Data Center Networking - Communauté Cisco - Cisco Community
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Communauté Cisco Data Center Networking Étendez facilement votre réseau Data Center dans le Cloud avec Cisco ACI Anywhere ! Julien Couturier Technical Solutions Architect – CCIE R&S # 21502 François Couderc Principal Architect – CCIE R&S # 3435 9 janvier 2020
Nouveautés et prochains événements © 2020 Cisco and/or its affiliates. All rights reserved reserved.
Community Helping Community La Communauté Cisco soutien le programme « Community Helping Community » pour collaborer avec l’organisation de Médecins Sans Frontières. Disponible jusqu’au vendredi 31 janvier 2020 Insert event banner Suivez le lien http://bit.ly/CHC-FRnov19 © 2020 Cisco and/or its affiliates. All rights reserved.
Évaluez le contenu de la Communauté Cisco Discussions, Documents, Blogs et Vidéos Aidez-nous à identifier les contenus de qualité et à reconnaître l’effort des membres de la Communauté Cisco en français. Identifiez les experts Repérez les solutions Apprenez à mieux utiliser la plateforme Suivez le lien et exploiter toutes ses ressources. http://bit.ly/PilotVideoFR © 2020 Cisco and/or its affiliates. All rights reserved.
Reconnaissance aux Top Contributeurs Devenez un Top Contributeur pour le mois de janvier ! La reconnaissance aux Top Contributeurs est conçue pour reconnaître et remercier ceux qui ont collaboré avec nous en fournissant des contenus techniques de qualité ainsi que les participants plus actifs qui ont permis à notre communauté de devenir un des Top sites pour les passionnés de la technologie de Cisco. Suivez le lien http://bit.ly/FRCC-SpotlightAwards © 2020 Cisco and/or its affiliates. All rights reserved.
Événement : Demandez-moi N’importe Quoi Data Center : Storage Networking, Nexus et DCRS Foire aux Questions jusqu’au vendredi 24 janvier avec Maxime Dessambre Événement exclusif pour clients et partenaires Insert event banner Suivez le lien http://bit.ly/DNQ-jan20 © 2020 Cisco and/or its affiliates. All rights reserved.
Événement : Community Live 11 février R&S : LAN et QoS avec Catalyst 9000, troubleshooting et automatisation Webcast en ligne Inscrivez-vous avec Alain Faure Événement public Insert event banner Suivez le lien http://bit.ly/WEB-FRfev20 © 2020 Cisco and/or its affiliates. All rights reserved.
Les experts de la Communauté Cisco Julien Couturier Technical Solutions Architect chez Cisco France CCIE R&S #21502 Présentateur © 2020 Cisco and/or its affiliates. All rights reserved.
Les experts de la Communauté Cisco François Couderc Principal Architect chez Cisco France CCIE R&S #3435 Q&R Question Manager © 2020 Cisco and/or its affiliates. All rights reserved.
Merci d'être avec nous aujourd’hui ! Téléchargez la présentation sur http://bit.ly/WEBsld-jan20 © 2020 Cisco and/or its affiliates. All rights reserved.
Participez avec nous et posez des questions La présentation comprendra aussi quelques questions du public. Nous vous invitons cordialement à participer activement aux questions que vous pourrez poser pendant cette séance sur le panneau à droite « Q&R ». Résolvez vos doutes et partagez votre opinion © 2020 Cisco and/or its affiliates. All rights reserved.
• Présentation des différentes architectures ACI Anywhere et de leurs cas d'usages • ACI Multi-Site Orchestrator, un Agenda point de pilotage centralisé pour le multi-cloud • Qu'est-ce que le cloud APIC ? • Démonstration : extension d'un réseau de data center vers AWS © 2020 Cisco and/or its affiliates. All rights reserved reserved.
Quels enjeux ? © 2020 Cisco and/or its affiliates. All rights reserved.
Cloud : Quels gains attendus par les entreprises ? Agilité Flexibilité TCO Réponses toujours plus Libre choix rapides aux demandes d’infrastructures en propre Modèle de des métiers ou dans le cloud afin consommation flexible d’aligner l’infrastructure Usage optimal des Amélioration de la avec les besoins ressources satisfaction et de la élastiques des applications rétention des clients Disponibilité et mobilité (internes ou externes) des applications et des données © 2020 Cisco and/or its affiliates. All rights reserved.
Adoption du Cloud public par les entreprises 94% 73% des workloads seront portés par des workloads seront des clouds publics ou privés en Une IT Hybride portés par des clouds 2021* publics en 2021* 92% 50% 36% des entreprises ont déjà des des entreprises ont déjà des de ces applications sont en mode workloads portés par des clouds application de production en place « cloud-native » hybrides dans des clouds publics (*) Source: Cisco Cloud Index © 2020 Cisco and/or its affiliates. All rights reserved.
Attentes et challenges liés au Cloud Hybride Attentes Challenges Complexité de la gestion des changements Connectivité automatisée et sécurisée de configuration entre infrastructure en propre et cloud Multiplicité des interfaces favorise les erreurs Modèles de sécurité hétérogènes et Politiques de sécurité cohérentes spécifiques aux domaines entre infrastructure en propre et cloud où les applications sont hébergées Traceroute Simplicité opérationnelle : interface unique Manque de visibilité et absence d’outils Alarms pour gérer les politiques Facilitant la résolution d’incidents de bout-en-bout de l’infrastructure en propre et du cloud Disparité des outils liés aux opérations courantes Wireshark Events © 2020 Cisco and/or its affiliates. All rights reserved.
ACI: un Réseau unifié pour toutes vos Applications • Un point unique de pilotage du réseau quel que soit le type de workload : physique, virtuel, basé sur des container ou des instances cloud • Des APIs REST ouvertes, documentées et facile à Modèle ACI consommer Un modèle unique capturant les besoins réseau Une fabric automatisée composée de et sécurité des applications et fournissant un Nexus 9000, reposant sur un design niveau d’abstraction par rapport à l’infrastructure Couche Spine éprouvé et respectant les meilleures permettant leur application à des réseau en Nex us 9000 pratiques Cisco, couvrant toutes les propre mais aussi à des clouds publics topologies de la salle unique au large déploiement multi-site. Couche Leaf Nex us 9000 Services L4-L7 WAN Extension transparente vers les principaux Interconnexion Interconnexion avec Support pour toute solution de serveurs physiques, Intégration avec tous les éditeurs de services L4- fournisseurs de cloud public WAN/MAN optimisée les réseaux existants virtuels, ou basée sur des containers L7, physiques ou virtuels • Intégration avec 65+ partenaires écosystème © 2020 Cisco and/or its affiliates. All rights reserved. • Politiques réseau et sécurité applicables à n’importe quel workload et sur n’importe quelle infrastructure
ACI Anywhere Edge / Remote Core Data Centers Multicloud Virtual ACI IP WAN ACI IP WAN Cloud ACI ACI Anywhere ACI ACI ACI ACI Virtual Cloud Single-POD Multi-POD Multi-Site Remote Leaf ACI ACI ACI 1.0 ACI 2.0 ACI 3.0 ACI 3.1 ACI 4.0 ACI 4.1 | ACI 4.2 © 2020 Cisco and/or its affiliates. All rights reserved.
Quelle est votre expérience avec ACI ? A. Connaissance solides (déjà manipulé ou déployé, vu plusieurs Sondage Q1 présentations, etc.) B. Quelques notions (documentation en ligne, présentations Cisco Live, etc.) C. Je découvre ! © 2020 Cisco and/or its affiliates. All rights reserved reserved.
ACI Multi-Site © 2020 Cisco and/or its affiliates. All rights reserved.
ACI Multi-Site Multi-Site Orchestrator (MSO) Rappels Cluster de 3 nœuds MSO actif-actif Réseau IP routé Site 1 Site 2 VXLAN data plane Spines -EX/FX requis Support de toutes MP-BGP EVPN les générations control plane de Leafs VM VM VM VM VM VM VM VM VM VM VM VM VM VM Region/Availability Zone A Region/Availability Zone B Scale Isolation des fautes Point unique de pilotage Jusqu’à 12 sites Actif/Actif Data Centers Actif/Passif pour Politiques de niveau 2, niveau 3 et Passerelle IP distribuée les cas d’usage liés aux de sécurité (VRF, EPG et BD) RTT © 2020 MSO-APIC doit Cisco and/or its affiliates. être All rights < 1s reserved. Plans de Reprise d’Activité (PRA) appliquées de bout-en-bout
ACI Multi-Site ACI étendu au Multi-Cloud Multi-Site Orchestrator VM VM VM VM VM VM VM VM VM Cloud Public Data Center Cloud Public Configuration et visibilité de Interconnexion automatisée Point unique d’orchestration: Le cAPIC permet de bout-en-bout à travers les des Data Centers ACI avec les clouds sont pilotés rendre le MSO clouds facilitant les les clouds publics comme un site ACI agnostique du type déploiements et migration Auto-détection du type de cloud connecté (DC/cloud) de chaque site Le cloud public est vu simplement comme un site ACI supplémentaire! © 2020 Cisco and/or its affiliates. All rights reserved.
Fondamentaux Réseau sur AWS/Azure © 2020 Cisco and/or its affiliates. All rights reserved.
Infrastructure Réseau et Service d’un Cloud Data Center traditionnel Cloud public (AWS) Firewall Security Groups (SG) Access Control Lists (ACLs) Sécurité Network ACLs (NACL) AAA Identity and Access Management (IAM) VRF, Switchs Virtual Private Cloud (VPC) Gateways (VGW,IGW,TGW) Routeurs Réseau Load Balancer Elastic Load Balancing (ELB) Serveurs physiques Amazon Machine Image (AMI) Machines Virtuelles (VM) Serveurs & Amazon EC2 Instances Containers Virtualisation Elastic Container Service (EKS) SAN Elastic Block Store (EBS) NAS Stockage & BDD Elastic File System (EFS) NFS S3 © 2020 Cisco and/or its affiliates. All rights reserved.
Fondamentaux AWS • Région / Region – Ensemble de data centers répartis sur Region plusieurs sites géographiques → Équivalent à un site ACI. • Zone de Disponibilité / Availability Zone (AZ) – Ensemble CIDR/ de bâtiments, capacité électrique, connectivité Internet, etc. subnet Availability Zone 1 Availability Zone 2 Semblable à un data center mais peut être réparti sur plusieurs site physiques → Équivalent à un pod ACI. • Cloud Privé Virtuel / Virtual Private Cloud (VPC) – Ensemble ACI de sous-réseaux rattachés à un ou plusieurs bloc CIDR, Site configuré dans une région et distribué sur plusieurs zones VRF de disponibilité → Équivalent à une VRF ACI. BD • Sous-réseau / Subnet – intervalle d’adresses IP. Chaque subnet Pod1 Pod2 sous-réseau réside dans une unique zone de disponibilité. La taille minimum d’un sous-réseau est un /28 → Équivalent au sous-réseau d’un BD ACI. © 2020 Cisco and/or its affiliates. All rights reserved.
Fondamentaux AWS (suite) Route table Router Route table Netw ork ACL Netw ork ACL • Groupe de Sécurité / Security Group (SG) – joue le rôle de pare-feu (stateful) pour les instances EC2 (VM) qui lui sont Security Group Security Security associées, contrôlant le trafic entrant/sortant au niveau de Group Group l’interface réseau (endpoint) → Équivalent à un EPG ACI • Règle de Groupe de Sécurité / Security Group Rule – Règle Subnet 1 Subnet 2 appliquée au trafic entrant (inbound) ou sortant (outbound) du groupe de sécurité → Équivalent à un Contrat + Filtres ACI. VRF L3out • Liste de Contrôle d’Accès Réseau / Network ACL – Utilisée pour refuser/autoriser (stateless) le trafic reçu au niveau d’un Routes PSVI Routes sous-réseau → Équivalent à un contrat taboo ou à un contrat avec directive de suppression ACI. Taboo Taboo • Table de Routage / Route Table – Peut être associée à plusieurs EPG sous-réseaux Équivalent à une règle de PBR basée sur la EPG EPG source ACI. © 2020 Cisco and/or its affiliates. All rights reserved. BD Subnet 1 BD Subnet 2
Pour info et référence Équivalences modèle ACI / modèle AWS Compte utilisateur Tenant Cloud Privé Virtuel VRF Sous-réseau de VPC Sous-réseau de BD Tag / Label Association EP → EPG Security Group EPG ACL réseau Contrat Taboo Règle de groupe de sécurité Contrat + Filtres Règle sortante Contrat consommé Source/Destination: Sous-réseau ou IP ou ‘Any’ ou ‘Internet’ Protocole Port Règle entrante Contrat fourni Instance EC2 Carte réseau Endpoint © 2020 Cisco and/or its affiliates. All rights reserved.
Pour info et référence Équivalences modèle ACI / modèle Azure Groupe de Ressource Tenant Réseau Virtuel VRF Sous-réseau Sous-réseau de BD Groupe de Sécurité Applicative EPG (ASG) Groupe de Sécurité Réseau (NSG) Filtres Règle sortante Contrat consommé Source/Destination: ASG ou sous-réseau ou IP ou ‘Any’ ou ‘Internet’ Protocole Port Règle entrante Contrat fourni Machine Virtuelle Carte réseau Endpoint © 2020 Cisco and/or its affiliates. All rights reserved.
Extension ACI au Cloud Public Multi-Site Orchestrator On-Premise Public Cloud IP SG W eb SG Rule SG APP SG Rule SG DB EPG Contract EPG Contract EPG Network W eb APP DB AWS Region IP Network ASG ASG ASG NSG NSG W eb APP DB VM VM VM Azure Region © 2020 Cisco and/or its affiliates. All rights reserved.
Cloud APIC © 2020 Cisco and/or its affiliates. All rights reserved.
Architecture du Cloud APIC (cAPIC) • Disponible dans les Marketplace AWS/Azure • Déploiement automatique via template (CloudFormation pour AWS) Web Server (NGINX) • Automatise et gère l’interconnexion avec le data center en propre (IPSec, MP-BGP EVPN, VXLAN) et le cycle de vie Policy Distributor (PD) des routeurs cloud CSR1000v • Traducteur entre les APIs ACI et les APIs cloud-native Policy Manager (PM) AWS/Azure/autre, permettant au MSO de rester agnostique Cloud Policy Cloud Policy au type de cloud sous-jacent Element Element • Architecture modulaire, rendant le cAPIC facilement ….…. adaptable à de nouveaux fournisseurs de Cloud Connector Connector • Déploie les ressources cloud et composantes de l’Infra API (AWS, Azure...) NetConf (CSR1000v) • Gère une ou plusieurs régions (jusqu’à 4 actuellement) • GUI intuitive et API RESTful © 2020 Cisco and/or its affiliates. All rights reserved.
Quelle composante logicielle de la solution ACI Anywhere permet de déployer un modèle de politiques réseau et sécurité cohérentes à travers différents Sondage Q2 site physiques et clouds publics ? A. Multisite Orchestrator B. APIC C. DNA Center © 2020 Cisco and/or its affiliates. All rights reserved reserved.
Infrastructure Cloud © 2020 Cisco and/or its affiliates. All rights reserved.
Connexion au Cloud Public à travers Internet Multisite On-Premise Orchestrator Public Cloud Site A Site B User AZ -2 VGW VPC-1 2 x CSR1Kv Internet AWS Instances Customer AWS Premise Internet Routers Gateway AZ -1 User Infra VPC VGW VPC-2 VM VM VM AWS Instances AWS Region © 2020 Cisco and/or its affiliates. All rights reserved.
Connexion au Cloud Public à travers Internet Multisite On-Premise Orchestrator Public Cloud Site A Site B User AZ -2 VGW VPC-1 IPSec VPN Tunnels (underlay data plane) 2 x CSR1Kv Internet AWS Instances Customer AWS Premise Internet Routers Gateway AZ -1 User Infra VPC VGW VPC-2 VM VM VM AWS Instances AWS Region 1. Data plane underlay : des tunnels IPSec sont montés entre les routeurs du client côté DC et les CSR1Kv d’infra cloud © 2020 Cisco and/or its affiliates. All rights reserved.
Connexion au Cloud Public à travers Internet Multisite On-Premise Orchestrator Public Cloud Site A Site B User AZ -2 VGW VPC-1 O SPF area 0 (underlay control plane)IPSec VPN Tunnels (underlay data plane) 2 x CSR1Kv Internet AWS Instances Customer AWS Premise Internet Routers Gateway AZ -1 User Infra VPC VGW VPC-2 VM VM VM AWS Instances AWS Region 1. Data plane underlay : des tunnels IPSec sont montés entre les routeurs du client côté DC et les CSR1Kv d’infra cloud 2. Control plane underlay : des adjacences OSPF sont établies entre les Spines ACI et routeurs du client côté DC, et entre les routeurs du client côté DC et les CSR1Kv d’infra cloud à travers les tunnels IPSec © 2020 Cisco and/or its affiliates. All rights reserved.
Connexion au Cloud public à travers Internet Multisite On-Premise Orchestrator Public Cloud Site A Site B User MP-BGP EVPN peerings (overlay control plane) AZ -2 VGW VPC-1 O SPF area 0 (underlay control plane)IPSec VPN Tunnels (underlay data plane) 2 x CSR1Kv Internet AWS Instances Customer AWS Premise Internet Routers Gateway AZ -1 User Infra VPC VGW VPC-2 VM VM VM AWS Instances AWS Region 1. Data plane underlay : des tunnels IPSec sont montés entre les routeurs du client côté DC et les CSR1Kv d’infra cloud 2. Control plane underlay : des adjacences OSPF sont établies entre les Spines ACI et routeurs du client côté DC, et entre les routeurs du client côté DC et les CSR1Kv d’infra cloud à travers les tunnels IPSec 3. Control plane overlay : des sessions MP-BGP EVPN sont établies entre les Spines ACI et les CSR1Kv d’infra cloud © 2020 Cisco and/or its affiliates. All rights reserved.
Connexion au Cloud public à travers Internet Multisite On-Premise Orchestrator Public Cloud Site A Site B User MP-BGP EVPN peerings (overlay control plane) AZ -2 VGW VPC-1 O SPF area 0 (underlay control plane)IPSec VPN Tunnels (underlay data plane) 2 x CSR1Kv Internet AWS Instances Customer AWS Premise VXLAN Internet tunnels (overlay data plane) Gateway Routers AZ -1 User Infra VPC VGW VPC-2 VM VM VM AWS Instances AWS Region 1. Data plane underlay : des tunnels IPSec sont montés entre les routeurs du client côté DC et les CSR1Kv d’infra cloud 2. Control plane underlay : des adjacences OSPF sont établies entre les Spines ACI et routeurs du client côté DC, et entre les routeurs du client côté DC et les CSR1Kv d’infra cloud à travers les tunnels IPSec 3. Control plane overlay : des sessions MP-BGP EVPN sont établies entre les Spines ACI et les CSR1Kv d’infra cloud 4. © 2020 DataCiscoplane and/or its overlay : des affiliates. All rights tunnels VXLAN sont montés entre la Fabric ACI et les CSR1Kv d’infra cloud reserved.
Connexion au Cloud public avec Direct Connect Multisite On-Premise Orchestrator Public Cloud Site A Site B User AZ -2 VGW VPC-1 2 x CSR1Kv AWS Instances Customer AWS Premise Customer AWS Direct DGW/VGW Routers Router Connect AZ -1 (colo) Router User Infra VPC VGW VPC-2 VM VM VM AWS Instances AWS Region © 2020 Cisco and/or its affiliates. All rights reserved.
Connexion au Cloud public avec Direct Connect Multisite On-Premise Orchestrator Public Cloud Site A Site B User AZ -2 VGW VPC-1 Direct Connect (underlay data plane) + BGP (underlay control plane) 2 x CSR1Kv AWS Instances Customer AWS Premise Customer AWS Direct DGW/VGW Routers Router Connect AZ -1 (colo) Router User Infra VPC VGW VPC-2 VM VM VM AWS Instances AWS Region 1. Data plane / control plane underlay : Direct Connect AWS / Express Route Azure avec sessions BGP entre les Spines ou Border Leafs ACI et les CSR1Kv d’infra cloud • Automatisation complète du déploiement de l’interconnexion à travers Direct Connect/Express Route en roadmap © 2020 Cisco and/or its affiliates. All rights reserved.
Connexion au Cloud public avec Direct Connect Multisite On-Premise Orchestrator Public Cloud Site A Site B User MP-BGP EVPN peerings (overlay control plane) AZ -2 VGW VPC-1 Direct Connect (underlay data plane) + BGP (underlay control plane) 2 x CSR1Kv AWS Instances Customer AWS Premise Customer AWS Direct DGW/VGW Routers Router Connect AZ -1 (colo) Router User Infra VPC VGW VPC-2 VM VM VM AWS Instances AWS Region 1. Data plane / control plane underlay : Direct Connect AWS / Express Route Azure avec sessions BGP entre les Spines ou Border Leafs ACI et les CSR1Kv d’infra cloud • Automatisation complète du déploiement de l’interconnexion à travers Direct Connect/Express Route en roadmap 2. Control plane overlay : des sessions MP-BGP EVPN sont établies entre les Spines ACI et les CSR1Kv d’infra cloud © 2020 Cisco and/or its affiliates. All rights reserved.
Connexion au Cloud public avec Direct Connect Multisite On-Premise Orchestrator Public Cloud Site A Site B User MP-BGP EVPN peerings (overlay control plane) AZ -2 VGW VPC-1 Direct Connect (underlay data plane) + BGP (underlay control plane) 2 x CSR1Kv VXLAN tunnels (overlay data plane) AWS Instances Customer AWS Premise Customer AWS Direct DGW/VGW Routers Router Connect AZ -1 (colo) Router User Infra VPC VGW VPC-2 VM VM VM AWS Instances AWS Region 1. Data plane / control plane underlay : Direct Connect AWS / Express Route Azure avec sessions BGP entre les Spines ou Border Leafs ACI et les CSR1Kv d’infra cloud • Automatisation complète du déploiement de l’interconnexion à travers Direct Connect/Express Route en roadmap 2. Control plane overlay : des sessions MP-BGP EVPN sont établies entre les Spines ACI et les CSR1Kv d’infra cloud 3. Data © 2020 Ciscoplane overlay and/or its affiliates. : des All rights tunnels VXLAN sont montés entre la Fabric ACI et les CSR1Kv d’infra cloud reserved.
VPC Infra • Le VPC Infra est utilisé comme VPC de transit pour interconnecter les différents VPC Utilisateurs (de la même région ou de Multisite Orchestrator différentes régions) entre eux ou avec le ACI DC Datacenter de l’entreprise On-Premises Public Cloud • 2 tunnels IPSec sont montés entre la VGW du Region VPC Utilisateur et les CSR du VPC Infra. Un Infra VPC tunnel est préféré (BPG MED forcé à 100 sur un chemin, 200 sur l’autre – non modifiable) AZ -1 AZ -2 C S R1kv C S R1kv • Des sessions BGP sont établies entre la VGW et les CSR IPSe c Tunnels VM VM VM • Il est recommandé de dédier un compte AWS pour le VPC Infra (∼ admin Fabric avec ACI) VGW VGW • L’intégration avec Transit Gateway AWS et VNET peering Azure est en roadmap User VPC 1 User VPC 2 • Le VPC/VNET Infra ne sera alors utilisé que pour les flux vers le Data Center d’entreprise • Fournira de meilleures performances de © 2020 Cisco and/or its affiliates. All rights reserved. transfert des flux entre les VPC/VNET
VPC Utilisateur Multisite Orchestrator • Le VPC Utilisateur est créé par le cAPIC ACI DC • Les politiques réseau/sécurité sont On-Premises Public Cloud configurées sur le cAPIC situé dans le VPC Infra mais elles sont appliquées au niveau du Region VPC Utilisateur Infra VPC • Lors du démarrage d’une nouvelle instance, AZ -1 C S R1kv AZ -2 C S R1kv AWS Config Service le notifie au cAPIC • Le cAPIC créé alors une entrée pour ce nouvel VM VM VM IPSe c Tunnels Endpoint • Un groupe de sécurité lié à la configuration VGW VGW (EPGs, contrats) est attaché à l’instance A W S config s er vices • Les sous-réseaux IP ne doivent pas se User VPC 1 User VPC 2 chevaucher au sein d’un VPC (∽ VRF in ACI) © 2020 Cisco and/or its affiliates. All rights reserved.
Attendez, ça parait un peu complexe… Garder en tête que 80% de ce qui a été vu est configuré automatiquement ! • On lance un cAPIC depuis le template • On accoste la Fabric physique avec les routeurs IPN (configuration multi-site habituelle) • MSO et cAPIC s’occupent ensuite de la plupart des aspects de la configuration • On fournit les quelques paramètres principaux • MSO génère automatiquement la configuration IPSec à copier/coller dans les CSR1000v • Toute la configuration AWS/Azure (Gateways, IPSec, routage, groupes de sécurité, etc.) est automatisée à travers l’abstraction que présente le cAPIC ! © 2020 Cisco and/or its affiliates. All rights reserved.
Cloud ACI: composantes de licence à souscrire Cloud APIC Multi Site Orchestrator CSR1000V (AWS/Azure) Licences Leaf ACI (AWS/Azure) Licences cAPIC Licences Fabric DC Licences CSR1KV (basées sur le (basées sur le (basées sur la bande nombre de VMs) nombre de Leafs ACI) passante) ACI-CAPIC-ES ACI-MSITE-VAPPL= L-CSR-1G-AX-3S= Licences Advantage L-CSR-2.5G-AX-3S= ACI-CAPIC-AD pour les Leafs ACI • La licence cAPIC Essential est valable pour un seul cloud public. La licence cAPIC Advantage est requise pour un déploiement sur plusieurs clouds. • La licence du cAPIC est basée sur le nombre de VMs allumées dans les VPC Utilisateurs gérés par le cAPIC. • Les licences cAPIC peuvent être distribuées sur plusieurs clouds. © 2020 Cisco and/or its affiliates. All rights reserved.
Cloud EPG et principes de communications entre les EPG © 2020 Cisco and/or its affiliates. All rights reserved.
Cloud EPG : un EPG adapté aux spécificité du Cloud Cloud EPG • Ensemble de NIC partageant les mêmes politiques de sécurité au sein d’un cloud • Peut être étendu entre régions. Réside dans une VRF Cloud Ext EPG • Ensemble de sous-réseaux représentant les réseaux extérieurs au cloud Cloud Endpoint Classification • Ensemble de règles appliquées aux instances cloud • Lorsqu’il y a correspondance, le endpoint (NIC) est assigné au Cloud EPG (groupe de sécurité) • Un endpoint peut appartenir à plusieurs Cloud EPGs (différence notable avec une fabric ACI) • 4 critères permettent l’assignation des endpoints dans les Cloud EPG : • Prédéfinis : Adresse IP/sous-réseau, Région, Zone de disponibilité • Custom : Tags • Opérateurs de classification disponibles Condition Clé(s) + Opérateur(s) + Valeur(s) Custom:department == Engineering, Region In (us-west-1, Expression us-east-1), custom:Role NotIn (Management, ITStaff) © 2020 Cisco and/or its affiliates. All rights reserved.
Instances au sein d’un VPC AWS Region Infra VPC AZ-1 AZ-2 • La communication entre des instances appartenant au CSR1000V CSR1000V même VPC est établie IPSec Tunnels directement au sein du VPC sous réserve que la User VPC-1 VGW User VPC-1 VGW configuration des groupes de AZ-1 AZ-2 AZ-1 AZ-2 sécurité respectifs ait été réalisée par le cAPIC. Instance-1 Instance-2 Instance-3 Instance-4 EPG-1 EPG-1 EPG-2 EPG-3 SG-1 SG-1 SG-2 SG-3 F lux intra-EPG F lux inter-EPG © 2020 Cisco and/or its affiliates. All rights reserved.
Instances entre des VPC AWS Region Infra VPC AZ-2 • Pour des instances situées AZ-1 dans 2 VPC différents, si la CSR1000V CSR1000V politique de sécurité autorise la communication, les flux IPSec Tunnels doivent sortir du VPC via la User VPC-1 VGW User VPC-1 VGW VGW afin de joindre les CSR AZ-1 AZ-2 AZ-1 AZ-2 du VPC Infra. • Les CSR redirigent les flux vers la destination en fonction de leur table de Instance-1 Instance-2 Instance-3 Instance-4 EPG-1 EPG-1 EPG-2 EPG-3 routage. SG-1 SG-1 SG-2 SG-3 © 2020 Cisco and/or its affiliates. All rights reserved.
D’une instance dans un VPC vers le Data Center Multi-Site Orchestrator On-Premise Public Cloud Site A Site B • Pour une communication entre une instance cloud et Reg ion 1 un endpoint situé dans le Infra VPC VXLAN TUNNEL A Z-1 Datacenter, si la politique de (DATA PLANE) sécurité autorise la BGP EVPN A Z-2 communication, les flux Control Plane doivent sortir du VPC via la VGW afin de joindre les CSR IPSe c Tunnels du VPC Infra. User VPC-1 VGW User VPC-1 VGW • Les flux sont encapsulés en VM AZ-1 AZ-1 VXLAN à destination des Spines ACI du Datacenter. EPG-4 • Les Spines routent le trafic Instance-1 Instance-2 Instance-3 Instance-4 EPG-1 EPG-1 EPG-2 EPG-3 vers le Leaf portant le endpoint. SG-1 SG-1 SG-2 SG-3 © 2020 Cisco and/or its affiliates. All rights reserved.
Cas d’usage © 2020 Cisco and/or its affiliates. All rights reserved.
Application étendue Multisite Orchestrator On-Premises Public Cloud • Tenant/VRF étendu entre le Datacenter de l'entreprise et le cloud. APIC Cloud APIC • Permet de déployer facilement des tiers Tenant applicatifs et d'ajouter des ressources dans le cloud en fonction des besoins. VRF • Politique de segmentation cohérente au BD1/Subnet 1 CIDR1/Subnet 3 sein d’un site et entre les sites, qu’ils soient Web-EPG1 Web-EPG2 physique ou cloud. • Adapté à des scénarios de bascule https https applicative en cas de panne (redondance Active/Active entre les sites ou Plan de Reprise d’Activité). App-EPG1 App-EPG2 BD2/Subnet2 CIDR1/Subnet4 © 2020 Cisco and/or its affiliates. All rights reserved.
EPG étendu avec conservation de la segmentation Multisite Orchestrator On-Premises Public Cloud • Les tiers applicatifs sont étendus entre le site physique et le cloud. APIC Cloud APIC • La définition et l’application de politiques de Tenant sécurité est assurée de façon cohérente entre les sites, indépendamment de leur VRF emplacement. BD1/Subnet 1 CIDR1/Subnet 3 • Extension EPG ≠ extension du domaine de Web-EPG broadcast ! • Les fournisseurs de cloud ne supportent pas le broadcast/multicast et ne rencontrent https jamais des cas de flux unicast inconnus. • Etendre le niveau 2 n'a pas de sens lorsqu’une application est re-plateformée. App-EPG • La mobilité IP est possible et des solutions BD2/Subnet2 CIDR1/Subnet4 existent (LISP) mais sont peu utilisées. © 2020 Cisco and/or its affiliates. All rights reserved.
Services partagé pour le Cloud Hybride Multisite Orchestrator On-Premises Public Cloud • Un service partagé déployé sur un site peut être APIC Cloud APIC consommé par des endpoints situés dans Tenant 1 Route Tenant 2 Tenant 3 d’autres sites. Leaking VRF2 VRF3 • Le contrat entrainera VRF1 CIDR1/Subnet2 CIDR2/Subnet4 automatiquement la dns Web-EPG Web-EPG redistribution des routes entre les VRFs afin d’établir la connectivité IP. https https, redis DNS-EPG BD1/Subnet1 App-EPG App-EPG CIDR1/Subnet3 CIDR2/Subnet5 © 2020 Cisco and/or its affiliates. All rights reserved.
L3outs dans le Cloud et dans la Fabric Multisite Orchestrator ACI DC L3out L3out On-Premises Public Cloud IGW IGW Infra VPC AZ -1 AZ -2 C S R1kv C S R1kv User VPC User VPC VM VM VM AZ -1 VGW AZ -2 VGW Region-1 • Sortie Internet (L3out) locale au cloud via les Internet Gateway (IGW) L3out • Sortie Internet (L3out) locale à la Fabric ACI • Les endpoints côté Data Center ne peuvent pas utiliser les L3out situés dans les VPC • En revanche, les VPC Utilisateurs peuvent utiliser les L3out du Data Center • Cas d’usage: accès Internet partagé (afin de passer par les pare-feu de l’entreprise) © 2020 Cisco and/or its affiliates. All rights reserved.
Cloud Native Services Multisite Orchestrator ACI DC On-Premises Public Cloud Infra VPC User VPC VGW AZ -1 AZ -2 AZ -1 AZ -2 C S R1kv C S R1kv VM VM VM Se rv ice- Graph Policy IGW Region-1 • Accès au services AWS cloud-native (exemple : équilibrage de charge) à travers les politiques ACI © 2020 Cisco and/or its affiliates. All rights reserved.
Cloud First • Déploiement d’un Cloud APIC sans Fabric ACI physique ou Multisite Orchestrator. • Permet à l’admin connaissant ACI de masquer les composantes réseau spécifiques à AWS et de lui exposer des politiques de configuration et un modèle opérationnel auquel il est habitué. 1 D omaine ACI gérant plusieurs Régions AWS 2 D omaines ACI gérant chacun leurs propres Régions AWS © 2020 Cisco and/or its affiliates. All rights reserved. P ilotage de plusieurs site cloud par MSO, sans site physique
Quel est le rôle du VPC Infra dans la solution ACI Anywhere sur AWS ? A. Déployer une surcouche AWS permettant d’administrer les Sondage Q3 instances EC2 d’un VPC B. Déployer les services partagés d’infrastructure C. Assurer le routage entre les VPC Utilisateurs et héberger le Cloud APIC © 2020 Cisco and/or its affiliates. All rights reserved reserved.
Opérations © 2020 Cisco and/or its affiliates. All rights reserved.
Simplification des opérations pour le Cloud Hybride Statistiques inter-sites, inter-régions, Etat de santé global des sites et Sauvegarde & Restauration inter-VPC, cloud EPG, cloud Routers de la connectivité entre les sites en 1 clic Show tech (collecte les logs des Mise à jour logicielle simple et Gestion centralisée des fautes CSR1kv, ainsi que la configuration, les similaire à un APIC physique logs etCisco © 2020 lesand/or fichiers core its affiliates. du All rights cAPIC) reserved.
Simplification des opérations pour le Cloud Hybride Modèle homogène d’Assurance/Analytique pour le DC et le Cloud Data Center Cisco Multi-Site Orchestrator Logs de flux, stats des CSR Services de config, Fautes Statistiques Fautes Scores de santé Amazon CloudWatch, AWS CloudTrail Scores de santé Gestion prédictive des changements Validation de l’intention* Gestion prédictive des changements* Analyse des flux Validation de l’intention * Roadmap Accélération des temps de Utilisation intelligente des Corrélation Dynamique © 2020 Cisco and/or Prédiction des pannes its affiliates. All rights reserved. remise en service ressources
Démonstration Extension réseau et sécurité entre un DC ACI et AWS © 2020 Cisco and/or its affiliates. All rights reserved.
Demo © 2020 Cisco and/or its affiliates. All rights reserved.
Tenant Cisco-France DC Paris La demande telle que formulée par les architectes applicatifs Web VM icmp ssh App EC2 icmp ssh DB EC2 VM © 2020 Cisco and/or its affiliates. All rights reserved.
Schema Webcast Template Template Tenant AWS Paris Cisco-France Template Stretched DC Paris 1. Création du tenant 2. Création du schéma 3. Création des templates 4. Association des templates aux sites © 2020 Cisco and/or its affiliates. All rights reserved.
Schema Webcast Template Template Tenant AWS Paris Cisco-France Template Stretched DC Paris I P -Namespace Création de la VRF © 2020 Cisco and/or its affiliates. All rights reserved.
Schema Webcast xxx Instance EC2 Template Template Tenant xxx AWS Paris VM vSphere Cisco-France Template C P Services autorisés Stretched s ub net Composante réseau DC Paris CID R : 12.0.0.0/16 I P -Namespace Configuration locale au A v ailability zone : eu-west-1a site AWS de la VRF (Région, CIDR, subnets) s ub net 1 2 .0.1.1/24 s ub net 1 2 .0.2.1/24 © 2020 Cisco and/or its affiliates. All rights reserved.
Schema Webcast xxx Instance EC2 Template Template Tenant xxx AWS Paris VM vSphere Cisco-France Template C P Services autorisés Stretched s ub net Composante réseau DC Paris CID R : 12.0.0.0/16 I P -Namespace Création des filtres et A v ailability zone : eu-west-1a des contrats dans le template « stretched » afin qu’ils puissent être utilisés par tous les sites s ub net Web-to-App (icmp,ssh) 1 2 .0.1.1/24 App-to-DB (icmp,ssh) s ub net 1 2 .0.2.1/24 © 2020 Cisco and/or its affiliates. All rights reserved.
Schema Webcast xxx Instance EC2 Template Template Tenant xxx AWS Paris VM vSphere Cisco-France Template C P Services autorisés Stretched s ub net Composante réseau DC Paris CID R : 12.0.0.0/16 I P -Namespace Création du BD Web et A v ailability zone : eu-west-1a de son subnet, de l’EPG Web et C Web attachement du Application Profile : Webcast contrat. s ub net 1 0 .101.0.254/24 Web-to-App (icmp,ssh) BD Attachement du 1 2 .0.1.1/24 domaine vSphere à App-to-DB l’EPG (configuration (icmp,ssh) locale au site de Paris) s ub net 1 2 .0.2.1/24 © 2020 Cisco and/or its affiliates. All rights reserved.
Schema Webcast xxx Instance EC2 Template Template Tenant xxx AWS Paris VM vSphere Cisco-France Template C P Services autorisés Stretched s ub net Composante réseau DC Paris CID R : 12.0.0.0/16 I P -Namespace Attachement de la VM A v ailability zone : eu-west-1a au port-group créé automatiquement par C Web l’APIC Application Profile : Webcast VM-101-11 s ub net 1 0 .101.0.254/24 Web-to-App BD (icmp,ssh) 1 2 .0.1.1/24 App-to-DB (icmp,ssh) s ub net 1 2 .0.2.1/24 © 2020 Cisco and/or its affiliates. All rights reserved.
Schema Webcast xxx Instance EC2 Template Template Tenant xxx AWS Paris VM vSphere Cisco-France Template C P Services autorisés Stretched s ub net Composante réseau DC Paris CID R : 12.0.0.0/16 I P -Namespace Création de l’EPG App A v ailability zone : eu-west-1a et attachement au contrat. C Web Application Profile : Webcast VM-101-11 Sélection des instances EC2 rattachées à l’EPG s ub net 1 0 .101.0.254/24 Web-to-App P (icmp,ssh) BD sur la base de leur App 1 2 .0.1.1/24 C adresse IP App-to-DB (configuration locale au (icmp,ssh) site AWS) s ub net 1 2 .0.2.1/24 © 2020 Cisco and/or its affiliates. All rights reserved.
Schema Webcast xxx Instance EC2 Template Template Tenant xxx AWS Paris VM vSphere Cisco-France Template C P Services autorisés Stretched s ub net Composante réseau DC Paris CID R : 12.0.0.0/16 I P -Namespace Démarrage d’une A v ailability zone : eu-west-1a instance EC2 dans le subnet 12.0.1.0/24. C Web Application Profile : Webcast VM-101-11 Observation des Security-Groups AWS. net bn et 1 0 .101.0.254/24 ss uub Web-to-App BD P (icmp,ssh) App 1 2 .0.1.1/24 C A p p-217 App-to-DB (icmp,ssh) s ub net 1 2 .0.2.1/24 © 2020 Cisco and/or its affiliates. All rights reserved.
Schema Webcast xxx Instance EC2 Template Template Tenant xxx AWS Paris VM vSphere Cisco-France Template C P Services autorisés Stretched s ub net Composante réseau DC Paris CID R : 12.0.0.0/16 I P -Namespace Validation de A v ailability zone : eu-west-1a l’ouverture des OK services C Web Application Profile : Webcast VM-101-11 s ub net 1 0 .101.0.254/24 Web-to-App BD P (icmp,ssh) App 1 2 .0.1.1/24 C A p p-217 App-to-DB (icmp,ssh) s ub net 1 2 .0.2.1/24 © 2020 Cisco and/or its affiliates. All rights reserved.
Schema Webcast xxx Instance EC2 Template Template Tenant xxx AWS Paris VM vSphere Cisco-France Template C P Services autorisés Stretched s ub net Composante réseau DC Paris I P -Namespace Création du BD DB et de CID R : 12.0.0.0/16 A v ailability zone : eu-west-1a son subnet et de l’EPG DB et attachement au contrat C Web Application Profile : Webcast Attachement du domaine VM-101-11 vSphere à l’EPG s ub net 1 0 .101.0.254/24 (configuration locale au site Web-to-App BD de Paris) P (icmp,ssh) App 1 2 .0.1.1/24 C Sélection des instances EC2 A p p-217 App-to-DB rattachées à l’EPG sur la (icmp,ssh) base de leur adresse IP et s ub net P de leur tag (configuration DB locale au site AWS) 1 2 .0.2.1/24 1 0 .102.0.254/24 © 2020 Cisco and/or its affiliates. All rights reserved. BD
Schema Webcast xxx Instance EC2 Template Template Tenant xxx AWS Paris VM vSphere Cisco-France Template C P Services autorisés Stretched s ub net Composante réseau DC Paris CID R : 12.0.0.0/16 I P -Namespace Attachement de la VM A v ailability zone : eu-west-1a au port-group créé automatiquement par C Web l’APIC Application Profile : Webcast VM-101-11 s ub net 1 0 .101.0.254/24 Web-to-App BD P (icmp,ssh) App 1 2 .0.1.1/24 C A p p-217 App-to-DB (icmp,ssh) s ub net P DB 1 2 .0.2.1/24 VM-102-11 1 0 .102.0.254/24 © 2020 Cisco and/or its affiliates. All rights reserved. BD
Schema Webcast xxx Instance EC2 Template Template Tenant xxx AWS Paris VM vSphere Cisco-France Template C P Services autorisés Stretched s ub net Composante réseau DC Paris CID R : 12.0.0.0/16 I P -Namespace Démarrage de 2 A v ailability zone : eu-west-1a instances EC2 dans le subnet 12.0.2.0/24, C Web l’une taguée « DB » et Application Profile : Webcast VM-101-11 l’autre non. s ub net 1 0 .101.0.254/24 Web-to-App P (icmp,ssh) BD Observation des App 1 2 .0.1.1/24 C Security-Groups AWS. A p p-217 App-to-DB (icmp,ssh) s ub net P DB 1 2 .0.2.1/24 DB-104 VM-102-11 EC2-120 EC2 Tag 1 0 .102.0.254/24 © 2020 Cisco and/or its affiliates. All rights reserved. BD EPG = DB
Schema Webcast xxx Instance EC2 Template Template Tenant xxx AWS Paris VM vSphere Cisco-France Template C P Services autorisés Stretched s ub net Composante réseau DC Paris CID R : 12.0.0.0/16 I P -Namespace Validation de A v ailability zone : eu-west-1a l’ouverture des services C Web Application Profile : Webcast VM-101-11 s ub net 1 0 .101.0.254/24 Web-to-App BD P (icmp,ssh) App 1 2 .0.1.1/24 C OK A p p-217 App-to-DB (icmp,ssh) s ub net P OK DB 1 2 .0.2.1/24 DB-104 VM-102-11 EC2-120 EC2 Tag 1 0 .102.0.254/24 © 2020 Cisco and/or its affiliates. All rights reserved. BD EPG = DB
Schema Webcast xxx Instance EC2 Template Template Tenant xxx AWS Paris VM vSphere Cisco-France Template C P Services autorisés Stretched s ub net Composante réseau DC Paris CID R : 12.0.0.0/16 I P - N a mes pac e Validation de l’absence A v ailability zone : eu-west-1a de connectivité vers l’instance non-taguée C Web (non incluse dans le Application Profile : Webcast VM-101-11 groupe de sécurité DB) s ub net 1 0 .101.0.254/24 Web-to-App BD P (icmp,ssh) App 1 2 .0.1.1/24 C A p p-217 App-to-DB (icmp,ssh) s ub net P KO DB 1 2 .0.2.1/24 DB-104 VM-102-11 EC2-120 EC2 Tag 1 0 .102.0.254/24 © 2020 Cisco and/or its affiliates. All rights reserved. BD EPG = DB
Schema Webcast xxx Instance EC2 Template Template Tenant xxx AWS Paris VM vSphere Cisco-France Template C P Services autorisés Stretched s ub net Composante réseau DC Paris I P - N a mes pac e CID R : 12.0.0.0/16 A v ailability zone : eu-west-1a C Web Application Profile : Webcast VM-101-11 s ub net 1 0 .101.0.254/24 Web-to-App BD P (icmp,ssh) App 1 2 .0.1.1/24 C A p p-217 App-to-DB (icmp,ssh) s ub net P DB 1 2 .0.2.1/24 DB-104 VM-102-11 EC2-120 EC2 Tag 1 0 .102.0.254/24 © 2020 Cisco and/or its affiliates. All rights reserved. BD EPG = DB
Références • Cisco ACI – page d’accueil (en Français) • Cisco Cloud ACI – page d’accueil Cisco Cloud ACI sur AWS : • Cisco Cloud ACI on AWS Solution overview • Cisco Cloud ACI on AWS technical white paper • Walkthrough Demo: Cloud ACI on AWS • Walkthrough Demo: Starting Cloud ACI on AWS • Cisco Cloud APIC on AWS Marketplace Cloud ACI sur Microsoft Azure : • Cloud ACI on Microsoft Azure technical white paper • Cloud ACI on Microsoft Azure solution overview • Walkthrough Demo: Cloud ACI on Microsoft Azure © 2020 Cisco and/or its affiliates. All rights reserved.
Dissipez vos doutes Utilisez le panneau « Q&R » pour poser vos questions © 2020 Cisco and/or its affiliates. All rights reserved reserved.
Cisco Community – Demandez-moi … Avez-vous encore des questions sur Data Center Network? Foire aux Questions Jusqu’au 17 Janvier avec Julien Couturier Événement public Insert event banner Suivez le lien http://bit.ly/AMA-jan20 © 2020 Cisco and/or its affiliates. All rights reserved.
La communauté est disponible dans d’autres langues Si vous parlez anglais, espagnol, portugais, russe, chinois ou japonais, vous pouvez participer aussi dans les autres communautés Cisco. Cisco Community Anglais Сообщество Cisco Russe Comunidad de Cisco Espagnol シスコ コミュニティ Comunidade da Cisco Japonais Portugais 思科服务支持社区 Chinois © 2020 Cisco and/or its affiliates. All rights reserved.
Nous vous invitons à nous suivre dans les réseaux sociaux et à partager nos prochains événements Cisco Community ▪ Facebook/CiscoSupportCommunity ▪ Twitter @cisco_support ▪ YouTube ciscosupportchannel ▪ LinkedIn Cisco Community https://w ww.linkedin.com/show case/3544800/ ▪ Instagram ciscosupportcommunity https://w ww.instagram.com/ciscosupportcommunity/ © 2020 Cisco and/or its affiliates. All rights reserved.
Votre avis nous intéresse ! Veuillez remplir le sondage qui apparaîtra sur votre écran à la fin de cette présentation. © 2020 Cisco and/or its affiliates. All rights reserved reserved.
Merci pour votre participation ! © 2020 Cisco and/or its affiliates. All rights reserved.
Vous pouvez aussi lire