In l'ultimi anni, Cisco hà prumuvutu attivamente una nova architettura per custruisce una rete di trasmissione di dati in u centru di dati - Infrastruttura Centrica Applicativa (o ACI). Certi sò digià familiarizati cun ella. È certi anu ancu riesciutu à implementà in e so imprese, ancu in Russia. In ogni casu, per a maiò parte di i prufessiunali di l'IT è i gestori di l'IT, ACI hè sempre o un acronimu scuru o solu una riflessione nantu à u futuru.
In questu articulu avemu da pruvà à avvicinassi stu futuru. Per fà questu, parlemu di i principali cumpunenti architecturali di ACI, è ancu illustrà cumu si pò esse usatu in pratica. Inoltre, in un futuru vicinu urganizeremu una manifestazione visuale di ACI, chì ogni specialista in IT interessatu pò firmà.
Pudete amparà più nantu à a nova architettura di rete in San Pietroburgo in maghju 2019. Tutti i dettagli sò in . Firma!
Pristoria
U mudellu di custruzzione di rete tradiziunale è più populari hè un mudellu gerarchicu di trè livelli: core -> distribuzione (aggregazione) -> accessu. Per parechji anni, stu mudellu hè statu u standard; i pruduttori pruducianu parechji dispositi di rete cù e funziunalità adattatu per questu.
Nanzu, quandu a tecnulugia di l'infurmazione era un tipu d'appendice necessariu (è, francamente, micca sempre desideratu) à l'affari, stu mudellu era cunvene, assai staticu è affidabile. In ogni casu, avà chì l'IT hè unu di i mutori di u sviluppu di l'affari, è in parechji casi l'affari stessu, a natura statica di stu mudellu hà cuminciatu à causà grandi prublemi.
L'affari muderni generanu un gran numaru di esigenze cumplessi diffirenti per l'infrastruttura di rete. U successu di l'affari dipende direttamente da u timing di l'implementazione di sti esigenze. U ritardu in tali cundizioni hè inacceptable, è u mudellu classicu di a custruzzione di a rete spessu ùn permette micca di risponde à tutti i bisogni di l'affari in una manera puntuale.
Per esempiu, l'emergenza di una nova applicazione cummerciale cumplessa richiede l'amministratori di a rete per realizà un gran numaru di operazioni di rutina simili nantu à un gran numaru di dispusitivi di rete diffirenti in diversi livelli. In più di u tempu, aumenta ancu u risicu di fà un sbagliu, chì pò purtà à un seriu downtime di i servizii di l'informatica è, in u risultatu, a perdita finanziaria.
A radica di u prublema ùn hè mancu i termini stessi o a cumplessità di e esigenze. U fattu hè chì queste esigenze deve esse "traduttu" da a lingua di l'applicazioni cummerciale à a lingua di l'infrastruttura di rete. Comu sapete, ogni traduzzione hè sempre una perdita parziale di significatu. Quandu u pruprietariu di l'applicazione parla di a logica di a so applicazione, l'amministratore di a rete capisce un inseme di VLAN, Lista d'accessu nantu à decine di dispusitivi chì deve esse supportatu, aghjurnatu è documentatu.
L'esperienza accumulata è a cumunicazione constante cù i clienti hà permessu à Cisco di cuncepisce è implementà novi principii per a custruzzione di una rete di trasmissione di dati di centru di dati chì risponde à i tendenzi muderni è sò basati, prima di tuttu, nantu à a logica di l'applicazioni cummerciale. Da quì u nome - Application Centric Infrastructure.
L'architettura ACI.
Hè più currettu per cunsiderà l'architettura ACI micca da u latu fisicu, ma da u latu lògicu. Hè basatu annantu à un mudellu di pulitiche automatizati, l'uggetti di quale à u livellu superiore pò esse divisu in i seguenti cumpunenti:
- Rete basata nantu à i switch Nexus.
- cluster controller APIC;
- Profili di l'applicazione;
Fighjemu ogni livellu in più detail - è andemu da simplice à cumplessu.
Rete basata nantu à i switch Nexus
A reta in una fabbrica ACI hè simile à u mudellu gerarchicu tradiziunale, ma hè assai più simplice di custruisce. U mudellu Leaf-Spine hè adupratu per urganizà a reta, chì hè diventata un approcciu generalmente accettatu per implementà e rete di a prossima generazione. Stu mudellu hè custituitu di dui livelli: Spine è Leaf, rispettivament.
U livellu Spine hè solu rispunsevule per u rendiment. U rendimentu tutale di i switch Spine hè uguali à u rendiment di tuttu u tessulu, cusì i switches cù porti 40G o più altu deve esse usatu à questu livellu.
L'interruttori di u spinu cunnettanu à tutti l'interruttori à u prossimu livellu: Interruttori di foglia, à quale l'ospiti finali sò cunnessi. U rolu principali di i switch Leaf hè a capacità di u portu.
Cusì, i prublemi di scala sò facilmente risolti: se avemu bisognu di aumentà u flussu di tela, aghjunghjemu i switches Spine, è se avemu bisognu di aumentà a capacità di u portu, aghjustemu Leaf.
Per i dui livelli, i switches di a serie Cisco Nexus 9000 sò usati, chì per Cisco sò l'uttellu principalu per a custruzzione di rete di centri di dati, indipendentemente da a so architettura. Per a capa di Spine, Nexus 9300 o Nexus 9500 sò usati, è per Leaf solu Nexus 9300.
A gamma di mudelli di switch Nexus chì sò usati in a fabbrica ACI hè mostrata in a figura sottu.
Cluster di Controller APIC (Application Policy Infrastructure Controller).
I cuntrolli APIC sò servitori fisichi specializati, mentre chì per implementazioni chjuche hè pussibule aduprà un cluster di un controller APIC fisicu è dui virtuale.
I controller APIC furniscenu funzioni di cuntrollu è monitoraghju. L'impurtante hè chì i cuntrolli ùn participanu mai à u trasferimentu di dati, vale à dì, ancu s'è tutti i controller di cluster fallenu, questu ùn avarà micca a stabilità di a reta in tuttu. Deve ancu esse nutatu chì cù l'aiutu di l'APIC, l'amministratore gestisce assolutamente tutte e risorse fisiche è logiche di a fabbrica, è per fà qualsiasi cambiamenti, ùn ci hè più bisognu di cunnette à un dispositivu particulari, postu chì ACI usa un puntu unicu di cuntrollu.
Avà andemu à unu di i cumpunenti principali di ACI - profili di applicazione.
Profilu di rete di l'applicazione hè a basa logica di ACI. Sò i profili di l'applicazioni chì definiscenu e pulitiche di interazione trà tutti i segmenti di a rete è descrizanu i segmenti di a rete stessi. ANP permette di astrazione da a strata fisica è, in fattu, imagine cumu avete bisognu à urganizà l'interazzione trà e diverse segmenti di rete da un puntu di vista di l'applicazione.
Un prufilu di l'applicazione hè custituitu da gruppi di cunnessione (gruppi end-point - EPG). Un gruppu di cunnessione hè un gruppu logicu d'ospiti (macchine virtuali, servitori fisichi, cuntenituri, etc.) chì si trovanu in u stessu segmentu di sicurità (micca rete, ma sicurezza). L'ospiti finali chì appartenenu à un EPG particulare pò esse determinatu da un gran numaru di criteri. I seguenti sò cumunimenti usati:
- Portu fisicu
- Portu logicu (gruppu di portu nantu à u switch virtuale)
- ID VLAN o VXLAN
- Indirizzu IP o subnet IP
- Attributi di u servitore (nome, locu, versione OS, etc.)
Per l'interazzione di diverse EPG, hè furnita una entità chjamata cuntratti. U cuntrattu definisce a relazione trà e diverse EPG. In altri palori, u cuntrattu definisce quale serviziu un EPG furnisce à un altru EPG. Per esempiu, creamu un cuntrattu chì permette u trafficu di flussu nantu à u protocolu HTTPS. In seguitu, avemu cunnessu cù stu cuntrattu, per esempiu, EPG Web (un gruppu di servitori web) è EPG App (un gruppu di servitori d'applicazioni), dopu chì sti dui gruppi di terminali ponu scambià u trafficu via u protocolu HTTPS.
A figura sottu descrive un esempiu di creazione di cumunicazione trà e diverse EPG per mezu di cuntratti in a listessa ANP.
Ci pò esse un numeru di profili d'applicazione in una fabbrica ACI. Inoltre, i cuntratti ùn sò micca ligati à un prufilu d'applicazione specificu; ponu (è devenu) esse aduprati per cunnette EPG in diverse ANP.
In fatti, ogni applicazione chì richiede una rete in una forma o l'altru hè descritta da u so propiu prufilu. Per esempiu, u schema sopra mostra l'architettura standard di una applicazione di trè livelli, custituita da un numeru N di servitori d'accessu esternu (Web), servitori d'applicazioni (App) è servitori DBMS (DB), è descrive ancu e regule di interazzione trà elli. In una infrastruttura di rete tradiziunale, questu seria un inseme di regule scritte in i diversi dispositi in l'infrastruttura. In l'architettura ACI, descrivimu queste regule in un unicu prufilu di applicazione. ACI, aduprendu un prufilu di l'applicazione, rende assai più faciule per creà un gran numaru di paràmetri in diversi dispositi raggruppendu tutti in un unicu prufilu.
A stampa sottu mostra un esempiu più realistu. Un prufilu d'applicazione Microsoft Exchange fattu da parechje EPG è cuntratti.
A gestione cintrali, l'automatizazione è u monitoraghju hè unu di i vantaghji chjave di ACI. ACI Factory allevia l'amministratori di u travagliu tedioso di creà un gran numaru di regule nantu à diversi switches, routers è firewalls (mentre u metudu classicu di cunfigurazione manuale hè permessu è pò esse usatu). I paràmetri per i profili di l'applicazione è l'altri oggetti ACI sò automaticamente applicati in tuttu u fabricu ACI. Ancu quandu si cambia fisicamente i servitori à l'altri porti di i cambiamenti di tela, ùn ci hè bisognu di duplicà paràmetri da i vechji switches à i novi è sguassate e regule innecessarii. Basatu nantu à i criteri di adesione EPG di l'ospite, a fabbrica farà questi paràmetri automaticamente è pulizziari automaticamente e regule inutilizate.
E pulitiche di sicurezza ACI integrate sò implementate cum'è liste bianche, chì significa chì ciò chì ùn hè micca esplicitamente permessu hè pruibitu per difettu. Inseme cù l'aghjurnamentu automaticu di e cunfigurazioni di l'equipaggiu di rete (sguassendu e regule è permessi inutilizati "dimenticati"), stu approcciu aumenta significativamente u livellu generale di sicurezza di a rete è restringe a superficia di un attaccu potenziale.
ACI permette di urganizà l'interazzione di a rete micca solu di e macchine virtuali è di cuntenituri, ma ancu di servitori fisici, firewall hardware è equipaghji di rete di terzu, chì face ACI una suluzione unica in u mumentu.
U novu approcciu di Cisco per custruisce una rete di dati basata nantu à a logica di l'applicazione ùn hè micca solu l'automatizazione, a sicurità è a gestione centralizzata. Hè ancu una reta muderna scalable horizontale chì risponde à tutti i bisogni di l'affari muderni.
L'implementazione di una infrastruttura di rete basata in ACI permette à tutti i dipartimenti di l'impresa di parlà a stessa lingua. L'amministratore hè guidatu solu da a logica di l'applicazione, chì descrive e regule è e cunnessione richieste. In quantu à a logica di l'applicazione, i pruprietarii è i sviluppatori di l'applicazione, u serviziu di sicurità di l'infurmazioni, l'economisti è i pruprietarii di l'imprese sò guidati da questu.
Cusì, Cisco mette in pratica u cuncettu di una reta di data center di nova generazione. Vulete vede questu per voi stessu? Venite à a manifestazione Infrastruttura Centrica Applicazioni in San Petruburgu è travaglià cù a reta di u centru di dati di u futuru avà.
Pudete registrà per l'avvenimentu .
Source: www.habr.com