Inleiding
In dit document wordt beschreven hoe Cisco Application Centric Infrastructure (ACI) is geconfigureerd voor Virtual Machine Manager (VMM) met Dell VxRail-servers.
Achtergrondinformatie
ACI kan integreren met een verscheidenheid aan fysieke servers die VMWare vSphere gebruiken. Dell VxRail is een antwoord op een "kant-en-klare" hyperconverged infrastructuur. Dell VxRail maakt gebruik van VMWare vSAN om gegevens op meerdere fysieke servers te repliceren. In werkelijkheid heeft VxRail geen speciale functies die het onderscheiden van andere leveranciers die VMWare vSAN-replicatietechnologie gebruiken.
Een VxRail-implementatie kan worden voltooid met een geneste vSphere-server (vSphere VM geïnstalleerd op het VxRail-cluster) of met een externe vSphere-server. In dit document wordt aangenomen dat vSphere en VxRail al zijn geïnstalleerd. De processen voor het implementeren van VMWare en Cisco VMM integratie zijn niet afhankelijk van waar in de infrastructuur zich de vSphere server bevindt. De enige netwerkvereiste is de IP-bereikbaarheid naar de LLDP-netwerkdetectie van de vSphere-server en Link Layer Discovery Protocol met de Dell VxRail ESXi-servers.
Specificaties voor de implementatie van VxRail vallen niet onder dit document. Raadpleeg de relevante documentatie van Dell of technische ondersteuning voor de implementatie van VxRail. Deze handleiding richt zich op de netwerkaspecten van een vooraf geïnstalleerd VxRail-servercluster.
vSphere-voorbereiding
In een typische VxRail-implementatie maakt het VxRail-installatieprogramma een nieuwe VMware Distributed Switch (VDS), waaraan de VxRail ESXi-hosts zijn gekoppeld. Deze VDS heeft verschillende VM-poortgroepen (VLAN’s) en VMkernel-interfaces (IP-adressen).
VXRail standaard VMWare-poortgroepen
Naam |
Doel |
Beheernetwerk |
ESXi-beheernetwerk |
Virtueel SAN |
replicatienetwerk voor VSAN |
vSphere vMotion |
vMotion |
VXRail-beheer |
Het geïsoleerde netwerk dat wordt gebruikt voor de detectie van VxRail-knooppunten |
Wanneer VxRail wordt geïmplementeerd, kunnen aan het einde van de namen van de standaardpoortgroep nummers worden toegevoegd. De toegevoegde nummers kunnen veilig worden verwijderd.
VXRail gedistribueerde Switch:
Namen VMWare-poortgroepen wijzigen
Als ACI voor VMM-geïntegreerde VMWare-domeinen een poortgroep binnen vSphere creëert, noemt ACI de poortgroep met een specifiek formaat: tenant|application|epgACI
.
Opmerking: het is meestal aan te raden de standaardinstelling te gebruiken, maar dit is niet nodig. Een aangepaste poortgroepnaam kan worden gekozen wanneer een EPG wordt geïmplementeerd in vSphere indien gewenst. Als voor deze benadering wordt gekozen, moet er zeer op worden gelet dat de EPG's worden ingezet met de exacte namen van de poortgroepen binnen de VMWare dvSwitch. Als een aangepaste ACI-naam is vereist, raadpleegt u Custom EPG Name Configuration and Cisco ACI
in de Cisco ACI-virtualisatiegids op Cisco.com.
In dit document wordt ervan uitgegaan dat de standaard ACI-naam wordt gebruikt. Om te beginnen met VxRail en ACI VMM integratie, moeten de standaard VMWare poortgroepen worden hernoemd om te voldoen aan de standaard ACI naamregeling. De enige uitzondering hierop is de VxRail Management poortgroep; deze poortgroep wordt niet hernoemd naar ACI's standaard omdat bepaalde VxRail knooppunt opvoegingsscripts naar deze poortgroepnaam zoeken.
Voorbeeld van VxRail gedistribueerde Switch met hernoemde poortgroepen:
De eerste stap van VxRail en ACI VMM integratie is het standaardiseren van de naamconventie van standaard poortgroepen.
Standaard maakt VxRail de gedistribueerde VMWare-Switch aan de wortel van de Datacenter-mappenstructuur. Om te voldoen aan de ACI-naam en verwachte mapstructuur, moet de VMWare-beheerder een map maken met dezelfde naam als het VMWare-datacenter en de gedistribueerde VMWare-switch verplaatsen naar de nieuwe map. Deze verplaatsing mag geen gevolgen hebben voor de diensten, maar wijzigingen moeten binnen een gepland onderhoudsvenster worden uitgevoerd.
De datacenters, de netwerkmap en de dvSwitch moeten allemaal dezelfde naam hebben. De verschillende dvPortGroups worden genoemd volgens de ACI-huurder en EPG-namen.
Gebruikersaccount met minimale rechten voor VMware vCenter
Wanneer u de VMware vCenter-rechten van een serviceaccount configureert, staat u de APIC toe VMware API-opdrachten naar VMware vCenter te sturen voor het maken van de poortgroepen. Hierdoor kan ACI ook alle nodige waarschuwingen doorgeven en VM-informatie en -inventaris verzamelen. Accounts kunnen Active Directory-geïntegreerde of lokale vCenter Single Sign On (SSO)-referenties zijn.
Raadpleeg de Cisco ACI-virtualisatiegids op Cisco.com voor specifieke machtigingen die nodig zijn voor deze integratie.
Wijs de toestemming van deze serviceaccount minimaal toe aan het VxRail ESXi-cluster en de dvSwitch.
Waarschuwing: met de integratie van ACI in VxRail is het van cruciaal belang om voor elke VxRail-cluster een ACI-specifieke servicerekening te maken (niet noodzakelijkerwijs de VMWare-cluster, maar VxRail/vSAN-cluster - die een 1:1-relatie moet hebben). Dit komt doordat als er in de toekomst een wens is om ACI en VxRail-integratie te verwijderen, de VMWare-beheerder eerst de toestemming van de serviceaccount uit vCenter moet verwijderen en vervolgens de ACI-beheerder het VMM-domein uit ACI moet verwijderen. Dit maakt het zo ACI kan niet verwijderen de VMWare gedistribueerde Switch (omdat ACI niet langer toestemming heeft om dit te doen) wanneer het ACI VMM domein wordt verwijderd. Als deze dissociatie wordt uitgevoerd, is het ook aan te raden om ervoor te zorgen dat de account geen actieve aanmelding bij vCenter heeft op het moment dat de ACI VMM-domein wordt gewist.
Configuratie van dvSwitch-detectieprotocol
VMWare Gedistribueerde switches kunnen LLDP of CDP gebruiken voor het next-hop switch discovery protocol, maar niet beide. Identificeer wat het detectieprotocol is voor de standaard VMWare VxRail dvSwitch en zorg ervoor dat het bij gebruik voor "Beide" is geconfigureerd. Dit maakt een juiste buurdetectie binnen ACI en ESXi mogelijk.
Om dit te vinden, kan de VMWare-beheerder met de rechtermuisknop op de VMWare dvSwitch klikken en naar Settings > Edit Settings > Advanced
. Het detectieprotocol kan eenvoudig worden geïdentificeerd en de werking kan worden gewijzigd in Both
indien niet reeds ingesteld. Documenteer het geconfigureerde detectieprotocol, zoals later in ACI nodig is.
Bovendien moet de VxRail VMWare dvSwitch-versie worden geïdentificeerd en gedocumenteerd onder het menu Samenvatting van de DvSwitch.
ACI-configuratie
Zodra de VMWare-netwerkobjecten zijn benoemd volgens de ACI-naamstandaarden, is het tijd om te beginnen met de ACI read-only-integratie. De read-only integratie volgt de standaard ACI VMM-integratieprocedure, maar met de enige uitzondering dat het domein als Read-Only kan worden gecreëerd.
Configuratie van ACI-toegangsbeleid
De eerste stap binnen ACI is het creëren van de verschillende standaard ACI-beleidsobjecten die nodig zijn wanneer u een nieuw domein in ACI maakt. Omdat het Virtuele Domein verbonden is aan een fysiek VxRail-cluster dat reeds bestaat en er enige overlapping kan zijn tussen fysieke objecten en virtuele objecten. Zo worden de Interface Policy Groups (IPG’s) die worden gebruikt voor de fysieke ESXi-verbindingen waarschijnlijk als een fysiek domein geconfigureerd. Dit mag niet worden veranderd.
Eén ding dat nodig is, is ervoor te zorgen dat op deze IPG’s het nodige CDP- of LLDP-beleid wordt toegepast. Over het algemeen kunnen LLDP en CDP beide worden ingeschakeld op deze IPG’s, wat de aanbevolen aanpak in dit document is. Het is echter van cruciaal belang dat het bovengenoemde dvSwitch-detectiebeleid binnen de IPG wordt ingeschakeld, zodat er een goed hostdetectiebeleid tussen VMWare en ACI plaatsvindt.
Neem nota van de AEP die binnen de IPG wordt vermeld. Aangezien VxRail als een cluster wordt ingezet, moet er een speciale AEP voor dit VxRail-cluster zijn, maar is dit niet nodig. Deze AEP wordt later vermeld door het VMWare-domein dat in toekomstige secties van dit document zal worden gecreëerd.
Dynamische VLAN-pool
Voor VMWare VMM-domeinen moet een Dynamische VLAN-pool worden gebruikt. Als de huidige VxRail VLAN-pool niet dynamisch is, moet er een nieuwe pool worden gemaakt en naar deze pool worden gemigreerd. Het is mogelijk om een statisch bereik van VLAN’s te hebben binnen een Dynamisch VLAN-pool, wat het geval is in een migratiescenario. Deze statische VLAN’s zijn vMotion, ESXi Management, VxRail Management en vSAN. Alle andere op VM gebaseerde poortgroepen kunnen dynamisch worden toegewezen, maar ze kunnen statisch zijn.
Het document is niet van toepassing op migratie van een statische VLAN-pool naar een dynamische VLAN-pool. Neem contact op met Cisco TAC voor ondersteuning.
VMware VMM-domein zonder controllers maken
Binnen ACI, onder Virtual Networking, en dan VMWare: selecteer VMWare en selecteer Create vCenter domain. Wanneer u een domeinnaam maakt, moet de Virtual Switch Name overeenkomen met de naam van de eerder aangepaste VMWare Distributed Switch. Zorg ervoor dat de namen hetzelfde zijn. Bovendien moet u ervoor zorgen dat de "Toegangsmodus" wordt gewijzigd van Leesschrijfmodus in Alleen-lezen modus.
Het vCenter-domein maken
EPG’s implementeren in nieuw gemaakt VMM-domein
Op dit punt is het zeer fundamentele VMM domein gecreëerd, maar er is geen VMWare credential of controller gecreëerd. Omdat de dvSwitch al in vCenter bestaat, moeten de EPG’s eerst worden geïmplementeerd in het lege VMM-domein. Navigeer naar huurders en implementeer het nieuw gecreëerde VMM-domein naar elke EPG die momenteel in VxRAIL bestaat. Deze netwerken moeten minimaal bestaan binnen een VxRail-cluster: ESXi-beheer, virtueel SAN, vMotion en VxRail-beheer.
Implementeer deze EPG’s met een statische poortinsluiting en hergebruik het VLAN dat al op de EPG staat voor het statische pad. In wezen maakt dit proces een kopie van de EPG-configuratie van de fysieke domeinconfiguratie van VxRail naar de VMM-configuratie. Voor de meeste situaties wordt ook aanbevolen om de pre-provisioning te selecteren als de Resolution Immediacy voor deze VxRail-infrastructuurnetwerken.
EPG’s naar het VMM-domein implementeren
Als u de standaard ACI naamconventie voor VMWare poortgroepen niet gebruikt, zorg er dan voor dat de aangepaste poortgroepnamen overeenkomen met wat momenteel in vCenter wordt gebruikt. Een voorbeeld hiervan is het VxRail Management Network.
Aangepaste EPG-naam opgeven
Opmerking: wanneer EPG’s worden geïmplementeerd in een alleen-lezen VMM-domein, kunnen er meerdere ACI F0565-fouten voor het VMM-domein zijn. Dit is normaal voor een Read-Only domein en kan veilig worden genegeerd.
Credentials vCenter en controller maken
Nadat het VMM-domein is gemaakt en alle EPG’s het menuobject Controllers selecteren om de vCenter Credentials aan te maken. Dit moet dezelfde geloofsbrieven zijn als die welke in eerdere stappen toegang tot vCenter hebben gekregen.
Nadat de referenties zijn gemaakt, maakt u de vCenter-controller. Wanneer u de vCenter-controller maakt, moet u ervoor zorgen dat de DVS-versie overeenkomt met de dvSwitch in vCenter. Gebruik de eerder gemaakte serviceaccount voor de referenties.
Op dit punt kan ACI de ESXi-hypervisors en eventuele VM's die aan de dvSwitch-poortgroepen zijn gekoppeld, bekijken.
Voltooide integratie alleen lezen:
Netwerkbeleid voor vSwitch opgeven
U moet ten minste het dvSwitch-detectiebeleid instellen voordat u het VMM-domein optilt om te lezen en schrijven. VxRail-systemen worden doorgaans geconfigureerd als trunks zonder poortkanalen, zodat dit mogelijk niet nodig is. Specificeer een beleid LLDP en CDP. Zorg ervoor dat dit beleid zich zo nauw mogelijk aanpast aan de manier waarop de VMWare dvSwitch is geconfigureerd. Specificeer het MTU-beleid; 9000 wordt aanbevolen. Het uitgebreide beleid van de Netwerkvertraging wordt typisch niet gebruikt in implementaties VxRail.
Kiezen Submit
na voltooiing.
Configuratie van netwerkbeleid voor vSwitch
VMM-domein promoten om te lezen
Waarschuwing: voor de promotie van het VMM-domein van Read Only to Read Write wordt aanbevolen een volledige back-up van vCenter te maken. Het wordt ook aanbevolen om de dvSwitch uit de VMWare vCenter UI te exporteren. Ten slotte wordt aanbevolen een ACI-momentopname te nemen.
Waarschuwing: wanneer u de toegangsmodus wijzigt in schrijfmodus lezen, moet u ervoor zorgen dat u een VLAN-pool kiest voordat u Indienen selecteert. Aanbevolen wordt om dubbel te controleren of de VLAN’s die door de dvPort-groep worden gebruikt, in deze pool aanwezig zijn.
Waarschuwing: een VMM-domein kan slechts eenmaal worden gewijzigd van de alleen-lezen modus in de schrijfmodus. Het kan niet worden gewijzigd van Lezen schrijf naar Alleen lezen. Om terug te keren naar Lees alleen het domein moet worden verwijderd en opnieuw gecreëerd (of hersteld vanuit een back-up/snapshot).
Als u het VMM-domein van de alleen-lezen modus wilt promoten op schrijfmodus, wijzigt u de toegangsmodus en zorgt u dat er een VLAN-pool is geselecteerd. Kiezen Submit
na voltooiing. Het is onwaarschijnlijk dat deze stap een verkeersopstopping veroorzaakt, maar onderhoud uitvoert binnen een onderhoudsvenster. Op dit punt kunnen EPG’s rechtstreeks vanuit ACI worden ingezet in de dvSwitch van VMWare.
VMM domein promoten om te lezen