Login 
aci service graph
05.01 2020 | by massimilianoACI Service Graph Il Service Graph è la capacità di offrire servizi layer 4 to layer 7 all’interno di […]
https://www.ingegnerianetworking.com/wp-content/uploads/2020/01/service-graph-esempio-243.png
ACI Service Graph
Il Service Graph è la capacità di offrire servizi layer 4 to layer 7 all’interno di ACI Fabric; in altre parole colloca devices che provvedono a queste funzionalità inserendole in un percorso (path) definito attraverso policy service-graph
Cisco ACI offre tre modalità di configurare un service graph:
- Network Policy Mode (unmanaged): ACI configura la sola parte di rete del service graph e non applica (push) nessuna configurazione L4-L7; quest’ultime sono di competenza dell’amministratore devices L4 – L7:
- questo modello non richiede un device package;
- l’amministratore di rete configura le porte e le vlan collegate ai firewall/balancer;
- l’amministratore firewall/balancer configura le porte/vlan e si occupa di gestire le policies ACL ed altro necessario attraverso un tool di management terze part L4-L7 devices
- Service Policy Mode (manager):
- questo modello richiede un device package;
- l’amministratore di rete necessita di applicare le configurazioni di rete e di sicurezza L4-L7 attraverso APIC per mezzo di una “function profile”;
- APIC programma le configurazioni sia per la Fabric ACI che per il device L4-L7;
- l’amministratore L4-L7 può leggere le configurazioni applicate dal suo tool di management terze parti ma non può fare nessun change direttamente
- Service Manager Mode:
- questo modello richiede un device package;
- l’amministratore L4-L7 definisce le configurazioni dal suo tool di management terze parti
- l’amministratore di rete configura il service graph e referenzia le policies L4-L7 definite sopra
ACI per l’integrazione di devices L4-L7 ne supporta il rilascio con service graph configurati con differenti modelli di configurazione: go-to (routed mode), go-to with service graph redirect, go-through trasparent mode, one-arm mode.
Alcuni steps di configurazioni sono necessarie per la fase di integrazione di questi devices:
- Configurazione del dominio fisico e virtuale, quindi la creazione di VLAN domain che verrà impiegato per l’integrazione del devices L4-7 (assicuriamoci di aver creato un bridge domain per un appliance fisico oppure un virtual domain VMM in caso di virtual appliance; questi domini verranno mappati alle porte dove questi devices saranno collegati)
- Creazione delle Fabric Access policies; queste politiche includono le best-practices configuration per come i devices L4-7 appliance verranno fisicamente collegati ad ACI Leaf
- Utilizzo delle seguenti basic configuration in caso di Firewall devices:
- Configurazione del context se supportato
- Transparent or routed mode
- Management IP address and connettivity
- Management protocols (enable ssh, http, https)
- Credenziali
- Import del Device Package;
- Creazione di un tenant dove verrà rilasciato uno specifico servizio;
- Creazione di una VRF dove verrà rilasciato uno specifico servizio;
- Creazione della associazione Bridge Domain to VRF
- Non usare IP learning quando si usa PBR
- Non usare unicast routing in trasparent mode
- Creazione degli EPG group e relativi contract
Quando un service graph è configurato il concetto di funzione è usato per specificare come il traffico deve fluire tra EPG Provider e EPG Consumer cosi come quali devices sono coinvolti nel path di comunicazione; queste funzioni possono essere definite come firewall, load-balancer, SSL offload, etc, ed APIC traduce queste operazioni dentro elementi di un service graph per mezzo di una tecnica chiamata rendering.
La tecnica di rendering, quindi, alloca le risorse di rete come un bridge-domain, vlans ed IP address per assicurare che gli EPG Provider e Consumer hanno le necessarie configurazioni per essere funzionali.
