M H D E X P E R T S

Chargement

Contactez-Nous

APIC – Le cerveau de ACI indépendant (Partie 1/2)

Home ArticlesAPIC – Le cerveau de ACI indépendant (Partie 1/2)

L’APIC (Application Policy Infrastructure Controller) de Cisco est le point de contrôle de la fabric et de tous ses équipements qui le compose. C’est le point de relai entre l’administrateur afin de pousser ses policies et ses configurations vers la fabrique. Il est important de noter que l’APIC ne représente pas le control plane ni le data plane plane de la fabric. L’APIC est au dessus. La perte de l’APIC n’influence en aucun cas le bon fonctionnement de la fabric. En d’autres termes, en perdant ou déconnectant un ou tous les APICs d’un fabric, on perd juste la possibilité de pousser des configurations vers la Fabric. La fabric ayant déjà reçu les policies de l’APIC avant sa déconnection, continuera de fonctionner correctement.

La configuration physique de l’APIC est une composition de minimum plusieurs serveurs avec une haute disponibilité entre eux afin de former un cluster.

Ce qu’il faut retenir de l’APIC est :

  • Le point de contrôle de la fabric
  • Détient les policies :
    • Management plane
    • Pas le control plane
    • Pas le chemin du trafic
  • Une redondance de 3 serveurs minimum afin de forme un cluster
    • Chaque serveur est doublement rattaché afin d’augmenter la résilience
  • Instancie le changement de policies






L’APIC ne tourne sur les serveurs Cisco Unified Computing System (UCS) C-Series. Le logiciel APIC est déjà préinstalle sur les serveurs UCS.

Decouverte de la fabric :

Avec ACI, plus besoin de configuration manuelle des switches. Cisco a créé un processus automatique afin que la fabric puisse découvrir les composants et les rajouter. ACI utilise LLDP et DHCP afin de découvrir les switches, leur assigner les adresses VTEP (Virtual Tunnel Endpoint) et installer la version firmware sur les switch.

Quelles sont les exigences minimums pour démarrer la fabric ?

Cisco ACI se base sur LLDP et DHCP afin de découvrir automatiquement les composants de la fabric, leur assigner des adresses VTEP, et installer la correcte firmware sur les switchs. Avant ce processus automatisé, une configuration minimale doit être effectuée sur l’APIC.

Les exigences minimales sont :

  • Le câblage de la fabric doit suivre les strictes recommandations de Cisco (plus de détails plus tard)
  • Créer un cluster d’APICs depuis le MGMT (OOB)
  • Tous les APICs doivent impérativement avoir la même version firmware.

Le câblage initial de la structure Cisco ACI est très important et les conditions suivantes doivent être respectées :

  • Les Leafs ne peuvent etre connectes qu’aux Spines. Pas de cablages enter les leafs, meme si celles-ci sont ou seront des vPC peers.
  • Les Spines sont connectes au Leafs. Pas de cablages entre les Spines.
  • Les APICs sont toujours connectes aux leafs. Il est recommende de dual-connecter (avec 2 leafs differents) pour la redondance.
  • Tous les endpoints, et equipements couche 2, couche, couche 4-7 doivente etre connectes aux leafs. Ils ne doivent pas etre connectes aux Spines.

Vous pouvez vérifier l’état opérationnel de Cisco APIC à l’aide de la commande CLI acidiag avread.

Configuration de l’APIC :

Lorsque vous configurez l’APIC pour la première fois, notez les points suivants:

  • Utilisez la console et répondez aux questions initiales du script d’installation de Cisco APIC.
  • Après la configuration initiale, accédez à l’interface graphique via https://mgmt_ip-address
  Cluster configuration ...
   Enter the fabric name [ACI Fabric1 #1]: 
   Enter the number of controllers in the fabric (1-16) [3]: 
   Enter the controller ID (1-3) [2]: 
   Enter the controller name [apic2]: 
   Enter address pool for TEP addresses [10.0.0.0/16]: 
   Enter the VLAN ID for infra network (1-4094)[]: <<< This is for the physical APIC        
 <... output omitted ...> 
  Out-of-band management configuration ...
  Enter the IP address for out-of-band management: 192.168.10.2/24
  Enter the IP address of the default gateway [None]: 192.168.10.254
<... output omitted ...>
 
Administrator user configuration...
  Enable strong passwords? [Y]
  Enter the password for admin:

Nous allons explorer ensemble les éléments surligner.

  • Fabric name, number of controllers, controller ID, and controller name : vous devez d’abord configurer le nom de la fabric­, le nombre de contrôleurs (la valeur par défaut est 3), l’ID du contrôleur (qui est un numéro d’identification unique pour l’instance de Cisco APIC : 1, 2, ou 3), et le nom du contrôleur. Ces valeurs doivent être uniques parmi les différents APIC du cluster.
  • Address pool for TEP addresses : configurer le groupe d’adresses pour les adresses de point de terminaison du tunnel (TEP). Le pool d’adresses IP par défaut pour les adresses de points de terminaison de tunnel TEP est 10.0.0.0/16. Cette valeur concerne uniquement l’infrastructure VRF. Ce sous-réseau ne doit pas chevaucher d’autres sous-réseaux routés de votre réseau. Si ce sous-réseau chevauche un autre sous-réseau, remplacez ce sous-réseau par un autre / 16 sous-réseaux. Le sous-réseau minimum pris en charge pour un cluster de 3 APICs est un / 23.
  • ID VLAN pour le réseau infra : configurer le VLAN du réseau d’infrastructure. Ce réseau local virtuel d’infrastructure sert aux communications entre l’APIC et les switchs, y compris les switchs virtuels. L’ID de VLAN ne doit pas être utilisé ailleurs dans votre environnement et ne doit pas chevaucher d’autres VLAN réservés sur d’autres plates-formes.
  • Configuration du management out-of-band (OOB) :
    • Out-of-band management IP address : configurer l’adresse IP pour management OOB, qui est l’adresse IP que vous utilisez pour accéder à Cisco APIC via l’interface graphique, l’interface de ligne de commande ou l’interface de programmation d’application (API).
    • Default gateway IP address : Configurer l’adresse IP de la passerelle par défaut pour la communication avec les réseaux externes à l’aide de l’OOB.
    • Admin password : définissez le mot de passe. Le mot de passe de l’administrateur système doit comporter au moins 8 caractères avec un caractère spécial.

À la fin du script, vous pouvez accéder à l’interface graphique de Cisco APIC via https://mgmt_ip-address  à l’aide de l’adresse IP OOB que vous avez configurée lors de la configuration initiale. Lorsque l’écran de connexion apparaît, connectez-vous en tant qu’administrateur en utilisant le mot de passe que vous avez configuré lors de la configuration initiale.

 Remarque : La synchronisation de l'horloge est importante. Si les horloges sur les nœuds et Cisco APIC diffèrent, la découverte peut échouer.

Tags:
Partager:

Driss JABBAR

Driss JABBAR

Co-Fondateur de la société MHD-EXPERTs et Architect réseaux avec plus de 16 ans d'expérience dans la conception et l'implémentation des architectures complexes LAN/WAN/DC/Cloud Networking. Pendant son parcours professionnelle, Driss a travaillé chez des intégrateurs et aussi des opérateurs. Driss possède actuellement trois certifications d'expertise Cisco CCIE RS & SP et CCDE.

En dehors du travail, Driss consacre plus de temps pour sa famille mais il réserve toujours un petit créneau pour apprendre des nouvelles technologies ou pour regarder un match de foot de son club préféré.

Driss est contributeur du blog MHD et joignable à l’adresse : driss.jabbar@mhd-experts.com

Commentaires (1)

  • Candide KATELEKA
    janvier 20, 2020

    Bonjour Malick Ndiya,
    Je m’appelle Candide KATELEKA, résident en RDC. Je suis concepteur des systèmes d’information et ma spécialité c’est la sécurité des SI. J’ai été interresé par les articles que vous avez publié sur les solutions SDN de Cisco. es-ce que pouvez-vous avoir un article qui traite des Tenants, VRF, BD, Contrat, EPG, EP, Policy? je suis preneur.

    Reply

Commentaires

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Article récents