Uz pomoć ovog čarobnog dijela Cisco ACI skripte, možete brzo postaviti mrežu.
Mrežna fabrika za Cisco ACI data centar postoji već pet godina, ali Habré nije ništa rekao o tome, pa sam odlučio da je malo popravim. Reći ću vam iz sopstvenog iskustva šta je to, čemu služi i gde ima grabulje.
Šta je to i odakle je došlo?
Do trenutka kada je ACI (Application Centric Infrastructure) objavljen 2013. godine, konkurenti su napredovali u tradicionalnim pristupima mrežama data centara sa tri strane istovremeno.
S jedne strane, SDN rješenja "prve generacije" zasnovana na OpenFlow-u obećala su da će mreže učiniti fleksibilnijim i jeftinijim u isto vrijeme. Ideja je bila da se donošenje odluka koje se tradicionalno vrši putem vlasničkog softvera za prebacivanje prebaci na centralni kontroler.
Ovaj kontroler bi imao jedinstvenu viziju svega što se dešava i na osnovu toga bi programirao hardver svih prekidača na nivou pravila za obradu specifičnih tokova.
S druge strane, mrežna rješenja sa preklapanjem omogućila su implementaciju potrebnih politika povezivanja i sigurnosti bez ikakvih promjena u fizičkoj mreži, gradeći softverske tunele između virtueliziranih hostova. Najpoznatiji primjer ovakvog pristupa bila je Nicira, koju je do tada već kupio VMWare za 1,26 milijardi dolara i doveo do sadašnjeg VMWare NSX. Određenu pikantnost situaciji dodala je činjenica da su suosnivači Nicire bili isti ljudi koji su ranije stajali na početku OpenFlow-a, a sada govore da bi se izgradila fabrika data centra .
I konačno, svitch čipovi dostupni na otvorenom tržištu (ono što se zove trgovački silicijum) dostigli su fazu zrelosti u kojoj su postali prava prijetnja tradicionalnim proizvođačima prekidača. Ako je ranije svaki prodavač samostalno razvijao čipove za svoje prekidače, onda su s vremenom čipovi trećih proizvođača, prvenstveno Broadcoma, počeli smanjivati udaljenost od čipova dobavljača u smislu funkcija, i nadmašili ih u pogledu omjera cijene i performansi. Stoga su mnogi vjerovali da su dani prekidača na čipovima vlastitog dizajna odbrojani.
ACI je postao Ciscov "asimetrični odgovor" (tačnije, njegova kompanija Insieme, koju su osnovali bivši zaposleni) na sve navedeno.
Koja je razlika sa OpenFlowom?
U smislu distribucije funkcija, ACI je zapravo suprotan OpenFlow-u.
U OpenFlow arhitekturi, kontroler je odgovoran za pisanje detaljnih pravila (tokova)
u hardveru svih svičeva, odnosno u velikoj mreži, može biti odgovoran za održavanje i, što je najvažnije, mijenjanje desetina miliona zapisa na stotinama tačaka u mreži, pa njegove performanse i pouzdanost postaju usko grlo u velika implementacija.
ACI koristi obrnuti pristup: naravno, postoji i kontroler, ali prekidači od njega primaju deklarativne politike visokog nivoa, a sam prekidač izvodi njihovo prikazivanje u detalje specifičnih postavki u hardveru. Kontroler se može ponovo pokrenuti ili potpuno isključiti, a mreži se neće dogoditi ništa loše, osim, naravno, nedostatka kontrole u ovom trenutku. Zanimljivo je da u ACI-ju postoje situacije u kojima se OpenFlow još uvijek koristi, ali lokalno unutar hosta za Open vSwitch programiranje.
ACI je u potpunosti izgrađen na VXLAN-based overlay transportu, ali uključuje osnovni IP transport kao dio jedinstvenog rješenja. Cisco je ovo nazvao terminom "integrisano preklapanje". Kao krajnja tačka za preklapanja u ACI-ju, u većini slučajeva se koriste fabrički prekidači (oni to rade pri brzini veze). Od hostova se ne traži da znaju ništa o fabrici, inkapsulaciji itd., međutim, u nekim slučajevima (na primjer, za povezivanje OpenStack hostova), VXLAN promet se može dovesti do njih.
Preklapanja se koriste u ACI-ju ne samo da obezbede fleksibilnu povezanost kroz transportnu mrežu, već i za prenos metainformacija (koristi se, na primer, za primenu bezbednosnih politika).
Cisco je ranije koristio čipove iz Broadcoma u svičevima serije Nexus 3000. U porodici Nexus 9000, specijalno izdatoj za podršku ACI-ju, prvobitno je implementiran hibridni model, koji se zvao Merchant +. Prekidač je istovremeno koristio i novi Broadcom Trident 2 čip i komplementarni čip koji je razvio Cisco, koji implementira svu magiju ACI-ja. Očigledno, ovo je omogućilo da se ubrza izlazak proizvoda i smanji cijena prekidača na nivo blizak modelima jednostavno baziranim na Trident 2. Ovaj pristup je bio dovoljan za prve dvije ili tri godine ACI isporuka. Tokom ovog perioda, Cisco je razvio i lansirao sledeću generaciju Nexusa 9000 na sopstvenim čipovima sa više performansi i skupa funkcija, ali po istom nivou cene. Eksterne specifikacije u smislu interakcije u fabrici su potpuno očuvane. Istovremeno, unutrašnje punjenje se potpuno promijenilo: nešto poput refaktoriranja, ali za hardver.
Kako Cisco ACI arhitektura radi
U najjednostavnijem slučaju, ACI je izgrađen na topologiji Klose mreže ili, kako se često kaže, Spine-Leaf. Prekidači na nivou kičme mogu biti od dva (ili jedan, ako ne brinemo o toleranciji grešaka) do šest. Shodno tome, što ih je više, to je veća tolerancija grešaka (što je manja propusnost i smanjenje pouzdanosti u slučaju nesreće ili održavanja jedne kičme) i ukupne performanse. Sve eksterne konekcije idu do prekidača na nivou lista: to su serveri, i spajanje sa eksternim mrežama preko L2 ili L3, i povezivanje APIC kontrolera. Generalno, kod ACI-ja ne samo konfiguracija, već i prikupljanje statistike, praćenje kvarova i tako dalje – sve se radi preko interfejsa kontrolera, kojih ima tri u implementacijama standardne veličine.
Nikada ne morate da se povezujete na prekidače sa konzolom, čak ni da biste pokrenuli mrežu: kontroler sam detektuje prekidače i sastavlja fabriku od njih, uključujući podešavanja svih servisnih protokola, stoga je, usput rečeno, veoma važno da se Zapišite serijske brojeve opreme koja se instalira tokom instalacije, tako da kasnije ne morate pogađati koji se prekidač nalazi u kojem se rek-u nalazi. Za rješavanje problema, ako je potrebno, možete se povezati s prekidačima preko SSH: oni prilično pažljivo reproduciraju uobičajene Cisco show komande.
Interno, fabrika koristi IP transport, tako da u njoj nema Spanning Tree i drugih užasa prošlosti: uključene su sve veze, a konvergencija u slučaju kvarova je veoma brza. Saobraćaj u fabrici se prenosi kroz tunele bazirane na VXLAN-u. Tačnije, sam Cisco naziva iVXLAN enkapsulaciju, a razlikuje se od običnog VXLAN-a po tome što se rezervisana polja u zaglavlju mreže koriste za prenos servisnih informacija, prvenstveno o odnosu saobraćaja prema EPG grupi. Ovo vam omogućava da implementirate pravila interakcije između grupa u opremi, koristeći njihove brojeve na isti način kao što se adrese koriste u običnim listama pristupa.
Tuneli omogućavaju da se i L2 segmenti i L3 segmenti (tj. VRF) protežu kroz interni IP transport. U ovom slučaju, podrazumevani gateway je distribuiran. To znači da je svaki prekidač odgovoran za rutiranje saobraćaja koji ulazi u tkivo. U smislu saobraćajne logike, ACI je sličan fabrici zasnovanoj na VXLAN/EVPN.
Ako jeste, koje su razlike? Sve ostalo!
Razlika broj jedan na koju nailazite kod ACI-ja je način na koji su serveri povezani na mrežu. U tradicionalnim mrežama, uključivanje i fizičkih servera i virtuelnih mašina ide na VLAN, a sve ostalo pleše od njih: povezanost, sigurnost itd. U ACI-ju se koristi dizajn koji Cisco naziva EPG (End-point Group), iz kojeg nema kuda pobeći. Da li ga je moguće izjednačiti sa VLAN-om? Da, ali u ovom slučaju postoji šansa da izgubite većinu onoga što ACI daje.
Što se tiče EPG-a, formulirana su sva pravila pristupa, au ACI-ju se standardno koristi princip “bijele liste”, odnosno dozvoljen je samo promet čiji je prolaz izričito dozvoljen. To jest, možemo kreirati "Web" i "MySQL" EPG grupe i definirati pravilo koje dozvoljava komunikaciju između njih samo na portu 3306. Ovo će raditi bez vezivanja za mrežne adrese, pa čak i unutar iste podmreže!
Imamo kupce koji su izabrali ACI upravo zbog ove funkcije, jer vam omogućava da ograničite pristup između servera (virtuelnih ili fizičkih - nije važno) bez njihovog prevlačenja između podmreža, što znači bez dodirivanja adresiranja. Da, da, znamo da niko ručno ne propisuje IP adrese u konfiguraciji aplikacija, zar ne?
Saobraćajna pravila u ACI-ju se zovu ugovori. U takvom ugovoru, jedna ili više grupa ili nivoa u višeslojnoj aplikaciji postaju pružaoci usluga (recimo, usluga baze podataka), drugi postaju potrošači. Ugovor može jednostavno proći promet, ili može učiniti nešto složenije, na primjer, usmjeriti ga na firewall ili balanser, i također promijeniti QoS vrijednost.
Kako serveri ulaze u ove grupe? Ako se radi o fizičkim serverima ili nečemu uključenom u postojeću mrežu u koju smo kreirali VLAN trunk, onda da biste ih smjestili u EPG, morate pokazati na switch port i VLAN koji se na njemu koristi. Kao što vidite, VLAN-ovi se pojavljuju tamo gdje ne možete bez njih.
Ako su serveri virtuelne mašine, onda je dovoljno da se pozovete na povezano okruženje virtuelizacije, a onda će se sve dogoditi samo od sebe: kreiraće se grupa portova (u smislu VMWare) za povezivanje VM-a, potrebni VLAN-ovi ili VXLAN-ovi će se budu dodijeljeni, bit će registrirani na potrebnim portovima komutatora, itd. Dakle, iako je ACI izgrađen oko fizičke mreže, veze za virtuelne servere izgledaju mnogo jednostavnije nego za fizičke. ACI već ima ugrađeno povezivanje sa VMWare i MS Hyper-V, kao i podršku za OpenStack i RedHat virtuelizaciju. Od nekog trenutka pojavila se i ugrađena podrška za kontejnerske platforme: Kubernetes, OpenShift, Cloud Foundry, a tiče se i primjene politika i nadzora, odnosno administrator mreže može odmah vidjeti na kojim hostovima koji podovi rade i u koje grupe spadaju.
Osim što su uključeni u određenu grupu portova, virtuelni serveri imaju dodatna svojstva: ime, atribute itd., koja se mogu koristiti kao kriterijum za njihovo prenošenje u drugu grupu, recimo, kada se VM preimenuje ili se pojavi dodatna oznaka u to. Cisco ovo naziva grupama mikro-segmentacije, iako je, uglavnom, sam dizajn sa mogućnošću kreiranja mnogih sigurnosnih segmenata u obliku EPG-ova na istoj podmreži takođe prilično mikro-segmentacija. Pa, prodavac zna bolje.
EPG-ovi su sami po sebi čisto logičke konstrukcije, nisu vezane za određene prekidače, servere itd., tako da možete raditi stvari s njima i konstrukcije zasnovane na njima (aplikacije i stanari) koje je teško napraviti u običnim mrežama, kao što je kloniranje. Kao rezultat toga, recimo da je vrlo lako klonirati proizvodno okruženje kako bi se dobilo testno okruženje za koje je zagarantovano da je identično proizvodnom okruženju. Možete to učiniti ručno, ali je bolje (i lakše) preko API-ja.
Općenito, kontrolna logika u ACI-ju uopće nije slična onoj koju obično susrećete
u tradicionalnim mrežama iz istog Cisco-a: softversko sučelje je primarno, a GUI ili CLI su sekundarni, jer rade preko istog API-ja. Stoga, gotovo svi koji su uključeni u ACI, nakon nekog vremena, počinju da se kreću objektnim modelom koji se koristi za upravljanje i automatiziraju nešto kako bi odgovarali njihovim potrebama. Najlakši način za to je iz Pythona: za to postoje praktični gotovi alati.
Obećane rake
Glavni problem je što se mnoge stvari u ACI-ju rade drugačije. Da biste s njim počeli normalno raditi, morate se ponovo obučiti. Ovo posebno važi za mrežne operativne timove u velikim korisnicima, gde inženjeri godinama „prepisuju VLAN“ na zahtev. Činjenica da sada VLAN-ovi više nisu VLAN-ovi i da ne morate ručno kreirati VLAN-ove da biste postavili nove mreže u virtuelizirane hostove, potpuno skida krov s tradicionalnih mrežnih mreža i tjera ih da se drže poznatih pristupa. Treba napomenuti da je Cisco pokušao malo da zasladi pilulu i dodao CLI „nalik NXOS“ kontroleru, koji vam omogućava da konfigurišete sa interfejsa sličnog tradicionalnim prekidačima. Ali ipak, da biste počeli normalno koristiti ACI, morate razumjeti kako on funkcionira.
Što se tiče cijene, na velikim i srednjim skalama, ACI mreže se zapravo ne razlikuju od tradicionalnih mreža na Cisco opremi, jer se za njihovu izgradnju koriste isti prekidači (Nexus 9000 može raditi u ACI i u tradicionalnom načinu rada i sada su postali glavni "radni konj" za nove projekte data centara). Ali za podatkovne centre sa dva prekidača, prisustvo kontrolera i Spine-Leaf arhitektura, naravno, daju se osjetiti. Nedavno se pojavila Mini ACI fabrika u kojoj su dva od tri kontrolera zamenjena virtuelnim mašinama. To smanjuje razliku u cijeni, ali ona i dalje ostaje. Dakle, za kupca, izbor je diktiran koliko je zainteresovan za sigurnosne karakteristike, integraciju sa virtuelizacijom, jednu tačku kontrole i tako dalje.
izvor: www.habr.com