首页
IT
思科ACI部署完全指南
思科ACI部署完全指南
书籍作者:弗兰克·达根哈特
ISBN:9787115524300
书籍语言:简体中文
连载状态:全集
电子书格式:pdf,txt,epub,mobi,azw3
下载次数:4974
创建日期:2021-02-14
发布日期:2021-02-14
运行环境:PC/Windows/Linux/Mac/IOS/iPhone/iPad/Kindle/Android/安卓/平板
内容简介
本书是一本讲述部署和管理思科ACI解决方案的**指南,由3位思科架构师和工程师撰写。本书将帮助读者顺利学习思科的VXLAN解决方案。全书内容涵盖了ACI基础入门知识,整合虚拟化和外部路由技术、APIC集中和简化策略管理、ACI基础架构故障排除等内容。 本书可供网络技术相关领域的研发人员、市场人员以及数据中心设计、运维人员参考,也可作为大专院校教材使用。
作者简介
Frank Dagenhardt(CCIE #42081),思科专注于下一代数据中心体系结构的技 术解决方案架构师,拥有超过22年的信息技术经验及多项行业认证。 Jose Moreno(CCIE #16601),曾就读于马德里理工大学与米兰理工大学。自 2014年以来,作为技术解决方案架构师一直专注于ACI。 Bill Dufresne(CCIE #4375),思科杰出系统工程师,全球数据中心/云团队成 员。自1996年以来一直在思科工作,具有超过31年的IT行业丰富经验。
编辑推荐
全面系统地介绍ACI,帮助读者从原理深入理解ACI的技术特点与优势。 本书涵盖了故障排除和自动化内容,有助于提高读者的实操能力。 本书旨在为设计与部署ACI提供现场指导,并试图弥合传统网络架构与ACI之间的鸿 沟。身为网络管理员,特别是在新技术方面寻找相关且准确的信息上,我们也意识到压力 和挑战。 作者尝试将这些信息汇总到一起并进行深入解析,作为网络管理员优先涉猎的资 源。本书着重讨论了如何*大限度减少操作的复杂性,并*大化可支持性的*佳实践,衷 心希望它能够解决绝大多数常见的部署问题。 ■ 理解当前推动数据中心部署ACI的趋势性因素。 ■ 构建ACI矩阵时常见的决策点和矩阵上线。 ■ 如何与ACI相集成以及选择哪些虚拟化技术。 ■ ACI矩阵网络、外部2/3层连通性的实现及其与传统方式的差异。 ■ 深入理解管理传统网络与管理ACI之间的差异。 ■ 基于应用/功能配置精细化策略所带来的优势。 ■ 创建租户隔离用例及其对网络/安全/服务的影响。 ■ 深入研究将服务集成至ACI矩阵的细节。 ■ 设计ACI Multi-Site以满足冗余性与业务连续性的需求。 ■ 内置的排障、监控工具以及自动化与可编程性助力提高ACI运营效率。 Frank Dagenhardt(CCIE #42081),思科专注于下一代数据中心体系结构的技 术解决方案架构师,拥有超过22年的信息技术经验及多项行业认证。 Jose Moreno(CCIE #16601),曾就读于马德里理工大学与米兰理工大学。自 2014年以来,作为技术解决方案架构师一直专注于ACI。 Bill Dufresne(CCIE #4375),思科杰出系统工程师,全球数据中心/云团队成 员。自1996年以来一直在思科工作,具有超过31年的IT行业丰富经验。 为降低数据中心运营成本、提 升灵活性、改进安全性并减少人为失 误,需要根本性地转变网络配置与管 理的方式。*终的产物就是以应用为 中心的基础设施(ACI)以及基于意 图的网络(IBN)。 ——Tom Edsall 思科院士/ACI之父 “数据中心不再是中心了”,每 一朵云,每一座数据中心,每一家分 支机构——ACI无处不在。 ——萧洁云 思科全球副总裁/ 大中华区首席执行官 作为行业内系统介绍SDN落 地的专著,本书的出版可谓恰逢其 时——就像多年前思科普及路由器操 作的 Introduction To Cisco Router Configuration 一样,本书将成为网 络工程师学习SDN的指南。 ——曹图强 思科全球副总裁/ 大中华区首席技术官
目录
第 1章 ACI客户指南 1 1.1 产业趋势与变革 1 1.2 下一代数据中心 2 1.2.1 新的应用类型 2 1.2.2 自动化、编排和云 3 1.2.3 端到端安全性 4 1.3 主干—叶(Spine-Leaf)架构 5 1.4 ACI概述 8 1.5 ACI功能组件 9 1.5.1 Nexus 9500 9 1.5.2 Nexus 9300 9 1.5.3 以应用为中心的基础设施控制器 10 1.6 激活ACI矩阵协议 10 1.6.1 数据平面协议 10 1.6.2 控制平面协议 11 1.7 与ACI交互 12 1.7.1 GUI 12 1.7.2 NX-OS CLI 12 1.7.3 开放式REST API 13 1.8 策略模型简介 13 1.8.1 应用配置描述(AP)和端点组(EPG) 13 1.8.2 VRF和桥接域(BD) 14 1.9 矩阵拓扑 14 1.9.1 单站点模型 14 1.9.2 Multi-Pod模型 14 1.9.3 Multi-Site模型 15 1.10 小结 15 第 2章 矩阵构建 16 2.1 构建一个更好的网络 16 2.1.1 关于矩阵的考量 17 2.1.2 分阶段向ACI迁移 28 2.1.3 向以应用为中心的模式演进 35 2.2 与虚拟机管理器(VMM)的集成 39 2.2.1 AVS 39 2.2.2 VMware 41 2.2.3 Microsoft 42 2.2.4 OpenStack 43 2.3 4~7层服务 44 2.3.1 纳管模式(Managed Mode) 44 2.3.2 非纳管模式(Unmanaged Mode) 46 2.4 其他Multi-Site配置 46 2.4.1 ACI Stretched Fabric 48 2.4.2 ACI Multi-Pod 48 2.4.3 ACI Multi-Site 49 2.4.4 ACI双矩阵设计 49 2.4.5 分布式网关(Pervasive Gateway) 50 2.4.6 虚拟机管理器的考量 50 2.5 小结 51 第3章 矩阵上线 53 3.1 开箱并初始化 53 3.1.1 建议开启的服务 54 3.1.2 管理网络 56 3.1.3 配置控制器之所见 57 3.2 首次登录APIC GUI 62 3.2.1 基础模式与高级模式 63 3.2.2 矩阵发现 66 3.2.3 叶节点扩展交换机(FEX) 68 3.3 必需的服务 68 3.3.1 基础模式的初始化设置 69 3.3.2 高级模式的初始化设置 73 3.3.3 管理网络 80 3.3.4 矩阵策略 82 3.4 管理软件版本 83 3.4.1 固件仓库 84 3.4.2 控制器固件和维护策略 85 3.4.3 配置管理 87 3.5 小结 91 第4章 ACI与虚拟化技术集成 92 4.1 为什么要集成 92 4.2 虚拟机与容器网络 93 4.2.1 ACI与虚拟交换机集成的优势 95 4.2.2 ACI集成与软件叠加(Overlay)网络的比较 97 4.2.3 虚拟机管理域(VMM Domain) 99 4.2.4 EPG分段与微分段(Micro-Segmentation) 104 4.2.5 EPG内部隔离与EPG内合约 111 4.2.6 ACI与刀片系统虚拟交换机集成 114 4.2.7 OpFlex 117 4.2.8 多数据中心部署 117 4.3 VMware vSphere 118 4.3.1 ACI与vSphere VSS共存 119 4.3.2 ACI与vSphere VDS共存 120 4.3.3 ACI与vSphere VDS集成 121 4.3.4 vCenter账户要求 122 4.3.5 VDS上的微分段 123 4.3.6 刀片服务器与VDS集成 123 4.3.7 ACI与思科AVS集成 124 4.3.8 基于VDS和AVS的虚拟网络设计 125 4.3.9 面向vCenter服务器的ACI插件:通过vCenter配置ACI 128 4.3.10 ACI与VMware NSX共存 131 4.4 Microsoft 131 4.4.1 Microsoft Hyper-V与SCVMM简介 132 4.4.2 集成准备 132 4.4.3 微分段 134 4.4.4 刀片服务器与SCVMM集成 134 4.5 OpenStack 135 4.5.1 ML2和基于组的策略 135 4.5.2 ACI与OpenStack集成 136 4.5.3 面向OpenStack的ACI ML2插件基本操作 137 4.5.4 面向OpenStack的ACI ML2插件安全性 138 4.5.5 面向OpenStack的ACI ML2插件NAT 139 4.5.6 面向OpenStack的ACI GBP插件 141 4.6 Docker网络与Contiv项目 142 4.7 Kubernetes 146 4.7.1 Kubernetes网络模型 147 4.7.2 隔离模型 148 4.7.3 为Kubernetes Pod创建新EPG 149 4.7.4 通过注解将Deployment或Namespace分配给EPG 150 4.7.5 Kubernetes对象在ACI上的可见性 151 4.8 公有云集成 151 4.9 小结 152 第5章 进入ACI网络世界 153 5.1 探索ACI网络 154 5.1.1 端点组(EPG)与合约(Contract) 154 5.1.2 VRF与BD 165 5.1.3 将外部网络连接到矩阵 174 5.1.4 基本模式GUI 180 5.1.5 高级模式接入策略 182 5.2 以网络为中心VLAN=BD=EPG 192 5.2.1 将策略应用于物理工作负载及虚拟化工作负载 194 5.2.2 将设备逐VLAN迁移至矩阵 196 5.2.3 策略执行(Enforced)VRF与策略放行(Unenforced)VRF 200 5.2.4 3层到核心 200 5.2.5 L3 Out与外部路由网络 201 5.2.6 L3 Out的简化对象模型 202 5.2.7 边界叶节点(Border Leaf) 205 5.2.8 将默认网关迁移至矩阵 206 5.3 小结 209 第6章 ACI外部路由 210 6.1 物理连接考量 210 6.2 路由接口与SVI 211 6.3 外部BD 213 6.4 BFD 214 6.5 接入端口 215 6.6 端口通道 216 6.7 虚拟端口通道 217 6.8 L3 Out弹性网关 218 6.9 HSRP 219 6.10 路由协议 221 6.10.1 静态路由 222 6.10.2 EIGRP 222 6.10.3 OSPF 223 6.10.4 BGP 227 6.11 外部EPG与合约 230 6.11.1 外部EPG 230 6.11.2 L3 Out EPG与内部EPG之间的合约 231 6.12 多租户路由考量 231 6.12.1 共享3层外部连接 233 6.12.2 穿透路由 235 6.13 广域网集成 239 6.13.1 多租户外部3层连通性的设计建议 240 6.13.2 QoS 241 6.14 组播 243 6.14.1 推荐的组播最佳实践 244 6.14.2 组播配置概述 247 6.15 小结 247 第7章 ACI如此不同 248 7.1 管理矩阵与管理设备 249 7.1.1 集中化CLI 249 7.1.2 系统仪表板 250 7.1.3 租户仪表板 251 7.1.4 健康指数 252 7.1.5 物理对象与逻辑对象 253 7.1.6 网络策略 254 7.2 维护网络 258 7.2.1 故障管理 258 7.2.2 配置管理 262 7.2.3 软件升级 269 7.2.4 打破IP设计束缚 273 7.2.5 物理网络拓扑 274 7.2.6 变革网络消费模式 278 7.3 小结 279 第8章 迈向以应用为中心的网络 280 8.1 以网络为中心的部署 281 8.1.1 在以网络为中心的部署中取消数据包过滤 282 8.1.2 提高每台叶交换机的VLAN可扩展性 283 8.1.3 查看以网络为中心设计的配置 284 8.1.4 以应用为中心的部署:安全性用例 286 8.1.5 白名单模型与黑名单模型 287 8.1.6 策略执行与策略放行:没有合约的ACI 287 8.1.7 EPG作为一台基于区域的防火墙 288 8.1.8 合约的安全模型 290 8.1.9 基于思科AVS的状态防火墙 297 8.1.10 EPG内部通信 299 8.1.11 任意EPG(Any EPG) 301 8.1.12 有效利用资源的合约定义最佳实践 302 8.2 以应用为中心部署的运营用例 303 8.2.1 以应用为中心的监控 303 8.2.2 QoS 304 8.3 迁移至以应用为中心的模型 307 8.3.1 禁用传统模式BD 307 8.3.2 禁用VRF的策略放行 308 8.3.3 创建新应用配置描述及EPG 308 8.3.4 将端点迁移至新EPG 309 8.3.5 微调安全规则 309 8.4 如何发现应用依赖性 310 8.4.1 专注于新应用 310 8.4.2 迁移现有应用 311 8.5 小结 314 第9章 多租户 316 9.1 网络多租户的需求 316 9.1.1 数据平面多租户 317 9.1.2 管理平面多租户 317 9.2 ACI中的多租户 318 9.2.1 安全域 319 9.2.2 基于角色的访问控制(RBAC) 320 9.2.3 物理域 324 9.2.4 通过QoS保护逻辑带宽 326 9.2.5 租户和应用 327 9.2.6 业务线的逻辑隔离 327 9.2.7 安全性或合规性的逻辑隔离 328 9.3 将资源迁移至租户 330 9.3.1 创建逻辑租户结构 331 9.3.2 实施管理平面多租户 331 9.3.3 迁移EPG与合约 331 9.3.4 导出与导入租户间通信合约 332 9.3.5 实施数据平面多租户 334 9.3.6 何时选择专用VRF或共享VRF 336 9.3.7 多租户的可扩展性 337 9.4 外部连通性 338 9.5 租户间连通性 344 9.5.1 VRF间外部连通性 344 9.5.2 VRF间内部连通性(路由泄露) 345 9.6 4~7层服务集成 347 9.6.1 导出4~7层设备 347 9.6.2 4~7层Multi-Context设备 348 9.7 多租户连通性用例 348 9.7.1 ACI作为传统网络 348 9.7.2 将网络可见性赋予其他部门 348 9.7.3 提供共享服务的跨组织共享网络 349 9.7.4 外部防火墙互连多个安全区域 350 9.7.5 服务提供商 351 9.8 小结 352 第 10章 集成4~7层服务 353 10.1 服务植入 353 10.1.1 当前主流做法 354 10.1.2 纳管与非纳管(Managed和Unmanaged) 360 10.1.3 生态系统合作伙伴 365 10.1.4 管理模型 366 10.1.5 功能配置描述 369 10.2 所有主机的安全性 373 10.2.1 建立端到端安全解决方案 375 10.2.2 防火墙集成 380 10.2.3 安全监控集成 392 10.2.4 入侵防御系统集成 393 10.2.5 服务器负载均衡及ADC集成 397 10.2.6 双节点服务视图(Service Graph)的设计 402 10.3 小结 404 第 11章 ACI Multi-Site设计 405 11.1 打造第 2个站点 405 11.1.1 Stretched Fabric设计 408 11.1.2 多矩阵设计 413 11.2 Multi-Pod架构 423 11.2.1 ACI Multi-Pod应用案例及拓扑支持 424 11.2.2 ACI Multi-Pod可扩展性的考量 427 11.2.3 Pod间网络连通性部署的考量 427 11.2.4 IPN控制平面 429 11.2.5 IPN组播支持 430 11.2.6 主干与IPN连通性的考量 434 11.2.7 自动部署Pod 439 11.2.8 APIC集群部署的考量 440 11.2.9 通过配置区域减少配置失误的影响 445 11.2.10 迁移策略 446 11.3 Multi-Site架构 449 11.3.1 APIC与Multi-Site控制器的功能对比 452 11.3.2 Multi-Site的概要(Schema)与模板 453 11.3.3 Multi-Site应用案例 457 11.3.4 Multi-Site与L3 Out的考量 463 11.3.5 3层组播部署选项 465 11.3.6 将矩阵迁移至ACI Multi-Site 466 11.4 小结 468 第 12章 排障与监控 469 12.1 如何应对低健康指数 470 12.2 NX-OS命令行界面 471 12.2.1 连接到叶交换机 474 12.2.2 Linux命令 477 12.2.3 将本地对象映射至全局对象 479 12.2.4 若干好用的叶交换机命令 483 12.2.5 解决物理问题 489 12.3 ACI排障工具 496 12.3.1 硬件诊断 496 12.3.2 丢包:计数器同步 498 12.3.3 原子计数器(Atomic Counter) 498 12.3.4 流量镜像:SPAN与复制服务 500 12.3.5 Troubleshooting Wizard(排障向导) 506 12.3.6 Endpoint Tracker(端点追踪器) 512 12.3.7 有效利用矩阵资源 514 12.4 监控策略与统计 519 12.4.1 SNMP策略 519 12.4.2 系统日志策略 521 12.4.3 统计 522 12.5 ACI支持的第三方监控工具 523 12.5.1 IBM Tivoli Netcool 523 12.5.2 SevOne 523 12.5.3 ScienceLogic 524 12.5.4 Splunk 524 12.5.5 Zenoss 524 12.6 小结 524 第 13章 ACI可编程性 525 13.1 为什么需要网络可编程性 525 13.1.1 传统网络自动化的问题 526 13.1.2 SNMP 526 13.1.3 NETCONF与YANG 527 13.1.4 编程接口和SDK 527 13.2 ACI编程接口 528 13.2.1 ACI REST API 528 13.2.2 REST API的身份验证 529 13.2.3 API Inspector(检查器) 529 13.2.4 REST API客户端 529 13.2.5 编程语言调用REST API 530 13.2.6 ACI对象模型 531 13.2.7 GUI调试信息 532 13.2.8 ACI软件开发套件 538 13.2.9 搜寻自动化与程式化示例 540 13.2.10 没有矩阵也能开发并测试代码 540 13.3 通过网络自动化提高运营效率 543 13.3.1 提供网络可见性 543 13.3.2 网络配置外部化 544 13.3.3 交换机端口配置外部化 545 13.3.4 安全配置外部化 546 13.3.5 自动化水平集成 547 13.3.6 产品内置水平集成示例 547 13.3.7 基于外部自动化的水平集成示例 548 13.3.8 自动生成网络文档 550 13.4 通过网络自动化实现更多业务模式 550 13.4.1 敏捷应用部署与DevOps 551 13.4.2 持续部署与持续集成 551 13.4.3 Linux容器与微服务架构 552 13.4.4 配置管理工具 552 13.4.5 私有云与IaaS 553 13.4.6 与思科企业云套件集成 554 13.4.7 与VMware vRealize套件集成 555 13.4.8 与Microsoft Azure Pack和Azure Stack的集成 557 13.4.9 与OpenStack集成 557 13.4.10 混合云 557 13.4.11 平台即服务 558 13.4.12 ACI与Apprenda集成 558 13.4.13 Mantl和Shipped 559 13.5 ACI应用中心 560 13.6 小结 562