بمساعدة هذه القطعة السحرية من نص Cisco ACI النصي ، يمكنك إعداد شبكة بسرعة.
المصنع الشبكي لمركز بيانات Cisco ACI موجود منذ خمس سنوات ، لكن حبري لم يخبر شيئًا عن ذلك ، لذلك قررت إصلاحه قليلاً. سأخبرك من تجربتي الخاصة ما هي ، ما هي الفائدة منها وأين يوجد بها أشعل النار.
ما هي ومن أين أتت؟
بحلول الوقت الذي تم فيه الإعلان عن ACI (Application Centric Infrastructure) في عام 2013 ، كان المنافسون يتقدمون في الأساليب التقليدية لشبكات مراكز البيانات من ثلاثة جوانب في وقت واحد.
من ناحية أخرى ، وعدت حلول SDN "الجيل الأول" القائمة على OpenFlow بجعل الشبكات أكثر مرونة وأرخص في نفس الوقت. كانت الفكرة هي نقل عملية صنع القرار التي يتم إجراؤها تقليديًا عن طريق برنامج التبديل الاحتكاري إلى وحدة تحكم مركزية.
سيكون لدى وحدة التحكم هذه رؤية واحدة لكل ما يحدث ، وبناءً على ذلك ، ستعمل على برمجة أجهزة جميع المفاتيح على مستوى القواعد لمعالجة التدفقات المحددة.
من ناحية أخرى ، مكّنت حلول الشبكة المتراكبة من تنفيذ سياسات الاتصال والأمن الضرورية دون أي تغييرات في الشبكة المادية على الإطلاق ، وبناء أنفاق برمجية بين مضيفين ظاهريين. كان المثال الأكثر شهرة على هذا النهج هو Nicira ، الذي استحوذت عليه VMWare في ذلك الوقت مقابل 1,26 مليار دولار وأدى إلى ظهور VMWare NSX الحالي. تمت إضافة بعض الذوق في الموقف من خلال حقيقة أن مؤسسي Nicira كانوا نفس الأشخاص الذين وقفوا سابقًا في أصول OpenFlow ، ويقولون الآن أنه من أجل بناء مصنع لمركز البيانات .
وأخيرًا ، وصل تبديل الشرائح المتاحة في السوق المفتوحة (ما يسمى بالسيليكون التجاري) إلى مرحلة النضج حيث أصبحت تهديدًا حقيقيًا لمصنعي المحولات التقليدية. إذا قام كل بائع في وقت سابق بتطوير رقائق بشكل مستقل لمفاتيح التبديل الخاصة به ، فبمرور الوقت ، بدأت الرقائق من الشركات المصنعة التابعة لجهات خارجية ، وبشكل أساسي من Broadcom ، في تقليل المسافة مع رقائق البائع من حيث الوظائف ، وتجاوزها من حيث نسبة السعر / الأداء. لذلك ، اعتقد الكثيرون أن أيام التبديل على الرقائق من تصميمهم الخاص قد تم ترقيمها.
أصبحت ACI "استجابة غير متكافئة" من Cisco (بتعبير أدق ، شركة Insieme التابعة لها ، التي أسسها موظفوها السابقون) لكل ما سبق.
ما هو الفرق مع OpenFlow؟
من حيث توزيع الوظائف ، فإن ACI هو في الواقع عكس OpenFlow.
في بنية OpenFlow ، تكون وحدة التحكم مسؤولة عن كتابة القواعد التفصيلية (التدفقات)
في أجهزة جميع المحولات ، أي في شبكة كبيرة ، قد تكون مسؤولة عن الحفاظ ، والأهم من ذلك ، تغيير عشرات الملايين من السجلات في مئات النقاط في الشبكة ، لذلك يصبح أدائها وموثوقيتها عنق زجاجة في تنفيذ كبير.
يستخدم ACI النهج العكسي: بالطبع ، هناك أيضًا وحدة تحكم ، لكن المحولات تتلقى سياسات تعريفية عالية المستوى منها ، ويقوم المحول نفسه بإجراء عرضها في تفاصيل الإعدادات المحددة في الجهاز. يمكن إعادة تشغيل وحدة التحكم أو إيقاف تشغيلها تمامًا ، ولن يحدث أي شيء سيء للشبكة ، باستثناء ، بالطبع ، نقص التحكم في هذه اللحظة. ومن المثير للاهتمام ، أن هناك مواقف في ACI لا يزال فيها OpenFlow مستخدمًا ، ولكن محليًا داخل المضيف لبرمجة Open vSwitch.
تم إنشاء ACI بالكامل على أساس نقل التراكب المستند إلى VXLAN ، ولكنه يتضمن نقل IP الأساسي كجزء من حل واحد. أطلقت Cisco على هذا المصطلح "التراكب المتكامل". كنقطة إنهاء للتراكبات في ACI ، في معظم الحالات ، يتم استخدام مفاتيح المصنع (وهي تقوم بذلك بسرعة الارتباط). لا يُطلب من المضيفين معرفة أي شيء عن المصنع والتغليف وما إلى ذلك ، ومع ذلك ، في بعض الحالات (على سبيل المثال ، لتوصيل مضيفي OpenStack) ، يمكن جلب حركة مرور VXLAN إليهم.
تُستخدم التراكبات في ACI ليس فقط لتوفير اتصال مرن عبر شبكة النقل ، ولكن أيضًا لنقل المعلومات الوصفية (يتم استخدامها ، على سبيل المثال ، لتطبيق سياسات الأمان).
كانت رقائق من Broadcom تستخدم سابقًا بواسطة Cisco في محولات سلسلة Nexus 3000. في عائلة Nexus 9000 ، التي تم إصدارها خصيصًا لدعم ACI ، تم تنفيذ نموذج هجين في الأصل ، والذي كان يسمى Merchant +. استخدم المحول في نفس الوقت كلاً من شريحة Broadcom Trident 2 الجديدة وشريحة تكميلية طورتها Cisco ، والتي تنفذ كل سحر ACI. على ما يبدو ، جعل هذا من الممكن تسريع إصدار المنتج وتقليل سعر المفتاح إلى مستوى قريب من النماذج التي تعتمد ببساطة على Trident 2. كان هذا النهج كافياً لأول عامين أو ثلاثة أعوام من تسليم ACI. خلال هذا الوقت ، طورت Cisco وأطلقت الجيل التالي من Nexus 9000 على شرائحها الخاصة مع المزيد من الأداء ومجموعة الميزات ، ولكن بنفس مستوى السعر. المواصفات الخارجية من حيث التفاعل في المصنع محفوظة بالكامل. في الوقت نفسه ، تغيرت الحشوة الداخلية تمامًا: شيء مثل إعادة بناء ديون ، ولكن للحديد.
كيف تعمل بنية Cisco ACI
في أبسط الحالات ، تم بناء ACI على طوبولوجيا شبكة Klose ، أو كما يقولون غالبًا ، Spine-Leaf. يمكن أن تكون مفاتيح التبديل على مستوى العمود الفقري من اثنين (أو واحد ، إذا كنا لا نهتم بالتسامح مع الخطأ) إلى ستة. وفقًا لذلك ، كلما زاد عددهم ، زاد تحمل الخطأ (كلما انخفض عرض النطاق الترددي وانخفاض الموثوقية في حالة وقوع حادث أو صيانة عمود واحد) والأداء العام. تنتقل جميع الاتصالات الخارجية إلى محولات على مستوى الأوراق: هذه هي الخوادم ، والتوصيل بالشبكات الخارجية عبر L2 أو L3 ، وتوصيل وحدات تحكم APIC. بشكل عام ، مع ACI ، ليس فقط التكوين ، ولكن أيضًا جمع الإحصائيات ، ومراقبة الأعطال ، وما إلى ذلك - كل شيء يتم من خلال واجهة وحدات التحكم ، والتي يوجد منها ثلاثة في تطبيقات ذات حجم قياسي.
لست مضطرًا أبدًا إلى الاتصال بالمفاتيح مع وحدة التحكم ، حتى لبدء تشغيل الشبكة: تكتشف وحدة التحكم نفسها المفاتيح وتجمع مصنعًا منها ، بما في ذلك إعدادات جميع بروتوكولات الخدمة ، لذلك ، بالمناسبة ، من المهم جدًا أن قم بتدوين الأرقام التسلسلية للجهاز الذي يتم تثبيته أثناء التثبيت ، حتى لا تضطر لاحقًا إلى تخمين المفتاح الذي يوجد فيه الحامل. لاستكشاف الأخطاء وإصلاحها ، إذا لزم الأمر ، يمكنك الاتصال بالمفاتيح عبر SSH: فهي تعيد إنتاج أوامر عرض Cisco المعتادة بعناية تامة.
داخليًا ، يستخدم المصنع نقل IP ، لذلك لا توجد شجرة Spanning وأهوال أخرى من الماضي: كل الروابط متضمنة ، والتقارب في حالة الفشل سريع جدًا. تنتقل حركة المرور في النسيج عبر الأنفاق بناءً على VXLAN. بتعبير أدق ، تستدعي Cisco نفسها تغليف iVXLAN ، وهي تختلف عن VXLAN العادي في أن الحقول المحجوزة في رأس الشبكة تُستخدم لنقل معلومات الخدمة ، بشكل أساسي حول علاقة حركة المرور بمجموعة EPG. يتيح لك ذلك تنفيذ قواعد التفاعل بين المجموعات في الجهاز ، باستخدام أرقامهم بنفس طريقة استخدام العناوين في قوائم الوصول العادية.
تسمح الأنفاق بامتداد مقاطع L2 و L3 (مثل VRF) عبر نقل IP الداخلي. في هذه الحالة ، يتم توزيع العبارة الافتراضية. هذا يعني أن كل مفتاح هو المسؤول عن توجيه حركة المرور التي تدخل النسيج. من حيث منطق تدفق حركة المرور ، فإن ACI مشابه لنسيج VXLAN / EVPN.
إذا كان الأمر كذلك، ما هي أوجه الاختلاف؟ كل شيء آخر!
الاختلاف الأول الذي تواجهه مع ACI هو كيفية اتصال الخوادم بالشبكة. في الشبكات التقليدية ، يتم تضمين كل من الخوادم المادية والآلات الافتراضية في شبكات VLAN ، وكل شيء آخر يرقص عنها: الاتصال ، والأمان ، وما إلى ذلك. في ACI ، يتم استخدام تصميم تسميه Cisco EPG (مجموعة نقطة النهاية) ، والتي من خلالها لا يوجد مكان للفرار. ما إذا كان من الممكن مساواتها بشبكة محلية ظاهرية (VLAN)؟ نعم ، ولكن في هذه الحالة هناك فرصة لخسارة معظم ما يقدمه ACI.
فيما يتعلق بـ EPG ، تمت صياغة جميع قواعد الوصول ، وفي ACI ، يتم استخدام مبدأ "القائمة البيضاء" افتراضيًا ، أي يسمح فقط بالمرور ، ويسمح بمرورها صراحة. أي أنه يمكننا إنشاء مجموعتي EPG "Web" و "MySQL" وتحديد قاعدة تسمح بالاتصال بينهما فقط على المنفذ 3306. سيعمل هذا دون الارتباط بعناوين الشبكة وحتى داخل نفس الشبكة الفرعية!
لدينا عملاء اختاروا ACI على وجه التحديد بسبب هذه الميزة ، لأنها تسمح لك بتقييد الوصول بين الخوادم (الافتراضية أو المادية - لا يهم) دون سحبها بين الشبكات الفرعية ، مما يعني دون لمس العنوان. نعم ، نعم ، نحن نعلم أنه لا أحد يصف عناوين IP في تكوينات التطبيقات يدويًا ، أليس كذلك؟
تسمى قواعد المرور في ACI بالعقود. في مثل هذا العقد ، تصبح واحدة أو أكثر من المجموعات أو المستويات في تطبيق متعدد المستويات مزود خدمة (على سبيل المثال ، خدمة قاعدة بيانات) ، بينما يصبح البعض الآخر مستهلكًا. يمكن للعقد ببساطة تمرير حركة المرور ، أو يمكنه القيام بشيء أكثر تعقيدًا ، على سبيل المثال ، توجيهه إلى جدار حماية أو موازن ، وكذلك تغيير قيمة QoS.
كيف تدخل الخوادم في هذه المجموعات؟ إذا كانت هذه خوادم مادية أو شيئًا ما مدرجًا في شبكة حالية أنشأنا فيها شبكة محلية ظاهرية (VLAN) ، فمن أجل وضعها في دليل البرامج الإلكتروني (EPG) ، ستحتاج إلى الإشارة إلى منفذ التبديل وشبكة VLAN المستخدمة فيه. كما ترى ، تظهر شبكات VLAN حيث لا يمكنك الاستغناء عنها.
إذا كانت الخوادم عبارة عن أجهزة افتراضية ، فيكفي الإشارة إلى بيئة المحاكاة الافتراضية المتصلة ، وبعد ذلك سيحدث كل شيء من تلقاء نفسه: سيتم إنشاء مجموعة منافذ (من حيث VMWare) لتوصيل VM ، وستقوم شبكات VLAN أو VXLAN الضرورية يتم تخصيصها ، سيتم تسجيلها على منافذ التبديل الضرورية ، وما إلى ذلك. لذا ، على الرغم من أن ACI مبني حول شبكة فعلية ، فإن اتصالات الخوادم الافتراضية تبدو أبسط بكثير من تلك الموجودة في الاتصالات المادية. يحتوي ACI بالفعل على اتصال مدمج مع VMWare و MS Hyper-V ، بالإضافة إلى دعم OpenStack و RedHat Virtualization. من وقت ما فصاعدًا ، ظهر أيضًا دعم مدمج لمنصات الحاويات: Kubernetes ، و OpenShift ، و Cloud Foundry ، بينما يتعلق الأمر بكل من تطبيق السياسات والمراقبة ، أي ، يمكن لمسؤول الشبكة أن يرى على الفور المضيفات التي تعمل على البودات و المجموعات التي يقعون فيها.
بالإضافة إلى تضمينها في مجموعة منافذ معينة ، تتمتع الخوادم الافتراضية بخصائص إضافية: الاسم والسمات وما إلى ذلك ، والتي يمكن استخدامها كمعايير لنقلها إلى مجموعة أخرى ، على سبيل المثال ، عند إعادة تسمية جهاز افتراضي أو ظهور علامة إضافية في هو - هي. تسمي Cisco مجموعات التجزئة المصغرة هذه ، على الرغم من أن التصميم نفسه ، إلى حد كبير ، مع القدرة على إنشاء العديد من قطاعات الأمان في شكل EPGs على نفس الشبكة الفرعية ، يعد أيضًا تقسيمًا صغيرًا تمامًا. حسنًا ، البائع يعرف أفضل.
إن EPGs نفسها هي بنيات منطقية بحتة ، وليست مرتبطة بمفاتيح أو خوادم معينة ، وما إلى ذلك ، لذا يمكنك القيام بأشياء معهم والبناءات القائمة عليها (التطبيقات والمستأجرين) التي يصعب القيام بها في الشبكات العادية ، مثل الاستنساخ. نتيجة لذلك ، لنفترض أنه من السهل جدًا استنساخ بيئة إنتاج من أجل الحصول على بيئة اختبار مضمونة لتكون مطابقة لبيئة الإنتاج. يمكنك القيام بذلك يدويًا ، لكنه أفضل (وأسهل) من خلال واجهة برمجة التطبيقات.
بشكل عام ، لا يشبه منطق التحكم في ACI على الإطلاق ما تقابله عادةً
في الشبكات التقليدية من نفس Cisco: واجهة البرنامج أساسية ، وواجهة المستخدم الرسومية أو CLI ثانوية ، لأنهما يعملان من خلال نفس واجهة برمجة التطبيقات. لذلك ، يبدأ كل من يشارك في ACI تقريبًا ، بعد فترة من الوقت ، في التنقل في نموذج الكائن المستخدم للإدارة وأتمتة شيء ما ليناسب احتياجاتهم. أسهل طريقة للقيام بذلك هي من Python: هناك أدوات جاهزة مناسبة لذلك.
وعد أشعل النار
المشكلة الرئيسية هي أن العديد من الأشياء في ACI تتم بشكل مختلف. لبدء العمل معها بشكل طبيعي ، تحتاج إلى إعادة التدريب. وينطبق هذا بشكل خاص على فرق عمليات الشبكة في عدد كبير من العملاء ، حيث كان المهندسون "يصفون شبكات VLAN" لسنوات عند الطلب. حقيقة أن شبكات VLAN لم تعد الآن شبكات VLAN ، ولست بحاجة إلى إنشاء شبكات VLAN يدويًا لوضع شبكات جديدة في مضيفات افتراضية ، وتفجر سقف المسالك التقليدية للشبكات وتجعلها تتشبث بأساليب مألوفة. وتجدر الإشارة إلى أن Cisco حاولت تحلية الحبة قليلاً وإضافة CLI "مثل NXOS" إلى وحدة التحكم ، مما يسمح لك بالقيام بالتكوين من واجهة مشابهة للمفاتيح التقليدية. ولكن مع ذلك ، لبدء استخدام ACI بشكل طبيعي ، عليك أن تفهم كيف يعمل.
من حيث السعر ، على النطاقات الكبيرة والمتوسطة ، لا تختلف شبكات ACI فعليًا عن الشبكات التقليدية على أجهزة Cisco ، حيث يتم استخدام نفس المفاتيح في بنائها (يمكن أن يعمل Nexus 9000 في ACI وفي الوضع التقليدي وأصبح الآن الرئيسي "العمود الفقري" لمشاريع مراكز البيانات الجديدة). ولكن بالنسبة لمراكز البيانات ذات محولين ، فإن وجود وحدات التحكم وبنية العمود الفقري ، بالطبع ، يجعلهم محسوسين. في الآونة الأخيرة ، ظهر مصنع Mini ACI ، حيث يتم استبدال اثنين من وحدات التحكم الثلاثة بأجهزة افتراضية. هذا يقلل من الفرق في التكلفة ، لكنه لا يزال قائما. لذلك بالنسبة للعميل ، يتم تحديد الاختيار من خلال مدى اهتمامه بميزات الأمان ، والتكامل مع المحاكاة الافتراضية ، ونقطة تحكم واحدة ، وما إلى ذلك.
المصدر: www.habr.com