Cisco ACI – Kiến trúc Spine-Leaf và Quản lý Chính sách Tập trung


Cisco Application Centric Infrastructure (ACI) là kiến trúc trung tâm dữ liệu ảo hóa của Cisco, được xây dựng trên Fabric phần cứng dạng Spine-Leaf và điều khiển qua một bộ quản lý chính sách tập trung gọi là APIC (Application Policy Infrastructure Controller). 1. Cấu trúc Spine-Leaf trong ACI

• Mỗi switch trong Fabric sẽ đóng vai trò Spine hoặc Leaf.
• Spine chỉ kết nối với Leaf, và Leaf chỉ kết nối với Spine – không có chuyện Spine-Spine hoặc Leaf-Leaf trực tiếp (trừ vài trường hợp đặc biệt).
• Endpoint (máy chủ, VM, thiết bị) chỉ kết nối vào Leaf, không bao giờ kết nối trực tiếp vào Spine.

Điểm hay của ACI là không phân biệt workload ảo hay vật lý, kết nối trực tiếp hay qua switch ngoài. Quyết định chuyển tiếp luôn dựa vào chính sách từ APIC và danh tính endpoint. 2. Mô hình chính sách trong ACI


Chính sách được định nghĩa qua 3 thành phần:

• ANP (Application Network Profile) – Hồ sơ mạng ứng dụng.
• EPG (Endpoint Group) – Nhóm endpoint có cùng chính sách.
• Contract – Hợp đồng bảo mật, định nghĩa lưu lượng nào được phép qua lại.

Nguyên tắc:

• Endpoint trong cùng một EPG: mặc định giao tiếp được với nhau.
• EPG khác nhau: chỉ giao tiếp nếu có Contract cho phép.
• Một ANP có thể chứa nhiều EPG và Contract tương ứng.

3. Tích hợp với Cisco CloudCenter


Cisco ACI có thể kết nối với Cisco CloudCenter qua API phía Bắc (Northbound API). Khi triển khai ứng dụng từ CloudCenter:

• Hồ sơ ứng dụng → thành ANP trong ACI.
• Tầng ứng dụng → thành EPG.
• Hồ sơ bảo mật → thành Contract.

Điều này giúp tự động hóa micro-segmentation và triển khai bảo mật nhất quán.

---

Câu hỏi ôn tập nhanh:


Hai cấu trúc liên kết hợp lệ trong Cisco ACI là:

• ✅ Nút Spine chỉ kết nối với Nút Leaf
• ✅ Nút Leaf chỉ kết nối với Nút Spine

​