ACI Application Centric Infrastucture 05.07.2017 MTI Kongress Rainer Sandmeir, Fachvertrieb Data Center CCIE18562 rsandmei@cisco.com
Herausforderungen im Netzwerk Komplexität Sicherheit Langsame Prozesse
Wie bewältige ich all das bei den heutigen Anforderungen? Application vsphere Bare metal Docker Openstack Hyper-V Physical Network
ACI als Evolution im Cisco DC Networking STP based Tiered Design Dist/Agg Access VPC based Tiered Design Dist/Agg Access Stand Alone Fabrics FabricPath / VXLAN 2 or more Spines Leaf APIC Single point of mgmt Application Centric Infrastructure 2 or more Spines Leaf klassische STP Limits 50% der Links unbenutzt aufwendig abzusichern keine STP Blocked Ports Nutzung aller Links schnellere Convergence Fabric Extender Technology kein STP einfacher zu konfigurieren höhere Fabric Bandbreiten FCoE (FP) Multivendor (VXLAN) Spine Scales to provide fabric bandwidth Leaf Scales to provide access port density VXLAN als Grundlage Vereinfachte Designs Security als Bestandteil bessere Performance Policy-based, API-based integriert L4-L7 Services Integration in Hypervisor
Es dreht sich alles um Policies Apple ID Identität eines Gerätes Service Profile Identität eines Servers Application Profile Identität des Netzwerks UCS Service Profile Unified Device Management Network Policy Storage Policy Server Policy
ACI als Antwort auf Herausforderungen im RZ Lower TCO
Bestandteile von ACI Controller Policy Model Nexus 9000 APIC Open restful APIs Centralized policy model Open source Applications Centric Infrastructure
ACI bildet eine Abstraktionsschicht zwischen Netzwerk und Applikation Application Port, VLAN, IP, ACL, FW, LB, QoS, NAT, Routing, etc. Network Infrastructure
und ersetzt damit komplexe, dezentrale Netzwerk- Konfigurationen durch ein zentrales Policy-Modell. Application ACI Network Policy Network Infrastructure
Robuste Grundlage für Cisco SDN Speed, Visibility, Security, Reliability, and Scale Built In N9K Modular: 9500 Series N9K Fixed: 9200/9300 Series Cisco Cloud Scale Technology Embedded NetFlow/Security Enhanced Scale (Ports, Table Sizes) Industry First 36-port wire rate 40/50/100G Investment Protection Use existing chassis for new line cards Same Hardware For standalone and ACI Industry s Only Native 25G Consistent NX-OS Image Between Nexus 3K and Nexus 9K
Hypervisor Integration with ACI VMware vcenter DVS VMware vsphere VMware vcenter AVS VMware vsphere Microsoft SCVMM Microsoft System Center Virtual Machine Manager 2012 VMM Domain 1 VMM Domain 2 VMM Domain 3
Drei zentrale Use-Cases Security Compliance Visibilität
ACI Security Automated Security With Built-In Multi-Tenancy Distributed Stateless Firewall ACI Services Graph Line Rate Security Enforcement Open: Integrate Any Security Device PCI, FIPS (New) Embedded Security White-list Firewall Policy Model Authenticated Northbound API (X.509) Encrypted Management Plane (TLS 1.2) Micro-Segmentation VMware vds, Microsoft Hyper-V, and Bare-metal workloads (New) Intra End Point Group Isolation (New) Attribute Based Isolation and Quarantine Security Automation Dynamic Service Insertion and Chaining Security Policy Follows Workloads Centralized Security Provisioning and Visibility
Compliance und Day-0 Auditierung ACI ist PCI zertifiziert Common Criteria und FIPS Zertifizierung im H2CY16 Auto-Dokumentation Prove compliance at any point in time Policy = Configuration garantiert Auditierung: wer hat wann was geändert Backup und Restore der gesamten RZ-Konfiguration End-Point-Tracking Dokumentation, welches Gerät zu welchem Zeitpunkt im Netzwerk war
Zentrale Sicht auf die Hardware
ACI: Offen und programmierbar Programmable Open APIs 3rd Party Ecosystem Standards-Based Open Source RESTful APIs Built by Third Party OpFlex ACI Toolkit ACI Toolkit Group-Based Policy VXLAN 1/10G, 40G, 100G
Die Vorteile von ACI 1 2 3 4 TETRATION APPLICATION-CENTRIC POLICY MODEL PHYSICAL + VIRTUAL + CONTAINER OPEN AND SECURE ANALYTICS Vereinheitlichung Zentrale Provisionierung und Konfiguration des Netzes Performance und Skalierbarkeit Gesundheitszustand der Fabric Ein Betriebsmodell für Physik und VM, unabhängig vom Hypervisor Open Source - APIs - Standards Sichere Mandantenfähigkeit Integration von anderen Herstellern, akzeptiert am Markt Visibilität des Netzes, sowohl physikalisch als auch virtuell Compliance und Auditierbarkeit Threat Detection / Forensik
Hybrid IT: neue Herausforderungen Kosten Data Center Private Cloud Public Cloud Steigende Komplexität
CloudCenter: zentrales Applikationsdeployment Model Once. Deploy and Manage Anywhere. DEPLOY Data Center MODEL Private Cloud MANAGE Public Cloud One Integrated Platform Lifecycle Management New and Existing Applications