Contenuto nascondere
1 Rete di macchine virtuali CISCO ACI
2 Informazioni sul prodotto
3 Istruzioni per l'uso del prodotto
4 Supporto di rete
5 Mappatura dei costrutti Cisco ACI e VMware
6 Associazione EPG del dominio VMM
7 Informazioni sul gruppo di porte trunk
8 Entità collegabile Profile
9 Immediatezza della distribuzione
10 NetFlow con rete di macchine virtuali
11 Documenti / Risorse
11.1 Riferimenti

CISCO-LOGO

Rete di macchine virtuali CISCO ACI

PRODOTTO CISCO-ACI-Virtual-Machine-Networking

Informazioni sul prodotto

  • Specifiche:
    • Prodotti e fornitori supportati: Cisco ACI supporta i gestori di macchine virtuali (VMM) di vari prodotti e fornitori. Fare riferimento alla matrice di compatibilità della virtualizzazione Cisco ACI per l'elenco più aggiornato dei prodotti interoperabili verificati.

Istruzioni per l'uso del prodotto

  • Mappatura dei costrutti Cisco ACI e VMware: Cisco Application Centric Infrastructure (ACI) e VMware utilizzano termini diversi per descrivere gli stessi costrutti. La tabella seguente fornisce una mappatura della terminologia Cisco ACI e VMware rilevante per VMware vSphere Distributed Switch (VDS).
Termini Cisco ACI Termini VMware
Gruppo di endpoint (EPG) Gruppo portuale, gruppo portuale
LACP attivo LACP Passivo
Blocco MAC Blocco MAC-Fisico-NIC-Carico
Canale statico – Modalità attiva VDS del dominio Virtual Machine Manager (VMM).
Controllore della macchina virtuale vCenter (centro dati)
  • Componenti principali del dominio Virtual Machine Manager:
    • I domini ACI Fabric Virtual Machine Manager (VMM) consentono agli amministratori di configurare i criteri di connettività per i controller delle macchine virtuali. I componenti principali di una policy di dominio ACI VMM includono:
    • Dominio Virtual Machine Manager (VMM).
    • Controllore della macchina virtuale
    • vCenter (centro dati)
    • Nota: Un singolo dominio VMM può contenere più istanze di controller VM, ma devono provenire dallo stesso fornitore (ad esempio, VMware o Microsoft).
  • Domini del gestore macchina virtuale:
    • Un professionista del dominio APIC VMMfile è una policy che definisce un dominio VMM. La policy del dominio VMM viene creata in APIC e inserita negli switch foglia. I domini VMM forniscono quanto segue:
  • Associazione del pool VLAN del dominio VMM
    • I pool VLAN rappresentano blocchi di identificatori VLAN di traffico. Un pool VLAN è una risorsa condivisa e può essere utilizzata da più domini come i domini VMM e i servizi dal livello 4 al livello 7.
    • Un dominio VMM può essere associato a un solo pool VLAN dinamico.
    • Per impostazione predefinita, gli identificatori VLAN vengono assegnati dinamicamente agli EPG associati ai domini VMM dall'APIC Cisco.
    • Tuttavia, gli amministratori possono invece assegnare staticamente un identificatore VLAN a un gruppo di endpoint (EPG).
    • In questi casi, gli identificatori utilizzati devono essere selezionati dai blocchi di incapsulamento nel pool VLAN associato al dominio VMM e il loro tipo di allocazione deve essere modificato in statico.
    • L'APIC Cisco fornisce la VLAN del dominio VMM sulle porte foglia in base agli eventi EPG, vincolanti staticamente sulle porte foglia o in base agli eventi VM provenienti da controller come VMware vCenter o Microsoft SCVMM.
    • Nota: Nei pool VLAN dinamici, se una VLAN viene dissociata da un EPG, si riassocia automaticamente all'EPG dopo cinque minuti.
    • L'associazione VLAN dinamica non fa parte del rollback della configurazione, ovvero se un EPG o un tenant è stato inizialmente rimosso e poi ripristinato dal backup, una nuova VLAN verrà automaticamente allocata dai pool VLAN dinamici.
  • Domande frequenti:
    • Q: Quali prodotti e fornitori sono supportati da Cisco ACI?
    • A: Cisco ACI supporta i gestori di macchine virtuali (VMM) di vari prodotti e fornitori. Fare riferimento alla matrice di compatibilità della virtualizzazione Cisco ACI per l'elenco più aggiornato dei prodotti interoperabili verificati.
    • Q: Posso assegnare staticamente un identificatore VLAN a un EPG invece di assegnarlo dinamicamente?
    • A: Sì, puoi assegnare staticamente un identificatore VLAN a un gruppo di endpoint (EPG) associato a un dominio VMM. Tuttavia, l'identificatore deve essere selezionato dai blocchi di incapsulamento nel pool VLAN associato al dominio VMM e il tipo di allocazione deve essere modificato in statico.
    • Q: Cosa succede se una VLAN viene dissociata da un EPG in un pool VLAN dinamico?
    • A: Se una VLAN viene dissociata da un EPG in un pool VLAN dinamico, si riassocia automaticamente all'EPG dopo cinque minuti.
    • Q: L'associazione VLAN dinamica fa parte del rollback della configurazione?
    • A: No, l'associazione VLAN dinamica non fa parte del rollback della configurazione. Se un EPG o un tenant è stato inizialmente rimosso e poi ripristinato dal backup, una nuova VLAN verrà automaticamente allocata dai pool VLAN dinamici.

Questo capitolo contiene le seguenti sezioni:

  • • Supporto di rete Cisco ACI VM per gestori di macchine virtuali, a pagina 1
    • Mappatura dei costrutti Cisco ACI e VMware, a pagina 2
    • Componenti principali del dominio Virtual Machine Manager, a pagina 3
    • Domini di Virtual Machine Manager, a pagina 4
    • Associazione del pool VLAN del dominio VMM, a pagina 4
    • Associazione EPG del dominio VMM, a pagina 5
    • Informazioni sul gruppo di porte trunk, a pagina 7
    • Entità collegabile Profile, a pagina 8
    • Risoluzione delle policy EPG e immediatezza di distribuzione, a pagina 9
    • Linee guida per l'eliminazione dei domini VMM, a pagina 10
    • NetFlow con rete di macchine virtuali, a pagina 11
    • Risoluzione dei problemi di connettività VMM, a pagina 13

Supporto di rete

Supporto di rete Cisco ACI VM per gestori di macchine virtuali

Vantaggi della rete ACI VM

  • La rete di macchine virtuali (VM) Cisco Application Centric Infrastructure (ACI) supporta hypervisor di più fornitori.
  • Fornisce l'accesso programmabile e automatizzato dell'hypervisor all'infrastruttura del data center virtualizzato scalabile e ad alte prestazioni.
  • Programmabilità e automazione sono caratteristiche fondamentali dell'infrastruttura scalabile di virtualizzazione del data center.
  • L'API REST aperta Cisco ACI consente l'integrazione e l'orchestrazione delle macchine virtuali con la struttura Cisco ACI basata su modelli di policy.
  • La rete Cisco ACI VM consente l'applicazione coerente delle policy nei carichi di lavoro virtuali e fisici gestiti da hypervisor di più fornitori.
  • Ente collegabile profileConsente facilmente la mobilità delle VM e il posizionamento dei carichi di lavoro ovunque nella struttura Cisco ACI.
  • Cisco Application Policy Infrastructure Controller (APIC) fornisce funzionalità centralizzate di risoluzione dei problemi, punteggio di integrità delle applicazioni e monitoraggio della virtualizzazione.
  • L'automazione delle VM multi-hypervisor Cisco ACI riduce o elimina la configurazione manuale e gli errori manuali. Ciò consente ai data center virtualizzati di supportare un gran numero di VM in modo affidabile ed economico.

Prodotti e fornitori supportati

  • Cisco ACI supporta i gestori di macchine virtuali (VMM) dei seguenti prodotti e fornitori:
  • Gestore di sistema Cisco Unified Computing (UCSM)
  • Integrazione di Cisco UCSM è supportato a partire da Cisco Cisco APIC versione 4.1(1). Per informazioni, consultare il capitolo “Cisco ACI con Cisco UCSM Integration nella Cisco ACI Virtualization Guide, versione 4.1(1).

Pod virtuale (iPod) di Cisco Application Centric Infrastructure (ACI)

  • Cisco ACI vPod è disponibile a livello generale a partire dalla versione Cisco APIC 4.0(2). Per informazioni, consultare la documentazione di Cisco ACI vPod su Cisco.com.

Fonderia delle nuvole

  • L'integrazione di Cloud Foundry con Cisco ACI è supportata a partire da Cisco APIC versione 3.1(2). Per informazioni, vedere l'articolo della Knowledge Base, Cisco ACI e Cloud Found Integration su Cisco.com.

Kubernetes

Gestore della macchina virtuale di Microsoft System Center (SCVMM)

Spostamento aperto

AprireStack

Virtualizzazione Red Hat (RHV)

Switch distribuito virtuale (VDS) VMware

Mappatura dei costrutti Cisco ACI e VMware

Cisco Application Centric Infrastructure (ACI) e VMware utilizzano termini diversi per descrivere gli stessi costrutti. Questa sezione fornisce una tabella per la mappatura della terminologia Cisco ACI e VMware; le informazioni sono rilevanti per VMware vSphere Distributed Switch (VDS).

Termini Cisco ACI VMware Termini
Gruppo di endpoint (EPG) Gruppo portuale, gruppo portuale
Termini Cisco ACI VMware Termini
LACP attivo •  Percorso basato sull'hash IP (gruppo di porte downlink)

•  LACP abilitato/attivo (gruppo di porte uplink)
LACP Passivo •  Percorso basato sull'hash IP (gruppo di porte downlink)

•  LACP abilitato/attivo (gruppo di porte uplink)
Blocco MAC •  Itinerario basato sulla porta virtuale di origine

•  LACP disabilitato
Blocco MAC-Fisico-NIC-Carico •  Instradamento basato sul carico NIC fisico

•  LACP disabilitato
Canale statico – Modalità attiva •  Percorso basato sull'hash IP (gruppo di porte downlink)

•  LACP disabilitato
Dominio Virtual Machine Manager (VMM). VDS
Controllore della macchina virtuale vCenter (centro dati)

Componenti principali del dominio Virtual Machine Manager

I domini ACI Fabric Virtual Machine Manager (VMM) consentono a un amministratore di configurare i criteri di connettività per i controller delle macchine virtuali. I componenti essenziali di una policy di dominio ACI VMM includono quanto segue:

  • Dominio del gestore della macchina virtuale Profile—Raggruppa controller VM con requisiti di criteri di rete simili. Per esample, i controller VM possono condividere pool VLAN e gruppi di endpoint applicazione (EPG). L'APIC comunica con il controller per pubblicare configurazioni di rete come i gruppi di porte che vengono poi applicati ai carichi di lavoro virtuali. Il professionista del dominio VMMfile comprende i seguenti componenti essenziali:
  • Credenziali-Associa una credenziale utente del controller VM valida a un dominio VMM APIC.
  • Controllore—Specifica come connettersi a un controller VM che fa parte di un dominio di applicazione delle policy.
  • Per esempioample, il controller specifica la connessione a un VMware vCenter che fa parte di un dominio VMM.

Nota

Un singolo dominio VMM può contenere più istanze di controller VM, ma devono provenire dallo stesso fornitore (ad esample, da VMware o da Microsoft.

  • Associazione EPG—I gruppi di endpoint regolano la connettività e la visibilità tra gli endpoint nell'ambito dei criteri di dominio VMM. Gli EPG del dominio VMM si comportano come segue: L'APIC inserisce questi EPG come gruppi di porte nel controller VM. Un EPG può estendersi su più domini VMM e un dominio VMM può contenere più EPG.
  • Entità collegabile Profile Associazione-Associa un dominio VMM all'infrastruttura di rete fisica. Un soggetto collegabile profile (AEP) è un modello di interfaccia di rete che consente di distribuire policy del controller VM su un ampio set di porte dello switch foglia. Un AEP specifica quali switch e porte sono disponibili e come sono configurati.
  • Associazione VLANPool—A Il pool VLAN specifica gli ID o gli intervalli VLAN utilizzati per l'incapsulamento VLAN utilizzato dal dominio VMM.

Domini del gestore della macchina virtuale

  • Un professionista del dominio APIC VMMfile è una policy che definisce un dominio VMM. La policy del dominio VMM viene creata in APIC e inserita negli switch foglia.

I domini VMM forniscono quanto segue:

  • Un livello comune nella struttura ACI che consente il supporto scalabile e con tolleranza agli errori per più piattaforme di controller VM.
  • Supporto VMM per più tenant all'interno dell'infrastruttura ACI. I domini VMM contengono controller VM come VMware vCenter o Microsoft SCVMM Manager e le credenziali necessarie affinché l'API ACI possa interagire con il controller VM.
  • Un dominio VMM consente la mobilità VM all'interno del dominio ma non tra domini.
  • Un singolo dominio VMM può contenere più istanze di controller VM, ma devono essere dello stesso tipo.
  • Per esempioample, un dominio VMM può contenere molti vCenter VMware che gestiscono più controller, ciascuno dei quali esegue più VM, ma potrebbe non contenere anche gestori SCVMM.
  • Un dominio VMM esegue l'inventario degli elementi del controller (come pNIC, vNIC, nomi di VM e così via) e inserisce le policy nei controller, creando gruppi di porte e altri elementi necessari.
  • Il dominio ACI VMM ascolta gli eventi del controller come la mobilità delle macchine virtuali e risponde di conseguenza.

Associazione del pool VLAN del dominio VMM

  • I pool VLAN rappresentano blocchi di identificatori VLAN di traffico. Un pool VLAN è una risorsa condivisa e può essere utilizzata da più domini come i domini VMM e i servizi dal livello 4 al livello 7.
  • Ogni pool ha una tipologia di allocazione (statica o dinamica), definita al momento della sua creazione.
  • Il tipo di allocazione determina se gli identificatori in esso contenuti verranno utilizzati per l'assegnazione automatica da parte dell'APIC Cisco (dinamico) o impostati esplicitamente dall'amministratore (statico).
  • Per impostazione predefinita, tutti i blocchi contenuti in un pool VLAN hanno lo stesso tipo di allocazione del pool, ma gli utenti possono modificare il tipo di allocazione per i blocchi di incapsulamento contenuti nei pool dinamici in statico. In questo modo li escluderai dall'allocazione dinamica.
  • Un dominio VMM può essere associato a un solo pool VLAN dinamico.
  • Per impostazione predefinita, l'assegnazione degli identificatori VLAN agli EPG associati ai domini VMM viene eseguita dinamicamente da Cisco APIC.
  • Sebbene l'allocazione dinamica sia la configurazione predefinita e preferita, un amministratore può invece assegnare staticamente un identificatore VLAN a un gruppo di endpoint (EPG).
  • In tal caso, gli identificatori utilizzati devono essere selezionati dai blocchi di incapsulamento nel pool VLAN associato al dominio VMM e il loro tipo di allocazione deve essere modificato in statico.
  • L'APIC Cisco fornisce la VLAN del dominio VMM sulle porte foglia in base agli eventi EPG, vincolanti staticamente sulle porte foglia o in base agli eventi VM provenienti da controller come VMware vCenter o Microsoft SCVMM.

Nota

  • Nei pool VLAN dinamici, se una VLAN viene dissociata da un EPG, viene automaticamente riassociata all'EPG in cinque minuti.

Nota

  • L'associazione VLAN dinamica non fa parte del rollback della configurazione, ovvero, nel caso in cui un EPG o un tenant sia stato inizialmente rimosso e quindi ripristinato dal backup, una nuova VLAN viene automaticamente allocata dai pool VLAN dinamici.

Associazione EPG del dominio VMM

La struttura Cisco Application Centric Infrastructure (ACI) associa l'applicazione tenant profile gruppi di endpoint (EPG) ai domini del gestore di macchine virtuali (VMM), Cisco ACI lo fa automaticamente da un componente di orchestrazione come Microsoft Azure o da un amministratore Cisco Application Policy Infrastructure Controller (APIC) che crea tali configurazioni. Un EPG può estendersi su più domini VMM e un dominio VMM può contenere più EPG.

CISCO-ACI-rete-di-macchine-virtuali-FIG-1 (1)

Nell'illustrazione precedente, gli endpoint (EP) dello stesso colore fanno parte dello stesso EPG. Per esample, tutti gli EP verdi si trovano nello stesso EPG anche se si trovano in due domini VMM diversi. Consulta la guida alla scalabilità verificata più recente per Cisco ACI per informazioni sulla capacità EPG della rete virtuale e del dominio VMM.

CISCO-ACI-rete-di-macchine-virtuali-FIG-1 (2)

Nota

  • Più domini VMM possono connettersi allo stesso switch foglia se non hanno pool VLAN sovrapposti sulla stessa porta.
  • Allo stesso modo, puoi utilizzare gli stessi pool VLAN su domini diversi se non utilizzano la stessa porta di uno switch foglia.

Gli EPG possono utilizzare più domini VMM nei seguenti modi:

  • Un EPG all'interno di un dominio VMM viene identificato utilizzando un identificatore di incapsulamento. Cisco APIC può gestire l'identificatore automaticamente oppure l'amministratore può selezionarlo staticamente. Un example è una VLAN, un ID di rete virtuale (VNID).
  • Un EPG può essere mappato su più domini fisici (per server bare metal) o virtuali. Può utilizzare diversi incapsulamenti VLAN o VNID in ciascun dominio.

Nota

  • Per impostazione predefinita, Cisco APIC gestisce dinamicamente l'allocazione di una VLAN per un EPG.
  • Gli amministratori VMware DVS hanno la possibilità di configurare una VLAN specifica per un EPG.
  • In tal caso, la VLAN viene scelta da un blocco di allocazione statica all'interno del pool associato al dominio VMM.
  • Le applicazioni possono essere distribuite tra domini VMM.CISCO-ACI-rete-di-macchine-virtuali-FIG-1 (3)
  • Sebbene sia supportata la migrazione in tempo reale delle VM all'interno di un dominio VMM, la migrazione in tempo reale delle VM tra domini VMM non è supportata.

Nota

  • Quando modifichi il VRF su un dominio bridge collegato a un EPG con un dominio VMM associato, il gruppo di porte viene eliminato e quindi aggiunto nuovamente su vCenter.
  • Ciò comporta l'annullamento della distribuzione dell'EPG dal dominio VMM. Questo è il comportamento previsto.

Informazioni sul gruppo di porte trunk

  • Utilizzare un gruppo di porte trunk per aggregare il traffico dei gruppi di endpoint (EPG) per i domini VMware Virtual Machine Manager (VMM).
  • A differenza dei normali gruppi di porte, configurati nella scheda Tenant della GUI Cisco Application Policy Infrastructure Controller (APIC), i gruppi di porte trunk vengono configurati nella scheda Rete VM.
  • I gruppi di porte regolari seguono il formato T|A|E dei nomi EPG.
  • L'aggregazione degli EPG sotto lo stesso dominio si basa su un intervallo VLAN, che viene specificato come blocchi di incapsulamento contenuti nel gruppo di porte del trunk.
  • Ogni volta che viene modificato l'incapsulamento di un EPG o il blocco di incapsulamento di un gruppo di porte di trunk, l'aggregazione viene rivalutata per determinare se l'EGP deve essere aggregato.
  • Un gruppo di porte trunk controlla la distribuzione foglia delle risorse di rete, come le VLAN, allocate agli EPG da aggregare.
  • Gli EPG includono sia EPG di base che EPG microsegmentati (uSeg). Nel caso di un EPG utente, è necessario che gli intervalli VLAN del gruppo di porte trunk includano sia la VLAN primaria che quella secondaria.

Per ulteriori informazioni, vedere le seguenti procedure:

Entità collegabile Profile

La struttura ACI fornisce più punti di attacco che si connettono tramite porte foglia a varie entità esterne come server bare metal, hypervisor di macchine virtuali, switch Layer 2 (ad es.ample, Cisco UCS Fabric Interconnect) o router Layer 3 (ad esampgli switch Cisco Nexus serie 7000). Questi punti di collegamento possono essere porte fisiche, porte FEX, port channel o un port channel virtuale (vPC) sugli switch foglia.

Nota

Quando si crea un dominio VPC tra due switch foglia, entrambi gli switch devono appartenere alla stessa generazione di switch, una delle seguenti:

  • Generazione 1 – Switch Cisco Nexus N9K senza "EX" o "FX" alla fine del nome dello switch; per esample, N9K-9312TX
  • Generazione 2 – Switch Cisco Nexus N9K con "EX" o "FX" alla fine del nome del modello dello switch; per esample, N9K-93108TC-EX

Switch come questi due non sono compatibili con i peer VPC. Utilizzare invece switch della stessa generazione. Un'entità collegabile Profile (AEP) rappresenta un gruppo di entità esterne con requisiti di politica infrastrutturale simili. I criteri dell'infrastruttura sono costituiti da criteri dell'interfaccia fisica che configurano varie opzioni di protocollo, come Cisco Discovery Protocol (CDP), Link Layer Discovery Protocol (LLDP) o Link Aggregation Control Protocol (LACP)  È necessario un AEP per distribuire pool VLAN sugli switch foglia . I blocchi di incapsulamento (e le VLAN associate) sono riutilizzabili tra gli switch foglia. Un AEP fornisce implicitamente l'ambito del pool VLAN all'infrastruttura fisica. I seguenti requisiti e dipendenze AEP devono essere presi in considerazione in vari scenari di configurazione, tra cui connettività di rete, domini VMM e configurazione multi pod:

  • L'AEP definisce l'intervallo di VLAN consentite ma non le fornisce. Nessun flusso di traffico a meno che non venga distribuito un EPG sul porto. Senza definire un pool VLAN in un AEP, una VLAN non viene abilitata sulla porta foglia anche se viene fornito un EPG.
  • Viene eseguito il provisioning o l'abilitazione di una particolare VLAN sulla porta foglia basata su eventi EPG vincolanti staticamente su una porta foglia o basati su eventi VM da controller esterni come VMware vCenter o Microsoft Azure Service Center Virtual Machine Manager (SCVMM).
  • Ente collegato profileI messaggi possono essere associati direttamente agli EPG dell'applicazione, che distribuiscono gli EPG dell'applicazione associati a tutte le porte associate all'entità collegata profile. L'AEP ha una funzione generica configurabile (infraGeneric), che contiene una relazione con un EPG (infraRsFuncToEpg) che viene distribuito su tutte le interfacce che fanno parte dei selettori associati all'entità collegabile profile.
  • Un dominio di gestione della macchina virtuale (VMM) deriva automaticamente le policy dell'interfaccia fisica dai gruppi di policy dell'interfaccia di un AEP.
  • È possibile utilizzare una policy di sostituzione nell'AEP per specificare una policy di interfaccia fisica diversa per un dominio VMM. Questa policy è utile negli scenari in cui un controller VM è connesso allo switch foglia tramite un nodo intermedio di livello 2 e si desidera una policy diversa sulle porte fisiche dello switch foglia e del controller VM. Per esample, è possibile configurare LACP tra uno switch foglia e un nodo di livello 2. Allo stesso tempo, puoi disabilitare LACP tra il controller della VM e lo switch di livello 2 disabilitando LACP nella policy di override AEP.

Immediatezza della distribuzione

Risoluzione delle policy EPG e immediatezza di implementazione

Ogni volta che un gruppo endpoint (EPG) si associa a un dominio di gestione della macchina virtuale (VMM), l'amministratore può scegliere le preferenze di risoluzione e distribuzione per specificare quando una policy deve essere inserita negli switch foglia.

Immediatezza della risoluzione

  • Pre-disposizione: Specifica che una policy (ad esampfile, VLAN, associazione VXLAN, contratti o filtri) viene scaricato su uno switch foglia anche prima che un controller VM venga collegato allo switch virtuale (ad es.ample, VMware vSphere Distributed Switch (VDS). Ciò effettua il pre-provisioning della configurazione sullo switch.
  • Ciò aiuta la situazione in cui il traffico di gestione per hypervisor/controller VM utilizza anche lo switch virtuale associato al dominio VMM Cisco Application Policy Infrastructure Controller (APIC) (switch VMM).
  • La distribuzione di una policy VMM come una VLAN su uno switch foglia Cisco Application Centric Infrastructure (ACI) richiede che Cisco APIC raccolga informazioni CDP/LLDP da entrambi gli hypervisor tramite il controller VM e lo switch foglia Cisco ACI. Tuttavia, se si suppone che il controller VM utilizzi la stessa policy VMM (switch VMM) per comunicare con i suoi hypervisor o anche con Cisco APIC, le informazioni CDP/LLDP per gli hypervisor non potranno mai essere raccolte perché la policy richiesta per il controller/hypervisor VM il traffico di gestione non è ancora stato distribuito.
  • Quando si utilizza l'immediatezza del pre-provisioning, la policy viene scaricata sullo switch foglia Cisco ACI indipendentemente
  • Vicinato CDP/LLDP. Anche senza un host hypervisor connesso allo switch VMM.
  • Immediato: Specifica che le policy EPG (inclusi contratti e filtri) vengono scaricate nel software di commutazione foglia associato al collegamento dell'host ESXi a un DVS. Le autorizzazioni LLDP o OpFlex vengono utilizzate per risolvere il controller della VM nei collegamenti del nodo foglia.
  • La policy verrà scaricata su Leaf quando aggiungi un host allo switch VMM. È richiesta la vicinanza CDP/LLDP dall'host alla foglia.
  • Su richiesta: Specifica che una policy (ad esample, VLAN, collegamenti, contratti o filtri VXLAN) viene inviato al nodo foglia solo quando un host ESXi è collegato a un DVS e una VM viene inserita nel gruppo di porte (EPG).
  • La policy verrà scaricata nella foglia quando l'host verrà aggiunto allo switch VMM. La VM deve essere inserita in un gruppo di porte (EPG). È richiesta la vicinanza CDP/LLDP dall'host alla foglia. Sia con il protocollo immediato che su richiesta, se l'host e la foglia perdono la vicinanza LLDP/CDP, le policy vengono rimosse.

Nota

  • Nei domini VMM basati su OpFlex, un agente OpFlex sull'hypervisor segnala un allegato della scheda di interfaccia di rete virtuale (vNIC) VM/EP a un EPG nel processo foglia OpFlex.
  • Quando si utilizza l'immediatezza della risoluzione su richiesta, la VLAN/VXLAN EPG viene programmata su tutte le porte port-channel foglia, sulle porte port-channel virtuali o su entrambe quando si verificano le seguenti condizioni:
    • Gli hypervisor sono connessi alle foglie sul port channel o sul port channel virtuale collegato direttamente o tramite switch blade.
    • Una VM o un'istanza vNIC è collegata a un EPG.
    • Gli hypervisor sono collegati come parte del dominio EPG o VMM.
  • I domini VMM basati su Opflex sono Microsoft Security Center Virtual Machine Manager (SCVMM) e HyperV e Cisco Application Virtual Switch (AVS).

Immediatezza della distribuzione

  • Una volta scaricate le policy nel software foglia, l'immediatezza della distribuzione può specificare quando la policy viene inserita nella memoria indirizzabile al contenuto della policy hardware (CAM).
  • Immediato: Specifica che la policy viene programmata nel CAM della policy hardware non appena la policy viene scaricata nel software foglia.
  • Su richiesta: Specifica che la policy viene programmata nella policy hardware CAM solo quando viene ricevuto il primo pacchetto attraverso il percorso dati. Questo processo aiuta a ottimizzare lo spazio hardware.

Nota

  • Quando utilizzi l'immediatezza della distribuzione su richiesta con VPC bloccati su MAC, i contratti EPG non vengono inviati alla memoria ternaria content-addressable memory (TCAM) foglia finché non viene appreso il primo endpoint nell'EPG su ciascuna foglia.
  • Ciò può causare un utilizzo TCAM non uniforme tra i peer VPC. (Normalmente, il contratto verrebbe inoltrato a entrambi i peer.)

Linee guida per l'eliminazione dei domini VMM

Seguire la sequenza seguente per garantire che la richiesta APIC di eliminare un dominio VMM attivi automaticamente il controller VM associato (ad es.ample VMware vCenter o Microsoft SCVMM) per completare il processo normalmente e che nessun EPG orfano sia bloccato nella struttura ACI.

  1. L'amministratore della VM deve scollegare tutte le VM dai gruppi di porte (nel caso di VMware vCenter) o dalle reti VM (nel caso di SCVMM), creati dall'APIC. Nel caso di Cisco AVS, l'amministratore della VM deve eliminare anche le interfacce VMK associate a Cisco AVS.
  2. L'amministratore ACI elimina il dominio VMM nell'APIC. L'APIC attiva l'eliminazione dello switch logico VMware VDS Cisco AVS o SCVMM e degli oggetti associati.

Nota

L'amministratore della VM non deve eliminare lo switch virtuale o gli oggetti associati (come gruppi di porte o reti VM); consentire all'APIC di attivare l'eliminazione dello switch virtuale al completamento del passaggio 2 sopra. Gli EPG potrebbero rimanere orfani nell'APIC se l'amministratore della VM elimina lo switch virtuale dal controller della VM prima che il dominio VMM venga eliminato nell'APIC. Se questa sequenza non viene seguita, il controller della VM elimina lo switch virtuale associato al dominio APIC VMM. In questo scenario, l'amministratore della VM deve rimuovere manualmente le associazioni VM e vtep dal controller della VM, quindi eliminare gli switch virtuali precedentemente associati al dominio APIC VMM.

NetFlow con rete di macchine virtuali

Informazioni su NetFlow con rete di macchine virtuali

  • La tecnologia NetFlow fornisce la base di misurazione per una serie chiave di applicazioni, tra cui contabilità del traffico di rete, fatturazione di rete basata sull'utilizzo, pianificazione della rete, nonché monitoraggio della negazione dei servizi, monitoraggio della rete, marketing in uscita e data mining sia per i fornitori di servizi che per i fornitori di servizi. clienti aziendali.
  • Cisco fornisce una serie di applicazioni NetFlow per raccogliere i dati di esportazione NetFlow, eseguire la riduzione del volume dei dati, eseguire la post-elaborazione e fornire alle applicazioni degli utenti finali un facile accesso ai dati NetFlow.
  • Se hai abilitato il monitoraggio NetFlow del traffico che scorre attraverso i tuoi data center, questa funzione ti consente di eseguire lo stesso livello di monitoraggio del traffico che scorre attraverso la struttura Cisco Application Centric Infrastructure (Cisco ACI).
  • Invece dell'hardware che esporta direttamente i record in un raccoglitore, i record vengono elaborati nel motore del supervisore ed esportati nei raccoglitori NetFlow standard nel formato richiesto. Per ulteriori informazioni su NetFlow, vedere l'articolo della knowledge base Cisco APIC e NetFlow.

Informazioni sulle policy di esportazione NetFlow con rete di macchine virtuali

Una policy di esportazione del gestore macchina virtuale (netflowVmmExporterPol) descrive le informazioni sui dati raccolti per un flusso inviato al server di reporting o al raccoglitore NetFlow. Un raccoglitore NetFlow è un'entità esterna che supporta il protocollo NetFlow standard e accetta pacchetti contrassegnati con intestazioni NetFlow valide.
Una politica di esportazione ha le seguenti proprietà:

  • VmmExporterPol.dstAddr—Questa proprietà obbligatoria specifica l'indirizzo IPv4 o IPv6 del raccoglitore NetFlow che accetta i pacchetti di flusso NetFlow. Deve essere nel formato host (ovvero "/32" o "/128"). Un indirizzo IPv6 è supportato in vSphere Distributed Switch (vDS) versione 6.0 e successive.
  • VmmExporterPol.dstPort—Questa proprietà obbligatoria specifica la porta su cui è in ascolto l'applicazione del raccoglitore NetFlow, che consente al raccoglitore di accettare connessioni in entrata.
  • VmmExporterPol.srcAddr—Questa proprietà facoltativa specifica l'indirizzo IPv4 utilizzato come indirizzo di origine nei pacchetti di flusso NetFlow esportati.

Supporto NetFlow con switch distribuito VMware vSphere

VMware vSphere Distributed Switch (VDS) supporta NetFlow con le seguenti avvertenze:

  • Il collettore esterno deve essere raggiungibile tramite l'ESX. ESX non supporta il routing e gli inoltri virtuali (VRF).
  • Un gruppo di porte può abilitare o disabilitare NetFlow.
  • VDS non supporta il filtraggio a livello di flusso.

Configura i seguenti parametri VDS in VMware vCenter:

  • Indirizzo IP e porta del raccoglitore. IPv6 è supportato su VDS versione 6.0 o successiva. Questi sono obbligatori.
  • Indirizzo IP di origine. Questo è facoltativo.
  • Timeout flusso attivo, timeout flusso inattivo e samptasso di ling. Questi sono facoltativi.

Configurazione di una policy di esportazione NetFlow per la rete di VM utilizzando la GUI
La procedura seguente configura una policy di esportazione NetFlow per la rete VM.

Procedura

  • Fare un passo 1 Nella barra dei menu, scegli Fabric > Policy di accesso.
  • Fare un passo 2 Nel riquadro di navigazione, espandere Politiche > Interfaccia > NetFlow.
  • Fare un passo 3 Fare clic con il pulsante destro del mouse su NetFlow Exporter per VM Networking e scegliere Crea NetFlow Exporter per VM Networking.
  • Fare un passo 4 Nella finestra di dialogo Crea NetFlow Exporter per VM Networking, compila i campi come richiesto.
  • Fare un passo 5 Fare clic su Invia.

Utilizzo di una policy di esportazione NetFlow in un dominio VMM utilizzando la GUI

La seguente procedura utilizza una policy di esportazione NetFlow in un dominio VMM utilizzando la GUI.

Procedura

  • Passo 1 Nella barra dei menu, scegli Rete virtuale > Inventario.
  • Passo 2 Nel riquadro di navigazione, espandere la cartella VMMDomains, fare clic con il pulsante destro del mouse su VMware e scegliere Crea dominio centro.
  • Passo 3 Nella finestra di dialogo Crea dominio vCenter, compila i campi come richiesto, ad eccezione di quanto specificato:
    • a) Nell'elenco a discesa Politica di esportazione NetFlow, scegli la politica di esportazione desiderata o creane una nuova.
    • b) Nel campo Timeout flusso attivo, immettere il timeout del flusso attivo desiderato, in secondi. Il parametro Active Flow Timeout specifica il ritardo che NetFlow attende dopo l'avvio del flusso attivo, dopo il quale NetFlow invia i dati raccolti. L'intervallo va da 60 a 3600. Il valore predefinito è 60.
    • c) Nel campo Timeout flusso inattivo, immettere il timeout del flusso inattivo desiderato, in secondi. Il parametro Idle Flow Timeout specifica il ritardo che NetFlow attende dopo l'avvio del flusso inattivo, dopo il quale NetFlow invia i dati raccolti. L'intervallo è compreso tra 10 e 300. Il valore predefinito è 15.
    • d) (Solo VDS) Nel Sampling Rate, inserisci i messaggi desideratiamptasso di ling. L'SampIl parametro ling Rate specifica quanti pacchetti NetFlow scarterà dopo ogni pacchetto raccolto. Se si specifica un valore pari a 0, NetFlow non rilascia alcun pacchetto. L'intervallo è compreso tra 0 e 1000. Il valore predefinito è 0.
  • Passo 4 Fare clic su Invia.

Abilitazione di NetFlow su un gruppo di endpoint all'associazione del dominio VMM utilizzando la GUI

La procedura seguente abilita NetFlow su un gruppo di endpoint per l'associazione al dominio VMM.
Prima di iniziare
È necessario aver configurato quanto segue:

  • Un professionista dell'applicazionefile
  • Un gruppo di endpoint dell'applicazione

Procedura

  • Fare un passo 1 Nella barra dei menu scegliere Tenant > Tutti i tenant.
  • Fare un passo 2 Nel riquadro Lavoro, fare doppio clic sul nome del tenant.
  • Fare un passo 3 Nel riquadro di spostamento sinistro espandere nome_tenant > Applicazione Profiles > application_profile_nome > EPG dell'applicazione > nome_EPG_applicazione
  • Fare un passo 4 Fare clic con il pulsante destro del mouse su Domini (VM e bare metal) e scegliere Aggiungi associazione dominio VMM.
  • Fare un passo 5 Nella finestra di dialogo Aggiungi associazione dominio VMM compilare i campi come richiesto; tuttavia, nell'area NetFlow, seleziona Abilita.
  • Fare un passo 6 Fare clic su Invia.

Risoluzione dei problemi di connettività VMM

La procedura seguente risolve i problemi di connettività VMM:

Procedura

Documenti / Risorse

Rete di macchine virtuali CISCO ACI [pdf] Guida utente
Rete di macchine virtuali ACI, ACI, Rete di macchine virtuali, Rete di macchine, Rete

Riferimenti

Lascia un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *