We’re one of the best professional IT outsourcing companies in Thailand. Let’s work together

Tenant คืออะไร – Cisco ACI

Home PostsTenant คืออะไร – Cisco ACI
Tenant คืออะไร – Cisco ACI

Tenant ในระบบ Cisco ACI (Application Centric Infrastructure) คือชุดของการตั้งค่า (configurations) ขอบเขตของการจัดการและนโยบายใน ACI ที่แยกอิสระจากกัน ใช้เพื่อแบ่งแยกผู้ใช้งานหรือระบบงานต่าง ๆ โดยไม่กระทบกัน ทั้งในด้านการ routing, bridging และ policy control

  • แยกการจัดการ (Management) และ การประมวลผลข้อมูล (Data Processing) ภายในระบบ ACI ออกจากกัน
  • Tenant ทำหน้าที่เสมือน Policy Container คล้ายกับ Sub-Organization (Sub-Org) ในระบบ Cisco UCS
  • แยกในระดับ Data Plane โดยใช้ VRF (Virtual Routing and Forwarding) และ Bridge Domain (BD) เพื่อแยกเครือข่ายออกจากกัน
  • สามารถกำหนดการเชื่อมต่อ Layer 2 / Layer 3 ทั้งภายในและภายนอก fabric ให้กับแต่ละ tenant ได้ รวมถึงการเข้าถึงและควบคุมบริการ Layer 4–7

องค์ประกอบหลักของ Tenant ใน Cisco ACI

1. VRF (Context)

  • VRF คือส่วนที่ใช้แยกเครือข่ายในระดับ Layer 3 ออกจากกัน คล้ายกับการมี “ตาราง Routing ส่วนตัว” สำหรับแต่ละระบบงานหรือแต่ละลูกค้า
  • แต่ละ VRF จะไม่สามารถคุยกันได้โดยตรง เว้นแต่จะกำหนดให้เชื่อมต่อกัน
  • ภายในหนึ่ง Tenant สามารถสร้าง VRF ใหม่ หรือใช้ VRF ที่แชร์มาจาก “common tenant” ก็ได้
  • แต่ละ VRF จะมีรหัสเฉพาะ (VXLAN VNID หรือ Segment ID) ใช้ระบุการส่งต่อข้อมูลในระดับ Layer 3

2. Bridge Domain (BD)

  • Bridge Domain คือขอบเขตของเครือข่าย Layer 2 ที่ใช้รวมกลุ่มของ Subnet และควบคุมพฤติกรรมของการส่งข้อมูล เช่น Broadcast หรือ Flooding
  • แต่ละ BD ต้องเชื่อมกับ VRF หนึ่งตัว
  • EPG แต่ละกลุ่มจะอยู่ใน BD ได้เพียงอันเดียว
  • BD หนึ่งสามารถขยายครอบคลุมหลายสวิตช์ หลาย Pod และหลาย Site ได้
  • MAC Address ภายใน BD ต้องไม่ซ้ำกัน ถ้าซ้ำ ACI จะมองว่าเป็น MAC move
  • BD แต่ละตัวจะมีรหัส VXLAN VNID เฉพาะตัว ใช้สำหรับ Layer 2 forwarding

3.Application Profile (AP)

  • Application Profile เปรียบเสมือน แฟ้มรวมของแอปพลิเคชัน
  • ภายในจะเก็บ EPG ต่าง ๆ ที่เกี่ยวข้องกับแอปนั้น พร้อมกำหนดน Policy การสื่อสารระหว่างกัน
  • ใช้จัดกลุ่มการตั้งค่าที่เกี่ยวข้องกับระบบงานเดียวกัน

4. Endpoint Group (EPG)

  • EPG คือกลุ่มของอุปกรณ์ (Endpoints) ที่อยู่ภายใต้นโยบายเดียวกัน เช่น เซิร์ฟเวอร์หลายเครื่องที่อยู่ในระบบเดียวกัน
  • ระบบจะใช้ VLAN tag และพอร์ตของสวิตช์เพื่อบอกว่า Endpoint นั้นอยู่ใน EPG ใด
  • โดยค่าเริ่มต้น EPG ต่างกันจะไม่สามารถสื่อสารกันได้ ต้องมีการทำ Contract ก่อน

5. IP Subnets

  • Subnet ใน ACI ทำหน้าที่เป็น Gateway กลางแบบกระจาย (Anycast Gateway) หมายความว่า Gateway ของเครือข่ายนั้นจะอยู่บน Leaf Switch ใกล้กับเครื่องปลายทางโดยอัตโนมัติ
  • ระบบจะสร้าง SVI บน Leaf ที่มี Endpoint ของ Subnet นั้นอยู่
  • หนึ่ง BD สามารถมีได้หลาย Subnet แต่ Subnet ต้องมี IP ไม่ซ้ำกันภายใน VRF เดียวกัน
  • Subnet สามารถใช้ร่วมกันระหว่างหลาย EPG ได้

6. Contracts, Subjects & Filters

  • Contract คือ ข้อตกลงการสื่อสาร ระหว่าง EPG สองกลุ่ม ว่าจะส่งข้อมูลอะไรหากันได้บ้าง
  • Contract จะประกอบด้วย Subject ซึ่งระบุรายละเอียดการสื่อสาร เช่น อนุญาตหรือบล็อกพอร์ตไหน
  • Filter  จะกำหนดประเภทของทราฟฟิกที่ให้ผ่าน เช่น TCP Port 80 สำหรับ http
  • พูดง่าย ๆ คือ Contract คือ Firewall Rule ระหว่างกลุ่มงานใน Fabric นั่นเอง

7. Layer-3 Outside (L3Out)

  • L3Out ใช้สำหรับเชื่อมต่อ ACI Fabric กับเครือข่ายภายนอก เช่น Router ,Firewall หรือ Internet
  • ใช้กำหนด IP, Routing Protocol และ Interface สำหรับเชื่อมต่อออกนอก Fabric
  • L3Out หนึ่งชุดจะผูกกับ VRF เพียงตัวเดียวเท่านั้น
  • Leaf Switch ที่ต่อออกภายนอกจะเรียกว่า Border Leaf (BL)

Tenant พื้นฐาน (Default Tenants) ใน Cisco ACI

ในระบบ Cisco ACI จะมี Tenant พื้นฐาน 3 ตัว ที่ถูกสร้างมาโดยอัตโนมัติ และ ไม่สามารถลบได้ ได้แก่

  1. common
  2. infra
  3. mgmt

โดยแต่ละ Tenant มีหน้าที่ดังนี้

1. infra Tenant

  • Tenant นี้เป็น หัวใจของระบบภายใน Fabric ที่ใช้สำหรับการสื่อสารระหว่างอุปกรณ์ในระบบ ACI
  • ใช้สำหรับ การเชื่อมต่อภายใน Fabric เช่น การสร้าง Tunnel และการ Deploy Policy
  • ควบคุมการสื่อสารระหว่าง Leaf ↔ Spine, Switch ↔ APIC, และ Application Virtual Edge (AVE)
  • มี VRF และ Bridge Domain ของตัวเอง ซึ่งแยกออกจาก Tenant อื่น ๆ

    การทำงานเบื้องหลัง เช่น

    • การค้นหาอุปกรณ์ (Fabric Discovery)
    • การจัดการ Image หรือ Firmware
    • การแจก IP ผ่าน DHCP สำหรับอุปกรณ์ใน Fabric

ทั้งหมดนี้ถูกจัดการภายใน infra Tenant

2. mgmt Tenant

  • Tenant นี้ใช้สำหรับ การจัดการ (Management) ของอุปกรณ์ใน Fabric ทั้งหมด
  • ใช้ตั้งค่า Access Policy สำหรับอุปกรณ์เช่น Leaf, Spine, APIC
  • แม้อุปกรณ์จะถูกจัดการผ่าน APIC อยู่แล้ว แต่ยังสามารถเข้าถึงโดยตรงได้ทั้ง
    • In-Band Management (ผ่าน Fabric เดียวกัน)
    • Out-of-Band Management (ผ่านเครือข่ายแยกเฉพาะสำหรับ Management Network)
  • mgmt Tenant ใช้ในการเชื่อมต่อกับระบบบริหารอื่น ๆ อีกด้วย เช่น
    • Syslog
    • SNMP Monitoring
    • AAA (Authentication, Authorization, Accounting)

3. common Tenant

  • Tenant นี้มีไว้สำหรับการ แชร์บริการหรือทรัพยากรกลาง ให้ Tenant อื่น ๆ ใช้งานร่วมกัน
  • ถือเป็นพื้นที่ “กลาง” สำหรับการใช้งานร่วมกันใน Fabric
  • ยึดหลักการ Global Reuse คือสร้างเพียงครั้งเดียว แต่ใช้ได้ทั่วทั้งระบบ
  • ตัวอย่างของสิ่งที่มักอยู่ใน common Tenant ได้แก่:
    • Shared L3Out สำหรับออกสู่อินเทอร์เน็ตหรือเครือข่ายภายนอก
    • Private Networks (VRF) ที่ใช้ร่วมกัน
    • Bridge Domains (BD) สำหรับเชื่อมต่อหลาย Tenant
    • บริการระบบ (Application Services) เช่น DNS, DHCP, Active Directory
    • L4–L7 Services เช่น Firewall, Load Balancer

การ Export Tenant Configuration

การ Export สามารถทำได้ตามขั้นตอนดังรูป

การ Import Tenant Configuration

การ Import สามารถทำได้ตามขั้นตอนดังรูป

Tenant ใน ACI เป็น Highest-level Object ภายในโมเดลวัตถุของ ACI ซึ่งทำหน้าที่เสมือน “กล่องบริหารจัดการ (Administrative Container)” ภายใน Tenant จะรวมทุกวัตถุ (Objects) ที่เป็นของหน่วยงาน องค์กร หรือแผนกใดแผนกหนึ่งไว้ด้วยกัน นั่นคือ
VRF, Endpoint Group (EPG), Bridge Domain (BD), Subnet, L3Out และ Contract

Tags:
Share:

Leave a Comment

Recent News

Categories

Need Any Consultations ?

Contact Us