1. ACI 策略管理信息模型
fabric所包含的物理和逻辑组件都记录在MIM中(management information model),MIM可以使用树状的MIT表示(management information tree)。每个MIT节点表示一组,或一个可管理的对象(MO, managed object),MO可以是物理交换机,控制器,也可以是逻辑的概念。
ACI管理信息模型如图:
图中每个节点代表一个MO,每个MO都有一个DN(distinguished name)描述MO对象的名称和位置。
- ACI controllers 通常是一个cluster ,由几台同步的控制器构成,提供fabric的管理,编程,应用下发,监控状态监控功能
- Tenant 相当于包含多个策略的容器, 管理员可以通过tenant 执行基于域的访问控制,当前ACI提供以下4种 tenant:
- 用户tenant 用于为用户提供服务,用户tenant中的策略可以管理应用程序,数据库,web servers ,存储和虚拟机。
- common tenant是系统自带,管理员可对common tenant进行配置。common tenant中的策略可以管理所有用户可以访问的资源,例如防火墙,LB,L4-L7服务,IDS等
- infrastructure tenant 系统自带,管理员可以进行配置,包含的策略可以对基础架构资源例如fabric vxlan overlay ,进行管理。
- management tenant 系统自带,管理员可以进行配置,包含管理整个fabric的管理策略,包括带外管理,带内管理配置。management tenant 包含一个私有带外管理地址空间,用于ACI和fabric直接通信,该通信通过交换机的管理口实现,且不通过fabric的转发层面。management tenant使得虚拟机控制控制器得以被发现和自动通信。
- access policy 负责操作接入层端口,接入层端口通常与网络资源资源(存储,计算,L2,L3连接,虚拟机)相连。可以在access policy 上配置CDP ,LLDP等策略。
- fabric policy 负责操作交换机面向fabric的端口,fabric policy还可以操作NTP,IS-IS,BGP,DNS等。
- VM domain将VM控制器和网络连接起来,APIC可以将网络配置推送给VM控制器,VM控制器将网络配置到虚拟主机上,通常用于vmware 和APIC的集成。
- L4-L7 service 提供L4-L7设备包和资产管理功能。
- AAA提供访问控制,审计,权限控制的功能。
2.ACI 组件概念
ACI关键组件的对应关系
2.1 Tenant
Tenant 相当于包含多个策略的容器, 管理员可以通过tenant 执行基于域的访问控制.租户代表了一个客户在SP中的配置,或一个组织在一个企业中的配置。
2.2 VRF
一个租户可以有多个VRF,一个VRF可以对应多个BD。ACI中的VRF和传统网络中的VRF概念一致
2.3 endpoint group (EPG)
ACI 中endpoint表示直接或间接连接到网络的终端,可以是服务器,虚拟机,存储或互联网上的客户端,endpoint group 则表示具有相同属性的终端组。ACI当前endpoint 类型包括:应用层EPG,外界通过二层和ACI连接的EPG,外界通过三层和ACI连接的EPG,通过带内或带外管理的EGP。
EPG中的终端具有共同的策略要求,例如安全,虚拟机移动性(VMM) ,Qos, L4-L7服务,可以通过对EPG的配置,实现对EPG中所有设备的配置。
以广域网连接为例,在ACI配置l3extInsP EGP,包含远端endpoint的源地址网段,当EGP范围内的主机发起连接时,ACI 就会在连接上应用l3extInsP EGP策略。
EGP 可以静态配置,也可以通过vcenter 和openstack 通过ACI下发。
2.3.1 Micro-segmentation
根据某些属性(IP,MAC,VM信息,操作系统等),将多个EPG里面的endpoint 划分到一个单独的EPG,新的EGP就称为micro-segmentation EPG 。这将提供更小的粒度对endpoint进行控制。
ACI交换机根据端口入方向策略将数据包划分到相应的EGP。micro-sgement EPG根据VM信息,MAC地址,IP地址将策略应用到影响的endpoint上。
2.3.2 EPG 内部endpoint隔离
默认情况下EPG内部可以相互通信,部署EGP 内部隔离策略后,可以阻止EPG之间内部通信。
2.4 Application profile
Application profile 定义了EPG之间的策略,服务和关系。Application profile通常包含应用提供服务所需的EGP。。以电子商务application profile为例,就包括web 服务器,数据库等EPG。
2.5 BD 和子网
BD有以下特性:
-
BD必须和VRF关联,
-
一个BD定义了唯一的MAC地址空间,BD内的MAC地址不能重复,
-
BD同时也定义了泛洪域
-
BD 内可以定义一个或多个subnet。
subnet 类型包括:- public——可以导出到ACI外部
- private——只能在租住子网内部使用
- share——可以导出多个租户,常用于共享服务