Tweet
các khối chức năng của aci fabric policy
CÁC KHỐI CHỨC NĂNG CỦA ACI FABRIC POLICY
Các tenant là các đối tượng mức cao nhất có thể nhận dạng và tách biệt giữa các chức năng quản trị, các chính sách về ứng dụng và các miền chứa các sự cố. Một tenant có thể đại diện cho một khách hàng trong một môi trường của nhà cung cấp dịch vụ hay đại diện cho một tổ chức trong một môi trường doanh nghiệp. Một tenant có thể là một nhóm của các đối tượng và các chính sách. Một đối tượng mức con của tenant có thể được chia vào hai phân nhóm: tenant networking và tenant policy. Hình bên dưới mô tả một giao diện đồ họa của một tenant được sắp xếp như thế nào và các thành phần chính.
Đối tượng tenant networking object cung cấp các kết nối lớp 2 và lớp 3 giữa các đầu cuối endpoint và bao gồm các cấu trúc như sau: VRF, các bridge domain, các mạng con và các mạng bên ngoài. Hình bên dưới mô tả các chi tiết các tenant networking được sắp xếp như thế nào.
Các phiên bản VRF còn được gọi là ngữ cảnh (context) và các mạng riêng (private networks) là các bảng định tuyến ảo, tách biệt. Một phiên bản VRF định nghĩa một miền địa chỉ L3. Một tenant có thể chứa một hoặc nhiều các phiên bản VRF. Các phiên bản VRF tồn tại trên bất kỳ leaf switch nào mà có các host gán vào VRF instance. Bất kỳ đầu cuối nào bên trong một L3 domain phải có các địa chỉ IP duy nhất bởi vì các lưu lượng có thể chảy giữa các thiết bị này nếu cho phép bởi các chính sách. Các bridge domain tượng trưng cho các miền L2 bên trong fabric và định nghĩa duy nhất một không gian địa chỉ MAC và miền broadcast domain, unknown unicast và multicast.
Mỗi bridge domain kết hợp với một hoặc nhiều phiên bản VRF nhưng một phiên bản VRF có thể kết hợp với nhiều bridge domain. Các bridge domain có thể chứa nhiều địa chỉ subnets, đây là điểm khác biệt với VLAN truyền thống. Trong VLAN truyền thống, một VLAN thường kết hợp chỉ với một subnets. Các mạng con subnets thường là các mạng lớp 3 cung cấp địa chỉ IP và các dịch vụ lớp 3 cho các đầu cuối để có thể kết nối vào mạng. Mỗi subnet thì kết hợp với chỉ một bridge domain.
Các mạng con subnets có thể là
Các mạng bridged network bên ngoài khi kết nối vào ACI cho các mạng L2/STP. Điều này cần thiết như là một phần của quá trình chuyển đổi từ mạng truyền thống sang mạng ACI. Các mạng routed bên ngoài tạo ra các kết nối L3 với một mạng bên ngoài của ACI fabric. Các kết nối L3 có thể được cấu hình bằng cách dùng định tuyến tĩnh hoặc các routing protocol như BGP, OSPF và EIGRP. Các đối tượng chính sách của tenant policy tập trung vào các chính sách và các dịch vụ mà các đầu cuối sẽ tiếp nhận. Các chính sách tenant bao gồm các hồ sơ về các ứng dụng, các nhóm thiết bị đầu cuối, các hợp đồng contracts và các filter.
Hình bên dưới mô tả các đối tượng chính sách, các hồ sơ ứng dụng và các EPG được sắp xếp trong các miền bridge domain.
Một hồ sơ cho một ứng dụng (application profile) sẽ định nghĩa các chính sách, các dịch vụ và các mối quan hệ giữa các EPG. Một application profile sẽ bao gồm một hoặc nhiều EPG. Các ứng dụng thường chứa nhiều thành phần, chẳng hạn như các giao tiếp web front-end, một tầng ứng dụng application layer và một hoặc nhiều các cơ sở dữ liệu database ở backend. Các application profile chứa nhiều EPG nếu cần thiết và các EPG này liên quan đến cung cấp khả năng cho ứng dụng.
EPG là đối tượng quan trọng nhất trong mô hình chính sách. Một EPG là một tập hợp của các đầu cuối có chung các yêu cầu về chính sách, chẳng hạn như bảo mật, khả năng luân chuyển của các máy ảo VM, chất lượng dịch vụ QoS hoặc các dịch vụ từ L4 đến L7. Trong ACI fabric, mỗi đầu cuối endpoint có một tên được mô tả bằng địa chỉ, vị trí hoặc thuộc tính. Các đầu cuối có thể là máy ảo hoặc máy vật lý. Các ví dụ của các đầu cuối là các máy chủ servers, các máy ảo VM, các máy clients trên Internet và các thiết bị lưu trữ mạng NAS. Thay vì cấu hình và quản lý các đầu cuối riêng lẻ, bạn có thể đặt nó trong các EPG và quản lý nó theo nhóm. Các chính sách áp dụng vào từng nhóm EPG và không bao giờ áp vào các đầu cuối riêng lẻ. Mỗi EPG có thể chỉ liên quan đến một bridge domain hoặc broadcast domain.
Các hợp đồng (contract) sẽ định nghĩa các chính sách và các dịch vụ áp dụng vào từng EPG. Các hợp đồng có thể được dùng để điều hướng các dịch vụ đến các thiết bị L4 và L7, gán các giá trị QoS và điều khiển các dòng lưu lượng giữa các EPG. EPG có thể chỉ giao tiếp với các EPG khác dựa trên các luật của hợp đồng. Các hợp đồng chỉ ra các giao thức và các cổng cho phép trên EPG. Nếu không có hợp đồng, các giao tiếp giữa các EPG mặc định bị cấm. Đối với các truyền thông bên trong một EPG, không cần contract nào vì lưu lượng này là cho phép một cách mặc định. Mối quan hệ giữa EPG và contract có thể là consumer và provider. EPG provider đưa ra các contract mà consumer phải tuân theo. Khi một EPG sử dụng một contract, các đầu cuối bên trong EPG có thể khởi tạo các giao tiếp với bất kỳ đầu cuối nào từ EPG provider. Hình bên dưới mô tả mối quan hệ giữa cung EPG cung và cầu.
Các bộ lọc là các đối tượng để định nghĩa các giao thức và các cổng sử dụng trong contracts. Các đối tượng lọc filter object có thể chứa nhiều giao thức và nhiều cổng và contract có thể sử dụng nhiều bộ lọc.
Các tenant là các đối tượng mức cao nhất có thể nhận dạng và tách biệt giữa các chức năng quản trị, các chính sách về ứng dụng và các miền chứa các sự cố. Một tenant có thể đại diện cho một khách hàng trong một môi trường của nhà cung cấp dịch vụ hay đại diện cho một tổ chức trong một môi trường doanh nghiệp. Một tenant có thể là một nhóm của các đối tượng và các chính sách. Một đối tượng mức con của tenant có thể được chia vào hai phân nhóm: tenant networking và tenant policy. Hình bên dưới mô tả một giao diện đồ họa của một tenant được sắp xếp như thế nào và các thành phần chính.
Đối tượng tenant networking object cung cấp các kết nối lớp 2 và lớp 3 giữa các đầu cuối endpoint và bao gồm các cấu trúc như sau: VRF, các bridge domain, các mạng con và các mạng bên ngoài. Hình bên dưới mô tả các chi tiết các tenant networking được sắp xếp như thế nào.
Các phiên bản VRF còn được gọi là ngữ cảnh (context) và các mạng riêng (private networks) là các bảng định tuyến ảo, tách biệt. Một phiên bản VRF định nghĩa một miền địa chỉ L3. Một tenant có thể chứa một hoặc nhiều các phiên bản VRF. Các phiên bản VRF tồn tại trên bất kỳ leaf switch nào mà có các host gán vào VRF instance. Bất kỳ đầu cuối nào bên trong một L3 domain phải có các địa chỉ IP duy nhất bởi vì các lưu lượng có thể chảy giữa các thiết bị này nếu cho phép bởi các chính sách. Các bridge domain tượng trưng cho các miền L2 bên trong fabric và định nghĩa duy nhất một không gian địa chỉ MAC và miền broadcast domain, unknown unicast và multicast.
Mỗi bridge domain kết hợp với một hoặc nhiều phiên bản VRF nhưng một phiên bản VRF có thể kết hợp với nhiều bridge domain. Các bridge domain có thể chứa nhiều địa chỉ subnets, đây là điểm khác biệt với VLAN truyền thống. Trong VLAN truyền thống, một VLAN thường kết hợp chỉ với một subnets. Các mạng con subnets thường là các mạng lớp 3 cung cấp địa chỉ IP và các dịch vụ lớp 3 cho các đầu cuối để có thể kết nối vào mạng. Mỗi subnet thì kết hợp với chỉ một bridge domain.
Các mạng con subnets có thể là
- Công cộng (public): mạng này có thể gửi ra bên ngoài một kết nối kiểu định tuyến.
- Riêng (private): mạng này giới hạn bên trong một người thuê hạ tầng tenant.
- Chia sẻ (shared): mạng này có thể chia sẻ và xuất hiện trong nhiều VRF. Các phiên bản trong cùng tenant hay xuyên suốt các tenant là một phần của các dịch vụ dùng chung.
Các mạng bridged network bên ngoài khi kết nối vào ACI cho các mạng L2/STP. Điều này cần thiết như là một phần của quá trình chuyển đổi từ mạng truyền thống sang mạng ACI. Các mạng routed bên ngoài tạo ra các kết nối L3 với một mạng bên ngoài của ACI fabric. Các kết nối L3 có thể được cấu hình bằng cách dùng định tuyến tĩnh hoặc các routing protocol như BGP, OSPF và EIGRP. Các đối tượng chính sách của tenant policy tập trung vào các chính sách và các dịch vụ mà các đầu cuối sẽ tiếp nhận. Các chính sách tenant bao gồm các hồ sơ về các ứng dụng, các nhóm thiết bị đầu cuối, các hợp đồng contracts và các filter.
Hình bên dưới mô tả các đối tượng chính sách, các hồ sơ ứng dụng và các EPG được sắp xếp trong các miền bridge domain.
Một hồ sơ cho một ứng dụng (application profile) sẽ định nghĩa các chính sách, các dịch vụ và các mối quan hệ giữa các EPG. Một application profile sẽ bao gồm một hoặc nhiều EPG. Các ứng dụng thường chứa nhiều thành phần, chẳng hạn như các giao tiếp web front-end, một tầng ứng dụng application layer và một hoặc nhiều các cơ sở dữ liệu database ở backend. Các application profile chứa nhiều EPG nếu cần thiết và các EPG này liên quan đến cung cấp khả năng cho ứng dụng.
EPG là đối tượng quan trọng nhất trong mô hình chính sách. Một EPG là một tập hợp của các đầu cuối có chung các yêu cầu về chính sách, chẳng hạn như bảo mật, khả năng luân chuyển của các máy ảo VM, chất lượng dịch vụ QoS hoặc các dịch vụ từ L4 đến L7. Trong ACI fabric, mỗi đầu cuối endpoint có một tên được mô tả bằng địa chỉ, vị trí hoặc thuộc tính. Các đầu cuối có thể là máy ảo hoặc máy vật lý. Các ví dụ của các đầu cuối là các máy chủ servers, các máy ảo VM, các máy clients trên Internet và các thiết bị lưu trữ mạng NAS. Thay vì cấu hình và quản lý các đầu cuối riêng lẻ, bạn có thể đặt nó trong các EPG và quản lý nó theo nhóm. Các chính sách áp dụng vào từng nhóm EPG và không bao giờ áp vào các đầu cuối riêng lẻ. Mỗi EPG có thể chỉ liên quan đến một bridge domain hoặc broadcast domain.
Các hợp đồng (contract) sẽ định nghĩa các chính sách và các dịch vụ áp dụng vào từng EPG. Các hợp đồng có thể được dùng để điều hướng các dịch vụ đến các thiết bị L4 và L7, gán các giá trị QoS và điều khiển các dòng lưu lượng giữa các EPG. EPG có thể chỉ giao tiếp với các EPG khác dựa trên các luật của hợp đồng. Các hợp đồng chỉ ra các giao thức và các cổng cho phép trên EPG. Nếu không có hợp đồng, các giao tiếp giữa các EPG mặc định bị cấm. Đối với các truyền thông bên trong một EPG, không cần contract nào vì lưu lượng này là cho phép một cách mặc định. Mối quan hệ giữa EPG và contract có thể là consumer và provider. EPG provider đưa ra các contract mà consumer phải tuân theo. Khi một EPG sử dụng một contract, các đầu cuối bên trong EPG có thể khởi tạo các giao tiếp với bất kỳ đầu cuối nào từ EPG provider. Hình bên dưới mô tả mối quan hệ giữa cung EPG cung và cầu.
Các bộ lọc là các đối tượng để định nghĩa các giao thức và các cổng sử dụng trong contracts. Các đối tượng lọc filter object có thể chứa nhiều giao thức và nhiều cổng và contract có thể sử dụng nhiều bộ lọc.