Uban sa tabang niining mahika nga piraso sa Cisco ACI script, dali ka nga maka-set up sa usa ka network.
Ang pabrika sa network alang sa Cisco ACI data center naglungtad sulod sa lima ka tuig, apan si HabrΓ© wala gayud magsulti mahitungod niini, mao nga nakahukom ko nga ayohon kini og gamay. Isulti ko kanimo gikan sa akong kaugalingon nga kasinatian kung unsa kini, kung unsa ang gamit niini ug kung diin kini adunay rake.
Unsa kini ug diin kini gikan?
Sa panahon nga ang ACI (Application Centric Infrastructure) gipahibalo sa 2013, ang mga kakompetensya nag-uswag sa tradisyonal nga mga pamaagi sa mga network sa data center gikan sa tulo ka kilid sa usa ka higayon.
Sa usa ka bahin, ang "unang henerasyon" nga mga solusyon sa SDN nga gibase sa OpenFlow misaad nga himoong mas flexible ug mas barato ang mga network sa samang higayon. Ang ideya mao ang pagbalhin sa paghimog desisyon nga tradisyonal nga gihimo sa proprietary switch software ngadto sa usa ka sentral nga controller.
Kini nga tigkontrol adunay usa ka panan-awon sa tanan nga mahitabo ug, base niini, magprograma sa hardware sa tanan nga mga switch sa lebel sa mga lagda alang sa pagproseso sa piho nga mga agos.
Sa laing bahin, ang overlay nga mga solusyon sa network nagpaposible sa pagpatuman sa gikinahanglan nga koneksyon ug mga polisiya sa seguridad nga walay bisan unsa nga mga pagbag-o sa pisikal nga network sa tanan, pagtukod og software tunnels tali sa virtualized hosts. Ang labing nailhan nga pananglitan sa kini nga pamaagi mao ang Nicira, nga kaniadto nakuha na sa VMWare sa $1,26 bilyon ug nagpatungha sa karon nga VMWare NSX. Ang pila ka piquancy sa sitwasyon gidugang sa kamatuoran nga ang mga co-founder sa Nicira mao ra ang mga tawo nga kaniadto nagbarug sa sinugdanan sa OpenFlow, nga karon nag-ingon nga aron makatukod usa ka pabrika sa data center. .
Ug sa katapusan, ang pagbalhin sa mga chip nga magamit sa bukas nga merkado (gitawag nga merchant silicon) nakaabut sa usa ka yugto sa pagkahamtong diin nahimo silang usa ka tinuud nga hulga sa tradisyonal nga mga tiggama sa switch. Kung sa sayo pa ang matag vendor independente nga nagpalambo sa mga chips alang sa mga switch niini, unya sa paglabay sa panahon, ang mga chips gikan sa mga tiggama sa ikatulo nga partido, panguna gikan sa Broadcom, nagsugod sa pagpakunhod sa distansya sa mga chips sa vendor sa mga termino sa mga gimbuhaton, ug milabaw kini sa mga termino sa presyo / ratio sa pasundayag. Busa, daghan ang nagtuo nga ang mga adlaw sa switch sa mga chips sa ilang kaugalingong disenyo giihap.
Ang ACI nahimong "asymmetric response" sa Cisco (mas tukma, ang kompanya nga Insieme, nga gitukod sa mga kanhing empleyado niini) sa tanan nga naa sa ibabaw.
Unsa ang kalainan sa OpenFlow?
Sa mga termino sa pag-apod-apod sa mga gimbuhaton, ang ACI sa tinuud sukwahi sa OpenFlow.
Sa arkitektura sa OpenFlow, ang tigkontrol mao ang responsable sa pagsulat sa detalyado nga mga lagda (mga agos)
sa hardware sa tanan nga mga switch, nga mao, sa usa ka dako nga network, kini mahimong responsable sa pagmintinar ug, labing importante, pag-usab sa napulo ka milyon nga mga rekord sa gatusan ka mga punto sa network, mao nga ang iyang performance ug kasaligan mahimong usa ka bottleneck sa usa ka dako nga pagpatuman.
Gigamit sa ACI ang reverse nga pamaagi: siyempre, adunay usab usa ka controller, apan ang mga switch nakadawat sa taas nga lebel nga mga palisiya sa deklarasyon gikan niini, ug ang switch mismo naghimo sa ilang paghubad sa mga detalye sa piho nga mga setting sa hardware. Ang controller mahimong i-reboot o i-off sa hingpit, ug walay daotan nga mahitabo sa network, gawas, siyempre, ang kakulang sa kontrol niining higayona. Makapainteres, adunay mga sitwasyon sa ACI diin ang OpenFlow gigamit gihapon, apan lokal sulod sa host alang sa Open vSwitch programming.
Ang ACI bug-os nga gitukod sa VXLAN nga nakabase sa overlay nga transportasyon, apan naglakip sa nagpahiping IP nga transportasyon isip bahin sa usa ka solusyon. Gitawag kini sa Cisco nga termino nga "integrated overlay". Ingon usa ka punto sa pagtapos alang sa mga overlay sa ACI, sa kadaghanan nga mga kaso, gigamit ang mga switch sa pabrika (gibuhat nila kini sa tulin nga link). Ang mga host wala kinahanglana nga mahibal-an ang bisan unsa bahin sa pabrika, encapsulation, ug uban pa, bisan pa, sa pipila ka mga kaso (pananglitan, aron makonektar ang mga host sa OpenStack), ang trapiko sa VXLAN mahimong madala sa kanila.
Ang mga overlay gigamit sa ACI dili lamang sa paghatag og flexible connectivity pinaagi sa transport network, apan usab sa pagbalhin sa metainformation (kini gigamit, pananglitan, sa paggamit sa mga palisiya sa seguridad).
Ang mga chips gikan sa Broadcom kaniadto gigamit sa Cisco sa mga switch sa serye sa Nexus 3000. Sa pamilyang Nexus 9000, espesyal nga gipagawas aron suportahan ang ACI, usa ka hybrid nga modelo ang orihinal nga gipatuman, nga gitawag nga Merchant +. Ang switch dungan nga gigamit ang bag-ong Broadcom Trident 2 chip ug usa ka komplementaryong chip nga gimugna sa Cisco, nga nagpatuman sa tanang magic sa ACI. Dayag, kini nagpaposible sa pagpadali sa pagpagawas sa produkto ug pagpakunhod sa tag sa presyo sa switch ngadto sa lebel nga duol sa mga modelo nga gibase lamang sa Trident 2. Kini nga pamaagi igo na alang sa unang duha o tulo ka tuig sa paghatud sa ACI. Niining panahona, ang Cisco nagpalambo ug naglansad sa sunod nga henerasyon nga Nexus 9000 sa kaugalingon nga mga chip nga adunay dugang nga performance ug feature set, apan sa samang lebel sa presyo. Ang gawas nga mga detalye sa mga termino sa interaksyon sa pabrika hingpit nga napreserbar. Sa samang higayon, ang internal nga pagpuno hingpit nga nausab: usa ka butang sama sa refactoring, apan alang sa hardware.
Giunsa Naglihok ang Cisco ACI Architecture
Sa pinakasimple nga kaso, ang ACI gitukod sa topology sa Klose network, o, ingon sa kanunay nilang isulti, Spine-Leaf. Ang mga switch sa lebel sa spine mahimong gikan sa duha (o usa, kung wala kita magtagad sa pagtugot sa sayup) hangtod sa unom. Tungod niini, mas daghan kanila, mas taas ang pagtugot sa sayup (mas ubos ang bandwidth ug pagkunhod sa kasaligan sa kaso sa usa ka aksidente o pagmentinar sa usa ka Spine) ug ang kinatibuk-ang pasundayag. Ang tanan nga mga eksternal nga koneksyon moadto sa mga switch sa lebel sa dahon: kini mga server, ug nagdunggo sa mga eksternal nga network pinaagi sa L2 o L3, ug nagkonektar sa mga tigkontrol sa APIC. Sa kinatibuk-an, uban sa ACI, dili lamang configuration, apan usab statistics koleksyon, kapakyasan monitoring, ug sa ingon sa - ang tanan nga gibuhat pinaagi sa interface sa controllers, nga adunay tulo ka sa standard-kadako nga pagpatuman.
Dili nimo kinahanglan nga magkonektar sa mga switch gamit ang console, bisan sa pagsugod sa network: ang controller mismo nakamatikod sa mga switch ug nag-assemble sa usa ka pabrika gikan kanila, lakip ang mga setting sa tanan nga mga protocol sa serbisyo, busa, sa paagi, hinungdanon kaayo nga isulat ang mga serial number sa mga ekipo nga gi-install sa panahon sa pag-instalar, aron sa ulahi dili nimo kinahanglan nga matag-an kung unsang switch ang nahimutang kung diin nahimutang ang rack. Alang sa pag-troubleshoot, kung gikinahanglan, mahimo ka nga makonektar sa mga switch pinaagi sa SSH: ilang gihimo ang naandan nga mga sugo sa pagpakita sa Cisco nga maampingon.
Sa sulod, ang pabrika naggamit sa IP nga transportasyon, mao nga walay Spanning Tree ug uban pang mga kalisang sa nangagi niini: ang tanan nga mga link nalangkit, ug ang convergence sa kaso sa mga kapakyasan paspas kaayo. Ang trapiko sa panapton gipasa pinaagi sa mga tunel nga gibase sa VXLAN. Sa mas tukma, ang Cisco mismo nagtawag sa iVXLAN encapsulation, ug kini lahi sa regular nga VXLAN tungod kay ang gireserba nga mga field sa network header gigamit sa pagpadala sa impormasyon sa serbisyo, ilabina mahitungod sa relasyon sa trapiko ngadto sa EPG nga grupo. Gitugotan ka niini nga ipatuman ang mga lagda sa interaksyon tali sa mga grupo sa kagamitan, gamit ang ilang mga numero sa parehas nga paagi nga gigamit ang mga adres sa ordinaryong mga lista sa pag-access.
Gitugotan sa mga tunel ang mga bahin sa L2 ug mga bahin sa L3 (ie VRF) nga ma-stretch pinaagi sa internal nga transportasyon sa IP. Sa kini nga kaso, ang default gateway giapod-apod. Kini nagpasabot nga ang matag switch maoy responsable sa pag-ruta sa trapiko nga mosulod sa panapton. Sa termino sa lohika sa dagan sa trapiko, ang ACI susama sa usa ka panapton nga VXLAN/EVPN.
Kon mao, unsa ang mga kalainan? Ang tanan nga uban pa!
Ang numero uno nga kalainan nga imong masugatan sa ACI mao kung giunsa ang mga server konektado sa network. Sa tradisyonal nga mga network, ang paglakip sa mga pisikal nga server ug virtual nga mga makina moadto sa mga VLAN, ug ang tanan nagsayaw gikan kanila: koneksyon, seguridad, ug uban pa. Sa ACI, usa ka disenyo ang gigamit nga gitawag sa Cisco nga EPG (End-point Group), diin gikan walay makalayo. Posible ba nga iparehas kini sa VLAN? Oo, apan sa kini nga kaso adunay higayon nga mawala ang kadaghanan sa gihatag sa ACI.
Mahitungod sa EPG, ang tanan nga mga lagda sa pag-access giporma, ug sa ACI, ang "puti nga lista" nga prinsipyo gigamit nga default, nga mao, ang trapiko ra ang gitugotan, ang pagpasa niini klaro nga gitugotan. Kana mao, makahimo kita sa "Web" ug "MySQL" EPG nga mga grupo ug maghubit sa usa ka lagda nga nagtugot sa komunikasyon tali kanila lamang sa port 3306. Kini molihok nga dili mahigot sa mga adres sa network ug bisan sa sulod sa samang subnet!
Kami adunay mga kostumer nga nagpili sa ACI nga tukma tungod sa kini nga bahin, tungod kay gitugotan ka niini nga higpitan ang pag-access sa taliwala sa mga server (virtual o pisikal - dili igsapayan) nga walaβy pag-drag kanila taliwala sa mga subnet, nga nagpasabut nga walaβy paghikap sa pag-address. Oo, oo, nahibal-an namon nga walaβy nagreseta sa mga ad sa IP sa mga pag-configure sa aplikasyon pinaagi sa kamot, dili ba?
Ang mga lagda sa trapiko sa ACI gitawag nga mga kontrata. Sa ingon nga kontrata, usa o daghan pa nga mga grupo o lebel sa usa ka multi-tier nga aplikasyon mahimong usa ka service provider (ingon, usa ka serbisyo sa database), ang uban nahimo nga usa ka konsumidor. Ang kontrata mahimo lamang nga moagi sa trapiko, o makahimo kini og usa ka butang nga mas malisud, pananglitan, idirekta kini sa usa ka firewall o balancer, ug usbon usab ang kantidad sa QoS.
Giunsa pagsulod sa mga server kini nga mga grupo? Kung kini mga pisikal nga server o usa ka butang nga gilakip sa usa ka kasamtangan nga network diin naghimo kami usa ka punoan sa VLAN, nan aron mabutang kini sa EPG, kinahanglan nimo itudlo ang switch port ug ang VLAN nga gigamit niini. Sama sa imong nakita, ang mga VLAN makita kung diin dili nimo mahimo kung wala sila.
Kung ang mga server mga virtual machine, nan igo na nga maghisgot sa konektado nga virtualization nga palibot, ug unya ang tanan mahitabo sa iyang kaugalingon: usa ka grupo sa pantalan ang himuon (sa termino sa VMWare) aron makonektar ang VM, ang kinahanglan nga mga VLAN o VXLAN ma-assign, sila marehistro sa gikinahanglan nga switch ports, ug uban pa. Busa, bisan tuod ang ACI gitukod sa palibot sa usa ka pisikal nga network, ang mga koneksyon alang sa mga virtual nga server tan-awon nga mas simple kay sa pisikal nga mga. Ang ACI aduna nay built-in nga koneksyon sa VMWare ug MS Hyper-V, ingon man suporta alang sa OpenStack ug RedHat Virtualization. Gikan sa pila ka punto, ang built-in nga suporta alang sa mga platform sa sulud nagpakita usab: Kubernetes, OpenShift, Cloud Foundry, samtang kini adunay kalabotan sa aplikasyon sa mga palisiya ug pag-monitor, sa ato pa, makita dayon sa tagdumala sa network kung unsang mga host ang nagtrabaho ug unsa nga mga grupo sila nahulog.
Gawas pa nga gilakip sa usa ka partikular nga grupo sa pantalan, ang mga virtual server adunay dugang nga mga kabtangan: ngalan, mga hiyas, ug uban pa, nga mahimong magamit ingon mga pamatasan sa pagbalhin kanila sa lain nga grupo, ingon, kung ang usa ka VM gibag-o sa ngalan o usa ka dugang nga tag makita sa kini. Gitawag sa Cisco kini nga mga grupo sa micro-segmentation, bisan kung, sa kadaghanan, ang disenyo mismo nga adunay katakus sa paghimo og daghang mga bahin sa seguridad sa porma sa mga EPG sa parehas nga subnet usa usab ka micro-segmentation. Aw, ang vendor mas nahibalo.
Ang mga EPG mismo pulos lohikal nga mga konstruksyon, wala gihigot sa piho nga mga switch, server, ug uban pa, aron mahimo nimo ang mga butang uban kanila ug mga pagtukod base sa kanila (mga aplikasyon ug mga tenant) nga lisud buhaton sa ordinaryong mga network, sama sa pag-clone. Ingon usa ka sangputanan, ingnon ta nga dali ra kaayo ang pag-clone sa usa ka palibot sa produksiyon aron makakuha usa ka palibot sa pagsulay nga gigarantiyahan nga parehas sa palibot sa produksiyon. Mahimo nimo kini nga mano-mano, apan kini mas maayo (ug mas sayon) pinaagi sa API.
Sa kinatibuk-an, ang kontrol nga lohika sa ACI dili parehas sa kung unsa ang kanunay nimong mahimamat
sa tradisyonal nga mga network gikan sa parehas nga Cisco: ang interface sa software mao ang panguna, ug ang GUI o CLI ikaduha, tungod kay nagtrabaho sila pinaagi sa parehas nga API. Busa, hapit tanan nga nalambigit sa ACI, pagkahuman sa usa ka panahon, nagsugod sa pag-navigate sa modelo sa butang nga gigamit alang sa pagdumala ug pag-automate sa usa ka butang nga mohaum sa ilang mga panginahanglan. Ang pinakasayon ββββnga paagi sa pagbuhat niini kay gikan sa Python: adunay kombenyente nga andam nga mga himan alang niini.
Gisaad nga rake
Ang panguna nga problema mao nga daghang mga butang sa ACI ang gibuhat nga lahi. Aron magsugod sa pagtrabaho uban niini nga normal, kinahanglan nimo nga magbansay pag-usab. Tinuod kini ilabi na alang sa mga grupo sa operasyon sa network sa dagkong mga kustomer, diin ang mga inhenyero "nagreseta sa mga VLAN" sulod sa mga katuigan sa hangyo. Ang kamatuoran nga karon ang mga VLAN dili na mga VLAN, ug dili na nimo kinahanglan nga maghimo ug mga VLAN pinaagi sa kamot aron ibutang ang mga bag-ong network sa virtualized nga mga host, hingpit nga gihuyop ang atop sa mga tradisyonal nga networker ug gipapilit sila sa pamilyar nga mga pamaagi. Kinahanglan nga matikdan nga ang Cisco misulay sa pagpatam-is sa pildoras og gamay ug nagdugang usa ka "NXOS-sama" nga CLI sa controller, nga nagtugot kanimo sa paghimo sa pagsumpo gikan sa usa ka interface nga susama sa tradisyonal nga mga switch. Apan sa gihapon, aron masugdan ang paggamit sa ACI nga normal, kinahanglan nimong masabtan kung giunsa kini molihok.
Sa mga termino sa presyo, sa dako ug medium nga mga timbangan, ang mga network sa ACI dili tinuod nga lahi gikan sa tradisyonal nga mga network sa mga ekipo sa Cisco, tungod kay ang parehas nga mga switch gigamit sa pagtukod niini (Ang Nexus 9000 mahimong magtrabaho sa ACI ug sa tradisyonal nga paagi ug nahimo na karon ang nag-unang "workhorse" alang sa bag-ong mga proyekto sa data center). Apan alang sa mga sentro sa datos sa duha ka switch, ang presensya sa mga controller ug Spine-Leaf nga arkitektura, siyempre, nagpabati sa ilang kaugalingon. Bag-ohay lang, usa ka pabrika sa Mini ACI ang nagpakita, diin duha sa tulo nga mga controller gipulihan sa mga virtual machine. Gipamenos niini ang kalainan sa gasto, apan nagpabilin gihapon kini. Mao nga alang sa kustomer, ang pagpili gidiktahan kung unsa siya ka interesado sa mga bahin sa seguridad, panagsama sa virtualization, usa ka punto sa pagkontrol, ug uban pa.
Source: www.habr.com