基本信息
- 商品名称:思科ACI部署 指南
- 作者:[美] 弗兰克·达根哈特(Frank Dagenhardt),[德] 约瑟·莫雷诺(Jose Moreno),[美] 比尔·杜弗雷斯尼(Bill Dufresne)|译者:皮克斯 何天堂 李婷婷
- 定价:139
- 出版社:人民邮电
- ISBN号:9787115524300
其他参考信息(以实物为准)
- 出版时间:2020-01-01
- 印刷时间:2019-12-18
- 版次:1
- 印次:1
- 开本:16开
- 包装:平装
- 页数:562
- 字数:812千字
编辑推荐语
全面系统地介绍ACI,帮助读者从原理深入理解ACI的技术特点与优势。
本书涵盖了故障排除和自动化内容,有助于提高读者的实操能力。
本书旨在为设计与部署ACI提供现场指导,并试图弥合传统网络架构与ACI之间的鸿 沟。身为网络管理员,特别是在新技术方面寻找相关且准确的信息上,我们也意识到压力 和挑战。
作者尝试将这些信息汇总到一起并进行深入解析,作为网络管理员优先涉猎的资 源。本书着重讨论了如何 大限度减少操作的复杂性,并 大化可支持性的 佳实践,衷 心希望它能够解决 大多数常见的部署问题。
■ 理解当前推动数据中心部署ACI的趋势性因素。
■ 构建ACI矩阵时常见的决策点和矩阵上线。
■ 如何与ACI相集成以及选择哪些虚拟化技术。
■ ACI矩阵网络、外部2/3层连通性的实现及其与传统方式的差异。
■ 深入理解管理传统网络与管理ACI之间的差异。
■ 基于应用/功能配置精细化策略所带来的优势。
■ 创建租户隔离用例及其对网络/安全/服务的影响。
■ 深入研究将服务集成至ACI矩阵的细节。
■ 设计ACI Multi-Site以满足冗余性与业务连续性的需求。
■ 内置的排障、监控工具以及自动化与可编程性助力提高ACI运营效率。
Frank Dagenhardt(CCIE #42081),思科专注于下一代数据中心体系结构的技 术解决方案架构师,拥有超过22年的信息技术经验及多项行业认证。
Jose Moreno(CCIE #16601),曾就读于马德里理工大学与米兰理工大学。自 2014年以来,作为技术解决方案架构师一直专注于ACI。
Bill Dufresne(CCIE #4375),思科杰出系统工程师, 数据中心/云团队成 员。自1996年以来一直在思科工作,具有超过31年的IT行业丰富经验。
为降低数据中心运营成本、提 升灵活性、改进安全性并减少人为失 误,需要根本性地转变网络配置与管 理的方式。 终的产物就是以应用为 中心的基础设施(ACI)以及基于意 图的网络(IBN)。
——Tom Edsall 思科院士/ACI之父
“数据中心不再是中心了”,每 一朵云,每一座数据中心,每一家分 支机构——ACI无处不在。
——萧洁云 思科 副总裁/ 大中华区首席执行官
作为行业内系统介绍SDN落 地的专著,本书的出版可谓恰逢其 时——就像多年前思科普及路由器操 作的 Introduction To Cisco Router Configuration 一样,本书将成为网 络工程师学习SDN的指南。
——曹图强 思科 副总裁/ 大中华区首席技术官
内容提要
本书是一本讲述部署和管理思科ACI解决方案的 指南,由3位思科架构师和工程师撰写。本书将帮助读者顺利学习思科的VXLAN解决方案。全书内容涵盖了ACI基础入门知识,整合虚拟化和外部路由技术、APIC集中和简化策略管理、ACI基础架构故障排除等内容。
本书可供网络技术相关领域的研发人员、市场人员以及数据中心设计、运维人员参考,也可作为大专院校教材使用。
作者简介
Frank Dagenhardt(CCIE #42081),思科专注于下一代数据中心体系结构的技 术解决方案架构师,拥有超过22年的信息技术经验及多项行业认证。
Jose Moreno(CCIE #16601),曾就读于马德里理工大学与米兰理工大学。自 2014年以来,作为技术解决方案架构师一直专注于ACI。
Bill Dufresne(CCIE #4375),思科杰出系统工程师, 数据中心/云团队成 员。自1996年以来一直在思科工作,具有超过31年的IT行业丰富经验。
目录
第 1章 ACI客户指南1
1.1 产业趋势与变革1
1.2 下一代数据中心2
1.2.1 新的应用类型2
1.2.2 自动化、编排和云3
1.2.3 端到端安全性4
1.3 主干—叶(Spine-Leaf)架构5
1.4 ACI概述8
1.5 ACI功能组件9
1.5.1 Nexus 95009
1.5.2 Nexus 93009
1.5.3 以应用为中心的基础设施控制器10
1.6 激活ACI矩阵协议10
1.6.1 数据平面协议10
1.6.2 控制平面协议11
1.7 与ACI交互12
1.7.1 GUI12
1.7.2 NX-OS CLI12
1.7.3 开放式REST API13
1.8 策略模型简介13
1.8.1 应用配置描述(AP)和端点组(EPG)13
1.8.2 VRF和桥接域(BD)14
1.9 矩阵拓扑14
1.9.1 单站点模型14
1.9.2 Multi-Pod模型14
1.9.3 Multi-Site模型15
1.10 小结15
第 2章 矩阵构建16
2.1 构建一个 好的网络16
2.1.1 关于矩阵的考量17
2.1.2 分阶段向ACI迁移28
2.1.3 向以应用为中心的模式演进35
2.2 与虚拟机管理器(VMM)的集成39
2.2.1 AVS39
2.2.2 VMware41
2.2.3 Microsoft42
2.2.4 OpenStack43
2.3 4~7层服务44
2.3.1 纳管模式(Managed Mode)44
2.3.2 非纳管模式(Unmanaged Mode)46
2.4 其他Multi-Site配置46
2.4.1 ACI Stretched Fabric48
2.4.2 ACI Multi-Pod48
2.4.3 ACI Multi-Site49
2.4.4 ACI双矩阵设计49
2.4.5 分布式网关(Pervasive Gateway)50
2.4.6 虚拟机管理器的考量50
2.5 小结51
第3章 矩阵上线53
3.1 开箱并初始化53
3.1.1 建议开启的服务54
3.1.2 管理网络56
3.1.3 配置控制器之所见57
3.2 登录APIC GUI62
3.2.1 基础模式与 模式63
3.2.2 矩阵发现66
3.2.3 叶节点扩展交换机(FEX)68
3.3 必需的服务68
3.3.1 基础模式的初始化设置69
3.3.2 模式的初始化设置73
3.3.3 管理网络80
3.3.4 矩阵策略82
3.4 管理软件版本83
3.4.1 固件仓库84
3.4.2 控制器固件和维护策略85
3.4.3 配置管理87
3.5 小结91
第4章 ACI与虚拟化技术集成92
4.1 为什么要集成92
4.2 虚拟机与容器网络93
4.2.1 ACI与虚拟交换机集成的优势95
4.2.2 ACI集成与软件叠加(Overlay)网络的比较97
4.2.3 虚拟机管理域(VMM Domain)99
4.2.4 EPG分段与微分段(Micro-Segmentation)104
4.2.5 EPG内部隔离与EPG内合约111
4.2.6 ACI与刀片系统虚拟交换机集成114
4.2.7 OpFlex117
4.2.8 多数据中心部署117
4.3 VMware vSphere118
4.3.1 ACI与vSphere VSS共存119
4.3.2 ACI与vSphere VDS共存120
4.3.3 ACI与vSphere VDS集成121
4.3.4 vCenter账户要求122
4.3.5 VDS上的微分段123
4.3.6 刀片服务器与VDS集成123
4.3.7 ACI与思科AVS集成124
4.3.8 基于VDS和AVS的虚拟网络设计125
4.3.9 面向vCenter服务器的ACI插件:通过vCenter配置ACI128
4.3.10 ACI与VMware NSX共存131
4.4 Microsoft131
4.4.1 Microsoft Hyper-V与SCVMM简介132
4.4.2 集成准备132
4.4.3 微分段134
4.4.4 刀片服务器与SCVMM集成134
4.5 OpenStack135
4.5.1 ML2和基于组的策略135
4.5.2 ACI与OpenStack集成136
4.5.3 面向OpenStack的ACI ML2插件基本操作137
4.5.4 面向OpenStack的ACI ML2插件安全性138
4.5.5 面向OpenStack的ACI ML2插件NAT139
4.5.6 面向OpenStack的ACI GBP插件141
4.6 Docker网络与Contiv项目142
4.7 Kubernetes146
4.7.1 Kubernetes网络模型147
4.7.2 隔离模型148
4.7.3 为Kubernetes Pod创建新EPG149
4.7.4 通过注解将Deployment或Namespace分配给EPG150
4.7.5 Kubernetes对象在ACI上的可见性151
4.8 公有云集成151
4.9 小结152
第5章 进入ACI网络世界153
5.1 探索ACI网络154
5.1.1 端点组(EPG)与合约(Contract)154
5.1.2 VRF与BD165
5.1.3 将外部网络连接到矩阵174
5.1.4 基本模式GUI180
5.1.5 模式接入策略182
5.2 以网络为中心VLAN=BD=EPG192
5.2.1 将策略应用于物理工作负载及虚拟化工作负载194
5.2.2 将设备逐VLAN迁移至矩阵196
5.2.3 策略执行(Enforced)VRF与策略放行(Unenforced)VRF200
5.2.4 3层到核心200
5.2.5 L3 Out与外部路由网络201
5.2.6 L3 Out的简化对象模型202
5.2.7 边界叶节点(Border Leaf)205
5.2.8 将默认网关迁移至矩阵206
5.3 小结209
第6章 ACI外部路由210
6.1 物理连接考量210
6.2 路由接口与SVI211
6.3 外部BD213
6.4 BFD214
6.5 接入端口215
6.6 端口通道216
6.7 虚拟端口通道217
6.8 L3 Out弹性网关218
6.9 HSRP219
6.10 路由协议221
6.10.1 静态路由222
6.10.2 EIGRP222
6.10.3 OSPF223
6.10.4 BGP227
6.11 外部EPG与合约230
6.11.1 外部EPG230
6.11.2 L3 Out EPG与内部EPG之间的合约231
6.12 多租户路由考量231
6.12.1 共享3层外部连接233
6.12.2 穿透路由235
6.13 广域网集成239
6.13.1 多租户外部3层连通性的设计建议240
6.13.2 QoS241
6.14 组播243
6.14.1 的组播 佳实践244
6.14.2 组播配置概述247
6.15 小结247
第7章 ACI如此不同248
7.1 管理矩阵与管理设备249
7.1.1 集中化CLI249
7.1.2 系统仪表板250
7.1.3 租户仪表板251
7.1.4 健康指数252
7.1.5 物理对象与逻辑对象253
7.1.6 网络策略254
7.2 维护网络258
7.2.1 故障管理258
7.2.2 配置管理262
7.2.3 软件升级269
7.2.4 打破IP设计束缚273
7.2.5 物理网络拓扑274
7.2.6 变革网络消费模式278
7.3 小结279
第8章 迈向以应用为中心的网络280
8.1 以网络为中心的部署281
8.1.1 在以网络为中心的部署中取消数据包过滤282
8.1.2 提高每台叶交换机的VLAN可扩展性283
8.1.3 查看以网络为中心设计的配置284
8.1.4 以应用为中心的部署:安全性用例286
8.1.5 白名单模型与黑名单模型287
8.1.6 策略执行与策略放行:没有合约的ACI287
8.1.7 EPG作为一台基于区域的防火墙288
8.1.8 合约的安全模型290
8.1.9 基于思科AVS的状态防火墙297
8.1.10 EPG内部通信299
8.1.11 任意EPG(Any EPG)301
8.1.12 有效利用资源的合约定义 佳实践302
8.2 以应用为中心部署的运营用例303
8.2.1 以应用为中心的监控303
8.2.2 QoS304
8.3 迁移至以应用为中心的模型307
8.3.1 禁用传统模式BD307
8.3.2 禁用VRF的策略放行308
8.3.3 创建新应用配置描述及EPG308
8.3.4 将端点迁移至新EPG309
8.3.5 微调安全规则309
8.4 如何发现应用依赖性310
8.4.1 专注于新应用310
8.4.2 迁移现有应用311
8.5 小结314
第9章 多租户316
9.1 网络多租户的需求316
9.1.1 数据平面多租户317
9.1.2 管理平面多租户317
9.2 ACI中的多租户318
9.2.1 安全域319
9.2.2 基于角色的访问控制(RBAC)320
9.2.3 物理域324
9.2.4 通过QoS保护逻辑带宽326
9.2.5 租户和应用327
9.2.6 业务线的逻辑隔离327
9.2.7 安全性或合规性的逻辑隔离328
9.3 将资源迁移至租户330
9.3.1 创建逻辑租户结构331
9.3.2 实施管理平面多租户331
9.3.3 迁移EPG与合约331
9.3.4 导出与导入租户间通信合约332
9.3.5 实施数据平面多租户334
9.3.6 何时选择专用VRF或共享VRF336
9.3.7 多租户的可扩展性337
9.4 外部连通性338
9.5 租户间连通性344
9.5.1 VRF间外部连通性344
9.5.2 VRF间内部连通性(路由泄露)345
9.6 4~7层服务集成347
9.6.1 导出4~7层设备347
9.6.2 4~7层Multi-Context设备348
9.7 多租户连通性用例348
9.7.1 ACI作为传统网络348
9.7.2 将网络可见性赋予其他部门348
9.7.3 提供共享服务的跨组织共享网络349
9.7.4 外部防火墙互连多个安全区域350
9.7.5 服务提供商351
9.8 小结352
第 10章 集成4~7层服务353
10.1 服务植入353
10.1.1 当前主流做法354
10.1.2 纳管与非纳管(Managed和Unmanaged)360
10.1.3 生态系统合作伙伴365
10.1.4 管理模型366
10.1.5 功能配置描述369
10.2 所有主机的安全性373
10.2.1 建立端到端安全解决方案375
10.2.2 防火墙集成380
10.2.3 安全监控集成392
10.2.4 入侵防御系统集成393
10.2.5 服务器负载均衡及ADC集成397
10.2.6 双节点服务视图(Service Graph)的设计402
10.3 小结404
第 11章 ACI Multi-Site设计405
11.1 打造第 2个站点405
11.1.1 Stretched Fabric设计408
11.1.2 多矩阵设计413
11.2 Multi-Pod架构423
11.2.1 ACI Multi-Pod应用案例及拓扑支持424
11.2.2 ACI Multi-Pod可扩展性的考量427
11.2.3 Pod间网络连通性部署的考量427
11.2.4 IPN控制平面429
11.2.5 IPN组播支持430
11.2.6 主干与IPN连通性的考量434
11.2.7 自动部署Pod439
11.2.8 APIC集群部署的考量440
11.2.9 通过配置区域减少配置失误的影响445
11.2.10 迁移策略446
11.3 Multi-Site架构449
11.3.1 APIC与Multi-Site控制器的功能对比452
11.3.2 Multi-Site的概要(Schema)与模板453
11.3.3 Multi-Site应用案例457
11.3.4 Multi-Site与L3 Out的考量463
11.3.5 3层组播部署选项465
11.3.6 将矩阵迁移至ACI Multi-Site466
11.4 小结468
第 12章 排障与监控469
12.1 如何应对低健康指数470
12.2 NX-OS命令行界面471
12.2.1 连接到叶交换机474
12.2.2 Linux命令477
12.2.3 将本地对象映射至全局对象479
12.2.4 若干好用的叶交换机命令483
12.2.5 解决物理问题489
12.3 ACI排障工具496
12.3.1 硬件诊断496
12.3.2 丢包:计数器同步498
12.3.3 原子计数器(Atomic Counter)498
12.3.4 流量镜像:SPAN与复 务500
12.3.5 Troubleshooting Wizard(排障向导)506
12.3.6 Endpoint Tracker(端点追踪器)512
12.3.7 有效利用矩阵资源514
12.4 监控策略与统计519
12.4.1 SNMP策略519
12.4.2 系统日志策略521
12.4.3 统计522
12.5 ACI支持的第三方监控工具523
12.5.1 IBM Tivoli Netcool523
12.5.2 SevOne523
12.5.3 ScienceLogic524
12.5.4 Splunk524
12.5.5 Zenoss524
12.6 小结524
第 13章 ACI可编程性525
13.1 为什么需要网络可编程性525
13.1.1 传统网络自动化的问题526
13.1.2 SNMP526
13.1.3 NETCONF与YANG527
13.1.4 编程接口和SDK527
13.2 ACI编程接口528
13.2.1 ACI REST API528
13.2.2 REST API的身份验证529
13.2.3 API Inspector(检查器)529
13.2.4 REST API客户端529
13.2.5 编程语言调用REST API530
13.2.6 ACI对象模型531
13.2.7 GUI调试信息532
13.2.8 ACI软件开发套件538
13.2.9 搜寻自动化与程式化示例540
13.2.10 没有矩阵也能开发并测试代码540
13.3 通过网络自动化提高运营效率543
13.3.1 提供网络可见性543
13.3.2 网络配置外部化544
13.3.3 交换机端口配置外部化545
13.3.4 安全配置外部化546
13.3.5 自动化水平集成547
13.3.6 产品内置水平集成示例547
13.3.7 基于外部自动化的水平集成示例548
13.3.8 自动生成网络文档550
13.4 通过网络自动化实现 多业务模式550
13.4.1 敏捷应用部署与DevOps551
13.4.2 持续部署与持续集成551
13.4.3 Linux容器与微服务架构552
13.4.4 配置管理工具552
13.4.5 私有云与IaaS553
13.4.6 与思科企业云套件集成554
13.4.7 与VMware vRealize套件集成555
13.4.8 与Microsoft Azure Pack和Azure Stack的集成557
13.4.9 与OpenStack集成557
13.4.10 混合云557
13.4.11 平台即服务558
13.4.12 ACI与Apprenda集成558
13.4.13 Mantl和Shipped559
13.5 ACI应用中心560
13.6 小结562
