思科ACI部署完全指南PDF电子书下载

第1章 ACI客户指南 1

1.1产业趋势与变革 1

1.2下一代数据中心 2

1.2.1新的应用类型 2

1.2.2自动化、编排和云 3

1.2.3端到端安全性 4

1.3主干一叶（Spine-Leaf）架构 5

现有基础设施与ACI 7

1.4 ACI概述 8

1.5 ACI功能组件 9

1.5.1 Nexus 9500 9

1.5.2 Nexus 9300 9

1.5.3以应用为中心的基础设施控制器 10

1.6激活AC I矩阵协议 10

1.6.1数据平面协议 10

1.6.2控制平面协议 11

1.7与ACI交互 12

1.7.1 GUI 12

1.7.2 NX-OS CLI 12

1.7.3开放式REST API 13

1.8策略模型简介 13

1.8.1应用配置描述（AP）和端点组（EPG） 13

1.8.2 VRF和桥接域（BD） 14

1.9矩阵拓扑 14

1.9.1单站点模型 14

1.9.2 Multi-Pod模型 14

1.9.3 Multi-Site模型 15

1.10小结 15

第2章 矩阵构建 16

2.1构建一个更好的网络 16

2.1.1关于矩阵的考量 17

2.1.2分阶段向ACI迁移 28

2.1.3向以应用为中心的模式演进 35

2.2与虚拟机管理器（VMM）的集成 39

2.2.1 AVS 39

2.2.2 VMware 41

2.2.3 Microsoft 42

2.2.4 OpenStack 43

2.3 4～7层服务 44

2.3.1纳管模式（Managed Mode） 44

2.3.2非纳管模式（Unmanaged Mode） 46

2.4其他Multi-Site配置 46

2.4.1 ACI Stretched Fabric 48

2.4.2 ACI Multi-Pod 48

2.4.3 ACI Multi-Site 49

2.4.4 ACI双矩阵设计 49

2.4.5分布式网关（Pervasive Gateway） 50

2.4.6虚拟机管理器的考量 50

2.5小结 51

第3章 矩阵上线 53

3.1开箱并初始化 53

3.1.1建议开启的服务 54

3.1.2管理网络 56

3.1.3配置控制器之所见 57

3.2首次登录APIC GUI 62

3.2.1基础模式与高级模式 63

3.2.2矩阵发现 66

3.2.3叶节点扩展交换机（FEX） 68

3.3必需的服务 68

3.3.1基础模式的初始化设置 69

3.3.2高级模式的初始化设置 73

3.3.3管理网络 80

3.3.4矩阵策略 82

3.4管理软件版本 83

3.4.1固件仓库 84

3.4.2控制器固件和维护策略 85

3.4.3配置管理 87

3.5小结 91

第4章 ACI与虚拟化技术集成 92

4.1为什么要集成 92

4.2虚拟机与容器网络 93

4.2.1 ACI与虚拟交换机集成的优势 95

4.2.2 ACI集成与软件叠加（Overlay）网络的比较 97

4.2.3虚拟机管理域（VMM Domain） 99

4.2.4 EPG分段与微分段（Micro-Segmentation） 104

4.2.5 EPG内部隔离与EPG内合约 111

4.2.6 ACI与刀片系统虚拟交换机集成 114

4.2.7 OpFlex 117

4.2.8多数据中心部署 117

4.3 VMware vSphere 118

4.3.1 ACI与vSphere VSS共存 119

4.3.2 ACI与vSphere VDS共存 120

4.3.3 ACI与vSphere VDS集成 121

4.3.4 vCenter账户要求 122

4.3.5 VDS上的微分段 123

4.3.6刀片服务器与VDS集成 123

4.3.7 ACI与思科AVS集成 124

4.3.8基于VDS和AVS的虚拟网络设计 125

4.3.9面向vCenter服务器的ACI插件：通过vCenter配置ACI 128

4.3.10 ACI与VMware NSX共存 131

4.4 Microsoft 131

4.4.1 Microsoft Hyper-V与SCVMM简介 132

4.4.2集成准备 132

4.4.3微分段 134

4.4.4刀片服务器与SCVMM集成 134

4.5 OpenStack 135

4.5.1 ML2和基于组的策略 135

4.5.2 ACI与OpenStack集成 136

4.5.3面向OpenStack的ACI ML2插件基本操作 137

4.5.4面向OpenStack的ACI ML2插件安全性 138

4.5.5 面向OpenStack的ACI ML2插件NAT 139

4.5.6面向OpenStack的AC I GBP插件 141

4.6 Docker网络与Contiv项目 142

4.7 Kubernetes 146

4.7.1 Kubernetes网络模型 147

4.7.2隔离模型 148

4.7.3为Kubernetes Pod创建新EPG 149

4.7.4通过注解将Deployment或Namespace分配给EPG 150

4.7.5 Kubemetes对象在ACI的可见性 151

4.8公有云集成 151

4.9小结 152

第5章 进入ACI网络世界 153

5.1探索ACI网络 154

5.1.1端点组（EPG）与合约（Contract） 154

5.1.2 VRF与BD 165

5.1.3将外部网络连接到矩阵 174

5.1.4基本模式GUI 180

5.1.5高级模式接入策略 182

5.2以网络为中心VLAN=BD=EPG 192

5.2.1将策略应用于物理工作负载及虚拟化工作负载 194

5.2.2将设备逐VLAN迁移至矩阵 196

5.2.3策略执行（Enforced） VRF与策略放行（Unenforced） VRF 200

5.2.4 3层到核心 200

5.2.5 L3 Out与外部路由网络 201

5.2.6 L3 Out的简化对象模型 202

5.2.7边界叶节点（Border Leaf） 205

5.2.8将默认网关迁移至矩阵 206

5.3小结 209

第6章 ACI外部路由 210

6.1物理连接考量 210

6.2路由接口与SVI 211

6.3外部BD 213

6.4 BFD 214

6.5接入端口 215

6.6端口通道 216

6.7虚拟端口通道 217

6.8 L3 Out弹性网关 218

6.9 HSRP 219

6.10路由协议 221

6.10.1静态路由 222

6.10.2 EIGRP 222

6.10.3 OSPF 223

6.10.4 BGP 227

6.11外部EPG与合约 230

6.11.1外部EPG 230

6.11.2 L3 Out EPG与内部EPG之间的合约 231

6.12多租户路由考量 231

6.12.1共享3层外部连接 233

6.12.2穿透路由 235

6.13广域网集成 239

6.13.1多租户外部3层连通性的设计建议 240

6.13.2 QoS 241

6.14组播 243

6.14.1推荐的组播最佳实践 244

6.14.2组播配置概述 247

6.15小结 247

第7章 ACI如此不同 248

7.1管理矩阵与管理设备 249

7.1.1 集中化CLI 249

7.1.2系统仪表板 250

7.1.3租户仪表板 251

7.1.4健康指数 252

7.1.5物理对象与逻辑对象 253

7.1.6网络策略 254

7.2维护网络 258

7.2.1故障管理 258

7.2.2配置管理 262

7.2.3软件升级 269

7.2.4打破IP设计束缚 273

7.2.5物理网络拓扑 274

7.2.6 变革网络消费模式 278

7.3小结 279

第8章 迈向以应用为中心的网络 280

8.1以网络为中心的部署 281

8.1.1在以网络为中心的部署中取消数据包过滤 282

8.1.2提高每台叶交换机的VLAN可扩展性 283

8.1.3查看以网络为中心设计的配置 284

8.1.4以应用为中心的部署：安全性用例 286

8.1.5白名单模型与黑名单模型 287

8.1.6策略执行与策略放行：没有合约的ACI 287

8.1.7 EPG作为一台基于区域的防火墙 288

8.1.8合约的安全模型 290

8.1.9基于思科AVS的状态防火墙 297

8.1.10 EPG内部通信 299

8.1.11任意EPG （Any EPG） 301

8.1.12有效利用资源的合约定义最佳实践 302

8.2以应用为中心部署的运营用例 303

8.2.1以应用为中心的监控 303

8.2.2 QoS 304

8.3迁移至以应用为中心的模型 307

8.3.1禁用传统模式BD 307

8.3.2禁用VRF的策略放行 308

8.3.3创建新应用配置描述及EPG 308

8.3.4将端点迁移至新EPG 309

8.3.5微调安全规则 309

8.4如何发现应用依赖性 310

8.4.1专注于新应用 310

8.4.2迁移现有应用 311

8.5小结 314

第9章 多租户 316

9.1网络多租户的需求 316

9.1.1数据平面多租户 317

9.1.2管理平面多租户 317

9.2 ACI中的多租户 318

9.2.1安全域 319

9.2.2基于角色的访问控制（RBAC） 320

9.2.3物理域 324

9.2.4通过QoS保护逻辑带宽 326

9.2.5租户和应用 327

9.2.6业务线的逻辑隔离 327

9.2.7安全性或合规性的逻辑隔离 328

9.3将资源迁移至租户 330

9.3.1创建逻辑租户结构 331

9.3.2实施管理平面多租户 331

9.3.3迁移EPG与合约 331

9.3.4导出与导入租户间通信合约 332

9.3.5实施数据平面多租户 334

9.3.6何时选择专用VRF或共享VRF 336

9.3.7多租户的可扩展性 337

9.4外部连通性 338

多租户共享外部网络 340

9.5租户间连通性 344

9.5.1 VRF间外部连通性 344

9.5.2 VRF间内部连通性（路由泄露） 345

9.6 4～7层服务集成 347

9.6.1导出4～7层设备 347

9.6.2 4～7层Multi-Context设备 348

9.7多租户连通性用例 348

9.7.1 ACI作为传统网络 348

9.7.2将网络可见性赋予其他部门 348

9.7.3提供共享服务的跨组织共享网络 349

9.7.4外部防火墙互连多个安全区域 350

9.7.5服务提供商 351

9.8小结 352

第10章 集成4～7层服务 353

10.1服务植入 353

10.1.1当前主流做法 354

10.1.2纳管与非纳管（Managed和Unmanaged） 360

10.1.3生态系统合作伙伴 365

10.1.4管理模型 366

10.1.5功能配置描述 369

10.2所有主机的安全性 373

10.2.1建立端到端安全解决方案 375

10.2.2防火墙集成 380

10.2.3安全监控集成 392

10.2.4入侵防御系统集成 393

10.2.5服务器负载均衡及ADC集成 397

10.2.6双节点服务视图（Service Graph）的设计 402

10.3小结 404

第11章 ACI Multi-Site设计 405

11.1打造第2个站点 405

11.1.1 Stretched Fabric设计 408

11.1.2多矩阵设计 413

11.2 Multi-Pod架构 423

11.2.1 ACI Multi-Pod应用案例及拓扑支持 424

11.2.2 ACI Multi-Pod可扩展性的考量 427

11.2.3 Pod间网络连通性部署的考量 427

11.2.4 IPN控制平面 429

11.2.5 IPN组播支持 430

11.2.6主干与IPN连通性的考量 434

11.2.7自动部署Pod 439

11.2.8 APIC集群部署的考量 440

11.2.9通过配置区域减少配置失误的影响 445

11.2.10迁移策略 446

11.3 Multi-Site架构 449

11.3.1 APIC与Multi-Site控制器的功能对比 452

11.3.2 Multi-Site的概要（Schema）与模板 453

11.3.3 Multi-Site应用案例 457

11.3.4 Multi-Site与L3 Out的考量 463

11.3.5 3层组播部署选项 465

11.3.6将矩阵迁移至ACI Multi-Site 466

11.4小结 468

第12章 排障与监控 469

12.1如何应对低健康指数 470

12.2 NX-OS命令行界面 471

12.2.1连接到叶交换机 474

12.2.2 Linux命令 477

12.2.3将本地对象映射至全局对象 479

12.2.4若干好用的叶交换机命令 483

12.2.5解决物理问题 489

12.3 ACI排障工具 496

12.3.1硬件诊断 496

12.3.2丢包：计数器同步 498

12.3.3原子计数器（Atomic Counter） 498

12.3.4流量镜像：SPAN与复制服务 500

12.3.5 Troubleshooting Wizard（排障向导） 506

12.3.6 Endpoint Tracker（端点追踪器） 512

12.3.7有效利用矩阵资源 514

12.4监控策略与统计 519

12.4.1 SNMP策略 519

12.4.2系统日志策略 521

12.4.3统计 522

12.5 ACI支持的第三方监控工具 523

12.5.1 IBM Tivoli Netcool 523

12.5.2 SevOne 523

12.5.3 ScienceLogic 524

12.5.4 Splunk 524

12.5.5 Zenoss 524

12.6小结 524

第13章 ACI可编程性 525

13.1为什么需要网络可编程性 525

13.1.1传统网络自动化的问题 526

13.1.2 SNMP 526

13.1.3 NETCONF与YANG 527

13.1.4编程接口和SDK 527

13.2 ACI编程接口 528

13.2.1 ACI REST API 528

13.2.2 REST API的身份验证 529

13.2.3 API Inspector（检查器） 529

13.2.4 REST API客户端 529

13.2.5编程语言调用REST API 530

13.2.6 ACI对象模型 531

13.2.7 GUI调试信息 532

13.2.8 ACI软件开发套件 538

13.2.9搜寻自动化与程式化示例 540

13.2.10没有矩阵也能开发并测试代码 540

13.3通过网络自动化提高运营效率 543

13.3.1提供网络可见性 543

13.3.2网络配置外部化 544

13.3.3交换机端口配置外部化 545

13.3.4安全配置外部化 546

13.3.5自动化水平集成 547

13.3.6产品内置水平集成示例 547

13.3.7基于外部自动化的水平集成示例 548

13.3.8自动生成网络文档 550

13.4通过网络自动化实现更多业务模式 550

13.4.1敏捷应用部署与DevOps 551

13.4.2持续部署与持续集成 551

13.4.3 Linux容器与微服务架构 552

13.4.4 配置管理工具 552

13.4.5私有云与IaaS 553

13.4.6 与思科企业云套件集成 554

13.4.7与VMware vRealize套件集成 555

13.4.8与Microsoft Azure Pack和Azure Stack的集成 557

13.4.9与OpenStack集成 557

13.4.10混合云 557

13.4.11平台即服务 558

13.4.12 ACI与Apprenda集成 558

13.4.13 Mantl和Shipped 559

13.5 ACI应用中心 560

13.6小结 562