U proteklih nekoliko godina, Cisco je aktivno promovirao novu arhitekturu za izgradnju mreže za prijenos podataka u podatkovnom centru - Infrastruktura usmjerena na aplikacije (ili ACI). Nekima je to već poznato. A neki su ga čak uspjeli implementirati u svojim preduzećima, uključujući i Rusiju. Međutim, za većinu IT profesionalaca i IT menadžera, ACI je još uvijek ili nejasan akronim ili samo odraz budućnosti.
U ovom članku ćemo pokušati približiti ovu budućnost. Da bismo to učinili, govorit ćemo o glavnim arhitektonskim komponentama ACI-ja, a također ćemo ilustrirati kako se može koristiti u praksi. Osim toga, u bliskoj budućnosti ćemo organizirati vizualnu demonstraciju ACI-ja na koju se može prijaviti svaki zainteresovani informatičar.
Možete saznati više o novoj mrežnoj arhitekturi u Sankt Peterburgu u maju 2019. Svi detalji su unutra . Prijaviti se!
prapovijest
Tradicionalni i najpopularniji model izgradnje mreže je hijerarhijski model na tri nivoa: jezgro -> distribucija (agregacija) -> pristup. Dugi niz godina ovaj model je bio standard, proizvođači su proizvodili različite mrežne uređaje s odgovarajućom funkcionalnošću za njega.
Ranije, kada je informatička tehnologija bila neka vrsta neophodnog (i, iskreno, ne uvijek željenog) dodatka poslovanju, ovaj model je bio zgodan, vrlo statičan i pouzdan. Međutim, sada kada je IT jedan od pokretača razvoja poslovanja, a u mnogim slučajevima i samog poslovanja, statičnost ovog modela počela je stvarati velike probleme.
Moderno poslovanje generira veliki broj različitih složenih zahtjeva za mrežnom infrastrukturom. Uspjeh poslovanja direktno ovisi o vremenu implementacije ovih zahtjeva. Kašnjenje u ovakvim uslovima je neprihvatljivo, a klasični model izgradnje mreže često ne omogućava pravovremeno zadovoljenje svih poslovnih potreba.
Na primjer, pojava nove složene poslovne aplikacije zahtijeva od administratora mreže da izvode veliki broj sličnih rutinskih operacija na velikom broju različitih mrežnih uređaja na različitim nivoima. Osim što oduzima mnogo vremena, povećava i rizik od greške, što može dovesti do ozbiljnog zastoja IT usluga i kao rezultat toga do finansijskog gubitka.
Koren problema nisu čak ni sami rokovi ili složenost zahtjeva. Činjenica je da ove zahtjeve treba “prevesti” sa jezika poslovnih aplikacija na jezik mrežne infrastrukture. Kao što znate, svaki prijevod je uvijek djelomičan gubitak značenja. Kada vlasnik aplikacije govori o logici svoje aplikacije, administrator mreže razumije skup VLAN-ova, Access liste na desetinama uređaja koje treba podržati, ažurirati i dokumentirati.
Akumulirano iskustvo i stalna komunikacija sa korisnicima omogućili su Cisco-u da dizajnira i implementira nove principe za izgradnju mreže za prenos podataka data centra koji zadovoljavaju savremene trendove i baziraju se, pre svega, na logici poslovnih aplikacija. Otuda i naziv - Infrastruktura usmjerena na aplikacije.
ACI arhitektura.
Najispravnije je razmotriti ACI arhitekturu ne s fizičke strane, već s logičke strane. Zasnovan je na modelu automatiziranih politika, čiji se objekti na najvišem nivou mogu podijeliti na sljedeće komponente:
- Mreža zasnovana na Nexus prekidačima.
- APIC klaster kontrolera;
- Profili aplikacija;
Pogledajmo svaki nivo detaljnije - i preći ćemo od jednostavnog do složenog.
Mreža zasnovana na Nexus prekidačima
Mreža u ACI tvornici je slična tradicionalnom hijerarhijskom modelu, ali je mnogo jednostavnija za izgradnju. Za organizaciju mreže koristi se model Leaf-Spine, koji je postao općeprihvaćen pristup za implementaciju mreža sljedeće generacije. Ovaj model se sastoji od dva nivoa: kičme i lista, respektivno.
Nivo kičme je odgovoran samo za performanse. Ukupne performanse Spine prekidača jednake su performansama čitavog materijala, tako da na ovom nivou treba koristiti komutatore sa 40G ili više portova.
Prekidači kičme povezuju se sa svim prekidačima na sljedećem nivou: Leaf prekidači, na koje su povezani krajnji hostovi. Glavna uloga Leaf prekidača je kapacitet porta.
Stoga se problemi skaliranja lako rješavaju: ako trebamo povećati propusnost tkanine, dodajemo Spine prekidače, a ako trebamo povećati kapacitet porta, dodajemo Leaf.
Za oba nivoa koriste se prekidači serije Cisco Nexus 9000, koji su za Cisco glavni alat za izgradnju mreža centara podataka, bez obzira na njihovu arhitekturu. Za sloj kičme koriste se Nexus 9300 ili Nexus 9500 prekidači, a za Leaf samo Nexus 9300.
Raspon modela Nexus prekidača koji se koriste u ACI tvornici prikazan je na donjoj slici.
APIC (Kontroler infrastrukture aplikacije) Klaster kontrolera
APIC kontroleri su specijalizovani fizički serveri, dok je za male implementacije moguće koristiti klaster od jednog fizičkog APIC kontrolera i dva virtuelna.
APIC kontroleri pružaju funkcije kontrole i nadzora. Bitno je da kontroleri nikada ne učestvuju u prijenosu podataka, odnosno, čak i ako svi kontroleri klastera pokvare, to uopće neće utjecati na stabilnost mreže. Također treba napomenuti da uz pomoć APIC-a administrator upravlja apsolutno svim fizičkim i logičkim resursima tvornice, a da bi izvršio bilo kakve promjene više nema potrebe za povezivanjem na određeni uređaj, jer ACI koristi jednu kontrolnu tačku.
Pređimo sada na jednu od glavnih komponenti ACI-ja - profile aplikacija.
Mrežni profil aplikacije je logična osnova ACI-ja. Profili aplikacije su ti koji definiraju politike interakcije između svih segmenata mreže i opisuju same mrežne segmente. ANP vam omogućava da apstrahujete od fizičkog sloja i, zapravo, zamislite kako trebate organizirati interakciju između različitih segmenata mreže sa stanovišta aplikacije.
Profil aplikacije sastoji se od grupa veza (grupe krajnjih tačaka - EPG). Grupa veze je logička grupa hostova (virtuelnih mašina, fizičkih servera, kontejnera, itd.) koji se nalaze u istom bezbednosnom segmentu (ne mreža, već bezbednost). Krajnji domaćini koji pripadaju određenom EPG-u mogu se odrediti prema velikom broju kriterija. Obično se koriste sljedeće:
- Fizički port
- Logički port (grupa portova na virtuelnom prekidaču)
- VLAN ID ili VXLAN
- IP adresa ili IP podmreža
- Atributi servera (ime, lokacija, verzija OS-a, itd.)
Za interakciju različitih EPG-ova, obezbjeđen je entitet koji se zove ugovori. Ugovor definira odnos između različitih EPG-ova. Drugim riječima, ugovor definira koju uslugu jedan EPG pruža drugom EPG-u. Na primjer, kreiramo ugovor koji omogućava protok prometa preko HTTPS protokola. Zatim se ovim ugovorom povezujemo, na primjer, EPG Web (grupa web servera) i EPG App (grupa aplikacijskih servera), nakon čega ove dvije terminalne grupe mogu razmjenjivati promet putem HTTPS protokola.
Slika ispod opisuje primjer uspostavljanja komunikacije između različitih EPG-ova putem ugovora unutar istog ANP-a.
U ACI tvornici može postojati bilo koji broj profila aplikacije. Osim toga, ugovori nisu vezani za određeni profil aplikacije; oni se mogu (i trebaju) koristiti za povezivanje EPG-ova u različitim ANP-ovima.
Zapravo, svaka aplikacija kojoj je potrebna mreža u ovom ili onom obliku opisana je vlastitim profilom. Na primjer, gornji dijagram prikazuje standardnu arhitekturu aplikacije na tri nivoa, koja se sastoji od N broja eksternih pristupnih servera (Web), aplikacijskih servera (App) i DBMS servera (DB), a također opisuje pravila interakcije između njima. U tradicionalnoj mrežnoj infrastrukturi, ovo bi bio skup pravila napisanih na različitim uređajima u infrastrukturi. U ACI arhitekturi, ova pravila opisujemo unutar jednog profila aplikacije. ACI, koristeći profil aplikacije, znatno olakšava kreiranje velikog broja postavki na različitim uređajima tako što ih sve grupiše u jedan profil.
Slika ispod prikazuje realniji primjer. Profil aplikacije Microsoft Exchange napravljen od više EPG-ova i ugovora.
Centralno upravljanje, automatizacija i nadzor jedna je od ključnih prednosti ACI-ja. ACI Factory oslobađa administratore zamornog posla kreiranja velikog broja pravila na raznim prekidačima, ruterima i zaštitnim zidovima (dok je klasična ručna metoda konfiguracije dozvoljena i može se koristiti). Postavke za profile aplikacije i druge ACI objekte se automatski primjenjuju na cijelom ACI tkivu. Čak i kada se serveri fizički prebacuju na druge portove fabričkih prekidača, nema potrebe za dupliciranjem postavki sa starih prekidača na nove i brisanjem nepotrebnih pravila. Na osnovu kriterija članstva u EPG-u domaćina, tvornica će automatski izvršiti ova podešavanja i automatski očistiti neiskorištena pravila.
Integrirane ACI sigurnosne politike implementirane su kao bijele liste, što znači da je ono što nije izričito dozvoljeno zabranjeno po defaultu. Zajedno sa automatskim ažuriranjem konfiguracija mrežne opreme (uklanjanjem „zaboravljenih“ neiskorištenih pravila i dozvola), ovaj pristup značajno povećava ukupni nivo sigurnosti mreže i sužava površinu potencijalnog napada.
ACI vam omogućava da organizujete mrežnu interakciju ne samo virtuelnih mašina i kontejnera, već i fizičkih servera, hardverskih zaštitnih zidova i mrežne opreme treće strane, što ACI čini jedinstvenim rešenjem u ovom trenutku.
Ciscov novi pristup izgradnji mreže podataka zasnovan na logici aplikacije ne odnosi se samo na automatizaciju, sigurnost i centralizovano upravljanje. To je također moderna horizontalno skalabilna mreža koja ispunjava sve zahtjeve modernog poslovanja.
Implementacija mrežne infrastrukture zasnovane na ACI-ju omogućava svim odjelima poduzeća da govore istim jezikom. Administrator se vodi samo logikom aplikacije koja opisuje potrebna pravila i veze. Osim logike aplikacije, njome se vode vlasnici i programeri aplikacije, služba za informatičku sigurnost, ekonomisti i vlasnici preduzeća.
Tako Cisco sprovodi u praksu koncept mreže data centara nove generacije. Želite da vidite ovo sami? Dođite na demonstracije Infrastruktura usmjerena na aplikacije u Sankt Peterburgu i sada radi sa mrežom data centara budućnosti.
Možete se prijaviti za događaj .
izvor: www.habr.com