CISCO ACI Virtual Machine Networking

Produktaj Informoj

• Specifoj:
  • Subtenataj Produktoj kaj Vendistoj: Cisco ACI subtenas virtualajn maŝinajn administrantojn (VMM) de diversaj produktoj kaj vendistoj. Vidu al la Cisco ACI Virtualization Compatibility Matrix por la plej aktuala listo de kontrolitaj kunfunkcieblaj produktoj.

Produktaj Uzado-Instrukcioj

• Mapado de Cisco ACI kaj VMware-Konstruoj: Cisco Application Centric Infrastructure (ACI) kaj VMware uzas malsamajn terminojn por priskribi la samajn konstrukciojn. La sekva tablo disponigas mapadon de Cisco ACI kaj VMware-terminologio rilata al VMware vSphere Distributed Switch (VDS).

Kondiĉoj de Cisco ACI	Kondiĉoj de VMware
Finpunktogrupo (EPG)	Port group, havengrupo
LACP Aktiva	LACP Pasivo
MAC Pinning	MAC Pinning-Fizika-NIC-Ŝarĝo
Statika Kanalo - Reĝimo ON	Virtual Machine Manager (VMM) domajno VDS
VM-regilo	vCenter (Datencentro)

• Ĉefaj Komponentoj de Virtuala Maŝina Administranto:
  • ACI-ŝtofaj virtualaj maŝinmanaĝeraj (VMM) domajnoj permesas al administrantoj agordi konekteblecpolitikojn por virtualaj maŝinregiloj. La ĉefkomponentoj de ACI VMM-domajnpolitiko inkludas:
  • Virtuala Maŝina Administranto (VMM) domajno
  • VM-regilo
  • vCenter (Datencentro)
  • Notu: Ununura VMM-domajno povas enhavi plurajn kazojn de VM-regiloj, sed ili devas esti de la sama vendisto (ekz., VMware aŭ Microsoft).
• Domajnoj pri Virtuala Maŝina Administranto:
  • APIC VMM domajno profesiulofile estas politiko kiu difinas VMM-domajnon. La VMM-domajna politiko estas kreita en APIC kaj puŝita en la foliŝaltilojn. VMM-domajnoj disponigas la jenon:
• VMM-Domajno VLAN-Naĝejo-Asocio
  • VLAN-naĝejoj reprezentas blokojn de trafikaj VLAN-identigiloj. VLAN-naĝejo estas komuna rimedo kaj povas esti konsumita de multoblaj domajnoj kiel ekzemple VMM-domajnoj kaj Tavolo 4 ĝis Tavolo 7-servoj.
  • VMM-domajno povas esti asociita kun nur unu dinamika VLAN-naĝejo.
  • Defaŭlte, VLAN-identigiloj estas dinamike asignitaj al EPGoj asociitaj kun VMM-domajnoj fare de la Cisco APIC.
  • Tamen, administrantoj povas statike asigni VLAN-identigilon al finpunktogrupo (EPG) anstataŭe.
  • En tiaj kazoj, la identigiloj uzitaj devas esti elektitaj el la enkapsuligblokoj en la VLAN-naĝejo asociita kun la VMM-domajno, kaj ilia asignospeco devas esti ŝanĝita al senmova.
  • La Cisco APIC provizas VMM-domajnan VLAN sur foliaj havenoj bazitaj sur EPG-okazaĵoj, ĉu statike ligante sur foliaj havenoj aŭ surbaze de VM-okazaĵoj de regiloj kiel VMware vCenter aŭ Microsoft SCVMM.
  • Notu: En dinamikaj VLAN-naĝejoj, se VLAN estas disasociita de EPG, ĝi aŭtomate reasocios kun la EPG post kvin minutoj.
  • Dinamika VLAN-asocio ne estas parto de agordado-malfunkciigo, signifante ke se EPG aŭ luanto estis komence forigitaj kaj tiam reestigitaj de la sekurkopio, nova VLAN aŭtomate estos asignita de la dinamikaj VLAN-naĝejoj.
• Oftaj Demandoj:
  • Q: Kiuj produktoj kaj vendistoj estas subtenataj de Cisco ACI?
  • A: Cisco ACI subtenas virtualajn maŝinajn administrantojn (VMM) de diversaj produktoj kaj vendistoj. Bonvolu raporti al la Cisco ACI Virtualization Compatibility Matrix por la plej aktuala listo de kontrolitaj kunfunkcieblaj produktoj.
  • Q: Ĉu mi povas statike asigni VLAN-identigilon al EPG anstataŭ dinamike asigni ĝin?
  • A: Jes, vi povas statike asigni VLAN-identigilon al finpunktogrupo (EPG) asociita kun VMM-domajno. Tamen, la identigilo devas esti elektita el la enkapsuligblokoj en la VLAN-naĝejo asociita kun la VMM-domajno, kaj la asignospeco devas esti ŝanĝita al senmova.
  • Q: Kio okazas se VLAN estas malasociita de EPG en dinamika VLAN-pool?
  • A: Se VLAN estas disasociita de EPG en dinamika VLAN-naĝejo, ĝi aŭtomate reasociiĝos kun la EPG post kvin minutoj.
  • Q: Ĉu dinamika VLAN-asocio estas parto de agordo-malfunkciigo?
  • A: Ne, dinamika VLAN-asocio ne estas parto de agorda retroigo. Se EPG aŭ luanto estis komence forigita kaj tiam reestigita de la sekurkopio, nova VLAN aŭtomate estos asignita de la dinamikaj VLAN-naĝejoj.

Ĉi tiu ĉapitro enhavas la sekvajn sekciojn:

• • Cisco ACI VM Networking Support for Virtual Machine Managers, sur paĝo 1
  • Mapado de Cisco ACI kaj VMware Constructs, sur paĝo 2
  • Virtual Machine Manager Domajno Ĉefaj Komponentoj, sur paĝo 3
  • Virtual Machine Manager Domajnoj, sur paĝo 4
  • VMM Domain VLAN Pool Association, sur paĝo 4
  • VMM-Domajna EPG-Asocio, sur paĝo 5
  • Pri Trunk Port Group, sur paĝo 7
  • Alleksebla Ento Avantaĝofile, sur paĝo 8
  • EPG-Politika Rezolucio kaj Deploja Tujeco, sur paĝo 9
  • Gvidlinioj por Forigo de VMM-Domajnoj, sur paĝo 10
  • NetFlow kun Virtuala Maŝina Reto, sur paĝo 11
  • Solvado de VMM-Konekteco, sur paĝo 13

Subteno pri Retoj

Cisco ACI VM Networking Support por Virtual Machine Managers

Avantaĝoj de ACI VM Networking

• Cisco Application Centric Infrastructure (ACI) virtuala maŝino (VM) retigado subtenas hiperviziers de pluraj vendistoj.
• Ĝi disponigas la programeblan kaj aŭtomatigitan aliron de la hiperviziero al alt-efikeca skalebla virtualigita datumcentra infrastrukturo.
• Programebleco kaj aŭtomatigo estas kritikaj trajtoj de skalebla datumcentra virtualiga infrastrukturo.
• La Cisco ACI malferma REST API ebligas virtualan maŝinan integriĝon kun kaj instrumentado de la politika model-bazita Cisco ACI-ŝtofo.
• Cisco ACI VM-reto ebligas konsekvencan devigon de politikoj tra kaj virtualaj kaj fizikaj laborkvantoj, kiuj estas administritaj de hiperviziistoj de pluraj vendistoj.
• Alkroĉebla ento profiles facile ebligas VM-moviĝon kaj lokigon de laborŝarĝoj ie ajn en la Cisco ACI-ŝtofo.
• La Cisco Application Policy Infrastructure Controller (APIC) disponigas centralizitan problemon, aplikaĵan sanpoentaron kaj virtualigan monitoradon.
• Cisco ACI multi-hipervisor VM-aŭtomatigo reduktas aŭ forigas manan agordon kaj manajn erarojn. Ĉi tio ebligas virtualigitajn datumcentrojn subteni grandajn nombrojn da VM-oj fidinde kaj kostefike.

Subtenataj Produktoj kaj Vendistoj

• Cisco ACI subtenas virtualajn maŝinajn administrantojn (VMM) de la sekvaj produktoj kaj vendistoj:
• Cisco Unified Computing System Manager (UCSM)
• Integriĝo de Cisco UCSM estas subtenata komencante en Cisco Cisco APIC-Eldono 4.1 (1). Por informoj, vidu la ĉapitron "Cisco ACI kun Cisco UCSM Integration en la Cisco ACI Virtualization Guide, Release 4.1(1).

Cisco Application Centric Infrastructure (ACI) Virtuala Pod (iPod)

• Cisco ACI vPod estas ĝenerale havebleco komencanta en Cisco APIC Release 4.0(2). Por informoj, vidu la dokumentaron pri Cisco ACI vPod Cisco.com.

Nuba Fandejo

• Cloud Foundry-integriĝo kun Cisco ACI estas subtenata komencante de Cisco APIC Release 3.1(2). Por informoj, vidu la scibazan artikolon pri Cisco ACI kaj Cloud Found Integration Cisco.com.

Kubernetes

• Por informoj, vidu la artikolon pri scio, Cisco ACI kaj Kubernetes Integriĝo on Cisco.com.

Microsoft System Center Virtual Machine Manager (SCVMM)

• Por informoj, vidu la ĉapitrojn "Cisco ACI kun Microsoft SCVMM" kaj "Cisco ACI kun Microsoft Windows Azure Pack" en la Cisco ACI Virtualization Guide on Cisco.com.

OpenShift

• Por informoj, vidu la OpenShift-dokumentado. on Cisco.com.

OpenStack

• Por informoj, vidu la OpenStack-dokumentado on Cisco.com.

Red Hat Virtualization (RHV)

• Por informoj, vidu la artikolon pri scio, Cisco ACI kaj Red Hat Integration. on Cisco.com.

VMware Virtuala Distribuita Ŝaltilo (VDS)

• Por informoj, vidu la ĉapitron "Cisco "ACI kun VMware VDS-Integriĝo" en la Cisco ACI Virtualization Guide.
• Vidu la Cisco ACI Virtualization Compatibility Matrix. por la plej aktuala listo de kontrolitaj kunfunkcieblaj produktoj.

Mapado de Cisco ACI kaj VMware Constructs

Cisco Application Centric Infrastructure (ACI) kaj VMware uzas malsamajn terminojn por priskribi la samajn konstrukciojn. Ĉi tiu sekcio disponigas tabelon por mapado de Cisco ACI kaj VMware-terminologio; la informoj rilatas al VMware vSphere Distributed Switch (VDS).

Kondiĉoj de Cisco ACI	VMware Kondiĉoj
Finpunktogrupo (EPG)	Port group, havengrupo

Kondiĉoj de Cisco ACI	VMware Kondiĉoj
LACP Aktiva	• Itinero bazita sur IP hash (subliga havenogrupo) • LACP Ebligita/Aktiva (suprenliga havenogrupo)
LACP Pasivo	• Itinero bazita sur IP hash (subliga havenogrupo) • LACP Ebligita/Aktiva (suprenliga havenogrupo)
MAC Pinning	• Itinero bazita sur devena virtuala haveno • LACP Malfunkciigita
MAC Pinning-Fizika-NIC-Ŝarĝo	• Itinero bazita sur fizika NIC-ŝarĝo • LACP Malfunkciigita
Statika Kanalo - Reĝimo ON	• Itinero bazita sur IP Hash (subliga havenogrupo) • LACP Malfunkciigita
Virtuala Maŝina Administranto (VMM) domajno	VDS
VM-regilo	vCenter (Datencentro)

Virtual Machine Manager Domajno Ĉefaj Komponentoj

ACI-ŝtofaj virtualaj maŝinmanaĝeraj (VMM) domajnoj ebligas administranton agordi konekteblecpolitikojn por virtualaj maŝinregiloj. La esencaj komponentoj de ACI VMM-domajnpolitiko inkludas la sekvantajn:

• Virtual Machine Manager Domain Profile—Grupigas VM-regilojn kun similaj interretaj politikopostuloj. Por ekzample, VM-regiloj povas dividi VLAN-naĝejojn kaj aplikajn finpunktogrupojn (EPGs). La APIC komunikas kun la regilo por publikigi retkonfiguraciojn kiel ekzemple havengrupoj kiuj tiam estas aplikitaj al la virtualaj laborkvantoj. La domajno de VMM profesiulofile inkluzivas la jenajn esencajn komponantojn:
• Akreditaĵo—Asocias validan uzantan akreditaĵon de VM-regilo kun APIC-VMM-domajno.
• Regilo—Specifas kiel konekti al VM-regilo kiu estas parto de politika plenuma domajno.
• Por ekzample, la regilo specifas la konekton al VMware vCenter kiu estas parto de VMM-domajno.

Notu

Ununura VMM-domajno povas enhavi plurajn kazojn de VM-regiloj, sed ili devas esti de la sama vendisto (ekz.ample, de VMware aŭ de Microsoft.

• EPG-Asocio -Finpunktogrupoj reguligas konekteblecon kaj videblecon inter la finpunktoj ene de la amplekso de la VMM-domajnpolitiko. VMM-domajnaj EPGoj kondutas jene: La APIC puŝas ĉi tiujn EPGojn kiel havengrupojn en la VM-regilon. EPG povas enhavi plurajn VMM-domajnojn, kaj VMM-domajno povas enhavi plurajn EPGojn.
• Alkroĉebla Ento Profile Asocio—Asocias VMM-domajnon kun la fizika retinfrastrukturo. Alfiksebla ento profesiulofile (AEP) estas retinterfaca ŝablono kiu ebligas deploji VM-regilpolitikojn sur granda aro de foliaj ŝaltilhavenoj. AEP precizigas kiuj ŝaltiloj kaj havenoj estas haveblaj, kaj kiel ili estas agorditaj.
• VLANPool-Asocio—A VLAN-poolo precizigas la VLAN-IDojn aŭ intervalojn uzitajn por VLAN-enkapsuligo kiun la VMM-domajno konsumas.

Virtuala Maŝina Administranto Domajnoj

• APIC VMM domajno profesiulofile estas politiko kiu difinas VMM-domajnon. La VMM-domajna politiko estas kreita en APIC kaj puŝita en la foliŝaltilojn.

VMM-domajnoj disponigas la jenon:

• Ofta tavolo en la ACI-ŝtofo kiu ebligas skaleblan mistoleran subtenon por multoblaj VM-regilplatformoj.
• VMM-subteno por multoblaj luantoj ene de la ACI-ŝtofo. VMM-domajnoj enhavas VM-regilojn kiel ekzemple VMware vCenter aŭ Microsoft SCVMM Manager kaj la akreditaĵojn necesajn por la ACI-API por interagi kun la VM-regilo.
• VMM-domajno ebligas VMmobility ene de la domajno sed ne trans domajnoj.
• Ununura VMM-domajno povas enhavi plurajn kazojn de VM-regiloj sed ili devas esti la sama speco.
• Por ekzample, VMM-domajno povas enhavi multajn VMware vCenters administrantajn plurajn regilojn ĉiu kurante plurajn VM-ojn sed ĝi eble ne ankaŭ enhavas SCVMM-Manaĝerojn.
• VMM-domajno inventarias regilelementojn (kiel ekzemple pNICoj, vNICoj, VM-nomoj, kaj tiel plu) kaj puŝas politikojn en la regilon(j), kreante havengrupojn, kaj aliajn necesajn elementojn.
• La ACI VMM-domajno aŭskultas por regilaj eventoj kiel ekzemple VM-movebleco kaj respondas laŭe.

VMM-Domajno VLAN-Naĝejo-Asocio

• VLAN-naĝejoj reprezentas blokojn de trafikaj VLAN-identigiloj. VLAN-naĝejo estas komuna rimedo kaj povas esti konsumita de multoblaj domajnoj kiel ekzemple VMM-domajnoj kaj Tavolo 4 ĝis Tavolo 7-servoj.
• Ĉiu naĝejo havas asignospecon (senmova aŭ dinamika), difinitan en la momento de sia kreado.
• La asigno-tipo determinas ĉu la identigiloj enhavitaj en ĝi estos uzataj por aŭtomata asigno de la Cisco APIC (dinamika) aŭ fiksitaj eksplicite de la administranto (senmova).
• Defaŭlte, ĉiuj blokoj enhavitaj ene de VLAN-naĝejo havas la saman asignospecon kiel la naĝejo sed uzantoj povas ŝanĝi la asignospecon por enkapsuligblokoj enhavitaj en dinamikaj naĝejoj al senmova. Fari tion ekskludas ilin de dinamika asigno.
• VMM-domajno povas esti asociita kun nur unu dinamika VLAN-naĝejo.
• Defaŭlte, la asigno de VLAN-identigiloj al EPGoj kiuj estas rilataj al VMM-domajnoj estas farita dinamike fare de la Cisco APIC.
• Dum dinamika asigno estas la defaŭlta kaj preferata konfiguracio, administranto povas statike asigni VLAN-identigilon al finpunktogrupo (EPG) anstataŭe.
• En tiu kazo, la identigiloj uzitaj devas esti elektitaj el enkapsuligblokoj en la VLAN-naĝejo asociita kun la VMM-domajno, kaj ilia asignospeco devas esti ŝanĝita al senmova.
• La Cisco APIC provizas VMM-domajnan VLAN sur folihavenoj bazitaj sur EPG-okazaĵoj, aŭ statike ligante sur folihavenoj aŭ surbaze de VM-okazaĵoj de regiloj kiel ekzemple VMware vCenter aŭ Microsoft SCVMM.

Notu

• En dinamikaj VLAN-naĝejoj, se VLAN estas disasociita de EPG, ĝi estas aŭtomate reasociita kun la EPG en kvin minutoj.

Notu

• Dinamika VLAN-asocio ne estas parto de agorda retroigo, tio estas, en kazo EPG aŭ luanto estis komence forigita kaj tiam reestigita de la sekurkopio, nova VLAN estas aŭtomate asignita de la dinamikaj VLAN-naĝejoj.

VMM-Domajna EPG-Asocio

La ŝtofo de Cisco Application Centric Infrastructure (ACI) asocias luanto-aplikaĵon profile finpunktogrupoj (EPGoj) al virtuala maŝinmanaĝero (VMM) domajnoj, La Cisco ACI faras tion aŭ aŭtomate de instrumentadkomponento kiel ekzemple Microsoft Azure, aŭ de Cisco Application Policy Infrastructure Controller (APIC) administranto kreanta tiajn konfiguraciojn. EPG povas enhavi plurajn VMM-domajnojn, kaj VMM-domajno povas enhavi plurajn EPGojn.

En la antaŭa ilustraĵo, finpunktoj (EPoj) de la sama koloro estas parto de la sama EPG. Por ekzample, ĉiuj verdaj EP-oj estas en la sama EPG kvankam ili estas en du malsamaj VMM-domajnoj. Vidu la plej lastan Verified Scalability Guide for Cisco ACI por virtuala reto kaj VMM-domajna EPG-kapacita informo.

Notu

• Multoblaj VMM-domajnoj povas konektiĝi al la sama folioŝaltilo se ili ne havas interkovrajn VLAN-naĝejojn sur la sama haveno.
• Simile, vi povas uzi la samajn VLAN-poolojn tra malsamaj domajnoj se ili ne uzas la saman havenon de folioŝaltilo.

EPGoj povas uzi plurajn VMM-domajnojn laŭ la sekvaj manieroj:

• EPG ene de VMM-domajno estas identigita uzante enkapsuligidentigilon. Cisco APIC povas administri la identigilon aŭtomate, aŭ la administranto povas statike elekti ĝin. Eksample estas VLAN, Virtual Network ID (VNID).
• EPG povas esti mapita al multoblaj fizikoj (por nudaj serviloj) aŭ virtualaj domajnoj. Ĝi povas uzi malsamajn VLAN aŭ VNID-enkapsulaĵojn en ĉiu domajno.

Notu

• Defaŭlte, la Cisco APIC dinamike administras la asignon de VLAN por EPG.
• Administrantoj de VMware DVS havas la eblon agordi specifan VLAN por EPG.
• En tiu kazo, la VLAN estas elektita de senmova asignobloko ene de la naĝejo kiu estas rilata al la VMM-domajno.
• Aplikoj povas esti deplojitaj trans VMM-domajnoj.
• Dum viva migrado de VM-oj ene de VMM-domajno estas subtenata, viva migrado de VM-oj tra VMM-domajnoj ne estas subtenata.

Notu

• Kiam vi ŝanĝas la VRF sur ponta domajno, kiu estas ligita al EPG kun rilata VMM-domajno, la havengrupo estas forigita kaj poste aldonita reen sur vCenter.
• Tio rezultigas la EPG estantan nedeplojita de la VMM-domajno. Ĉi tio estas atendata konduto.

Pri Trunk Port Group

• Vi uzas trunkan havengrupon por kunigi la trafikon de finpunktogrupoj (EPG) por domajnoj de VMware virtual machine manager (VMM).
• Male al regulaj havengrupoj, kiuj estas agorditaj sub la langeto Luantoj en la GUI de Cisco Application Policy Infrastructure Controller (APIC), trunkaj havengrupoj estas agorditaj sub la langeto VM Networking.
• Regulaj havengrupoj sekvas la T|A|E-formaton de EPG-nomoj.
• La agregado de EPGoj sub la sama domajno estas bazita sur VLAN-intervalo, kiu estas precizigita kiel enkapsuligblokoj enhavitaj en la trunka havengrupo.
• Kiam ajn la enkapsuligo de EPG estas ŝanĝita aŭ la enkapsulbloko de trunka havengrupo estas ŝanĝita, la agrego estas retaksita por determini ĉu la EGP devus esti agregita.
• Trunka havengrupo kontrolas la folideplojon de retresursoj, kiel ekzemple VLANoj, kiuj estas asignitaj al la EPGoj estantaj agregitaj.
• La EPGoj inkludas kaj bazajn EPG kaj mikrosegmentitajn (uSeg) EPGojn. Koncerne uzanto EPG, la VLAN-intervaloj de la trunka havengrupo estas necesaj por inkludi kaj la primarajn kaj sekundarajn VLANojn.

Por pliaj informoj, vidu la sekvajn procedurojn:

• Krei Trunkan Havenan Grupon Uzante la GUI.
• Krei Trunkan Havenan Grupon Uzante la NX-OS Style CLI.
• Krei Trunkan Havenan Grupon Uzante la REST API.

Alkroĉebla Ento Profile

La ACI-ŝtofo disponigas multoblajn alligitajn punktojn, kiuj konektas tra foliaj havenoj al diversaj eksteraj estaĵoj kiel nudaj metalaj serviloj, virtualaj maŝinaj hiperviziiloj, Tavolo 2-ŝaltiloj (ekz.ample, la Cisco UCS-ŝtofa interkonekto), aŭ Tavolo 3-enkursigiloj (ekzample Cisco Nexus 7000 Series ŝaltiloj). Ĉi tiuj alligitpunktoj povas esti fizikaj havenoj, FEX-havenoj, havenkanaloj, aŭ virtuala havenkanalo (vPC) sur folioŝaltiloj.

Notu

Kiam vi kreas VPC-domajnon inter du foliaj ŝaltiloj, ambaŭ ŝaltiloj devas esti en la sama ŝaltilo-generacio, unu el la jenaj:

• Generacio 1 - Cisco Nexus N9K ŝaltas sen "EX" aŭ "FX" ĉe la fino de la ŝanĝnomo; por ekzample, N9K-9312TX
• Generacio 2 - Cisco Nexus N9K ŝaltas kun "EX" aŭ "FX" ĉe la fino de la ŝaltila modelnomo; por ekzample, N9K-93108TC-EX

Ŝaltiloj kiel ĉi tiuj du ne estas kongruaj kun VPC-kunuloj. Anstataŭe, uzu ŝaltilojn de la sama generacio. Aleksebla Ento Profesiulofile (AEP) reprezentas grupon de eksteraj unuoj kun similaj infrastrukturpolitikpostuloj. La infrastrukturpolitikoj konsistas el fizikaj interfacpolitikoj kiuj agordas diversajn protokoleptojn, kiel ekzemple Cisco Discovery Protocol (CDP), Link Layer Discovery Protocol (LLDP), aŭ Link Aggregation Control Protocol (LACP) AEP estas postulata por deploji VLAN-naĝejojn sur folioŝaltiloj. . Enkapsuligblokoj (kaj rilataj VLANoj) estas recikleblaj trans folioŝaltiloj. AEP implicite disponigas la amplekson de la VLAN-naĝejo al la fizika infrastrukturo. La sekvaj AEP-postuloj kaj dependecoj devas esti kalkulitaj en diversaj agordaj scenaroj, inkluzive de retkonektebleco, VMM-domajnoj kaj multipoda agordo:

• La AEP difinas la vicon da permesitaj VLANS sed ĝi ne provizas ilin. Neniu trafiko fluas krom se EPG estas deplojita sur la haveno. Sen difinado de VLAN-poolo en AEP, VLAN ne estas ebligita sur la folihaveno eĉ se EPG estas provizita.
• Aparta VLAN estas provizita aŭ ebligita sur la folia haveno kiu estas bazita sur EPG-okazaĵoj aŭ statike ligantaj sur folia haveno aŭ bazita sur VM-okazaĵoj de eksteraj regiloj kiel ekzemple VMware vCenter aŭ Microsoft Azure Service Center Virtual Machine Manager (SCVMM).
• Alkroĉita ento profiles povas esti asociitaj rekte kun aplikaĵaj EPGoj, kiuj deplojas la rilatajn aplikaĵajn EPGojn al ĉiuj tiuj havenoj asociitaj kun la kuna unuo profile. La AEP havas agordeblan senmarkan funkcion (infraGeneric), kiu enhavas rilaton al EPG (infraRsFuncToEpg) kiu estas deplojita sur ĉiuj interfacoj kiuj estas parto de la elektiloj kiuj estas asociitaj kun la ligebla unuo pro.file.
• Virtuala maŝinmanaĝero (VMM) domajno aŭtomate derivas fizikajn interfacpolitikojn de la interfacaj politikogrupoj de AEP.
• Anstataŭiga politiko ĉe la AEP povas esti uzita por specifi malsaman fizikan interfacpolitikon por VMM-domajno. Ĉi tiu politiko estas utila en scenaroj kie VM-regilo estas konektita al la folioŝaltilo tra meza Tavolo 2-nodo, kaj malsama politiko estas dezirata ĉe la folioŝaltilo kaj VM-regilo fizikaj havenoj. Por ekzample, vi povas agordi LACP inter folioŝaltilo kaj Tavolo 2-nodo. Samtempe, vi povas malŝalti LACP inter la VM-regilo kaj la Ŝaltilo de Tavolo 2 malŝaltante LACP sub la politiko de superregado de AEP.

Deplojo Tujeco

EPG-Politika Rezolucio kaj Deploja Tujeco

Kiam ajn finpunktogrupo (EPG) rilatas al domajno de virtuala maŝinmanaĝero (VMM), la administranto povas elekti la rezolucio- kaj deplojpreferojn por specifi kiam politiko devus esti puŝita en foliŝaltilojn.

Rezolucio Tujeco

• Antaŭ-provizo: Specifas ke politiko (ekzample, VLAN, VXLAN-ligado, kontraktoj aŭ filtriloj) estas elŝutita al foliŝaltilo eĉ antaŭ ol VM-regilo estas alkroĉita al la virtuala ŝaltilo (ekz.ample, VMware vSphere Distributed Switch (VDS). Ĉi tio antaŭprovizas la agordon sur la ŝaltilo.
• Ĉi tio helpas la situacion, kie administra trafiko por hiperviziiloj/VM-regiloj ankaŭ uzas la virtualan ŝaltilon asociitan al la Cisco Application Policy Infrastructure Controller (APIC) VMM-domajno (VMM-ŝaltilo).
• Deploji VMM-politikon kiel ekzemple VLAN sur Cisco Application Centric Infrastructure (ACI) folioŝaltilo postulas Cisco APIC kolekti CDP/LLDP-informojn de ambaŭ hiperviziiloj tra la VM-regilo kaj Cisco ACI-folioŝaltilo. Tamen, se la VM-regilo laŭsupoze uzas la saman VMM-politikon (VMM-ŝaltilo) por komuniki kun siaj hiperviziiloj aŭ eĉ Cisco APIC, la CDP/LLDP-informoj por hiperviziiloj neniam povas esti kolektitaj ĉar la politiko kiu estas postulata por VM-regilo/hiperviziero. administra trafiko ankoraŭ ne estas deplojita.
• Kiam oni uzas antaŭ-provizon tuj, la politiko estas elŝutita al la Cisco ACI-folioŝaltilo sendepende de
• CDP/LLDP najbareco. Eĉ sen hipervizila gastiganto, kiu estas konektita al la VMM-ŝaltilo.
• Tuj: Specifas ke EPG-politikoj (inkluzive de kontraktoj kaj filtriloj) estas elŝutitaj al la rilata programaro de folio-ŝaltilo post ESXi-gastiganto alligiteco al DVS. LLDP aŭ OpFlex-permesoj estas uzataj por solvi la VM-regilon al foliaj nodaj aldonaĵoj.
• La politiko estos elŝutita al Leaf kiam vi aldonos gastiganton al la VMM-ŝaltilo. CDP/LLDP najbareco de gastiganto ĝis folio estas postulata.
• Laŭpeto: Specifas ke politiko (ekzample, VLAN, VXLAN-ligoj, kontraktoj aŭ filtriloj) estas puŝitaj al la folinodo nur kiam ESXi-gastiganto estas ligita al DVS kaj VM estas metita en la havengrupon (EPG).
• La politiko estos elŝutita al la folio kiam la gastiganto estas aldonita al la VMM-ŝaltilo. La VM devas esti metita en havengrupon (EPG). CDP/LLDP najbareco de gastiganto ĝis folio estas postulata. Kun kaj tuja kaj laŭpeta, se la gastiganto kaj folio perdas LLDP/CDP-najbarecon la politikoj estas forigitaj.

Notu

• En OpFlex-bazitaj VMM-domajnoj, OpFlex-agento sur la hiperviziero raportas VM/EP virtualan retinterfackarton (vNIC) alligitaĵon al EPG al la folio OpFlex-procezo.
• Kiam vi uzas On Demand Resolution Immediacy, la EPG VLAN/VXLAN estas programita sur ĉiuj foliaj havenkanalaj havenoj, virtualaj havenaj kanalhavenoj, aŭ ambaŭ kiam la sekvanta estas vera:
  • Hypervisors estas konektitaj al folioj sur la havenkanalo aŭ virtuala havenkanalo fiksita rekte aŭ per klingoŝaltiloj.
  • VM aŭ instancvNIC estas alkroĉita al EPG.
  • Hypervisors estas alkroĉitaj kiel parto de la EPG aŭ VMM-domajno.
• Opflex-bazitaj VMM-domajnoj estas Microsoft Security Center Virtual Machine Manager (SCVMM) kaj HyperV, kaj Cisco Application Virtual Switch (AVS).

Deplojo Tujeco

• Post kiam la politikoj estas elŝutitaj al la folisoftvaro, deploja tujeco povas specifi kiam la politiko estas puŝita en la hardvarpolitikenhav-adresebla memoro (CAM).
• Tuj: Specifas ke la politiko estas programita en la aparatara politiko CAM tuj kiam la politiko estas elŝutita en la foliprogramaro.
• Laŭpeto: Specifas ke la politiko estas programita en la aparatara politiko CAM nur kiam la unua pakaĵeto estas ricevita tra la datumvojo. Ĉi tiu procezo helpas optimumigi la aparataron.

Notu

• Kiam vi uzas laŭpetan deplojan tujecon kun MAC-alpinglitaj VPC-oj, la EPG-kontraktoj ne estas puŝitaj al la folia ternara enhavo-adresebla memoro (TCAM) ĝis la unua finpunkto estas lernita en la EPG sur ĉiu folio.
• Ĉi tio povas kaŭzi malebenan TCAM-uzadon inter VPC-kunuloj. (Normale, la kontrakto estus puŝita al ambaŭ kunuloj.)

Gvidlinioj por Forigo de VMM-Domajnoj

Sekvu la sekvencon sube por certigi, ke la APIC-peto forigi VMM-domajnon aŭtomate ekigas la rilatan VM-regilon (ekz.ample VMware vCenter aŭ Microsoft SCVMM) por kompletigi la procezon normale kaj ke neniuj orfaj EPGoj estas senhelpaj en la ACI-ŝtofo.

1. La VM-administranto devas dekroĉi ĉiujn VM-ojn de la havengrupoj (kaze de VMware vCenter) aŭ VM-retoj (kaze de SCVMM), kreitaj de la APIC. En la kazo de Cisco AVS, la VM-administranto ankaŭ bezonas forigi VMK-interfacojn asociitajn kun la Cisco AVS.
2. La ACI-administranto forigas la VMM-domajnon en la APIC. La APIC ekigas la forigon de VMware VDS Cisco AVS aŭ SCVMM logika ŝaltilo kaj rilataj objektoj.

Notu

La VM-administranto ne devus forigi la virtualan ŝaltilon aŭ rilatajn objektojn (kiel ekzemple havengrupoj aŭ VM-retoj); permesu al la APIC ekigi la virtualan ŝaltilon forigon post kompletigo de paŝo 2 supre. EPGoj povus esti orfigitaj en la APIC se la VM-administranto forigas la virtualan ŝaltilon de la VM-regilo antaŭ ol la VMM-domajno estas forigita en la APIC. Se ĉi tiu sekvenco ne estas sekvita, la VM-regilo forigas la virtualan ŝaltilon asociitan kun la APIC-VMM-domajno. En ĉi tiu scenaro, la VM-administranto devas mane forigi la VM kaj vtep-asociojn de la VM-regilo, kaj poste forigi la virtualan ŝaltilon(j)n antaŭe asociitajn kun la APIC-VMM-domajno.

NetFlow kun Virtuala Maŝina Reto

Pri NetFlow kun Virtuala Maŝina Reto

• La NetFlow-teknologio disponigas la mezuran bazon por ŝlosila aro de aplikoj, inkluzive de rettrafikkontado, uz-bazita retfakturado, retplanado, same kiel neo de servomonitorado, retmonitorado, forira merkatado, kaj datumminado por kaj teleliverantoj kaj entreprenaj klientoj.
• Cisco disponigas aron de NetFlow-aplikoj por kolekti NetFlow-eksportdatenojn, fari datumvolumenredukton, plenumi post-traktadon, kaj provizi finuzantajn aplikojn per facila aliro al NetFlow-datumoj.
• Se vi ebligis NetFlow-monitoradon de la trafiko fluanta tra viaj datumcentroj, ĉi tiu funkcio ebligas al vi plenumi la saman nivelon de monitorado de la trafiko fluanta tra la Cisco Application Centric Infrastructure (Cisco ACI) ŝtofo.
• Anstataŭ aparataro rekte eksportanta la rekordojn al kolektanto, la rekordoj estas prilaboritaj en la kontrolistomotoro kaj estas eksportitaj al normaj NetFlow-kolektantoj en la postulata formato. Por pliaj informoj pri NetFlow, vidu la artikolon pri Cisco APIC kaj NetFlow sciobazo.

Pri NetFlow-Eksportaj Politikoj kun Virtuala Maŝina Reto

Politiko de eksport-eksportisto de virtuala maŝinmanaĝero (netflowVmmExporterPol) priskribas informojn pri la datenoj kolektitaj por fluo kiu estas sendita al la raportservilo aŭ NetFlow-kolektanto. NetFlow-kolektanto estas ekstera unuo kiu subtenas la norman NetFlow-protokolon kaj akceptas pakaĵetojn markitajn per validaj NetFlow-titoloj.
Eksportpolitiko havas la sekvajn trajtojn:

• VmmExporterPol.dstAddr—Ĉi tiu deviga posedaĵo precizigas la IPv4 aŭ IPv6-adreson de la NetFlow-kolektanto kiu akceptas la NetFlow-fluajn pakaĵetojn. Ĉi tio devas esti en la mastro-formato (tio estas, "/32" aŭ "/128"). IPv6-adreso estas subtenata en vSphere Distributed Switch (vDS) versio 6.0 kaj poste.
• VmmExporterPol.dstPort—Ĉi tiu deviga posedaĵo precizigas la havenon sur kiu la NetFlow-kolektila aplikaĵo aŭskultas, kiu ebligas al la kolektanto akcepti envenantajn konektojn.
• VmmExporterPol.srcAddr—Ĉi tiu laŭvola posedaĵo precizigas la IPv4-adreson kiu estas uzata kiel la fontadreso en la eksportitaj NetFlow-fluaj pakoj.

NetFlow Subteno kun VMware vSphere Distributed Switch

La VMware vSphere Distributed Switch (VDS) subtenas NetFlow kun la sekvaj avertoj:

• La ekstera kolektanto devas esti atingebla per la ESX. ESX ne subtenas virtualan vojigon kaj plusendojn (VRFoj).
• Havena grupo povas ebligi aŭ malŝalti NetFlow.
• VDS ne subtenas flunivelan filtradon.

Agordu la sekvajn VDS-parametrojn en VMware vCenter:

• Kolektanto IP-adreso kaj haveno. IPv6 estas subtenata en VDS-versio 6.0 aŭ poste. Ĉi tiuj estas devigaj.
• Fonta IP-adreso. Ĉi tio estas laŭvola.
• Aktiva fluotempo, neaktiva fluotempo, kaj sampling rate. Ĉi tiuj estas laŭvolaj.

Agordi NetFlow-Eksportan Politikon por VM-Reto Uzante la GUI
La sekva proceduro agordas NetFlow-eksportpolitikon por VM-reto.

Proceduro

• Paŝo 1 Sur la menubreto, elektu Ŝtofo > Alirpolitikoj.
• Paŝo 2 En la navigada panelo, vastigu Politikojn > Interfaco > NetFlow.
• Paŝo 3 Dekstre alklaku NetFlow Exporters por VM Networking kaj elektu Krei NetFlow Exporter por VM Networking.
• Paŝo 4 En la dialogujo Krei NetFlow-Eksportilon por VM-Reto, plenigu la kampojn laŭbezone.
• Paŝo 5 Klaku Submeti.

Konsumante NetFlow-Eksportan Politikon Sub VMM-Domajno Uzante la GUI

La sekva proceduro konsumas NetFlow-eksportpolitikon sub VMM-domajno uzante la GUI.

Proceduro

• Paŝo 1 Sur la menubreto, elektu Virtuala Reto > Inventaro.
• Paŝo 2 En la Navigada panelo, vastigu la dosierujon VMDomains, dekstre alklaku VMware kaj elektu Krei Centran Domajnon.
• Paŝo 3 En la dialogujo Krei vCenter Domajno, plenigu la kampojn laŭbezone, krom kiel specifite:
  • a) En la fallisto de NetFlow Exporter Policy, elektu la deziratan eksportpolitikon aŭ kreu novan.
  • b) En la kampo de Active Flow Timeout, enigu la deziratan aktivan fluotempon, en sekundoj. La Active Flow Timeout parametro precizigas la prokraston kiun NetFlow atendas post kiam la aktiva fluo estas iniciatita, post kiu NetFlow sendas la kolektitajn datenojn. La intervalo estas de 60 ĝis 3600. La defaŭlta valoro estas 60.
  • c) En la kampo de Idle Flow Timeout, enigu la deziratan idle Flow Timeout, en sekundoj. La Idle Flow Timeout parametro precizigas la prokraston kiun NetFlow atendas post kiam la neaktiva fluo estas iniciatita, post kiu NetFlow sendas la kolektitajn datenojn. La intervalo estas de 10 ĝis 300. La defaŭlta valoro estas 15.
  • d) (VDS nur) En la Sampling Rate kampo, enigu la deziratan sampling rate. La Sampling Rate-parametro precizigas kiom da pakaĵetoj NetFlow faligos post ĉiu kolektita pakaĵeto. Se vi specifas valoron de 0, tiam NetFlow ne faligas pakojn. La intervalo estas de 0 ĝis 1000. La defaŭlta valoro estas 0.
• Paŝo 4 Klaku Submeti.

Ebligante NetFlow sur Endpoint Group al VMM Domain Association Uzante la GUI

La sekva proceduro ebligas NetFlow sur finpunktogrupo al VMM-domajna asocio.
Antaŭ ol vi komencu
Vi devas esti agorinta la jenon:

• Profesia aplikaĵofile
• Aplika finpunktogrupo

Proceduro

• Paŝo 1 Sur la menubreto, elektu Luantoj > Ĉiuj Luantoj.
• Paŝo 2 En la Laborfenestro, duoble alklaku la nomon de la luanto.
• Paŝo 3 En la maldekstra navigada panelo, vastigu tenant_name > Application Profiles > aplikaĵo_profile_name > Aplikaĵo EPG-oj > aplikaĵo_EPG_nomo
• Paŝo 4 Dekstre alklaku Domajnojn (VMs kaj Bare-Metals) kaj elektu Aldoni VMM Domain Association.
• Paŝo 5 En la dialogujo Aldoni VMM Domain Association, plenigu la kampojn laŭbezone; tamen, en la areo NetFlow, elektu Ebligi.
• Paŝo 6 Klaku Submeti.

Solvado de VMM-Konekteco

La sekva proceduro solvas problemojn pri konektebleco de VMM:

Proceduro

• Paŝo 1 Ekfunkciigu la resinkronigon de inventaro sur la Aplika Politiko-Infrastrukturo-Regilo (APIC). Por pliaj informoj pri kiel ekigi inventaron resync sur APIC, vidu la sekvan scibazan artikolon:
  http://www.cisco.com/c/en/us/td/docs/switches/datacenter/aci/apic/sw/kb/b_KB_VMM_OnDemand_Inventory_in_APIC.html.
• Paŝo 2 Se paŝo 1 ne riparas la problemon, por la trafitaj EPGoj, agordu la rezolucion tuj por uzi antaŭprovizon en la VMM-domajno. "Antaŭ-Provizo" forigas la bezonon de najbaraj apudaĵoj aŭ OpFlex-permesoj kaj poste la dinamikan naturon de VMM-Domajna VLAN-Programado. Por pliaj informoj pri Resolution Immediacy-tipoj, vidu la sekvan EPG-Politikan Rezolucion kaj Deployment Immediacy-sekcion:
  http://www.cisco.com/c/en/us/td/docs/switches/datacenter/aci/apic/sw/1-x/aci-fundamentals/b_ACI-Fundamentals/b_ACI-Fundamentals_chapter_01011.html#concept_EF87ADDAD4EF47BDA741EC6EFDAECBBD.
• Paŝo 3 Se paŝoj 1 kaj 2 ne riparas la problemon kaj vi vidas la problemon sur ĉiuj VM-oj, tiam forigu la politikon pri VM-regilo kaj legu la politikon.
• Notu Forigi la regulpolitikon efikas trafikon por ĉiuj VMs kiuj estas sur tiu regilo. Cisco ACI Virtual Machine Networking.

Dokumentoj/Rimedoj

CISCO ACI Virtual Machine Networking [pdf] Uzantogvidilo ACI Virtual Machine Networking, ACI, Virtual Machine Networking, Machine Networking, Networking

Referencoj

• Uzanto Manlibro