VTEP a Nexus, ACI, NSX (wydzielone z CCDE Bootcamp 1HCY2015)

Problemy i dyskusje z zakresu rozwiązań i technologii Data Center
Wiadomość
Autor
Awatar użytkownika
gangrena
CCIE/CCDE
CCIE/CCDE
Posty: 2349
Rejestracja: 08 mar 2004, 12:17
Lokalizacja: Wawa

VTEP a Nexus, ACI, NSX (wydzielone z CCDE Bootcamp 1HCY2015)

#1

#1 Post autor: gangrena »

martino76 pisze:Wygląda ciekawie szczególnie, ze jestem po szkoleniu z NSX i obecnie prowadzimy rozmowy z Cisco odnośnie VXLAN EVPN i mamy podjąć decyzje w jaki produkt uderzyć. Chętnie bym się dowiedział czegoś więcej na temat możliwości jakie oferuje Cisco w sprawie mikrosegmentacji i security East-West. Dodatkowo, wiem ze Cisco jako jedyny z graczy nie ogłosił sprzętowego wsparcia dla VTEP na swoich switchach ToR.
Cisco N9k w trybie NX-OS ma jak najbardziej możliwości wsparcia HW VTEP również dla NSX. Security East-West na Cisco, czyli jak rozumiem masz na myśli ACI, jest zależne od hypervisora oraz użytego switcha wirtualnego. Mikrosegmentacja w ACI np. dla ESXi wymaga użycia private VLANs oraz uruchomienia sieci overlay. Jest zero jedynkowa w oparciu o ACL. Mikrosegmentacja w NSX, to stateful firewall, identity firewall, nie wymaga uruchomienia sieci overlay. Może być selektywna w oparciu o reguły dystrybucyjnego firewalla. Ale zanim bym polecił ACI lub NSX musiałbym mieć więcej informacji o obecnym środowisku i jego wymaganiach.
Ostatnio zmieniony 01 sty 1970, 01:00 przez gangrena, łącznie zmieniany 1 raz.

martino76
CCIE
CCIE
Posty: 883
Rejestracja: 17 gru 2010, 15:23
Lokalizacja: Barczewo

#2

#2 Post autor: martino76 »

gangrena pisze:Cisco N9k w trybie NX-OS ma jak najbardziej możliwości wsparcia HW VTEP również dla NSX.
Jest jakis oficjalny dokument na ten temat, ze Cisco ma wsparcie hardwarowe dla NSX VTEP?
gangrena pisze:Security East-West na Cisco, czyli jak rozumiem masz na myśli ACI, jest zależne od hypervisora oraz użytego switcha wirtualnego.
Tak, bo Cisco nie oferuje innej opcji jak ACI jeśli chodzi o mikrosegmentacje East-West, przynajmniej nie słyszałem o innym rozwiązaniu.
gangrena pisze:Mikrosegmentacja w ACI np. dla ESXi wymaga użycia private VLANs oraz uruchomienia sieci overlay. Jest zero jedynkowa w oparciu o ACL.
Możesz napisać cos więcej na ten temat. Albo jak masz jakiś dokument który to fajnie opisuje to chętnie bym zgłębił temat :)

gangrena pisze:Mikrosegmentacja w NSX, to stateful firewall, identity firewall, nie wymaga uruchomienia sieci overlay. Może być selektywna w oparciu o reguły dystrybucyjnego firewalla. Ale zanim bym polecił ACI lub NSX musiałbym mieć więcej informacji o obecnym środowisku i jego wymaganiach.
NSX i mówią to sami ludzie VMware jest wdrażany własnie z tego powodu, ze FW jest zaimplementowany w kernel i pozwala na Statefull FW per VM oraz tworzenie security grup, gdzie VM może być wrzucana do odpowiedniej grup na podstawie rożnych tagow jak np. name etc.

NSX rowniez jeśli chodzi o VXLAN pozwala na tryb unicast wiec nie musimy miec odpalonego multicastu w core IP, Cisco wspiera również unicast. Wada NSX na chwile obecna v 6.2 jest to, ze ma wsparcie maksymalnie 8 klastrów, wiec jeśli masz sytuacja, gdzie per DC masz więcej klastrów, to może być problem, jeśli masz większa ilość DC np 6 i chciałbyś zrobić pomiędzy nimi overlay L2 network. NSX ma jeszcze inne ograniczenia jak np control VM, która jest odpowiedzialna za routing itd. Jeśli chodzi o skalowalność zdecydowanie poszedłbym w VXLAN EVPN z drugiej strony jeśli, ktoś ma male środowiska DC to NSX jest dobrym wyborem :)

Pozdro,

Awatar użytkownika
gangrena
CCIE/CCDE
CCIE/CCDE
Posty: 2349
Rejestracja: 08 mar 2004, 12:17
Lokalizacja: Wawa

#3

#3 Post autor: gangrena »

martino76 pisze:
gangrena pisze:Cisco N9k w trybie NX-OS ma jak najbardziej możliwości wsparcia HW VTEP również dla NSX.
Jest jakis oficjalny dokument na ten temat, ze Cisco ma wsparcie hardwarowe dla NSX VTEP?
Nie widziałem, by był opublikowany, ale pewnie się pokaże w ciągu 1-2 miesięcy.
martino76 pisze:
gangrena pisze:Security East-West na Cisco, czyli jak rozumiem masz na myśli ACI, jest zależne od hypervisora oraz użytego switcha wirtualnego.
Tak, bo Cisco nie oferuje innej opcji jak ACI jeśli chodzi o mikrosegmentacje East-West, przynajmniej nie słyszałem o innym rozwiązaniu.
Wspomniałeś o security East-West, a to nie to samo, co mikrosegmentacja.
martino76 pisze:
gangrena pisze:Mikrosegmentacja w ACI np. dla ESXi wymaga użycia private VLANs oraz uruchomienia sieci overlay. Jest zero jedynkowa w oparciu o ACL.
Możesz napisać cos więcej na ten temat. Albo jak masz jakiś dokument który to fajnie opisuje to chętnie bym zgłębił temat :)
Nie jest to jeszcze dokładnie opisane, gdyż łatana mikrosegmentacja w ACI dla ESXi dopiero ma się ukazać.
martino76 pisze:
gangrena pisze:Mikrosegmentacja w NSX, to stateful firewall, identity firewall, nie wymaga uruchomienia sieci overlay. Może być selektywna w oparciu o reguły dystrybucyjnego firewalla. Ale zanim bym polecił ACI lub NSX musiałbym mieć więcej informacji o obecnym środowisku i jego wymaganiach.
NSX i mówią to sami ludzie VMware jest wdrażany własnie z tego powodu, ze FW jest zaimplementowany w kernel i pozwala na Statefull FW per VM oraz tworzenie security grup, gdzie VM może być wrzucana do odpowiedniej grup na podstawie rożnych tagow jak np. name etc.
Około 40% wdrożeń NSX jest z uwagi na mikrosegmentację.
martino76 pisze:NSX rowniez jeśli chodzi o VXLAN pozwala na tryb unicast wiec nie musimy miec odpalonego multicastu w core IP, Cisco wspiera również unicast.
NSX wspiera unicast, hybrid oraz mcast mode. Zatem można wybrać, co bardziej pasuje.
martino76 pisze:Wada NSX na chwile obecna v 6.2 jest to, ze ma wsparcie maksymalnie 8 klastrów, wiec jeśli masz sytuacja, gdzie per DC masz więcej klastrów, to może być problem, jeśli masz większa ilość DC np 6 i chciałbyś zrobić pomiędzy nimi overlay L2 network.
Z tego, co wiem, to NSX 6.2 wspiera 16 klastrów vCenter. Jeżeli nawet założymy dwa klastry per DC, to daje to 8 DC. To sporo, nawet jak dla operatorów. Dodatkowo trzeba pamiętać, że klastry vCenter mogą rozciągać się między DC (jeżeli nie są daleko do siebie). W ACI przy założeniu 2 switchy spine per DC można uzyskać tylko 3 DC. Chyba, że mówimy o NX-OS + EVPN, ale wówczas każde urządzenie musi być zarządzane oddzielnie, brak kontrolera, brak automatyzacji (chyba, że API), brak mikrosegmentacji. Wszystko zależy od użytej wirtualizacji.
martino76 pisze:NSX ma jeszcze inne ograniczenia jak np control VM, która jest odpowiedzialna za routing itd. Jeśli chodzi o skalowalność zdecydowanie poszedłbym w VXLAN EVPN z drugiej strony jeśli, ktoś ma male środowiska DC to NSX jest dobrym wyborem :)
Hmm.. jakie ograniczenia masz na myśli odnośnie control VM? Od 6.2 NSX nadaje się również do dużych środowisk. :)

Awatar użytkownika
konradrz
CCIE
CCIE
Posty: 400
Rejestracja: 23 sty 2008, 14:21
Lokalizacja: Singapore, SG
Kontakt:

#4

#4 Post autor: konradrz »

gangrena pisze:
martino76 pisze:
gangrena pisze:Cisco N9k w trybie NX-OS ma jak najbardziej możliwości wsparcia HW VTEP również dla NSX.
Jest jakis oficjalny dokument na ten temat, ze Cisco ma wsparcie hardwarowe dla NSX VTEP?
Nie widziałem, by był opublikowany, ale pewnie się pokaże w ciągu 1-2 miesięcy.
O, to jednak się dogadali? Nie słyszałem nic.

Dla mniej zorientowanych:
Były sobie dwa NSXy - "MH" (multi-hypervisor, używający OVS), i "v" (nowy, używający własnego słicza i control plane).
Wszelakie "hardware VTEP support" dla NSX były właśnie dla NSH-MH; na takiej Ariście trzeba było agenta ovs zainstalować/włączyć, i po zabawie.
Trik z NSX-v jest (był?) taki, że control plane jest (było?) szyfrowane/proprietary, a VMware kazało sobie płacić za agenta. A Cisco płacić nie chciało (plotka głosiła).

martino76 pisze:
gangrena pisze:Mikrosegmentacja w ACI np. dla ESXi wymaga użycia private VLANs oraz uruchomienia sieci overlay. Jest zero jedynkowa w oparciu o ACL.
Możesz napisać cos więcej na ten temat. Albo jak masz jakiś dokument który to fajnie opisuje to chętnie bym zgłębił temat :)
W skrócie, tworzy się "private VLAN" port-grupa w DVSie, a portem promiscuous jest leaf switch ACI. Czyli jak VMki chcą ze sobą gadać, pakiet musi być wypchnięty z serwera, "odbić się" od słicza (tam jest sprawdzany kontrakt, i być może redirect do firewalla), pakiet wraca do serwera (drugiej VMki).
Działa obecnie w Hyper-V, w VMware na razie testowo (nie trzeba żadnych AVSów instalować, zwykły VDS/dVS). W OpenStacku też chyba tylko testowo (z użyciem Group Base Policy agenta).

gangrena pisze:Nie jest to jeszcze dokładnie opisane, gdyż łatana mikrosegmentacja w ACI dla ESXi dopiero ma się ukazać.
E tam, wszystko jest opisane, ale "Cisco confidential" na razie.

Awatar użytkownika
gangrena
CCIE/CCDE
CCIE/CCDE
Posty: 2349
Rejestracja: 08 mar 2004, 12:17
Lokalizacja: Wawa

#5

#5 Post autor: gangrena »

konradrz pisze:O, to jednak się dogadali? Nie słyszałem nic.
Ponoć tak, teraz Cisco przechodzi proces certyfikacji. Do połowy roku uzbiera się spora lista wendorów.
konradrz pisze:
gangrena pisze:Nie jest to jeszcze dokładnie opisane, gdyż łatana mikrosegmentacja w ACI dla ESXi dopiero ma się ukazać.
E tam, wszystko jest opisane, ale "Cisco confidential" na razie.
No dokładnie w tym znaczeniu. Nie jest to dokładnie opisane publicznie, ale wiadomo, wewnętrzne specyfikacje musiały istnieć dużo wcześniej.

ODPOWIEDZ