《思科ACI部署完全指南》

第1章ACI客户指南1

1.1产业趋势与变革1

1.2下一代数据中心2

1.2.1新的应用类型2

1.2.2自动化、编排和云3

1.2.3端到端安全性4

1.3主干一叶（Spine-Leaf）架构5

现有基础设施与ACI7

1.4ACI概述8

1.5 ACI功能组件9

1.5.1Nexus 95009

1.5.2 Nexus 93009

1.5.3以应用为中心的基础设施控制器10

1.6激活AC I矩阵协议10

1.6.1数据平面协议10

1.6.2控制平面协议11

1.7与ACI交互12

1.7.1GUI12

1.7.2 NX-OS CLI12

1.7.3开放式REST API13

1.8策略模型简介13

1.8.1应用配置描述（AP）和端点组（EPG）13

1.8.2VRF和桥接域（BD）14

1.9矩阵拓扑14

1.9.1单站点模型14

1.9.2Multi-Pod模型14

1.9.3 Multi-Site模型15

1.10小结15

第2章矩阵构建16

2.1构建一个更好的网络16

2.1.1关于矩阵的考量17

2.1.2分阶段向ACI迁移28

2.1.3向以应用为中心的模式演进35

2.2与虚拟机管理器（VMM）的集成39

2.2.1AVS39

2.2.2 VMware41

2.2.3 Microsoft42

2.2.4 OpenStack43

2.34～7层服务44

2.3.1纳管模式（Managed Mode）44

2.3.2非纳管模式（Unmanaged Mode）46

2.4其他Multi-Site配置46

2.4.1ACI Stretched Fabric48

2.4.2 ACI Multi-Pod48

2.4.3 ACI Multi-Site49

2.4.4 ACI双矩阵设计49

2.4.5分布式网关（Pervasive Gateway）50

2.4.6虚拟机管理器的考量50

2.5小结51

第3章矩阵上线53

3.1开箱并初始化53

3.1.1建议开启的服务54

3.1.2管理网络56

3.1.3配置控制器之所见57

3.2首次登录APIC GUI62

3.2.1基础模式与高级模式63

3.2.2矩阵发现66

3.2.3叶节点扩展交换机（FEX）68

3.3必需的服务68

3.3.1基础模式的初始化设置69

3.3.2高级模式的初始化设置73

3.3.3管理网络80

3.3.4矩阵策略82

3.4管理软件版本83

3.4.1固件仓库84

3.4.2控制器固件和维护策略85

3.4.3配置管理87

3.5小结91

第4章ACI与虚拟化技术集成92

4.1为什么要集成92

4.2虚拟机与容器网络93

4.2.1ACI与虚拟交换机集成的优势95

4.2.2 ACI集成与软件叠加（Overlay）网络的比较97

4.2.3虚拟机管理域（VMM Domain）99

4.2.4 EPG分段与微分段（Micro-Segmentation）104

4.2.5 EPG内部隔离与EPG内合约111

4.2.6 ACI与刀片系统虚拟交换机集成114

4.2.7 OpFlex117

4.2.8多数据中心部署117

4.3VMware vSphere118

4.3.1 ACI与vSphere VSS共存119

4.3.2 ACI与vSphere VDS共存120

4.3.3 ACI与vSphere VDS集成121

4.3.4 vCenter账户要求122

4.3.5 VDS上的微分段123

4.3.6刀片服务器与VDS集成123

4.3.7 ACI与思科AVS集成124

4.3.8基于VDS和AVS的虚拟网络设计125

4.3.9面向vCenter服务器的ACI插件：通过vCenter配置ACI128

4.3.10 ACI与VMware NSX共存131

4.4Microsoft131

4.4.1 Microsoft Hyper-V与SCVMM简介132

4.4.2集成准备132

4.4.3微分段134

4.4.4刀片服务器与SCVMM集成134

4.5OpenStack135

4.5.1 ML2和基于组的策略135

4.5.2 ACI与OpenStack集成136

4.5.3面向OpenStack的ACI ML2插件基本操作137

4.5.4面向OpenStack的ACI ML2插件安全性138

4.5.5 面向OpenStack的ACI ML2插件NAT139

4.5.6面向OpenStack的AC I GBP插件141

4.6 Docker网络与Contiv项目142

4.7Kubernetes146

4.7.1 Kubernetes网络模型147

4.7.2隔离模型148

4.7.3为Kubernetes Pod创建新EPG149

4.7.4通过注解将Deployment或Namespace分配给EPG150

4.7.5 Kubemetes对象在ACI的可见性151

4.8公有云集成151

4.9小结152

第5章进入ACI网络世界153

5.1探索ACI网络154

5.1.1端点组（EPG）与合约（Contract）154

5.1.2VRF与BD165

5.1.3将外部网络连接到矩阵174

5.1.4基本模式GUI180

5.1.5高级模式接入策略182

5.2以网络为中心VLAN=BD=EPG192

5.2.1将策略应用于物理工作负载及虚拟化工作负载194

5.2.2将设备逐VLAN迁移至矩阵196

5.2.3策略执行（Enforced） VRF与策略放行（Unenforced） VRF200

5.2.43层到核心200

5.2.5 L3 Out与外部路由网络201

5.2.6 L3 Out的简化对象模型202

5.2.7边界叶节点（Border Leaf）205

5.2.8将默认网关迁移至矩阵206

5.3小结209

第6章ACI外部路由210

6.1物理连接考量210

6.2路由接口与SVI211

6.3外部BD213

6.4 BFD214

6.5接入端口215

6.6端口通道216

6.7虚拟端口通道217

6.8 L3 Out弹性网关218

6.9 HSRP219

6.10路由协议221

6.10.1静态路由222

6.10.2EIGRP222

6.10.3 OSPF223

6.10.4 BGP227

6.11外部EPG与合约230

6.11.1外部EPG230

6.11.2L3 Out EPG与内部EPG之间的合约231

6.12多租户路由考量231

6.12.1共享3层外部连接233

6.12.2穿透路由235

6.13广域网集成239

6.13.1多租户外部3层连通性的设计建议240

6.13.2QoS241

6.14组播243

6.14.1推荐的组播最佳实践244

6.14.2组播配置概述247

6.15小结247

第7章ACI如此不同248

7.1管理矩阵与管理设备249

7.1.1集中化CLI249

7.1.2系统仪表板250

7.1.3租户仪表板251

7.1.4健康指数252

7.1.5物理对象与逻辑对象253

7.1.6网络策略254

7.2维护网络258

7.2.1故障管理258

7.2.2配置管理262

7.2.3软件升级269

7.2.4打破IP设计束缚273

7.2.5物理网络拓扑274

7.2.6变革网络消费模式278

7.3小结279

第8章迈向以应用为中心的网络280

8.1以网络为中心的部署281

8.1.1在以网络为中心的部署中取消数据包过滤282

8.1.2提高每台叶交换机的VLAN可扩展性283

8.1.3查看以网络为中心设计的配置284

8.1.4以应用为中心的部署：安全性用例286

8.1.5白名单模型与黑名单模型287

8.1.6策略执行与策略放行：没有合约的ACI287

8.1.7EPG作为一台基于区域的防火墙288

8.1.8合约的安全模型290

8.1.9基于思科AVS的状态防火墙297

8.1.10 EPG内部通信299

8.1.11任意EPG （Any EPG）301

8.1.12有效利用资源的合约定义最佳实践302

8.2以应用为中心部署的运营用例303

8.2.1以应用为中心的监控303

8.2.2QoS304

8.3迁移至以应用为中心的模型307

8.3.1禁用传统模式BD307

8.3.2禁用VRF的策略放行308

8.3.3创建新应用配置描述及EPG308

8.3.4将端点迁移至新EPG309

8.3.5微调安全规则309

8.4如何发现应用依赖性310

8.4.1专注于新应用310

8.4.2迁移现有应用311

8.5小结314

第9章多租户316

9.1网络多租户的需求316

9.1.1数据平面多租户317

9.1.2管理平面多租户317

9.2ACI中的多租户318

9.2.1安全域319

9.2.2基于角色的访问控制（RBAC）320

9.2.3物理域324

9.2.4通过QoS保护逻辑带宽326

9.2.5租户和应用327

9.2.6业务线的逻辑隔离327

9.2.7安全性或合规性的逻辑隔离328

9.3将资源迁移至租户330

9.3.1创建逻辑租户结构331

9.3.2实施管理平面多租户331

9.3.3迁移EPG与合约331

9.3.4导出与导入租户间通信合约332

9.3.5实施数据平面多租户334

9.3.6何时选择专用VRF或共享VRF336

9.3.7多租户的可扩展性337

9.4外部连通性338

多租户共享外部网络340

9.5租户间连通性344

9.5.1VRF间外部连通性344

9.5.2 VRF间内部连通性（路由泄露）345

9.64～7层服务集成347

9.6.1导出4～7层设备347

9.6.2 4～7层Multi-Context设备348

9.7多租户连通性用例348

9.7.1ACI作为传统网络348

9.7.2将网络可见性赋予其他部门348

9.7.3提供共享服务的跨组织共享网络349

9.7.4外部防火墙互连多个安全区域350

9.7.5服务提供商351

9.8小结352

第10章集成4～7层服务353

10.1服务植入353

10.1.1当前主流做法354

10.1.2纳管与非纳管（Managed和Unmanaged）360

10.1.3生态系统合作伙伴365

10.1.4管理模型366

10.1.5功能配置描述369

10.2所有主机的安全性373

10.2.1建立端到端安全解决方案375

10.2.2防火墙集成380

10.2.3安全监控集成392

10.2.4入侵防御系统集成393

10.2.5服务器负载均衡及ADC集成397

10.2.6双节点服务视图（Service Graph）的设计402

10.3小结404

第11章ACI Multi-Site设计405

11.1打造第2个站点405

11.1.1 Stretched Fabric设计408

11.1.2多矩阵设计413

11.2 Multi-Pod架构423

11.2.1ACI Multi-Pod应用案例及拓扑支持424

11.2.2 ACI Multi-Pod可扩展性的考量427

11.2.3 Pod间网络连通性部署的考量427

11.2.4 IPN控制平面429

11.2.5 IPN组播支持430

11.2.6主干与IPN连通性的考量434

11.2.7自动部署Pod439

11.2.8 APIC集群部署的考量440

11.2.9通过配置区域减少配置失误的影响445

11.2.10迁移策略446

11.3Multi-Site架构449

11.3.1 APIC与Multi-Site控制器的功能对比452

11.3.2 Multi-Site的概要（Schema）与模板453

11.3.3 Multi-Site应用案例457

11.3.4 Multi-Site与L3 Out的考量463

11.3.5 3层组播部署选项465

11.3.6将矩阵迁移至ACI Multi-Site466

11.4小结468

第12章排障与监控469

12.1如何应对低健康指数470

12.2NX-OS命令行界面471

12.2.1连接到叶交换机474

12.2.2 Linux命令477

12.2.3将本地对象映射至全局对象479

12.2.4若干好用的叶交换机命令483

12.2.5解决物理问题489

12.3ACI排障工具496

12.3.1硬件诊断496

12.3.2丢包：计数器同步498

12.3.3原子计数器（Atomic Counter）498

12.3.4流量镜像：SPAN与复制服务500

12.3.5 Troubleshooting Wizard（排障向导）506

12.3.6 Endpoint Tracker（端点追踪器）512

12.3.7有效利用矩阵资源514

12.4监控策略与统计519

12.4.1SNMP策略519

12.4.2系统日志策略521

12.4.3统计522

12.5 ACI支持的第三方监控工具523

12.5.1IBM Tivoli Netcool523

12.5.2 SevOne523

12.5.3 ScienceLogic524

12.5.4 Splunk524

12.5.5 Zenoss524

12.6小结524

第13章ACI可编程性525

13.1为什么需要网络可编程性525

13.1.1传统网络自动化的问题526

13.1.2SNMP526

13.1.3 NETCONF与YANG527

13.1.4编程接口和SDK527

13.2ACI编程接口528

13.2.1 ACI REST API528

13.2.2 REST API的身份验证529

13.2.3 API Inspector（检查器）529

13.2.4 REST API客户端529

13.2.5编程语言调用REST API530

13.2.6 ACI对象模型531

13.2.7 GUI调试信息532

13.2.8 ACI软件开发套件538

13.2.9搜寻自动化与程式化示例540

13.2.10没有矩阵也能开发并测试代码540

13.3通过网络自动化提高运营效率543

13.3.1提供网络可见性543

13.3.2网络配置外部化544

13.3.3交换机端口配置外部化545

13.3.4安全配置外部化546

13.3.5自动化水平集成547

13.3.6产品内置水平集成示例547

13.3.7基于外部自动化的水平集成示例548

13.3.8自动生成网络文档550

13.4通过网络自动化实现更多业务模式550

13.4.1敏捷应用部署与DevOps551

13.4.2持续部署与持续集成551

13.4.3Linux容器与微服务架构552

13.4.4 配置管理工具552

13.4.5私有云与IaaS553

13.4.6 与思科企业云套件集成554

13.4.7与VMware vRealize套件集成555

13.4.8与Microsoft Azure Pack和Azure Stack的集成557

13.4.9与OpenStack集成557

13.4.10混合云557

13.4.11平台即服务558

13.4.12 ACI与Apprenda集成558

13.4.13 Mantl和Shipped559

13.5 ACI应用中心560

13.6小结562