ACI 模型(更新中)

最新推荐文章于 2020-10-21 23:10:36 发布
最新推荐文章于 2020-10-21 23:10:36 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: VXLAN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43691045/article/details/103807563
版权

1. ACI 策略管理信息模型

fabric所包含的物理和逻辑组件都记录在MIM中(management information model),MIM可以使用树状的MIT表示(management information tree)。每个MIT节点表示一组,或一个可管理的对象(MO, managed object),MO可以是物理交换机,控制器,也可以是逻辑的概念。
ACI管理信息模型如图:
在这里插入图片描述
图中每个节点代表一个MO,每个MO都有一个DN(distinguished name)描述MO对象的名称和位置。

  • ACI controllers 通常是一个cluster ,由几台同步的控制器构成,提供fabric的管理,编程,应用下发,监控状态监控功能
  • Tenant 相当于包含多个策略的容器, 管理员可以通过tenant 执行基于域的访问控制,当前ACI提供以下4种 tenant:
    1. 用户tenant 用于为用户提供服务,用户tenant中的策略可以管理应用程序,数据库,web servers ,存储和虚拟机。
    2. common tenant是系统自带,管理员可对common tenant进行配置。common tenant中的策略可以管理所有用户可以访问的资源,例如防火墙,LB,L4-L7服务,IDS等
    3. infrastructure tenant 系统自带,管理员可以进行配置,包含的策略可以对基础架构资源例如fabric vxlan overlay ,进行管理。
    4. management tenant 系统自带,管理员可以进行配置,包含管理整个fabric的管理策略,包括带外管理,带内管理配置。management tenant 包含一个私有带外管理地址空间,用于ACI和fabric直接通信,该通信通过交换机的管理口实现,且不通过fabric的转发层面。management tenant使得虚拟机控制控制器得以被发现和自动通信。
  • access policy 负责操作接入层端口,接入层端口通常与网络资源资源(存储,计算,L2,L3连接,虚拟机)相连。可以在access policy 上配置CDP ,LLDP等策略。
  • fabric policy 负责操作交换机面向fabric的端口,fabric policy还可以操作NTP,IS-IS,BGP,DNS等。
  • VM domain将VM控制器和网络连接起来,APIC可以将网络配置推送给VM控制器,VM控制器将网络配置到虚拟主机上,通常用于vmware 和APIC的集成。
  • L4-L7 service 提供L4-L7设备包和资产管理功能。
  • AAA提供访问控制,审计,权限控制的功能。

2.ACI 组件概念

ACI关键组件的对应关系
在这里插入图片描述

2.1 Tenant

Tenant 相当于包含多个策略的容器, 管理员可以通过tenant 执行基于域的访问控制.租户代表了一个客户在SP中的配置,或一个组织在一个企业中的配置。

2.2 VRF

一个租户可以有多个VRF,一个VRF可以对应多个BD。ACI中的VRF和传统网络中的VRF概念一致

2.3 endpoint group (EPG)

ACI 中endpoint表示直接或间接连接到网络的终端,可以是服务器,虚拟机,存储或互联网上的客户端,endpoint group 则表示具有相同属性的终端组。ACI当前endpoint 类型包括:应用层EPG,外界通过二层和ACI连接的EPG,外界通过三层和ACI连接的EPG,通过带内或带外管理的EGP。
EPG中的终端具有共同的策略要求,例如安全,虚拟机移动性(VMM) ,Qos, L4-L7服务,可以通过对EPG的配置,实现对EPG中所有设备的配置。
以广域网连接为例,在ACI配置l3extInsP EGP,包含远端endpoint的源地址网段,当EGP范围内的主机发起连接时,ACI 就会在连接上应用l3extInsP EGP策略。
EGP 可以静态配置,也可以通过vcenter 和openstack 通过ACI下发。

2.3.1 Micro-segmentation

根据某些属性(IP,MAC,VM信息,操作系统等),将多个EPG里面的endpoint 划分到一个单独的EPG,新的EGP就称为micro-segmentation EPG 。这将提供更小的粒度对endpoint进行控制。
ACI交换机根据端口入方向策略将数据包划分到相应的EGP。micro-sgement EPG根据VM信息,MAC地址,IP地址将策略应用到影响的endpoint上。

2.3.2 EPG 内部endpoint隔离

默认情况下EPG内部可以相互通信,部署EGP 内部隔离策略后,可以阻止EPG之间内部通信。

2.4 Application profile

Application profile 定义了EPG之间的策略,服务和关系。Application profile通常包含应用提供服务所需的EGP。。以电子商务application profile为例,就包括web 服务器,数据库等EPG。

2.5 BD 和子网

BD有以下特性:

  • BD必须和VRF关联,

  • 一个BD定义了唯一的MAC地址空间,BD内的MAC地址不能重复,

  • BD同时也定义了泛洪域

  • BD 内可以定义一个或多个subnet。
    subnet 类型包括:

    1. public——可以导出到ACI外部
    2. private——只能在租住子网内部使用
    3. share——可以导出多个租户,常用于共享服务
灵气小王子
关注
专栏目录
了解Cisco Nexus 9000 ACI模式
1003
05-09 2006
来源:https://developer.cisco.com/learning/modules/intro-to-aci/sbx-intro-aci-01_understanding-aci/step/1 目标: 了解NX-OS与ACI 了解ACI组件和术语 了解Tenant Networking 了解GUI Nexus 9000有两种操作模式:NX-OS模式和应用程序心基础设施(A...
MLOps极致细节:18. Azure ML Pipeline(机器学习管道),Azure Container Instances (ACI)部署模型
破浪会有时的博客
03-25 1978
通过Azure Container Instances (ACI) 进行模型部署
操作系统ahci aci ide模式
ghostyusheng 's blog
02-18 838
ahci模式是SATA模式,而且支持NCQ、热插拔等功能,但是在安装系统时就必须选择成这种模式,因为系统要加载对应的SATA驱动. IDE就是把SATA盘映射模拟成普通IDE硬盘,不支持任何SATA接口带来的新技术,也不需要额外加装SATA驱动. aci就是IDE
ACI 概念和术语
qq_43691045的博客
02-27 1332
ACI 模型图 bridge domain 范围 简称bd,一个bd范围可以是以下内容: public :可以被fabric外部访问; private :只能在本tenant使用; share:可以在tenent 内部不同VRF共享,也可以在不同tennat共享; 其他选项 limit IP Learn To Subnets:只有地址在bd的范围内,才会学习endpoint的IP地址; U...
Nexus 9000 Series Switch FEX Support NXOS and ACI MODE
funnycoffee123的博客
10-21 538
https://www.cisco.com/c/dam/en/us/td/docs/Website/datacenter/fexmatrix/fexmatrix.html Nexus 9000对fex支持是有限制的,比如 部分型号是不支持fex, dual-home在9.2(1)以后才支持 ACI 支持fex dual-home吗? 没戏,压根不支持。只有NXOS的才支持。ACI mode只能单连。 what is fex? fex is fabric extender ,是指Cisco Nexus
aci_fe.zip_Motor flux_aci-fe_aci_fe_estimation flux_电压模型
07-15
一种异步电机转子磁链估计的DSP实现,用的是电压模型和电流模型的综合方法。
思科ACI架构详解.pdf
07-07
APIC集群是ACI架构的关键组件,负责整个ACI网络的集管理。APIC集群通过共享相同配置信息的节点来实现高可用性和负载均衡。集群成员使用Appliance Vector(AV)和IS-IS协议进行彼此发现,IS-IS协议负责广告_...
Black Belt ACI Deployment - Stage1 题库
07-02
4. **Policy Model**:ACI采用基于策略的模型,允许管理员定义应用服务和安全策略,这些策略可以跨整个网络一致地实施。 5. **North-South和East-West Traffic**:ACI优化了数据心内的东西向流量(East-West),...
思科ACI介绍
10-19
1)网络策略模型,即将网络装置按容器式结构划分以及描述设备连接情况的组织原则, 2)APIC(应用基础设施控制器/即SDN的控制器),提供所有配置策略的单独管理点和信息库,以及 3)ACI架构,即组成ACI的所有物理和虚拟...
M01 - What is Cisco ACI.pdf
09-26
ACI模型的APIC(Application Policy Infrastructure Controller)是整个架构的大脑,它通过一个集成的策略模型来定义和管理网络策略。APIC不仅能够进行网络的抽象化管理,还能提供与思科UCS(Unified Computing ...
Cisco ACI培训手册Lab_01_ACI Fabric Discovery
06-13
Cisco Nexus 9000 ACI Student Guide 思科Nexus9000系列ACI培训手册
ACI--添加BD-EPG和VLAN池:思科ACI自动化
02-05
ACI-添加BD-EPG和Vlan-Pool 思科ACI自动化 创建EPG,BD,VLAN池,然后使用JSON将它们发布到APIC REST API。 用例说明 我需要在ACI创建多个桥域和端点组,以便在迁移VM资产时临时连接到旧版NXOS。 每个BD / EPG的配置几乎相同,因此我创建了一个脚本来保存一些点击。 下面的屏幕截图是从该脚本运行的Devnet APIC上已完成的配置。 安装 克隆到您的计算机上,更新certificate.py和listOfThings.py,使其与您的环境匹配。 组态 进入该凭据文件。并将您的详细信息添加到主机,用户名和密码对象。 当前已设置为使用
Cisco ACI培训手册_Lab_02_Fabric Access Policy Configuration
06-13
Cisco Nexus 9000 ACI Student Guide 思科Nexus9000系列ACI培训手册
ACI简介
qq_43691045的博客
11-21 2533
ACI基本概念 ACI常用硬件组件包括Nexus 9500,9300,和APIC控制器。APIC控制器提供GUI和REST接口。 新加入的Leaf或spine节点通过特定TLV LLDP向APIC注册从而加入 Fabric 。数据层面所有的数据包都通过VXLAN转发,控制面使用MP BGP EVPN 。fabric 内可达性通过IS-IS实现。 ACI通过Border leaf 和外部网络连接,...
思科SDN技术:ACI架构概述
Matthew Jiang的博客
03-20 7346
思科ACI物理架构: 先解释几个名词: Fabric:在思科的一些高级产品(比如Nexus 7000系列)也有Fabric的概念,可以理解或翻译成交换矩阵。而在ACI,Fabric指的是如上图所示的Leaf交换机和Spine交换机组成的基础架构网络,也就是整个ACI网络所有的硬件交换设备的集合,整个数据转发层面,叫做Fabric Spine Layer:骨干交换机,ACI Fabric的核...
Contiv网络组件解析
weixin_43241513的博客
06-26 1833
Contiv网络组件解析 Contiv是思科的容器网络解决方案,编程语言为Go。它主要有两大组件组成:Netmaster和Netplugin。数据转发面采用Openvswitch。
ACI 组件介绍
Conrad_Wang的博客
06-22 1876
ACI:Application Centric Infrastracture,以应用为心的基础网络架构 ACI的相关术语: SDN:Software Defined Network,软件定义网络 ACI:Application Centric Infrastracture,以应用为心的基础网络架构 Fabric:ACI的交换矩阵,数据转发平面,统常将整个AC...
Cisco ACI的测试感受
热门推荐
老七的博客
01-11 2万+
前段时间在公司的测试环境玩了玩cisco ACI,觉得挺有意思的,一直想写点测试的感受,但是一直比较忙,最近抽了几个晚上梳理了一下,分享下这次有趣的测试。 1、关于ACI网络架构介绍 ACI的整体架构 我自己画了一个比较典型ACI的组网,简单说下几个比较重要的组件: 1.1 思科应用策略基础设施控制器(APIC):        APIC是Cisco AC
ACI概述
繁星流动天际
03-29 1557
ACI逻辑: 租户逻辑 接口逻辑: 1 上线 Spine设备和Leaf设备按照拓扑连接加电后拓扑和配置自动生产,无需人工干预,实现自动化上线(LLDP发现) 控制器APIC封装在cisco自有的C系列服务器里,APIC接入到任意Leaf即可,三台APIC服务器尽量分别接入不同的leaf并双链路上行。 然后就是初始化APIC了。 2 初始化APIC 这部分配置内容 1. 配...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值