V posledních několika letech Cisco aktivně propaguje novou architekturu pro budování sítě pro přenos dat v datovém centru – Application Centric Infrastructure (nebo ACI). Někteří už to znají. A některým se to dokonce podařilo implementovat ve svých podnicích, včetně Ruska. Pro většinu IT profesionálů a IT manažerů je však ACI stále buď obskurní zkratkou, nebo jen úvahou o budoucnosti.
V tomto článku se pokusíme tuto budoucnost přiblížit. Za tímto účelem si povíme o hlavních architektonických složkách ACI a také si ukážeme, jak může být použit v praxi. Kromě toho v blízké budoucnosti uspořádáme vizuální ukázku ACI, do které se může přihlásit každý IT specialista, který má zájem.
Více o nové síťové architektuře v Petrohradu se můžete dozvědět v květnu 2019. Všechny podrobnosti jsou v . Přihlásit se!
pravěk
Tradiční a nejoblíbenější model výstavby sítě je tříúrovňový hierarchický model: jádro -> distribuce (agregace) -> přístup. Po mnoho let byl tento model standardem, výrobci pro něj vyráběli různá síťová zařízení s odpovídající funkčností.
Dříve, když byly informační technologie jakýmsi nezbytným (a upřímně řečeno, ne vždy žádoucím) doplňkem podnikání, byl tento model pohodlný, velmi statický a spolehlivý. Nyní, když je IT jedním z hnacích motorů rozvoje podnikání a v mnoha případech i podnikání samotného, však statická povaha tohoto modelu začala způsobovat velké problémy.
Moderní podnikání generuje velké množství různých komplexních požadavků na síťovou infrastrukturu. Úspěch podnikání přímo závisí na načasování implementace těchto požadavků. Zpoždění v takových podmínkách je nepřijatelné a klasický model výstavby sítě často neumožňuje včas splnit všechny obchodní potřeby.
Například vznik nové komplexní podnikové aplikace vyžaduje, aby správci sítě prováděli velké množství podobných rutinních operací na velkém počtu různých síťových zařízení na různých úrovních. Kromě toho, že je časově náročná, zvyšuje také riziko chyby, která může vést k vážným výpadkům IT služeb a v důsledku toho k finanční ztrátě.
Kořenem problému nejsou ani samotné termíny nebo složitost požadavků. Faktem je, že tyto požadavky je třeba „přeložit“ z jazyka podnikových aplikací do jazyka síťové infrastruktury. Jak víte, jakýkoli překlad je vždy částečnou ztrátou smyslu. Když vlastník aplikace mluví o logice své aplikace, správce sítě rozumí sadě VLAN, přístupovým seznamům na desítkách zařízení, která je třeba podporovat, aktualizovat a dokumentovat.
Nasbírané zkušenosti a neustálá komunikace se zákazníky umožnily společnosti Cisco navrhnout a implementovat nové principy budování sítě pro přenos dat datových center, které odpovídají moderním trendům a vycházejí především z logiky podnikových aplikací. Odtud název - Application Centric Infrastructure.
Architektura ACI.
Nejsprávnější je uvažovat o architektuře ACI nikoli z fyzické stránky, ale z logické stránky. Je založen na modelu automatizovaných politik, jejichž objekty lze na nejvyšší úrovni rozdělit do následujících složek:
- Síť založená na přepínačích Nexus.
- cluster řadičů APIC;
- Aplikační profily;
Podívejme se na jednotlivé úrovně podrobněji – a přejdeme od jednoduchých ke složitým.
Síť založená na přepínačích Nexus
Síť v továrně ACI je podobná tradičnímu hierarchickému modelu, ale její budování je mnohem jednodušší. K organizaci sítě se používá model Leaf-Spine, který se stal obecně přijímaným přístupem pro implementaci sítí nové generace. Tento model se skládá ze dvou úrovní: Spine a Leaf.
Úroveň páteře je zodpovědná pouze za výkon. Celkový výkon přepínačů Spine se rovná výkonu celé tkaniny, takže na této úrovni by se měly používat přepínače s porty 40G nebo vyšší.
Páteřní spínače se připojují ke všem spínačům na další úrovni: Listové spínače, ke kterým jsou připojeni koncoví hostitelé. Hlavní úlohou přepínačů Leaf je kapacita portů.
Problémy se škálováním jsou tedy snadno vyřešeny: pokud potřebujeme zvýšit propustnost tkaniny, přidáme přepínače Spine, a pokud potřebujeme zvýšit kapacitu portu, přidáme Leaf.
Pro obě úrovně jsou použity přepínače Cisco Nexus řady 9000, které jsou pro Cisco hlavním nástrojem pro budování sítí datových center bez ohledu na jejich architekturu. Pro vrstvu Spine se používají přepínače Nexus 9300 nebo Nexus 9500 a pro Leaf pouze Nexus 9300.
Modelová řada přepínačů Nexus, které se používají v továrně ACI, je znázorněna na obrázku níže.
Cluster řadičů APIC (Application Policy Infrastructure Controller).
APIC kontrolery jsou specializované fyzické servery, přičemž pro malé implementace je možné použít cluster jednoho fyzického APIC kontroleru a dvou virtuálních.
Kontroléry APIC poskytují řídicí a monitorovací funkce. Důležité je, že řadiče se nikdy nepodílejí na přenosu dat, to znamená, že i když všechny klastrové řadiče selžou, neovlivní to vůbec stabilitu sítě. Je třeba také poznamenat, že pomocí APIC správce spravuje absolutně všechny fyzické a logické prostředky továrny a pro provedení jakýchkoli změn již není potřeba se připojovat ke konkrétnímu zařízení, protože ACI používá jediný kontrolní bod.
Nyní přejděme k jedné z hlavních součástí ACI – aplikačním profilům.
Profil sítě aplikace je logickým základem ACI. Jsou to aplikační profily, které definují zásady interakce mezi všemi segmenty sítě a popisují samotné segmenty sítě. ANP vám umožňuje abstrahovat od fyzické vrstvy a ve skutečnosti si představit, jak potřebujete organizovat interakci mezi různými segmenty sítě z hlediska aplikace.
Aplikační profil se skládá ze skupin připojení (End-point groups - EPG). Skupina připojení je logická skupina hostitelů (virtuální počítače, fyzické servery, kontejnery atd.), kteří se nacházejí ve stejném segmentu zabezpečení (nikoli síť, ale zabezpečení). Koncové hostitele, kteří patří do konkrétního EPG, lze určit podle velkého počtu kritérií. Běžně se používají následující:
- Fyzický port
- Logický port (skupina portů na virtuálním přepínači)
- VLAN ID nebo VXLAN
- IP adresa nebo IP podsíť
- Atributy serveru (název, umístění, verze OS atd.)
Pro interakci různých EPG je k dispozici entita zvaná kontrakty. Smlouva definuje vztah mezi různými EPG. Jinými slovy, smlouva definuje, jakou službu poskytuje jedno EPG jinému EPG. Vytvoříme například smlouvu, která umožňuje tok provozu přes protokol HTTPS. Dále s touto smlouvou spojujeme např. EPG Web (skupina webových serverů) a EPG App (skupina aplikačních serverů), načež si tyto dvě skupiny terminálů mohou vyměňovat provoz přes protokol HTTPS.
Níže uvedený obrázek popisuje příklad nastavení komunikace mezi různými EPG prostřednictvím smluv v rámci stejné ANP.
V továrně ACI může být libovolný počet aplikačních profilů. Smlouvy navíc nejsou vázány na konkrétní aplikační profil, mohou (a měly by být) použity k propojení EPG v různých ANP.
Ve skutečnosti je každá aplikace, která vyžaduje síť v té či oné podobě, popsána svým vlastním profilem. Výše uvedený diagram například ukazuje standardní architekturu třívrstvé aplikace, která se skládá z N počtu externích přístupových serverů (Web), aplikačních serverů (App) a DBMS serverů (DB), a také popisuje pravidla interakce mezi jim. V tradiční síťové infrastruktuře by to byla sada pravidel zapsaných napříč různými zařízeními v infrastruktuře. V architektuře ACI popisujeme tato pravidla v rámci jednoho aplikačního profilu. ACI pomocí aplikačního profilu výrazně usnadňuje vytváření velkého množství nastavení na různých zařízeních tím, že je všechny seskupuje do jednoho profilu.
Obrázek níže ukazuje realističtější příklad. Profil aplikace Microsoft Exchange vytvořený z více EPG a smluv.
Centrální správa, automatizace a monitorování je jednou z klíčových výhod ACI. ACI Factory zbavuje administrátory únavné práce s vytvářením velkého množství pravidel na různých přepínačích, routerech a firewallech (přičemž klasický způsob ruční konfigurace je povolen a lze jej použít). Nastavení pro aplikační profily a další objekty ACI se automaticky použijí v rámci struktury ACI. I při fyzickém přepínání serverů na jiné porty tkaninových přepínačů není třeba duplikovat nastavení ze starých přepínačů na nové a rušit zbytečná pravidla. Na základě kritérií členství hostitele v EPG provede továrna tato nastavení automaticky a automaticky vyčistí nepoužívaná pravidla.
Integrované bezpečnostní zásady ACI jsou implementovány jako seznam povolených, což znamená, že co není výslovně povoleno, je ve výchozím nastavení zakázáno. Společně s automatickou aktualizací konfigurací síťových zařízení (odstraněním „zapomenutých“ nepoužívaných pravidel a oprávnění) tento přístup výrazně zvyšuje celkovou úroveň zabezpečení sítě a zužuje plochu potenciálního útoku.
ACI umožňuje organizovat síťovou interakci nejen virtuálních strojů a kontejnerů, ale také fyzických serverů, hardwarových firewallů a síťových zařízení třetích stran, což z ACI v současnosti dělá jedinečné řešení.
Nový přístup společnosti Cisco k budování datové sítě založené na aplikační logice se netýká pouze automatizace, zabezpečení a centralizované správy. Je to také moderní horizontálně škálovatelná síť, která splňuje všechny požadavky moderního podnikání.
Implementace síťové infrastruktury založené na ACI umožňuje všem oddělením podniku mluvit stejným jazykem. Administrátor se řídí pouze logikou aplikace, která popisuje požadovaná pravidla a vazby. Stejně jako logiku aplikace se jí řídí vlastníci a vývojáři aplikace, služba informační bezpečnosti, ekonomové a majitelé firem.
Cisco tak zavádí do praxe koncept sítě datových center nové generace. Chcete to vidět na vlastní oči? Přijďte na demonstraci Aplikační centrální infrastruktura v Petrohradě a pracovat se sítí datových center budoucnosti již nyní.
Na akci se můžete přihlásit .
Zdroj: www.habr.com