Konfigurieren der Integration von Dell VxRail und ACI VMM
Inhalt
Einleitung
In diesem Dokument wird beschrieben, wie die Cisco Application Centric Infrastructure (ACI) für Virtual Machine Manager (VMM) mit Dell VxRail-Servern konfiguriert wird.
Hintergrundinformationen
Die ACI kann in eine Vielzahl physischer Server integriert werden, die VMware vSphere verwenden. Dell VxRail ist die Antwort auf eine hyperkonvergente, schlüsselfertige Infrastruktur. Dell VxRail verwendet VMWare vSAN, um Daten auf mehreren physischen Servern zu replizieren. In der Realität verfügt VxRail über keine besonderen Merkmale, die es von anderen Anbietern unterscheiden, die die vSAN-Replikationstechnologie von VMWare nutzen.
Eine VxRail-Bereitstellung kann mit einem geschachtelten vSphere-Server (im VxRail-Cluster installierte vSphere VM) oder mit einem externen vSphere-Server abgeschlossen werden. In diesem Dokument wird davon ausgegangen, dass vSphere und VxRail bereits installiert sind. Die Prozesse zur Implementierung der VMWare- und Cisco VMM-Integration hängen nicht davon ab, wo in der Infrastruktur sich der vSphere-Server befindet. Die einzige Netzwerkanforderung besteht in der IP-Erreichbarkeit des vSphere-Servers und der Link Layer Discovery Protocol (LLDP)-Netzwerkerkennung mit den Dell VxRail ESXi-Servern.
Details zur VxRail-Bereitstellung werden in diesem Dokument nicht behandelt. Informationen zur Bereitstellung von VxRail finden Sie in der entsprechenden Dell Dokumentation oder beim technischen Support. Dieser Leitfaden konzentriert sich auf die Netzwerkaspekte eines vorinstallierten VxRail-Server-Clusters.
vSphere-Vorbereitung
In einer typischen VxRail-Bereitstellung erstellt das VxRail-Installationsprogramm einen neuen VMware Distributed Switch (VDS), an den die VxRail ESXi-Hosts angeschlossen sind. Dieser VDS verfügt über mehrere VM-Portgruppen (VLANs) und VMkernel-Schnittstellen (IP-Adressen).
VxRail-Standard-VMWare-Portgruppen
| Name |
Zweck |
| Managementnetzwerk |
ESXi-Managementnetzwerk |
| Virtuelles SAN |
Replikationsnetzwerk für VSAN |
| vSphere-Bewegung |
vMotion |
| VxRail-Management |
Das isolierte Netzwerk für die VxRail-Knotenerkennung |
Wenn VxRail bereitgestellt wird, können die Namen der Standard-Portgruppe mit Ziffern am Ende angehängt werden. Die angehängten Nummern können sicher entfernt werden.
VxRail Distributed Switch
Umbenennen von VMWare-Portgruppen
Wenn die ACI bei VMM-integrierten VMWare-Domänen eine Portgruppe innerhalb von vSphere erstellt, benennt die ACI die Portgruppe in einem bestimmten Format: tenant|application|epgACI .
Hinweis: Es wird in der Regel empfohlen, die Standardeinstellung zu verwenden. Dies ist jedoch nicht erforderlich. Bei Bedarf kann ein benutzerdefinierter Port-Gruppenname ausgewählt werden, wenn eine EPG in vSphere bereitgestellt wird. Wenn dieser Ansatz gewählt wird, muss sehr sorgfältig darauf geachtet werden, dass die EPGs mit den genauen Namen der Portgruppen innerhalb des VMWare dvSwitch bereitgestellt werden. Wenn ein benutzerdefinierter ACI-Name erforderlich ist, finden Sie weitere Informationen unter Custom EPG Name Configuration and Cisco ACI im Cisco ACI Virtualization Guide unter Cisco.com.
In diesem Dokument wird davon ausgegangen, dass der Standard-ACI-Name verwendet wird. Um mit der VxRail- und ACI VMM-Integration zu beginnen, müssen die standardmäßigen VMWare-Portgruppen umbenannt werden, damit sie mit dem standardmäßigen ACI-Namensschema übereinstimmen. Die einzige Ausnahme bildet die VxRail Management-Portgruppe. Diese Portgruppe wird nicht in die ACI umbenannt, da bestimmte VxRail Node-Additionsskripte nach dem Namen dieser Portgruppe suchen.
Beispiel eines verteilten VxRail-Switches mit umbenannten Portgruppen:
Der erste Schritt der VxRail- und ACI VMM-Integration besteht in der Standardisierung der Namenskonvention von Standard-Portgruppen.
Standardmäßig erstellt VxRail den VMWare Distributed Switch im Stammverzeichnis der Ordnerstruktur des Rechenzentrums. Um den ACI-Namen und die erwartete Ordnerstruktur einzuhalten, muss der VMWare-Administrator einen Ordner erstellen, der mit dem VMWare-Rechenzentrum identisch ist, und den verteilten VMWare-Switch in den neu erstellten Ordner verschieben. Dieser Umzug darf sich nicht auf Services auswirken, Änderungen müssen jedoch innerhalb eines geplanten Wartungsfensters ausgeführt werden.
Rechenzentrum, Netzwerkordner und dvSwitch müssen alle denselben Namen haben. Die verschiedenen dvPortGroups werden entsprechend den ACI-Tenant- und EPG-Namen benannt.
Benutzerkonto mit minimalen VMware vCenter-Berechtigungen
Wenn Sie die VMware vCenter-Berechtigungen eines Dienstkontos konfigurieren, erlauben Sie dem APIC, VMware API-Befehle zur Erstellung der Portgruppen an VMware vCenter zu senden. Auf diese Weise kann die ACI alle erforderlichen Warnungen weiterleiten und VM-Informationen und -Bestand erfassen. Bei den Konten kann es sich um in Active Directory integrierte oder lokale vCenter Single Sign On (SSO)-Anmeldeinformationen handeln.
Im Cisco ACI-Virtualisierungsleitfaden unter Cisco.com finden Sie spezifische Berechtigungen für diese Integration.
Weisen Sie dem VxRail ESXi-Cluster und dem dvSwitch mindestens diese Service-Kontoberechtigungen zu.
Warnung: Bei der Integration von ACI in VxRail muss für jeden VxRail-Cluster (nicht unbedingt für den VMWare-Cluster, sondern für den VxRail/vSAN-Cluster, der eine 1:1-Beziehung aufweisen muss) ein dediziertes ACI-Dienstkonto erstellt werden. Wenn es in der Zukunft den Wunsch gibt, die ACI- und VxRail-Integration zu entfernen, muss der VMWare-Administrator zunächst die Berechtigung des Dienstkontos aus vCenter entfernen, und dann muss der ACI-Administrator die VMM-Domäne aus der ACI entfernen. Dadurch kann die ACI den verteilten VMWare-Switch nicht löschen (da die ACI nicht mehr dazu berechtigt ist), wenn die ACI VMM-Domäne gelöscht wird. Wenn diese Trennung durchgeführt wird, wird außerdem empfohlen, sicherzustellen, dass sich das Konto zum Zeitpunkt der ACI VMM-Domänenlöschung nicht bei vCenter anmeldet.
dvSwitch Discovery Protocol-Konfiguration
Verteilte VMWare-Switches können LLDP oder CDP für das Next-Hop-Switch-Erkennungsprotokoll verwenden, jedoch nicht beides. Identifizieren Sie das Erkennungsprotokoll für den VMWare-Standard-VxRail-dvSwitch, und stellen Sie sicher, dass es für "Both" (Beide) konfiguriert ist, wenn der Vorgang ausgeführt wird. Dies ermöglicht eine korrekte Erkennung von Nachbarn innerhalb von ACI und ESXi.
Um dies zu finden, kann der VMWare-Administrator mit der rechten Maustaste auf den VMWare dvSwitch klicken und zu Settings > Edit Settings > Advanced . Das Discovery Protocol kann leicht identifiziert werden, und der Vorgang kann wie folgt geändert werden: Both , wenn sie nicht bereits eingestellt ist. Dokumentieren Sie das konfigurierte Erkennungsprotokoll, wie es später in der ACI benötigt wird.
Zusätzlich muss die VxRail VMWare dvSwitch Version unter dem Informationsmenü dvSwitch-Zusammenfassung identifiziert und dokumentiert werden.
ACI-Konfiguration
Nachdem die VMWare-Netzwerkobjekte gemäß den ACI-Namensstandards benannt wurden, ist es an der Zeit, mit der schreibgeschützten ACI-Integration zu beginnen. Die schreibgeschützte Integration verfolgt das standardmäßige ACI VMM-Integrationsverfahren, mit der einzigen Ausnahme, dass die Domäne schreibgeschützt erstellt werden kann.
Konfiguration der ACI-Zugriffsrichtlinie
Der erste Schritt der ACI besteht in der Erstellung der verschiedenen Standard-ACI-Richtlinienobjekte, die zum Erstellen einer neuen Domäne in der ACI erforderlich sind. Die virtuelle Domäne ist an ein bereits vorhandenes physisches VxRail-Cluster gebunden, und es kann zu Überschneidungen zwischen physischen und virtuellen Objekten kommen. So werden beispielsweise die für die physischen ESXi-Verbindungen verwendeten Schnittstellen-Richtliniengruppen (IPGs) wahrscheinlich als physische Domäne konfiguriert. Das darf nicht geändert werden.
Es muss sichergestellt werden, dass die erforderlichen CDP- oder LLDP-Richtlinien auf diese IPGs angewendet werden. Generell können LLDP und CDP auf diesen IPGs aktiviert werden, was in diesem Dokument empfohlen wird. Es ist jedoch wichtig, dass die oben genannte dvSwitch-Erkennungsrichtlinie im IPG aktiviert ist, damit zwischen VMWare und der ACI eine angemessene Host-Erkennungsrichtlinie stattfindet.
Beachten Sie den AEP, auf den im IPG verwiesen wird. Da VxRail als Cluster bereitgestellt wird, muss es einen dedizierten AEP für diesen VxRail-Cluster geben, dies ist jedoch nicht erforderlich. Auf diesen AEP wird später von der VMWare-Domäne verwiesen, die in zukünftigen Abschnitten dieses Dokuments erstellt werden soll.
Dynamischer VLAN-Pool
VMWare VMM-Domänen erfordern die Verwendung eines dynamischen VLAN-Pools. Wenn der aktuelle VxRail VLAN-Pool nicht dynamisch ist, muss ein neuer Pool erstellt und zu migriert werden. Es ist möglich, einen statischen VLAN-Bereich innerhalb eines dynamischen VLAN-Pools festzulegen, wie es bei einem Migrationsszenario der Fall ist. Diese statischen VLANs sind vMotion, ESXi Management, VxRail Management und vSAN. Alle anderen VM-basierten Portgruppen können dynamisch zugewiesen werden, sie können jedoch statisch sein.
Das Dokument behandelt keine Migration von einem statischen VLAN-Pool zu einem dynamischen VLAN-Pool. Wenden Sie sich an das Cisco TAC, um Unterstützung zu erhalten.
Erstellen einer VMware VMM-Domäne ohne Controller
Wählen Sie innerhalb der ACI unter "Virtual Networking" und dann "VMWare" die Option "VMWare" und dann "Create vCenter domain" aus. Wenn Sie die Domäne erstellen, muss der Name des virtuellen Switches mit dem Namen des zuvor geänderten verteilten VMWare-Switches übereinstimmen. Stellen Sie sicher, dass die Namen identisch sind. Stellen Sie außerdem sicher, dass der "Zugriffsmodus" von "Schreibmodus lesen" in "Schreibgeschützt" geändert wird.
Erstellen der vCenter-Domäne
Bereitstellen von EPGs in neu erstellter VMM-Domäne
An diesem Punkt wurde die sehr einfache VMM-Domäne erstellt, es wurden jedoch keine VMWare-Anmeldeinformationen oder -Controller erstellt. Da der dvSwitch bereits in vCenter vorhanden ist, müssen die EPGs zunächst in der leeren VMM-Domäne bereitgestellt werden. Navigieren Sie zu Tenants, und stellen Sie die neu erstellte VMM-Domäne für jede EPG bereit, die derzeit in VxRAIL vorhanden ist. Diese Netzwerke müssen mindestens in einem VxRail-Cluster vorhanden sein: ESXi-Management, virtuelles SAN, vMotion und VxRail-Management.
Stellen Sie diese EPGs mit einer statischen Port-Kapselung bereit, und nutzen Sie das VLAN, das sich bereits in der EPG befindet, für den statischen Pfad erneut. Bei diesem Prozess wird im Wesentlichen eine Kopie der Konfiguration der EPG von der physischen Domänenkonfiguration von VxRail in die VMM-Konfiguration erstellt. In den meisten Fällen wird darüber hinaus empfohlen, die Vorabbereitstellung als Lösungsunmittelbarkeit für diese VxRail-Infrastrukturnetzwerke zu wählen.
Bereitstellen von EPGs in der VMM-Domäne
Wenn Sie die Standard-ACI-Namenskonvention für VMWare-Portgruppen nicht verwenden, stellen Sie sicher, dass die benutzerdefinierten Portgruppennamen mit den derzeit in vCenter verwendeten Namen übereinstimmen. Ein Beispiel hierfür ist das VxRail Management Network.
Benutzerdefinierten EPG-Namen angeben
Hinweis: Wenn EPGs in einer schreibgeschützten VMM-Domäne bereitgestellt werden, kann es mehrere ACI F0565-Fehler für die VMM-Domäne geben. Dies ist für eine schreibgeschützte Domäne normal und kann problemlos ignoriert werden.
Erstellen von vCenter-Anmeldedaten und -Controller
Nach dem Erstellen der VMM-Domäne und der Auswahl aller EPGs wählen Sie das Menüobjekt "Controller" aus, um die vCenter-Anmeldeinformationen zu erstellen. Diese Anmeldeinformationen müssen mit denen identisch sein, denen in den vorherigen Schritten Zugriff auf vCenter gewährt wurde.
Nachdem die Anmeldeinformationen erstellt wurden, erstellen Sie den vCenter-Controller. Stellen Sie beim Erstellen des vCenter-Controllers sicher, dass die DVS-Version mit dem dvSwitch in vCenter übereinstimmt. Verwenden Sie das zuvor erstellte Dienstkonto für die Anmeldeinformationen.
An diesem Punkt werden der ACI die ESXi-Hypervisoren und alle mit den dvSwitch-Portgruppen verbundenen VMs angezeigt.
Vollständige schreibgeschützte Integration:
vSwitch-Netzwerkrichtlinien angeben
Sie müssen mindestens die dvSwitch-Erkennungsrichtlinien festlegen, bevor Sie die VMM-Domäne auf Read Write erhöhen. VxRail-Systeme werden in der Regel als Trunks ohne Port-Channels konfiguriert, daher ist dies möglicherweise nicht erforderlich. Geben Sie eine LLDP- und CDP-Richtlinie an. Stellen Sie sicher, dass diese Richtlinien so nah wie möglich an der Konfiguration des VMWare dvSwitch ausgerichtet sind. Geben Sie die MTU-Richtlinie an. 9000 wird empfohlen. Erweiterte Netzwerk-LAG-Richtlinien werden in VxRail-Bereitstellungen normalerweise nicht verwendet.
Auswählen Submit wenn sie abgeschlossen wurden.
vSwitch-Netzwerkrichtlinienkonfiguration
Heraufstufen der VMM-Domäne auf Lese-/Schreibzugriff
Warnung: Vor der Heraufstufung der VMM-Domäne von schreibgeschützt auf schreibgeschützt wird empfohlen, ein vollständiges vCenter-Backup durchzuführen. Es wird außerdem empfohlen, den dvSwitch aus der VMware vCenter-Benutzeroberfläche zu exportieren. Schließlich wird empfohlen, einen ACI-Snapshot zu erstellen.
Warnung: Wenn Sie den Zugriffsmodus in den Lese-/Schreibmodus ändern, stellen Sie sicher, dass Sie einen VLAN-Pool auswählen, bevor Sie Senden auswählen. Es wird empfohlen, erneut zu überprüfen, ob die von der dvPort-Gruppe verwendeten VLANs in diesem Pool vorhanden sind.
Warnung: Eine VMM-Domäne kann nur einmal vom schreibgeschützten Modus in den schreibgeschützten Modus geändert werden. Sie kann nicht von Schreibzugriff in Schreibzugriff geändert werden. Um wieder auf Read Only (schreibgeschützt) zurückzugreifen, muss die Domäne gelöscht und neu erstellt (oder aus einem Backup/Snapshot wiederhergestellt) werden.
Um die VMM-Domäne vom schreibgeschützten Modus in den schreibgeschützten Modus zu versetzen, ändern Sie den Zugriffsmodus, und stellen Sie sicher, dass ein VLAN-Pool ausgewählt ist. Auswählen Submit wenn Sie fertig sind. Es ist unwahrscheinlich, dass dieser Schritt zu einer Unterbrechung des Datenverkehrs führt. Wartungsarbeiten können jedoch innerhalb eines Wartungsfensters durchgeführt werden. An diesem Punkt können EPGs direkt von der ACI in den dvSwitch von VMWare implementiert werden.
Heraufstufen der VMM-Domäne auf "Lesen/Schreiben":
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
1.0 |
31-Jul-2023 |
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)