aci integrazione terze-parti e device package plug-in
05.01 2020 | by massimilianoACI integrazione terze-parti e device package plug-in Ci sono differenti modi di integrare i Firewall e/o Balancer in ACI […]
https://www.ingegnerianetworking.com/wp-content/uploads/2020/01/device-package-esempio-957.png
ACI integrazione terze-parti e device package plug-in
Ci sono differenti modi di integrare i Firewall e/o Balancer in ACI e sono:
- Network Policy Mode: il traffico è trasmesso al firewall/balancer con una policy-based redirect (PBR); le configurazioni tra APIC e firewalls/balancer sono completamente separate lasciando grande flessibilità di “azione” al firewall.
- Traffico east-west è definito attraverso un bridge-domain e subnet in ACI; la configurazione di “contract” tra EPG è necessaria per i flussi diretti al firewall via PBR;
- Traffico north-south è definito attraverso una policy chiamata L3-out la quale contiene tutte le informazioni necessarie per un accesso verso external domain per un determinato tenant; un L3-out può raggruppare più external domain all’interno di un singolo EPG-ext usando un oggetto chiamato vzAny.
- Service Manager Mode: questo metodo permette di utilizzare APIC come singola consolle di confgurazione (nello stesso modo con cui Panorama gestisce gli appliance Palo Alto); i seguenti componenti sono richiesti per l’integrazione di devices L4-L7 (Palo Alto Firewall, Balancer F5, etc..):
- Vendor Controller (ad es. Panorama Palo Alto): per la gestione ed il rilascio di policy di sicurezza ed oggetti firewall usando APIC [ in alternativa è possibile non utilizzare Panorama con l’impiego di APIC per contesti virtuali (vsys), HA e network interface configuration, ma, in ogni caso, le policy debbono essere configurate direttamente sul firewall ];
- Vendor Partners: firewall fisici appliance e VM-series firewall per VMware ESXi standalone version; ACI inoltre può integrare firewall fisici divisi in contesti che APIC può gestire come singole entità (vsys). Quando si utilizza un multi-vsys firewall in ACI è necessario creare uno chassis-manager per il tenant dedicato ed assegnare questo al firewall services;
- Device Package (plug-in): permette e gestisce la comunicazione tra APIC, il controller del Vendor ed il devices L4 – L7 con la configurazione di HA, networking ed interfaces in APIC e pushing (inserimento) di queste configurazioni nei devices di competenza;