思科架構(gòu)師 黃兆基
思享家
是一個(gè)介紹如何利用思科先進(jìn)技術(shù)解決客戶難題的欄目。每期聚焦一個(gè)技術(shù)熱點(diǎn)或應(yīng)用場(chǎng)景,邀請(qǐng)資深思科技術(shù)專家深入淺出地介紹,為讀者提供實(shí)用性強(qiáng)的建議。
在前面的幾篇文章里,我為大家介紹了基于意圖的網(wǎng)絡(luò)(IBN)的架構(gòu)及其優(yōu)點(diǎn)、以AI工具精準(zhǔn)梳理業(yè)務(wù)意圖并運(yùn)用DevOps手段快速部署到ACI等IBN之上。相信大家已經(jīng)充分了解了IBN在自動(dòng)化部署、持續(xù)運(yùn)維等方面的突出優(yōu)勢(shì),也掌握了一些部署方法,但鑒于每家企業(yè)的業(yè)務(wù)和網(wǎng)絡(luò)環(huán)境千差萬(wàn)別、歷史包袱有輕有重,所以仍然會(huì)碰到新問(wèn)題。
比如為了充分體現(xiàn)IBN的優(yōu)點(diǎn),首先要把網(wǎng)關(guān)遷移到IBN內(nèi)的Anycast Gateway。這樣IBN在識(shí)別所有負(fù)載(即其IP與MAC地址)后,除了把他們歸類到不同的群組(Group)并以策略(Policy)來(lái)作零信任管控外,還可以利用新一代具備Telemetry功能的芯片,獲得包括網(wǎng)絡(luò)流(Flow)、延時(shí)(latency)、丟包(Drop)等在內(nèi)的全棧可視化(Full Stack Observability),再配合Nexus Dashboard Insights人工智能整合和分析,可以加快運(yùn)維特別是排錯(cuò)流程。
用戶一般都會(huì)把服務(wù)器網(wǎng)關(guān)配置在防火墻或負(fù)載均衡上,他們希望在遷移網(wǎng)關(guān)時(shí)讓負(fù)載保留在原來(lái)的子網(wǎng)內(nèi),以減少對(duì)應(yīng)用和其他團(tuán)隊(duì)的影響。但如何保證在網(wǎng)關(guān)遷移后負(fù)載的防火墻訪問(wèn)需求不變呢?這是一個(gè)令很多用戶頭疼的問(wèn)題。
Policy Based Redirect (PBR)能夠很好的解決這個(gè)問(wèn)題。下面我們來(lái)看一個(gè)簡(jiǎn)單的演示。
以ACI為例,在初始階段,圖中負(fù)載A與B原來(lái)的網(wǎng)關(guān)還是停留在防火墻內(nèi),他們所屬的ACI EPG群組因而被設(shè)定為純二層。
在這個(gè)設(shè)定下,ACI Fabric只能識(shí)別到最基本的MAC地址而不包括IP和其他信息。路由管控還在防火墻上而不在Fabric范圍內(nèi)。從ACI的拓?fù)鋱D上也顯示負(fù)載A與B兩個(gè)群組之間沒(méi)有被任何ACI策略所規(guī)范。IBN高可視性的優(yōu)點(diǎn)無(wú)法體現(xiàn)。
實(shí)施PBR第一步是在遷移網(wǎng)關(guān)的同時(shí),將L4-L7 Service Graph和ACI Contract綁定,把原來(lái)的防火墻訪問(wèn)需求以Contract的方式配置。
更新后的拓?fù)鋱D顯示負(fù)載A與B兩個(gè)群組之間改為由L4-L7策略所規(guī)范。
負(fù)載A與B的網(wǎng)關(guān)已遷移至ACI 內(nèi)的Anycast網(wǎng)關(guān),所屬子網(wǎng)保留不變。
通過(guò)PBR的設(shè)置,把數(shù)據(jù)包由負(fù)載A轉(zhuǎn)發(fā)至防火墻指定的IP與MAC地址組合(圖例的3.3.3.254),同時(shí)在防火墻上以靜態(tài)路由等方式轉(zhuǎn)發(fā)至下一站或是回到Fabric內(nèi)。
PBR不僅可以在網(wǎng)關(guān)遷移后保持子網(wǎng)和防火墻訪問(wèn)需求不變,配合多路徑對(duì)稱式導(dǎo)流和防火墻健康性檢查等功能,PBR還能實(shí)現(xiàn)多臺(tái)防火墻的冗余和負(fù)載均衡,實(shí)現(xiàn)具備彈性伸縮能力的防火墻資源池。而且在多活數(shù)據(jù)中心環(huán)境下,還可以解決多出口的非對(duì)稱路由(Asymmetric Routing)等復(fù)雜問(wèn)題,一舉多得。還有一點(diǎn)值得留意的地方是ACI PBR的“R”是“Redirect”而不是“Routing”。顧名思義跟一般Policy Based Routing不同的地方是ACI PBR的Redirect 可以以L1,L2或是L3的模式配合不同場(chǎng)景需求來(lái)部署,彈性更大。除了能在ACI上實(shí)現(xiàn),也可以通過(guò)最新發(fā)布的Nexus Dashboard Fabric Controller(從前的DCNM)在NXOS VxLAN上部署。
思科把一般人認(rèn)為的PBR加強(qiáng)成為PB Redirect, 不單可以對(duì)應(yīng)L3,L1/L2也可以支持,因此可以適合更多不同場(chǎng)景。
下次我會(huì)和大家分享如何利用NDFC簡(jiǎn)化配置NXOS版本的 VxLAN。
