Durant els últims anys, Cisco ha estat promovent activament una nova arquitectura per construir una xarxa de transmissió de dades al centre de dades: Infraestructura centrada en l'aplicació (o ACI). Alguns ja ho coneixen. I alguns fins i tot van aconseguir implementar-lo a les seves empreses, inclosa a Rússia. Tanmateix, per a la majoria de professionals i gestors de TI, ACI encara és un acrònim obscur o només una reflexió sobre el futur.
En aquest article intentarem apropar aquest futur. Per fer-ho, parlarem dels principals components arquitectònics d'ACI, i també il·lustrarem com es pot utilitzar a la pràctica. A més, en un futur proper organitzarem una demostració visual d'ACI, a la qual es pot apuntar qualsevol informàtic interessat.
Podeu obtenir més informació sobre la nova arquitectura de xarxa a Sant Petersburg el maig de 2019. Tots els detalls estan a . Registra't!
prehistòria
El model de construcció de xarxa tradicional i més popular és un model jeràrquic de tres nivells: nucli -> distribució (agregació) -> accés. Durant molts anys, aquest model va ser l'estàndard; els fabricants van produir diversos dispositius de xarxa amb la funcionalitat adequada per a això.
Abans, quan la tecnologia de la informació era una mena d'apèndix necessari (i, francament, no sempre desitjat) als negocis, aquest model era convenient, molt estàtic i fiable. No obstant això, ara que la informàtica és un dels motors del desenvolupament del negoci, i en molts casos el propi negoci, la naturalesa estàtica d'aquest model ha començat a causar grans problemes.
El negoci modern genera un gran nombre de requisits complexos diferents per a la infraestructura de xarxa. L'èxit del negoci depèn directament del moment de la implementació d'aquests requisits. El retard en aquestes condicions és inacceptable i el model clàssic de construcció de xarxes sovint no permet satisfer totes les necessitats empresarials de manera oportuna.
Per exemple, l'aparició d'una nova aplicació empresarial complexa requereix que els administradors de xarxa realitzin un gran nombre d'operacions rutinàries similars en un gran nombre de dispositius de xarxa diferents a diferents nivells. A més de consumir molt de temps, també augmenta el risc d'equivocar-se, la qual cosa pot provocar un temps d'inactivitat greu dels serveis informàtics i, com a conseqüència, pèrdues financeres.
L'arrel del problema ni tan sols són els mateixos terminis ni la complexitat dels requisits. El fet és que aquests requisits s'han de "traduir" del llenguatge de les aplicacions empresarials al llenguatge de la infraestructura de xarxa. Com sabeu, qualsevol traducció és sempre una pèrdua parcial de sentit. Quan el propietari de l'aplicació parla de la lògica de la seva aplicació, l'administrador de la xarxa entén un conjunt de VLAN, llistes d'accés a desenes de dispositius que necessiten ser compatibles, actualitzats i documentats.
L'experiència acumulada i la comunicació constant amb els clients van permetre a Cisco dissenyar i implementar nous principis per construir una xarxa de transmissió de dades de centre de dades que compleixi les tendències modernes i es basen, en primer lloc, en la lògica de les aplicacions empresarials. D'aquí el nom - Infraestructura Cèntrica d'Aplicacions.
Arquitectura ACI.
El més correcte és considerar l'arquitectura ACI no des del costat físic, sinó des del costat lògic. Es basa en un model de polítiques automatitzades, els objectes del qual al nivell superior es poden dividir en els components següents:
- Xarxa basada en commutadors Nexus.
- clúster de controladors APIC;
- perfils d'aplicació;
Vegem cada nivell amb més detall, i passarem del simple al complex.
Xarxa basada en commutadors Nexus
La xarxa d'una fàbrica ACI és similar al model jeràrquic tradicional, però és molt més senzill de construir. El model Leaf-Spine s'utilitza per organitzar la xarxa, que s'ha convertit en un enfocament generalment acceptat per implementar xarxes de nova generació. Aquest model consta de dos nivells: columna vertebral i fulla, respectivament.
El nivell de la columna vertebral només és responsable del rendiment. El rendiment total dels commutadors Spine és igual al rendiment de tot el teixit, de manera que s'han d'utilitzar commutadors amb ports de 40G o superiors a aquest nivell.
Els interruptors de columna es connecten a tots els interruptors del següent nivell: interruptors de fulla, als quals estan connectats els hosts finals. El paper principal dels commutadors Leaf és la capacitat del port.
Així, els problemes d'escala es resolen fàcilment: si necessitem augmentar el rendiment de la tela, afegim commutadors Spine i, si necessitem augmentar la capacitat del port, afegim Leaf.
Per als dos nivells, s'utilitzen commutadors de la sèrie Cisco Nexus 9000, que per a Cisco són l'eina principal per construir xarxes de centres de dades, independentment de la seva arquitectura. Per a la capa Spine, s'utilitzen interruptors Nexus 9300 o Nexus 9500, i només per al Leaf Nexus 9300.
La gamma de models d'interruptors Nexus que s'utilitzen a la fàbrica ACI es mostra a la figura següent.
Clúster de controladors APIC (Application Policy Infrastructure Controller).
Els controladors APIC són servidors físics especialitzats, mentre que per a petites implementacions és possible utilitzar un clúster d'un controlador APIC físic i dos virtuals.
Els controladors APIC proporcionen funcions de control i supervisió. L'important és que els controladors mai participin en la transferència de dades, és a dir, encara que fallin tots els controladors del clúster, això no afectarà en absolut l'estabilitat de la xarxa. També cal tenir en compte que amb l'ajuda dels APIC, l'administrador gestiona absolutament tots els recursos físics i lògics de la fàbrica i, per fer qualsevol canvi, ja no cal connectar-se a un dispositiu en particular, ja que ACI utilitza un punt únic de control.
Ara passem a un dels components principals d'ACI: els perfils d'aplicació.
Perfil de xarxa d'aplicacions és la base lògica de l'ACI. Són els perfils d'aplicació els que defineixen les polítiques d'interacció entre tots els segments de xarxa i descriuen els mateixos segments de xarxa. L'ANP permet abstraure's de la capa física i, de fet, imaginar com cal organitzar la interacció entre diferents segments de xarxa des del punt de vista de l'aplicació.
Un perfil d'aplicació consta de grups de connexió (End-point groups - EPG). Un grup de connexió és un grup lògic d'amfitrions (màquines virtuals, servidors físics, contenidors, etc.) que es troben en el mateix segment de seguretat (no de xarxa, sinó de seguretat). Els hosts finals que pertanyen a un determinat EPG es poden determinar mitjançant un gran nombre de criteris. S'utilitzen habitualment els següents:
- Port físic
- Port lògic (grup de ports a l'interruptor virtual)
- ID de VLAN o VXLAN
- Adreça IP o subxarxa IP
- Atributs del servidor (nom, ubicació, versió del sistema operatiu, etc.)
Per a la interacció de diferents EPG, es proporciona una entitat anomenada contractes. El contracte defineix la relació entre les diferents EPG. En altres paraules, el contracte defineix quin servei ofereix un EPG a un altre EPG. Per exemple, creem un contracte que permet que el trànsit flueixi a través del protocol HTTPS. A continuació, connectem amb aquest contracte, per exemple, EPG Web (un grup de servidors web) i EPG App (un grup de servidors d'aplicacions), després dels quals aquests dos grups de terminals poden intercanviar trànsit mitjançant el protocol HTTPS.
La figura següent descriu un exemple de configuració de la comunicació entre diferents EPG mitjançant contractes dins de la mateixa ANP.
Hi pot haver qualsevol nombre de perfils d'aplicació dins d'una fàbrica ACI. A més, els contractes no estan vinculats a un perfil d'aplicació específic; es poden (i s'han d'utilitzar) per connectar EPG a diferents ANP.
De fet, cada aplicació que requereix una xarxa d'una forma o una altra es descriu pel seu propi perfil. Per exemple, el diagrama anterior mostra l'arquitectura estàndard d'una aplicació de tres nivells, que consta d'un nombre N de servidors d'accés extern (web), servidors d'aplicacions (App) i servidors DBMS (DB), i també descriu les regles d'interacció entre ells. En una infraestructura de xarxa tradicional, aquest seria un conjunt de regles escrites als diferents dispositius de la infraestructura. A l'arquitectura ACI, descrivim aquestes regles dins d'un únic perfil d'aplicació. L'ACI, utilitzant un perfil d'aplicació, fa que sigui molt més fàcil crear un gran nombre de paràmetres en diferents dispositius agrupant-los tots en un únic perfil.
La imatge següent mostra un exemple més realista. Un perfil d'aplicació de Microsoft Exchange fet a partir de diversos EPG i contractes.
La gestió central, l'automatització i la supervisió és un dels avantatges clau d'ACI. ACI Factory alleuja els administradors del treball tediós de crear un gran nombre de regles en diversos commutadors, encaminadors i tallafocs (mentre que es permet i es pot utilitzar el mètode clàssic de configuració manual). La configuració dels perfils d'aplicació i altres objectes ACI s'apliquen automàticament a tot el teixit ACI. Fins i tot quan canvieu físicament els servidors a altres ports dels commutadors de teixit, no cal duplicar la configuració dels interruptors antics als nous i esborrar regles innecessàries. D'acord amb els criteris de pertinença a l'EPG de l'amfitrió, la fàbrica farà aquests paràmetres automàticament i netejarà automàticament les regles no utilitzades.
Les polítiques de seguretat ACI integrades s'implementen com a llistes blanques, el que significa que allò que no està permès explícitament està prohibit per defecte. Juntament amb l'actualització automàtica de les configuracions dels equips de xarxa (eliminant regles i permisos no utilitzats "oblidats"), aquest enfocament augmenta significativament el nivell general de seguretat de la xarxa i redueix la superfície d'un atac potencial.
ACI us permet organitzar la interacció de xarxa no només de màquines virtuals i contenidors, sinó també de servidors físics, tallafocs de maquinari i equips de xarxa de tercers, fet que fa d'ACI una solució única en aquest moment.
El nou enfocament de Cisco per construir una xarxa de dades basada en la lògica de l'aplicació no és només sobre l'automatització, la seguretat i la gestió centralitzada. També és una xarxa moderna i escalable horitzontalment que compleix tots els requisits dels negocis moderns.
La implementació d'una infraestructura de xarxa basada en ACI permet que tots els departaments de l'empresa parlin el mateix idioma. L'administrador només es guia per la lògica de l'aplicació, que descriu les regles i les connexions necessàries. Així com la lògica de l'aplicació, els propietaris i desenvolupadors de l'aplicació, el servei de seguretat de la informació, els economistes i els empresaris es guien per ella.
Així, Cisco està posant en pràctica el concepte d'una xarxa de centres de dades de nova generació. Vols veure això per tu mateix? Vine a la manifestació Infraestructura centrada en aplicacions a Sant Petersburg i treballar ara amb la xarxa de centres de dades del futur.
Podeu registrar-vos a l'esdeveniment .
Font: www.habr.com