ACI3.0(1k) Release
•
3 gostaram•2,497 visualizações
Cisco ACI 3.0(1k) release summarize in Japanese
Recomendados
Mais conteúdo relacionado
Mais procurados
Mais procurados (20)
Semelhante a ACI3.0(1k) Release
Semelhante a ACI3.0(1k) Release (20)
Mais de Takao Setaka
Mais de Takao Setaka (16)
Último
Último (12)
ACI3.0(1k) Release
- 1. ACI 3.0(1k) Release シスコシステムズ合同会社 2017年 9月 Cisco Systems G.K.
- 2. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential アジェンダ 1. ACI Anywhere - Vision 2. New Hardware Support 3. Multi-Site 4. 管理性 5. スケーラビリティ 6. 管理連携 7. セキュリティ 8. Micro Segmentation
- 3. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential ACI Anywhere - Vision
- 4. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Any Workload, Any Location, Any Cloud Remote PoD Multi-Pod / Multi-Site Hybrid Cloud Extension ACI Anywhere IP WAN IP WAN Remote Location Public CloudOn Premise Security Everywhere Policy EverywhereAnalytics Everywhere
- 5. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential New Hardware Support
- 6. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 待望の!? 新BOX型Spine: Nexus 9364C • 第1世代・第2世代の全Leafスイッチ モデルとの接続をサポート • 40/100G混在利用をサポート • 100G Line rate MACSEC VTEP-VTEP Encryption ※3.1~ • 40MB Smart Buffer • VXLAN Routing • QSFP28 / QSFP+ (40G) • 1/10/25/40/50/100Gサポート • 6.4T L2/L3 ASIC MACSEC対応 (16ポート) NX-OS/ACI両対応 ※ACIはSpineのみ Multi-site構成対応 ※3.1~予定
- 7. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 100M/1G対応Leaf: Nexus 9348GC-FXP • 100M/1G x48 (Port 1-48) • 10G/25G x4 (Port 49-52) • 40G/100G x2 (Port 53-54) • 電源冗長構成対応 • FEX非サポート APIC接続は 10Gポートのみサポート NX-OS/ACI両対応 ※ACIはLeafのみ Spine接続 Breakout非対応 価格および機能と仕様の最適化 • RJ45/1G接続で十分な場合のNexus 9300の 1/10G Copperモデルからの置き換え • Nexus 3048 からの置き換え(ACIサポート) • Nexus 2248 FEXからの置き換え
- 8. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential FX Spine: N9k-X9736C-FX • ACI Spine対応 • 100G x36ポート • MACSECおよびCloudSec対応
- 9. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Multi-Site
- 10. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential ACI の発展 Single Pod Single Fabric ACI 1.0 Single Pod “Stretch” Single Fabric ACI 1.1 Multi Pod Single Availability Zone ACI 2.0 Multi Site (Multi AZ) Single Region Multi Site Management ACI 3.0 • Pod 共通のControl Plane (ISIS, BGP, COOPなど)で制御された Leaf/Spineネットワーク • Fabric 単一のAPICクラスタによって管理される範囲(AZ) • Multi-Pod 単一AZ + 複数Pod • Multi-Site 複数AZ (複数Fabric)
- 11. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential ACI Multi-Site 概要 Site A VMVMVM Multi-Site Appliance Site B Site C VMVMVM Site D サイト間で一貫したネットワークとポリシー シームレスなワークロードの移行 単一のオーケストレーションポイント 完全に隔離された障害ドメイン サイトを跨いだポリシーの作成と管理 • Tenant, Policy, Profile, RBAC rules 健全性ダッシュボード • 単一管理UI/APIコンソールの提供 サイト • 追加・削除・構成 Spine間接続 • Peering
- 12. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential L2/L3 Inter-Pod IP NetworkInter-Pod IP Network L2/L3 EPG-Web EPG-App MP-BGP IS-IS, COOP DC1 – POD1 MP-BGP IS-IS, COOP DCn – PODn シンプルに複数PODをActive/Activeで利用する仮想データセンターを構成することが可能 C1 Multi-POD構成: 単一APICクラスタ(単一AZ)・複数POD(Max 12)・最大400Leaf ※12 Pod/400 Leaf構成の場合はAPIC 7台でのクラスタ構成が必要。5台クラスタの場合は6 Pod/300Leaf構成まで。 管理性はSingle-Podのまま(単一のAPICクラスタがMulti-Pod全体の管理ポイントとなる) MP-BGP - EVPN (Max RTT 50msec)
- 13. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential シンプルに複数Site/Fabricをグローバル規模のActive/ActiveもしくはDRで利用する構成が可能 Multi-Site構成: 複数APICクラスタ(複数AZ)・複数Site(Max 5)・最大200Leaf ※スケーラビリティは3.0リリース時点、今後順次拡張予定 Inter-site IP NetworkにはMulticast要件なし(BUMトラフィックはHER)、MTUサイズ要件もなし。 L2/L3 Inter-Site IP NetworkInter-Site IP Network L2/L3 EPG-Web EPG-App DC1 – SITE 1 DCn – SITE N C1 Multi-Site Appliance MP-BGP - EVPN (RTT 500msec to 1 sec)
- 14. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Multi-Site構成の主な想定ユースケース: サイト間でのL3接続 L3 Site 1 Site 2 1 BDはサイト間で延伸しない L3でのVRF内及びVRF間通信のみ利用 ACI Multi site L3 Site 1 2 IPアドレスの移動あり Disaster Recovery 同一IPサブネットが異なるサイト間で 構成されている 停止状態でのIPの移動や、サイト間で の同一サブネットない通信を利用する ※サイト外からの接続には適切なサイトに通信を 振り向けるソリューションが必要 サイト間を跨ぐL2フラッディングなし Site 2 L3 Site 1 Site 2 3 IPアドレスの移動あり Active/Active DC 可用性および拡張性を目的として 分離したサイト間を接続する構成 サイトを超えたL2接続性を構成 (Live VM Migration可能) サイト間を跨ぐL2フラッディングあり ACI Multi- Site ACI Multi site
- 15. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential ACI Multi-Site / ハードウェア要件 • Leafスイッチは全てのモデルをサポート (必要要件なし) • Inter-site Networkに接続する Spineスイッチは -EX 以降の世代のみ • Nexus 9336PQ は未サポート (Spineとしての混在利用は可能) • Nexus 9364C は CY18Q1 サポート予定 1st Gen IP Network -EX-EX1st Gen
- 16. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential ACI Multi-Site / Multi-Site Policy Manager • マイクロサービスアーキテクチャ (複数でのActive/Active構成をサポート) • 3.0リリース時点ではvSphereのみサポート (KVM, 物理アプライアンスは将来サポート予定) • APICクラスタとの ~1秒のRTTをサポート • 主な機能 • 各サイトの健全性モニタリング • Inter-site EVPNコントロールプレーンの初期構成 • サイト間でのポリシーの展開と同期 • Inter-siteトラブルシューティング (今後提供予定) • 現時点では全てのMulti-Siteアプライアンスを 単一のACIサイトに構成することを強く推奨 (将来的にマルチサイトでの展開に対応予定) Hypervisor REST API GUI ACI Multi-Site ….. VM Site 1 Site 2 Site n VM VM
- 17. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential ACI Multi-Site / 展開時の考慮事項 単一・近距離DCに複数サイトを展開する ACI Multi-Site VM VMVM Hypervisor IP Network HypervisorHypervisor Interconnecting DCs over WAN San Jose (Site2) Tokyo (Site1) ACI Multi-Site WAN Singapore (Site3) VMVM Hypervisor VM Hypervisor • ACIサイト間のRTT (~150 ms) • ACI Multi-Site と APIC クラスタ間のRTT (~1 sec) • Multi-Siteのノードを複数サイトに展開する (将来的な推奨) • ACI Multi-Site は APIC と OOB ネットワーク経由で通信 • ACI Multi-Site の各ノードはそれぞれ個別のIPを保持 • ACI Multi-Site と APIC クラスタ間は非同期連携
- 18. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential ACI Multi-Site / テンプレートとプロファイル • テンプレート = APICにおけるポリシー定義 • テンプレートは全てのサイトもしくは一部のサイト群に対して関連付ける • プロファイル = 共通に利用されるテンプレートのグループ • プロファイルの変更は非同期で各サイトに対して構成される Site 1 プロファイル Templateテンプレート ポリシー 定義 SITE LOCAL 有効なポリシー (使用中) Site 2 EP1 EPG EP2 EPG C 有効なポリシー (使用中)
- 19. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential ACI APIC と Multi-Site それぞれの位置付け APIC Multi Site 役割 Fabricを管理・構成する APICの機能を一部補完する 担当範囲 単一Fabricの範囲に対する全ての管理を 担当する ・ファブリックメンバの検出・構成 ・アクセスポリシー ・ドメインの構成 ・サービスグラフ連携 などなど・・・ 複数のACIサイトに対して ネットワークポリシーを展開する 連携 サードパーティとの連携ポイント 複数のAPICクラスタとの間でポリシー のインポートや統合を行う 保持するデータ ランタイムデータを保持する (VTEPアドレス、VNID、Class_ID等) ランタイムデータは保持しない 登録サイトとポリシーの紐付け等のみ 通信に対する影響範囲 Fabricとしてのコントロールプレーンおよびデータプレーンとしての参加はしない (停止=通信の停止とはならない)
- 20. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Multi-Site? Multi-Pod? 何を基準に、どちらを選べばいいのか? Multi-Pod 運用のシンプル化 PODを跨いだ 完全機能の利用 APICノード数の 最小化 PODを跨いだ 単一の VMM Domain Multi-Site 隔離ドメインの 範囲の変更 Fabric全体の さらなるスケール 遅延の多い・遠距 離のサイト間構成 マルチキャスト 要件はない
- 21. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 管理性
- 22. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential APIC Web GUIの改善 UIを全面的に改善。 • Cisco DC製品群との共通化 (色使い・アイコン等) • Simple GUIは将来的に廃止 • ユーザ毎の構成の保持に対応 (User Preference) • Critical Alert のより明確な表示 • Alert項目の一元表示UIの提供 • URIを用いたシェア機能の提供 • Object Browser へのリンクメニューを提供 • ポート構成UIの改善 • System Settings の提供 • プルダウンメニュー表示の改善 などなど・・・
- 23. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential APIC Web GUIの改善
- 24. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential APIC Web GUIの改善: System Settings
- 25. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential APIC Web GUIの改善: Faults
- 26. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential APIC Web GUIの改善: Object Browser
- 27. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential APIC Web GUIの改善: Object Clone
- 28. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential APIC Web GUIの改善: Object Share
- 29. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Forwarding Scale Profile TCAMリソースの配分をポリシー定義することが可能となりました。 Dual Stack (Default) IPv4 Endpoint MAC 12k 24k Endpoint IPv4 12k 24k Endpoint IPv6 6k 0 LPM 20k 38k Policy 61k 61k Multicast 8k 8k EXおよびFXモデルのみ利用可能、モード変更時には対象Leafスイッチがリロードされます。 今後、様々なモードのスケールプロファイルが提供される予定です。
- 30. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Maintenance Mode ACIファブリックを構成するスイッチをメンバから外す際に、構成情報などは 維持したまま除外する [Maintenance (GIR)] が可能になりました。 • メンテナンス指定後も管理ポートからの接続が可 能な状態が維持され、ログの取得やデバッグ等が 可能となります。 • Re-commision(Reboot)操作により再度ファブ リックメンバとして参加させることが可能です。 • 10分間IS-ISはoverload modeとなります • vPCポートは起動まで2分の遅延があります ※非vPCポートでは遅延は設定されないため、サーバ側のチーミング 設定によっては通信の損失が発生する可能性があります。
- 31. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 遅延/PTP トラブルシューティングツールの1つとして、ファブリックレベルでの遅延測定 が可能となりました。PTPによるファブリック全体での時刻精密同期が必 要となります(単一PODの場合、外部GrandMasterは不要/例外あり。Multi-Podの場合は必須)。 送信元・送信先いずれもEXおよびFXモデルの組合せのみ利用可能 • On-goingモード • TEP間の遅延測定 ※経由モードは非サポート • On-Demandモード • レイテンシTCAMにプログラムされたフロールールに一致するIPフローに対して測定 • EP-EP, EPG-EPG, EP-EPG, External IP-EP, Any-EP, IP-EPGなどを取得可能
- 32. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential スケーラビリティ
- 33. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential あくまでも”Verified” Scalability Ciscoは検証したスケーラビリティ情報を公開しています。 大半のスケーラビリティに関する数値はハードウェアとしての制約ではなく、 要望やソフトウェアの改善およびテスト結果に基いて各数値は継続的に 向上・改善されていきます。 ※ACI3.0リリースのスケーラビリティ情報 https://www.cisco.com/c/en/us/td/docs/switches/datacenter/aci/apic/sw/ 3-x/verified_scalabilty/b_Verified_Scalability_3_0_1x_and_13_0_1x.html
- 34. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 管理連携
- 35. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Kubernetes OpFlex - OVS を用いた連携構成をサポート ※要物理サーバ Node OpFlex OVS Node OpFlex OVS
- 36. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential セキュリティ
- 37. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Dot1X Authentication EPG接続時におけるEndpointの認証 Bare-Metal Hypervisor Radius Authentication dot1x Secure EPG Bare-Metal Pass Fail Pass • Endpointとしては物理サーバのみサポート (将来的には対象範囲を拡大予定) • -EX, -FX Leafスイッチのみサポート
- 38. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2 Factor Authentication (2要素認証) APIC外部認証 (SAML 2.0): IdPとしてADFS, Oktaをサポート APICローカル認証: TOTP (Time-based One-Time Password)
- 39. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Micro Segmentation
- 40. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Intra-EPG Contract • これまで: ”Allow All”(Default)か”Deny All”(Intra EPG Isolation)のみ • Intra-EPG Contract: 同一EPG内のEndpoint間での通信にContractによる通信制御が可能 • 3.0リリース時点のサポート対象 物理サーバ ACI連携されたVMware標準分散仮想スイッチに接続したVM • 物理サーバとVMの混在環境への適用をサポート • 通常EPGおよびuSeg EPGのいずれについてもサポート • 複数vCenter / Pod をまたいで利用可能 EXおよびFXモデルに接続されたEPGに対してのみサポート AVSおよびSCVMM管理下のHyper-V Domainは未サポート
- 41. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Proxy-ARP ARPリクエストに対してLeafスイッチが 自身のMACアドレスで代理応答する。 これにより、Leafスイッチにおける通信 制御が可能となる。 仮想マシンに対しては、Private VLAN機能と組み合わせて利用する ことにより、Intra-EPG Isolation/Contract機能を実現する。 VMware 分散仮想スイッチ VM 1 VM 2 Web X Proxy ARP Intra-EPG Contract/Proxy-ARP vCenter APIC Controller Intra-EPG Contract 構成・適用 TCP 22 allow Deny all Enable Private VLAN ARP リクエスト Proxy ARP 応答
- 42. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Hyper-V • Hyper-V仮想マシンにおける Intra-EPG Isoation サポート
- 43. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Hyper-V • VM-attributes による Hyper-V 連携において、AND/OR構成に対応
- 44. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential Hyper-V • Hyper-V仮想マシン カスタムアトリビュート ※βサポート For example Location: DC1