Configuración de la integración de Dell VxRail y ACI VMM
Contenido
Introducción
Este documento describe cómo Cisco Application Centric Infrastructure (ACI) se configura para Virtual Machine Manager (VMM) con servidores Dell VxRail.
Antecedentes
ACI puede integrarse con una variedad de servidores físicos que utilizan VMWare vSphere. Dell VxRail es la respuesta a una infraestructura hiperconvergente llave en mano. Dell VxRail utiliza VMWare vSAN para replicar datos en varios servidores físicos. En realidad, VxRail no tiene características especiales que lo distingan de otros proveedores que utilizan la tecnología de replicación VMWare vSAN.
Una implementación de VxRail se puede completar con un servidor vSphere anidado (VM vSphere instalado en el clúster de VxRail) o con un servidor vSphere externo. En este documento, se supone que vSphere y VxRail ya están instalados. Los procesos para implementar VMWare y la integración de Cisco VMM no dependen del lugar de la infraestructura donde reside el servidor vSphere. El único requisito de red es la accesibilidad IP al servidor vSphere y la detección de red mediante el protocolo LLDP (Link Layer Discovery Protocol) con los servidores Dell VxRail ESXi.
En este documento no se tratan las características específicas de la implementación de VxRail. Consulte la documentación o el soporte técnico adecuados de Dell sobre cómo implementar VxRail. Esta guía se centra en los aspectos de red de un clúster de servidores VxRail preinstalado.
Preparación de vSphere
En una implementación típica de VxRail, el instalador de VxRail crea un nuevo switch distribuido VMware (VDS) al que se conectan los hosts de VxRail ESXi. Este VDS tiene varios grupos de puertos de VM (VLAN) e interfaces VMkernel (direcciones IP).
Grupos de puertos VMWare predeterminados de VxRail
| Nombre |
Propósito |
| Red de gestión |
Red de gestión de ESXi |
| SAN virtual |
Red de replicación para VSAN |
| vSphere vMotion |
vMotion |
| Gestión de VxRail |
La red aislada utilizada para la detección de nodos de VxRail |
Cuando se implementa VxRail, los nombres del grupo de puertos predeterminado pueden tener números anexados al final de los mismos. Los números anexados se pueden eliminar de forma segura.
Switch distribuido VxRail:
Cambiar nombre de grupos de puertos VMWare
Para los dominios VMWare integrados en VMM, cuando ACI crea un grupo de puertos dentro de vSphere, ACI asigna un nombre al grupo de puertos con un formato específico: tenant|application|epgACI .
Nota: normalmente se recomienda utilizar el valor predeterminado, pero no es obligatorio. Se puede elegir un nombre de grupo de puertos personalizado cuando se implementa un EPG en vSphere si se desea. Si se elige este enfoque, se debe tener mucho cuidado de que los EPG se implementen con los nombres de grupos de puertos exactos dentro del dvSwitch VMWare. Si se requiere un nombre de ACI personalizado, consulte Custom EPG Name Configuration and Cisco ACI en la Guía de virtualización de Cisco ACI, que se encuentra en Cisco.com.
Este documento asume que se utiliza el nombre de ACI predeterminado. Para iniciar la integración de VM de VxRail y ACI, se debe cambiar el nombre de los grupos de puertos VMWare predeterminados para que coincidan con el esquema de nombres ACI predeterminado. La única excepción a esto es el grupo de puertos de administración de VxRail; este grupo de puertos no cambia de nombre a ACI predeterminado porque ciertos scripts de adición de nodos de VxRail buscan este nombre de grupo de puertos.
Ejemplo de VxRail Distributed Switch con Grupos de Puertos Renombrados:
El primer paso de la integración de VM de VxRail y ACI es estandarizar la convención de nombres de los grupos de puertos predeterminados.
De forma predeterminada, VxRail crea el switch distribuido VMWare en la raíz de la estructura de carpetas del centro de datos. Para cumplir con el nombre de ACI y la estructura de carpetas esperada, el administrador de VMWare debe crear una carpeta con el mismo nombre que el centro de datos VMWare y mover el switch distribuido VMWare a la carpeta recién creada. Este movimiento no debe afectar a los servicios, pero los cambios deben ejecutarse dentro de una ventana de mantenimiento programada.
El Data Center, la carpeta de red y el dvSwitch deben tener el mismo nombre. Los distintos dvPortGroups se denominan según los nombres de EPG y arrendatario de ACI.
Cuenta de usuario con privilegios mínimos de VMware vCenter
Al configurar los privilegios de VMware vCenter de una cuenta de servicio, permite que el APIC envíe comandos de la API de VMware a VMware vCenter para la creación de los grupos de puertos. Esto también permite a ACI transmitir todas las alertas necesarias y recopilar información de VM e inventario. Las cuentas pueden ser credenciales integradas en Active Directory o de inicio de sesión único (SSO) de vCenter local.
Consulte la guía de virtualización de Cisco ACI en Cisco.com para obtener los permisos específicos necesarios para esta integración.
Asigne estos permisos de cuenta de servicio al clúster VxRail ESXi y al dvSwitch, como mínimo.
Advertencia: con la integración de ACI a VxRail, es fundamental crear una cuenta de servicio dedicada de ACI para cada clúster de VxRail (no necesariamente el clúster de VMWare, sino el clúster de VxRail/vSAN, que debe tener una relación 1:1). Esto se debe a que, si en el futuro se desea eliminar la integración de ACI y VxRail, el administrador de VMWare primero debe eliminar el permiso de la cuenta de servicio de vCenter y, a continuación, el administrador de ACI debe eliminar el dominio VMM de ACI. Esto hace que ACI no pueda eliminar el switch distribuido VMWare (porque ACI ya no tiene permiso para hacerlo) cuando se elimina el dominio ACI VMM. Si se realiza esta disociación, también se recomienda asegurarse de que la cuenta no tiene un inicio de sesión activo en vCenter en el momento de la eliminación del dominio VMM de ACI.
Configuración de DvSwitch Discovery Protocol
Los switches distribuidos VMWare pueden utilizar LLDP o CDP para el protocolo de detección de switch de siguiente salto, pero no ambos. Identifique cuál es el protocolo de detección para el dvSwitch VMWare VxRail predeterminado y asegúrese de que esté configurado para "Ambos" en la operación. Esto permite una detección de vecinos adecuada en ACI y ESXi.
Para encontrarlo, el administrador de VMWare puede hacer clic con el botón derecho del ratón en el dvSwitch de VMWare y navegar hasta Settings > Edit Settings > Advanced . El protocolo de detección se puede identificar fácilmente y la operación se puede cambiar a Both si no está ya configurado. Documente el protocolo de detección configurado, ya que se necesita más adelante en ACI.
Además, la versión de VxRail VMWare dvSwitch debe identificarse y documentarse en el menú informativo de resumen de dvSwitch.
Configuración de ACI
Una vez que los objetos de red VMWare se han nombrado según los estándares de nombres de ACI, es el momento de comenzar la integración de solo lectura de ACI. La integración de solo lectura realiza un seguimiento del procedimiento de integración de VMM de ACI estándar, pero con la única excepción de que el dominio se puede crear como de solo lectura.
Configuración de la política de acceso ACI
El primer paso de ACI consiste en crear los distintos objetos de política de ACI estándar que se requieren al crear un nuevo dominio en ACI. Debido a que el dominio virtual está vinculado a un clúster físico de VxRail que ya existe y puede haber algún solapamiento entre los objetos físicos y los objetos virtuales. Por ejemplo, es probable que los grupos de directivas de interfaz (IPG) utilizados para las conexiones físicas de ESXi estén configurados como un dominio físico. Esto no debe cambiarse.
Una cosa que se necesita es asegurarse de que estos IPG tengan las políticas necesarias de CDP o LLDP aplicadas. Generalmente, tanto LLDP como CDP se pueden habilitar en estos IPG, que es el enfoque recomendado aquí. Sin embargo, es fundamental que la política de detección de dvSwitch mencionada anteriormente esté habilitada dentro del IPG para que se produzca una política de detección de host adecuada entre VMWare y ACI.
Tome nota del AEP al que se hace referencia en el IPG. Dado que VxRail se implementa como un clúster, debe haber, pero no es necesario, un AEP dedicado para este clúster de VxRail. Más adelante, el dominio VMWare que se creará en las secciones futuras de este documento hará referencia a este AEP.
Conjunto de VLAN dinámicas
Los dominios VM de VMWare requieren el uso de un grupo de VLAN dinámicas. Si el conjunto de VLAN de VxRail actual no es dinámico, debe crearse un nuevo conjunto y migrarse a él. Es posible tener un rango estático de VLAN dentro de un conjunto de VLAN dinámicas, lo que sucede en un escenario de migración. Estas VLAN estáticas son vMotion, ESXi Management, VxRail Management y vSAN. Todos los demás grupos de puertos basados en VM se pueden asignar dinámicamente, pero pueden ser estáticos.
El documento no cubre la migración de un conjunto de VLAN estáticas a un conjunto de VLAN dinámicas. Póngase en contacto con el TAC de Cisco para obtener ayuda.
Crear dominio VMware VMM sin controladores
En ACI, en Red virtual y, a continuación, en VMWare, seleccione VMWare y seleccione Crear dominio de vCenter. Al crear el dominio, el nombre del switch virtual debe coincidir con el nombre del switch distribuido VMWare modificado anteriormente. Asegúrese de que los nombres son los mismos. Además, asegúrese de que "Access Mode" (Modo de acceso) cambie del modo de lectura/escritura al modo de sólo lectura.
Crear el dominio del vCenter
Implementar EPG en dominio VMM recién creado
En este momento, se ha creado el dominio VMM muy básico, pero no se ha creado ninguna credencial o controlador VMWare. Dado que el dvSwitch ya existe en vCenter, los EPG deben implementarse primero en el dominio VMM vacío. Desplácese hasta Arrendatarios e implemente el dominio VMM recién creado en cada EPG que exista actualmente en VxRAIL. Como mínimo, estas redes deben existir en un clúster de VxRail: gestión de ESXi, SAN virtual, vMotion y gestión de VxRail.
Implemente estos EPG con una encapsulación de puerto estático y reutilice la VLAN que ya está en el EPG para el trayecto estático. Básicamente, este proceso realiza una copia de la configuración del EPG de la configuración del dominio físico de VxRail a la configuración de VMM. También se recomienda, para la mayoría de las situaciones, que el preaprovisionamiento se seleccione como la solución inmediata para estas redes de infraestructura VxRail.
Implementar EPG en el dominio VMM
Si no utiliza la convención de nombres de ACI predeterminada para los grupos de puertos VMWare, asegúrese de que los nombres de grupos de puertos personalizados coinciden con los que se utilizan actualmente en vCenter. Un ejemplo de esto puede ser la red de administración VxRail.
Especificar nombre EPG personalizado
Nota: cuando se implementan EPG en un dominio VMM de solo lectura, puede haber varios errores ACI F0565 para el dominio VMM. Esto es normal para un dominio de sólo lectura y se puede ignorar de forma segura.
Crear credenciales y controlador de vCenter
Una vez creado el dominio VMM y seleccionados todos los EPG, seleccione el objeto de menú Controladores para crear la credencial de vCenter. Esta credencial debe ser la misma a la que se concedió acceso al vCenter en los pasos anteriores.
Una vez creada la credencial, cree el vCenter Controller. Cuando cree el controlador vCenter, asegúrese de que la versión DVS coincida con el dvSwitch en vCenter. Utilice la cuenta de servicio creada anteriormente para la credencial.
En este momento, ACI puede ver los hipervisores ESXi y cualquier VM conectada a los grupos de puertos del dvSwitch.
Integración de solo lectura completada:
Especificar políticas de red de vSwitch
Como mínimo, debe establecer las directivas de detección de dvSwitch antes de elevar el dominio VMM a Lectura/Escritura. Los sistemas VxRail suelen configurarse como troncales sin canales de puerto, por lo que puede que no sea necesario. Especifique una política LLDP y CDP. Asegúrese de que estas políticas se alinean, lo más cerca posible, con la configuración del dvSwitch VMWare. Especifique la política de MTU; se recomienda 9000. Las políticas de LAG de red mejoradas no se suelen utilizar en implementaciones de VxRail.
Seleccionar Submit cuando se haya completado.
Configuración de la política de red vSwitch
Promocionar dominio VMM para lectura y escritura
Advertencia: antes de promocionar el dominio VMM de Sólo lectura a Lectura/Escritura, se recomienda realizar una copia de seguridad completa del vCenter. También se recomienda exportar el dvSwitch desde la interfaz de usuario de VMWare vCenter. Por último, se recomienda tomar una instantánea de ACI.
Advertencia: Cuando cambie el Modo de Acceso a Modo de Lectura/Escritura, asegúrese de elegir un Conjunto de VLAN antes de seleccionar Submit . Se recomienda verificar de nuevo que las VLAN utilizadas por el grupo dvPort existan en este conjunto.
Advertencia: un dominio VMM solo se puede cambiar del modo de sólo lectura al modo de lectura y escritura una vez. No se puede cambiar de Lectura/Escritura a Sólo Lectura. Para revertir a Sólo lectura, el dominio debe eliminarse y volver a crearse (o restaurarse a partir de una copia de seguridad o instantánea).
Para ascender el dominio VMM del modo de sólo lectura al modo de escritura de lectura, cambie el modo de acceso y asegúrese de que esté seleccionado un grupo de VLAN. Seleccionar Submit cuando haya finalizado. Es poco probable que este paso provoque interrupciones en el tráfico, pero puede llevar a cabo tareas de mantenimiento dentro de una ventana de mantenimiento. En este momento, los EPG se pueden implementar directamente desde ACI en el dvSwitch de VMWare.
Promocionar dominio VMM para lectura y escritura:
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
31-Jul-2023 |
Versión inicial |
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)