简介
本文档介绍如何配置思科以应用为中心的基础设施(ACI),以实现具有Dell VxRail服务器的Virtual Machine Manager(VMM)。
背景信息
ACI可以与使用VMWare vSphere的各种物理服务器集成。Dell VxRail是“统包式”超融合基础架构的答案。Dell VxRail利用VMWare vSAN在多个物理服务器上复制数据。实际上,VxRail没有使其与使用VMWare vSAN复制技术的其他供应商区别的特殊功能。
VxRail部署可通过嵌套的vSphere服务器(在VxRail群集中安装vSphere VM)或外部vSphere服务器完成。在本文档中,假设已安装vSphere和VxRail。实施VMWare和思科VMM集成的流程不取决于vSphere服务器在基础设施中的位置。唯一的网络要求是通过Dell VxRail ESXi服务器实现vSphere服务器的IP可达性和链路层发现协议(LLDP)网络发现。
本文档不介绍VxRail部署的具体内容。有关如何部署VxRail,请参阅相应的戴尔文档或技术支持。本指南重点介绍预安装的VxRail服务器群集的网络方面。
vSphere准备
在典型的VxRail部署中,VxRail安装程序会创建一个新的VMware分布式交换机(VDS),VxRail ESXi主机将连接到该交换机。此VDS具有多个VM端口组(VLAN)和VMkernel接口(IP地址)。
VxRail默认VMWare端口组
名称 |
目的 |
管理网络 |
ESXi管理网络 |
虚拟SAN |
VSAN的复制网络 |
vSphere vMotion |
vMotion |
VxRail管理 |
用于VxRail节点发现的隔离网络 |
部署VxRail时,默认端口组的名称可以在其末尾附加数字。可以安全地删除附加号码。
VxRail分布式交换机:
重命名VMWare端口组
对于VMM集成的VMWare域,当ACI在vSphere中创建端口组时,ACI将使用特定格式命名端口组: tenant|application|epgACI
.
注:通常建议使用默认值,但这不是必需的。如果需要,在vSphere中部署EPG时,可以选择自定义端口组名称。如果选择此方法,则必须非常小心,EPG在VMWare dvSwitch内部署时具有确切的端口组名称。如果需要自定义ACI名称,请参阅 Custom EPG Name Configuration and Cisco ACI
思科ACI虚拟化指南,网址为:Cisco.com。
本文档假定使用了默认ACI名称。为了开始VxRail和ACI VMM集成,必须重命名默认VMWare端口组以匹配默认ACI名称方案。唯一的例外是VxRail管理端口组;由于某些VxRail节点添加脚本会查找此端口组名称,因此不会将该端口组重命名为ACI的默认值。
带有重命名端口组的VxRail分布式交换机的示例:
VxRail和ACI VMM集成的第一步是标准化默认端口组的名称约定。
默认情况下,VxRail会在数据中心文件夹结构的根创建VMWare分布式交换机。为了符合ACI名称和预期的文件夹结构,VMWare管理员必须创建一个与VMWare数据中心名称相同的文件夹,并将VMWare分布式交换机移至新创建的文件夹中。此移动不得影响服务,但必须在计划的维护时段内执行更改。
数据中心、网络文件夹和dvSwitch必须具有相同的名称。各种dvPortGroups根据ACI租户和EPG名称进行命名。
具有最低VMware vCenter权限的用户帐户
配置服务帐户的VMware vCenter权限时,您允许APIC向VMware vCenter发送VMware API命令以创建端口组。这还允许ACI中继所有必要的警报并收集VM信息和资产。帐户可以是Active Directory集成或本地vCenter单点登录(SSO)凭证。
请参阅Cisco.com上的思科ACI虚拟化指南,了解此集成所需的特定权限。
至少将此服务帐户权限分配给VxRail ESXi群集和dvSwitch。
警告:通过ACI到VxRail的集成,为每个VxRail集群(不一定是VMWare集群,而是VxRail/vSAN集群 — 必须具有1:1的关系)创建ACI专用服务帐户至关重要。这是因为,如果将来需要删除ACI和VxRail集成,VMWare管理员必须首先从vCenter中删除服务帐户的权限,然后ACI管理员从ACI中删除VMM域。因此,删除ACI VMM域时,ACI无法删除VMWare分布式交换机(因为ACI不再具有执行此操作的权限)。如果执行此分离,还建议确保在ACI VMM域删除时,该帐户没有到vCenter的活动登录。
dvSwitch发现协议配置
VMWare分布式交换机可以使用LLDP或CDP作为下一跳交换机发现协议,但不能同时使用这两者。确定默认VMWare VxRail dvSwitch的发现协议是什么,并确保其配置为“Both”运行。这允许在ACI和ESXi内正确发现邻居。
为此,VMWare管理员可右键单击VMWare dvSwitch并导航至 Settings > Edit Settings > Advanced
.发现协议可以轻松识别,操作可以更改为 Both
如果尚未设置。记录已配置的发现协议,以备以后在ACI中需要。
此外,必须在dvSwitch Summary信息菜单下识别和记录VxRail VMWare dvSwitch版本。
ACI配置
根据ACI名称标准命名VMWare网络对象后,便应开始ACI只读集成。只读集成跟踪标准ACI VMM集成过程,但只能将域创建为只读除外。
ACI访问策略配置
ACI中的第一步是在ACI中创建新域时创建所需的各种标准ACI策略对象。因为虚拟域与已经存在的物理VxRail群集关联,并且物理对象和虚拟对象之间可能存在一些重叠。例如,用于物理ESXi连接的接口策略组(IPG)可能配置为物理域。不能更改。
需要的一件事是确保这些IPG应用必要的CDP或LLDP策略。通常,这些IPG上都可以启用LLDP和CDP,这是本文推荐的方法。但是,在IPG中启用上述dvSwitch发现策略至关重要,这样才能在VMWare和ACI之间实施正确的主机发现策略。
注意IPG中引用的AEP。由于VxRail作为集群部署,因此该VxRail集群必须有专用AEP(但不是必需的)。此AEP稍后将由本文档未来部分中创建的VMWare域引用。
动态VLAN池
VMWare VMM域要求使用动态VLAN池。如果当前VxRail VLAN池不是动态的,则需要创建新的池并将其迁移到。在动态VLAN池内可以拥有静态范围的VLAN,这是迁移方案中的情况。这些静态VLAN包括vMotion、ESXi Management、VxRail Management和vSAN。所有其他基于VM的端口组都可以动态分配,但它们可以是静态的。
本文档不涉及从静态VLAN池迁移到动态VLAN池的内容。 如需帮助,请联系思科TAC。
创建不带控制器的VMware VMM域
在ACI中,在Virtual Networking下,然后选择VMWare:选择VMWare,然后选择Create vCenter domain。创建域时,虚拟交换机名称必须与之前修改的VMWare分布式交换机的名称匹配。确保名称相同。此外,请确保“访问模式”从读写模式更改为只读模式。
创建vCenter域
将EPG部署到新创建的VMM域
此时,已创建非常基本的VMM域,但尚未创建VMWare凭证或控制器。由于dvSwitch已存在于vCenter中,因此必须首先将EPG部署到空的VMM域。导航到租户,并将新创建的VMM域部署到VxRAIL中当前存在的每个EPG。至少,这些网络必须存在于VxRail群集中:ESXi管理、虚拟SAN、vMotion和VxRail管理。
使用静态端口封装部署这些EPG,并将EPG上现有的VLAN重新用于静态路径。实质上,此过程会将EPG配置从VxRail的物理域配置复制到VMM配置。对于大多数情况,也建议选择预调配作为这些VxRail基础设施网络的解决方案即时性。
将EPG部署到VMM域
如果不对VMWare端口组使用默认ACI名称约定,请确保自定义端口组名称与vCenter中当前使用的名称匹配。例如,VxRail管理网络。
指定自定义EPG名称
注:将EPG部署到只读VMM域时,VMM域可能会出现多个ACI F0565故障。这对于只读域是正常的,可以安全地忽略。
创建vCenter凭证和控制器
创建VMM域和所有EPG选择控制器菜单对象以创建vCenter凭证后。此凭证必须与之前步骤中授予vCenter访问权限的凭证相同。
创建凭证后,创建vCenter控制器。创建vCenter控制器时,请确保DVS版本与vCenter中的dvSwitch匹配。使用之前为凭证创建的服务帐户。
此时,ACI可以看到ESXi虚拟机监控程序和任何连接到dvSwitch端口组的虚拟机。
已完成只读集成:
指定vSwitch网络策略
在将VMM域提升为读写之前,必须至少设置dvSwitch发现策略。VxRail系统通常配置为没有端口通道的中继,因此可能不需要这样做。指定LLDP和CDP策略。确保这些策略与VMWare dvSwitch的配置方式尽可能接近。指定MTU策略;建议使用9000。增强型网络LAG策略通常不用于VxRail部署。
选择 Submit
完成后。
vSwitch网络策略配置
将VMM域提升为读写
警告:将VMM域从只读升级到读写之前,建议执行完整的vCenter备份。还建议从VMWare vCenter UI导出dvSwitch。最后,建议拍摄ACI快照。
警告:将访问模式更改为读写模式时,请确保在选择Submit之前选择VLAN池。建议仔细检查dvPort-Group使用的VLAN是否存在于此池中。
警告:VMM域只能从只读模式更改为读写模式一次。它不能从读写更改为只读。要恢复为只读,需要删除并重新创建域(或从备份/快照恢复)。
要将VMM域从只读模式升级为读写模式,请更改访问模式并确保已选择VLAN池。选择 Submit
完成后。此步骤不太可能造成流量中断,但会在维护窗口内执行任何维护。 此时,EPG可以直接从ACI部署到VMWare的dvSwitch中。
将VMM域提升为读写: