سيتم استخدامها للتعيين التلقائي من قبل APIC (ديناميكي) أو يتم تعيينها بشكل صريح من قبل المسؤول (ثابت). بشكل افتراضي ، تحتوي جميع الكتل المضمنة في تجمع VLAN على نفس نوع التخصيص مثل التجمع ، ولكن يمكن للمستخدمين تغيير نوع التخصيص لكتل ​​التغليف الموجودة في التجمعات الديناميكية إلى ثابتة.

• تحدد سياسة مساحة الاسم نطاقات المعرفات المستخدمة لتغليف VLAN. تحدد شبكات Vlan التي يمكن استخدامها بواسطة المجال (نوع من مثل "قائمة مسموح بها"). 1x Vlan pool لكل مجال
• أوضاع 2x للعمليات: تخصيص ثابت - يُستخدم مع الخوادم المعدنية ، عمليات نقل الطبقة 2 / الطبقة 3 لإجراءات مثل "روابط المسار الثابت" ، التخصيص الديناميكي - يسحب APIC بشكل ديناميكي Vlan من المجموعة (على دراية بتطبيقات VMM)

يستطيع نسيج ACI تعيين معرفات VLAN تلقائيًا من تجمعات VLAN. يوفر قدرًا هائلاً من الوقت ، مقارنةً بتقليص شبكات VLAN في مركز البيانات التقليدي.

المجالات - سياسات الوصول إلى الأقمشة

تعمل المجالات كالغراء بين التكوين الذي يتم في علامة تبويب النسيج لنموذج السياسة وتكوين مجموعة نقطة النهاية الموجود في جزء المستأجر. يقوم عامل النسيج بإنشاء المجالات ، ويقوم المسؤولون المستأجرون بربط المجالات بمجموعات نقاط النهاية.

• يطلق عليهم  المجالات، لأن "كيفية" اتصال الأجهزة / العناصر بالنسيج.
• مادي - تستخدم لمضيفات / خوادم Bare-Metal.
• جسر خارجي - تستخدم لتوصيلات الطبقة الثانية الخارجية ، لشبكة تبديل خارجية
• موجه خارجي - تُستخدم للاتصال بجهاز خارجي من الطبقة الثالثة للتوجيه إلى / خارج القماش.
• VMM - تُستخدم للاتصال ببيئة يتم التحكم فيها بواسطة برنامج Hypervisor مثل vCenter و OpenStack و MS SCVMM

ملف تعريف كيان الوصول المرفق (AAEP) أو (AEP)

يمثل ملف تعريف الكيان المرفق (AEP) مجموعة من الكيانات الخارجية بمتطلبات سياسة البنية التحتية المماثلة. تتكون سياسات البنية التحتية من سياسات الواجهة الفعلية التي تقوم بتكوين خيارات البروتوكول المختلفة ، مثل بروتوكول Cisco Discovery Protocol (CDP) أو Link Layer DiscoveryProtocol (LLDP) أو بروتوكول التحكم في تجميع الارتباطات (LACP).
مطلوب AEP لنشر تجمعات VLAN على مفاتيح طرفية. يمكن إعادة استخدام كتل التغليف (وشبكات VLAN المصاحبة) عبر مفاتيح الأوراق. يوفر AEP ضمنيا نطاق تجمع VLAN إلى البنية التحتية المادية.

• سيكون لديك عادة AEP واحد لكل مستأجر.
• مجموعة من الكيانات "الخارجية" ذات سياسة مماثلة ، مطلوبة لنشر تجمع VLAN على Leafs ، ​​وتحدد النطاق ، ولكنها لا توفر
• يجمع بين الواجهات وشبكات VLAN بحيث تعرف APIC مكان نشر شبكات VLAN (أي ما تقوم بتحويل Leaf لدفع شبكات VLAN أيضًا)
• تحتوي AAEP على المجالات وهي
• التي تحتفظ بها مجموعات نهج الواجهة

مجموعات نقاط نهاية ACI (EPG's)

تُستخدم مجموعات نقطة النهاية (EPGs) لإنشاء مجموعات منطقية للمضيفات أو الخوادم التي تؤدي وظائف متشابهة داخل النسيج والتي ستشارك سياسات مماثلة. يمكن أن يكون لكل مجموعة نقاط نهاية تم إنشاؤها سياسة مراقبة فريدة أو سياسة QoS وترتبط بمجال الجسر.

• دليل البرامج الإلكتروني (EPG) عبارة عن مجموعات من التطبيقات و / أو الكيانات المستقلة عن صيغة الشبكات (مثل VLAN ، و IP ، وما إلى ذلك ...)
• متشابهة في طبيعتها عادةً (مثل الويب وقاعدة البيانات وخوادم التطبيقات)
• مجموعة نقاط النهاية التي تتطلب سياسة مشابهة: الشبكات الخارجية ، مجموعات الخوادم / التطبيقات ، خدمات الشبكة ، أجهزة التخزين
• تشمل أنواع دليل البرامج الإلكتروني: دليل البرامج الإلكتروني للتطبيق ، ودليل البرامج الإلكتروني الخارجي من الطبقة الثانية ، ودليل البرامج الإلكتروني الخارجي للطبقة الثالثة ، ودليل البرامج الإلكتروني للإدارة (Mgmt ، و OOB ، و Inbound)

• تتميز EPG بأنها مرنة وقابلة للتمديد
• إن دليل البرامج الإلكتروني (EPG) هو نقطة تطبيق سياسة كائنات المجموعة
• لا يتم فرض السياسة بواسطة الشبكة (الشبكات) الفرعية
• لن تؤثر تغييرات عنوان IP على السياسة ما لم يتم تحديد نقطة النهاية بعنوان IP
• يمكن أن تتواصل العقد داخل EPG
• يجب أن يكون للعقد بين دليل البرامج الإلكتروني "عقد" من أجل التواصل

العقود - ربط الجميع معًا

• تحدد العقود كيفية التواصل البيني لـ EPG وتحديد التصاريح الواردة والصادرة والرفض وجودة الخدمة وعمليات إعادة التوجيه والرسوم البيانية للخدمة
• العمل في نموذج المزود / المستهلك ؛ يمكن أن يوفر EPG عقدًا سيستهلكه آخر