Son bir neçə il ərzində Cisco data mərkəzində məlumat ötürmə şəbəkəsinin qurulması üçün yeni arxitekturanı fəal şəkildə təşviq edir - Tətbiq Mərkəzli İnfrastruktur (və ya ACI). Bəziləri artıq onunla tanışdır. Bəziləri hətta Rusiyada da daxil olmaqla, öz müəssisələrində bunu həyata keçirə bildilər. Bununla belə, əksər İT mütəxəssisləri və İT menecerləri üçün ACI hələ də ya qeyri-müəyyən bir abbreviaturadır, ya da sadəcə gələcəyin əksidir.
Bu yazıda biz bu gələcəyi daha da yaxınlaşdırmağa çalışacağıq. Bunun üçün biz ACI-nin əsas memarlıq komponentləri haqqında danışacağıq, həmçinin onun praktikada necə istifadə oluna biləcəyini təsvir edəcəyik. Bundan əlavə, yaxın gələcəkdə biz ACI-nin əyani nümayişini təşkil edəcəyik ki, bununla maraqlanan hər bir İT mütəxəssisi qeydiyyatdan keçə bilər.
2019-cu ilin may ayında Sankt-Peterburqda yeni şəbəkə arxitekturası haqqında ətraflı məlumat əldə edə bilərsiniz. Bütün detallar var . Abunə olun!
Prehistorya
Ənənəvi və ən populyar şəbəkə qurulması modeli üç səviyyəli iyerarxik modeldir: əsas -> paylama (aqreqasiya) -> giriş. Uzun illər bu model standart idi, istehsalçılar bunun üçün uyğun funksionallığı olan müxtəlif şəbəkə cihazları istehsal etdilər.
Əvvəllər, informasiya texnologiyaları biznes üçün bir növ zəruri (və düzünü desəm, həmişə arzuolunan deyil) əlavə olduqda, bu model rahat, çox statik və etibarlı idi. Bununla belə, indi İT biznesin inkişafının aparıcı amillərindən biridir və bir çox hallarda biznesin özü bu modelin statik xarakteri böyük problemlər yaratmağa başlayıb.
Müasir biznes şəbəkə infrastrukturu üçün çoxlu sayda müxtəlif mürəkkəb tələblər yaradır. Müəssisənin uğuru birbaşa bu tələblərin həyata keçirilmə vaxtından asılıdır. Belə şəraitdə gecikmə yolverilməzdir və şəbəkə tikintisinin klassik modeli çox vaxt bütün biznes ehtiyaclarını vaxtında ödəməyə imkan vermir.
Məsələn, yeni mürəkkəb biznes tətbiqinin yaranması şəbəkə administratorlarından müxtəlif səviyyələrdə çoxlu sayda müxtəlif şəbəkə qurğularında çoxlu sayda oxşar gündəlik əməliyyatları yerinə yetirməyi tələb edir. Bu, vaxt aparan olmaqla yanaşı, səhv etmək riskini də artırır ki, bu da İT xidmətlərinin ciddi dayanmasına və nəticədə maliyyə itkisinə səbəb ola bilər.
Problemin kökü hətta son tarixlərin özləri və ya tələblərin mürəkkəbliyi deyil. Məsələ burasındadır ki, bu tələbləri biznes proqramlarının dilindən şəbəkə infrastrukturunun dilinə “tərcümə etmək” lazımdır. Bildiyiniz kimi, istənilən tərcümə həmişə mənanın qismən itirilməsidir. Tətbiq sahibi öz tətbiqinin məntiqi haqqında danışdıqda, şəbəkə administratoru dəstəklənməsi, yenilənməsi və sənədləşdirilməsi lazım olan onlarla cihazın VLAN, Access siyahılarını başa düşür.
Toplanmış təcrübə və müştərilərlə daimi ünsiyyət Cisco-ya müasir tendensiyalara cavab verən və ilk növbədə biznes proqramlarının məntiqinə əsaslanan məlumat mərkəzi məlumat ötürmə şəbəkəsinin qurulması üçün yeni prinsiplər hazırlamağa və həyata keçirməyə imkan verdi. Buna görə də ad - Tətbiq Mərkəzli İnfrastruktur.
ACI arxitekturası.
ACI arxitekturasını fiziki tərəfdən deyil, məntiqi tərəfdən nəzərdən keçirmək ən düzgündür. O, avtomatlaşdırılmış siyasətlər modelinə əsaslanır, onun obyektləri yuxarı səviyyədə aşağıdakı komponentlərə bölünə bilər:
- Nexus açarlarına əsaslanan şəbəkə.
- APIC nəzarətçi klasteri;
- Tətbiq profilləri;
Gəlin hər səviyyəyə daha ətraflı baxaq - və biz sadədən mürəkkəbə keçəcəyik.
Nexus açarlarına əsaslanan şəbəkə
ACI fabrikindəki şəbəkə ənənəvi iyerarxik modelə bənzəyir, lakin onu qurmaq daha sadədir. Şəbəkənin təşkili üçün Leaf-Spine modeli istifadə olunur ki, bu da yeni nəsil şəbəkələrin həyata keçirilməsi üçün ümumi qəbul edilmiş yanaşmaya çevrilmişdir. Bu model iki səviyyədən ibarətdir: Müvafiq olaraq Onurğa və Yarpaq.
Onurğa səviyyəsi yalnız performans üçün cavabdehdir. Spine açarlarının ümumi performansı bütün parçanın performansına bərabərdir, ona görə də bu səviyyədə 40G və ya daha yüksək portlu açarlardan istifadə edilməlidir.
Onurğa açarları növbəti səviyyədə bütün açarlara qoşulur: Son hostların qoşulduğu yarpaq açarları. Leaf açarlarının əsas rolu port tutumudur.
Beləliklə, miqyaslama məsələləri asanlıqla həll olunur: parça ötürmə qabiliyyətini artırmaq lazımdırsa, Spine açarlarını əlavə edirik və port tutumunu artırmaq lazımdırsa, Leaf əlavə edirik.
Hər iki səviyyə üçün Cisco Nexus 9000 seriyalı açarlardan istifadə olunur ki, bu da Cisco üçün arxitekturasından asılı olmayaraq məlumat mərkəzi şəbəkələrinin qurulması üçün əsas vasitədir. Onurğa təbəqəsi üçün Nexus 9300 və ya Nexus 9500 açarları, Leaf üçün isə yalnız Nexus 9300 istifadə olunur.
ACI zavodunda istifadə olunan Nexus açarlarının model diapazonu aşağıdakı şəkildə göstərilmişdir.
APIC (Tətbiq Siyasəti İnfrastruktur Nəzarətçisi) Nəzarətçi Klasteri
APIC nəzarətçiləri xüsusi fiziki serverlərdir, kiçik tətbiqlər üçün isə bir fiziki APIC nəzarətçi və iki virtual klasterdən istifadə etmək mümkündür.
APIC nəzarətçiləri nəzarət və monitorinq funksiyalarını təmin edir. Əsas odur ki, nəzarətçilər heç vaxt məlumat ötürülməsində iştirak etmirlər, yəni bütün klaster kontrollerləri uğursuz olsa belə, bu, şəbəkənin sabitliyinə heç bir təsir göstərməyəcəkdir. Onu da qeyd etmək lazımdır ki, APIC-lərin köməyi ilə administrator zavodun tamamilə bütün fiziki və məntiqi resurslarını idarə edir və hər hansı bir dəyişiklik etmək üçün artıq müəyyən bir cihaza qoşulmağa ehtiyac yoxdur, çünki ACI istifadə edir. tək nəzarət nöqtəsi.
İndi ACI-nin əsas komponentlərindən birinə - tətbiq profillərinə keçək.
Tətbiq Şəbəkəsi Profili ACI-nin məntiqi əsasıdır. Bütün şəbəkə seqmentləri arasında qarşılıqlı əlaqə siyasətini təyin edən və şəbəkə seqmentlərinin özlərini təsvir edən proqram profilləridir. ANP sizə fiziki təbəqədən mücərrədləşdirməyə və əslində tətbiq baxımından müxtəlif şəbəkə seqmentləri arasında qarşılıqlı əlaqəni necə təşkil etməyiniz lazım olduğunu təsəvvür etməyə imkan verir.
Tətbiq profili əlaqə qruplarından (Son nöqtə qrupları - EPG) ibarətdir. Bağlantı qrupu eyni təhlükəsizlik seqmentində (şəbəkə deyil, təhlükəsizlik) yerləşən hostların (virtual maşınlar, fiziki serverlər, konteynerlər və s.) məntiqi qrupudur. Müəyyən bir EPG-yə aid olan son hostlar çox sayda meyarla müəyyən edilə bilər. Aşağıdakılar ümumiyyətlə istifadə olunur:
- Fiziki port
- Məntiqi port (virtual keçiddə port qrupu)
- VLAN ID və ya VXLAN
- IP ünvanı və ya IP alt şəbəkəsi
- Server atributları (ad, yer, OS versiyası və s.)
Müxtəlif EPG-lərin qarşılıqlı əlaqəsi üçün müqavilələr adlanan bir qurum təmin edilir. Müqavilə müxtəlif EPG-lər arasında əlaqəni müəyyən edir. Başqa sözlə, müqavilə bir EPG-nin digər EPG-yə hansı xidməti göstərdiyini müəyyənləşdirir. Məsələn, biz trafikin HTTPS protokolu üzərindən axmasına imkan verən müqavilə yaradırıq. Sonra, biz bu müqavilə ilə, məsələn, EPG Web (veb serverlər qrupu) və EPG App (tətbiq serverləri qrupu) ilə əlaqə saxlayırıq, bundan sonra bu iki terminal qrupu HTTPS protokolu vasitəsilə trafik mübadiləsi apara bilər.
Aşağıdakı rəqəm eyni ANP daxilində müqavilələr vasitəsilə müxtəlif EPG-lər arasında rabitənin qurulması nümunəsini təsvir edir.
ACI zavodunda istənilən sayda tətbiq profili ola bilər. Bundan əlavə, müqavilələr xüsusi tətbiq profilinə bağlı deyil; onlar müxtəlif ANP-lərdə EPG-ləri birləşdirmək üçün istifadə edilə bilər (və edilməlidir).
Əslində, bu və ya digər formada şəbəkə tələb edən hər bir proqram öz profili ilə təsvir olunur. Məsələn, yuxarıdakı diaqram N sayda xarici giriş serverindən (Veb), proqram serverlərindən (App) və DBMS serverlərindən (DB) ibarət üç səviyyəli proqramın standart arxitekturasını göstərir və həmçinin bir-biri ilə qarşılıqlı əlaqə qaydalarını təsvir edir. onlar. Ənənəvi şəbəkə infrastrukturunda bu, infrastrukturdakı müxtəlif cihazlarda yazılmış qaydalar toplusu olardı. ACI arxitekturasında biz bu qaydaları bir tətbiq profilində təsvir edirik. ACI, tətbiq profilindən istifadə edərək, hamısını bir profildə qruplaşdırmaqla müxtəlif cihazlarda çoxlu sayda parametr yaratmağı asanlaşdırır.
Aşağıdakı şəkil daha real bir nümunə göstərir. Çoxsaylı EPG və müqavilələrdən hazırlanmış Microsoft Exchange proqram profili.
Mərkəzi idarəetmə, avtomatlaşdırma və monitorinq ACI-nin əsas üstünlüklərindən biridir. ACI Fabriki administratorları müxtəlif açarlar, marşrutlaşdırıcılar və firewalllarda çoxlu sayda qaydalar yaratmaq kimi yorucu işdən azad edir (klassik əl ilə konfiqurasiya metoduna icazə verilir və istifadə oluna bilər). Tətbiq profilləri və digər ACI obyektləri üçün parametrlər avtomatik olaraq ACI strukturunda tətbiq olunur. Fiziki olaraq serverləri parça keçidlərinin digər portlarına keçirərkən belə, parametrləri köhnə açarlardan yenilərinə təkrarlamağa və lazımsız qaydaları silməyə ehtiyac yoxdur. Ev sahibinin EPG üzvlük meyarlarına əsaslanaraq, zavod bu parametrləri avtomatik edəcək və istifadə olunmamış qaydaları avtomatik təmizləyəcək.
İnteqrasiya edilmiş ACI təhlükəsizlik siyasətləri ağ siyahılar kimi həyata keçirilir, yəni açıq şəkildə icazə verilməyən şeylər defolt olaraq qadağandır. Şəbəkə avadanlığının konfiqurasiyalarının avtomatik yenilənməsi ilə ("unudulmuş" istifadə olunmamış qaydaların və icazələrin silinməsi) birlikdə bu yanaşma şəbəkə təhlükəsizliyinin ümumi səviyyəsini əhəmiyyətli dərəcədə artırır və potensial hücumun səthini daraldır.
ACI sizə təkcə virtual maşınların və konteynerlərin deyil, həm də fiziki serverlərin, hardware firewalllarının və üçüncü tərəf şəbəkə avadanlıqlarının şəbəkə qarşılıqlı əlaqəsini təşkil etməyə imkan verir ki, bu da ACI-ni hazırda unikal həll edir.
Cisco-nun tətbiq məntiqinə əsaslanan məlumat şəbəkəsinin qurulmasına yeni yanaşması təkcə avtomatlaşdırma, təhlükəsizlik və mərkəzləşdirilmiş idarəetmə ilə bağlı deyil. O, həm də müasir biznesin bütün tələblərinə cavab verən müasir üfüqi genişlənən şəbəkədir.
ACI əsasında şəbəkə infrastrukturunun həyata keçirilməsi müəssisənin bütün şöbələrinə eyni dildə danışmağa imkan verir. Administrator yalnız tələb olunan qaydaları və əlaqələri təsvir edən tətbiqin məntiqini rəhbər tutur. Tətbiqin məntiqi ilə yanaşı, proqramın sahibləri və tərtibatçıları, informasiya təhlükəsizliyi xidməti, iqtisadçılar və biznes sahibləri də onu rəhbər tuturlar.
Beləliklə, Cisco yeni nəsil məlumat mərkəzi şəbəkəsi konsepsiyasını tətbiq edir. Bunu özünüz görmək istəyirsiniz? Nümayişə gəlin Tətbiq Mərkəzli İnfrastruktur Sankt-Peterburqda və indi gələcəyin məlumat mərkəzi şəbəkəsi ilə işləyirik.
Tədbir üçün qeydiyyatdan keçə bilərsiniz .
Mənbə: www.habr.com