Dros yr ychydig flynyddoedd diwethaf, mae Cisco wedi bod yn hyrwyddo pensaernïaeth newydd ar gyfer adeiladu rhwydwaith trosglwyddo data yn y ganolfan ddata - Isadeiledd sy'n Ganolog i Gymhwysiad (neu ACI). Mae rhai eisoes yn gyfarwydd ag ef. Ac mae rhai hyd yn oed yn llwyddo i'w weithredu yn eu mentrau, gan gynnwys yn Rwsia. Fodd bynnag, i'r rhan fwyaf o weithwyr proffesiynol TG a rheolwyr TG, mae ACI yn dal i fod naill ai'n acronym aneglur neu'n adlewyrchiad o'r dyfodol yn unig.
Yn yr erthygl hon byddwn yn ceisio dod â'r dyfodol hwn yn agosach. I wneud hyn, byddwn yn siarad am brif gydrannau pensaernïol ACI, a hefyd yn dangos sut y gellir ei ddefnyddio'n ymarferol. Yn ogystal, yn y dyfodol agos byddwn yn trefnu arddangosiad gweledol o ACI, y gall unrhyw arbenigwr TG sydd â diddordeb gofrestru ar ei gyfer.
Gallwch ddysgu mwy am y bensaernïaeth rhwydwaith newydd yn St. Petersburg ym mis Mai 2019. Mae'r holl fanylion yn . Cofrestru!
cynhanes
Mae'r model adeiladu rhwydwaith traddodiadol a mwyaf poblogaidd yn fodel hierarchaidd tair lefel: craidd -> dosbarthu (agregu) -> mynediad. Am flynyddoedd lawer, y model hwn oedd y safon; roedd gweithgynhyrchwyr yn cynhyrchu dyfeisiau rhwydwaith amrywiol gyda'r swyddogaeth briodol ar ei gyfer.
Yn flaenorol, pan oedd technoleg gwybodaeth yn fath o atodiad angenrheidiol (ac, a dweud y gwir, nid bob amser) i fusnes, roedd y model hwn yn gyfleus, yn sefydlog iawn ac yn ddibynadwy. Fodd bynnag, nawr bod TG yn un o ysgogwyr datblygu busnes, ac mewn llawer o achosion y busnes ei hun, mae natur statig y model hwn wedi dechrau achosi problemau mawr.
Mae busnes modern yn cynhyrchu nifer fawr o wahanol ofynion cymhleth ar gyfer seilwaith rhwydwaith. Mae llwyddiant y busnes yn dibynnu'n uniongyrchol ar amseriad gweithredu'r gofynion hyn. Mae oedi mewn amodau o'r fath yn annerbyniol, ac yn aml nid yw'r model clasurol o adeiladu rhwydwaith yn caniatáu diwallu holl anghenion busnes mewn modd amserol.
Er enghraifft, mae ymddangosiad cymhwysiad busnes cymhleth newydd yn ei gwneud yn ofynnol i weinyddwyr rhwydwaith gyflawni nifer fawr o weithrediadau arferol tebyg ar nifer fawr o wahanol ddyfeisiau rhwydwaith ar wahanol lefelau. Yn ogystal â chymryd llawer o amser, mae hefyd yn cynyddu'r risg o wneud camgymeriad, a all arwain at amser segur difrifol o ran gwasanaethau TG ac, o ganlyniad, colled ariannol.
Nid y terfynau amser eu hunain na chymhlethdod y gofynion yw gwraidd y broblem. Y ffaith yw bod angen “cyfieithu” y gofynion hyn o iaith cymwysiadau busnes i iaith seilwaith rhwydwaith. Fel y gwyddoch, mae unrhyw gyfieithiad bob amser yn golled rhannol o ystyr. Pan fydd perchennog y rhaglen yn siarad am resymeg ei gais, mae gweinyddwr y rhwydwaith yn deall set o VLANs, rhestrau Mynediad ar ddwsinau o ddyfeisiau y mae angen eu cefnogi, eu diweddaru a'u dogfennu.
Roedd y profiad cronedig a'r cyfathrebu cyson â chwsmeriaid yn caniatáu i Cisco ddylunio a gweithredu egwyddorion newydd ar gyfer adeiladu rhwydwaith trawsyrru data canolfan ddata sy'n cwrdd â thueddiadau modern ac sy'n seiliedig, yn gyntaf oll, ar resymeg cymwysiadau busnes. Dyna pam yr enw - Isadeiledd sy'n Ganolog i Gymhwysiad.
pensaernïaeth ACI.
Mae'n fwyaf cywir ystyried pensaernïaeth ACI nid o'r ochr gorfforol, ond o'r ochr resymegol. Mae'n seiliedig ar fodel o bolisïau awtomataidd, y gellir rhannu eu hamcanion ar y lefel uchaf i'r cydrannau canlynol:
- Rhwydwaith yn seiliedig ar switshis Nexus.
- clwstwr rheolydd APIC;
- Proffiliau cais;
Gadewch i ni edrych ar bob lefel yn fwy manwl - a byddwn yn symud o syml i gymhleth.
Rhwydwaith yn seiliedig ar switshis Nexus
Mae'r rhwydwaith mewn ffatri ACI yn debyg i'r model hierarchaidd traddodiadol, ond mae'n llawer symlach i'w adeiladu. Defnyddir y model Leaf-Spine i drefnu'r rhwydwaith, sydd wedi dod yn ddull a dderbynnir yn gyffredinol ar gyfer gweithredu rhwydweithiau cenhedlaeth nesaf. Mae'r model hwn yn cynnwys dwy lefel: Asgwrn Cefn a Deilen, yn y drefn honno.
Mae lefel yr asgwrn cefn yn gyfrifol am berfformiad yn unig. Mae cyfanswm perfformiad switshis Spine yn hafal i berfformiad y ffabrig cyfan, felly dylid defnyddio switshis â phorthladdoedd 40G neu uwch ar y lefel hon.
Mae switshis asgwrn cefn yn cysylltu â phob switsh ar y lefel nesaf: Switsys dail, y mae gwesteiwyr terfynol wedi'u cysylltu â nhw. Prif rôl switshis Leaf yw cynhwysedd porthladdoedd.
Felly, mae materion graddio yn cael eu datrys yn hawdd: os oes angen i ni gynyddu'r trwybwn ffabrig, rydym yn ychwanegu switshis asgwrn cefn, ac os oes angen i ni gynyddu cynhwysedd porthladd, rydym yn ychwanegu Leaf.
Ar gyfer y ddwy lefel, defnyddir switshis cyfres Cisco Nexus 9000, sef y prif offeryn ar gyfer adeiladu rhwydweithiau canolfannau data ar gyfer Cisco, waeth beth fo'u pensaernïaeth. Ar gyfer yr haen asgwrn cefn, defnyddir switshis Nexus 9300 neu Nexus 9500, ac ar gyfer Leaf yn unig Nexus 9300.
Dangosir yr ystod model o switshis Nexus a ddefnyddir yn y ffatri ACI yn y ffigur isod.
Clwstwr Rheolwyr APIC (Rheolwr Seilwaith Polisi Cais).
Mae rheolwyr APIC yn weinyddion corfforol arbenigol, tra ar gyfer gweithrediadau bach mae'n bosibl defnyddio clwstwr o un rheolydd APIC corfforol a dau un rhithwir.
Mae rheolwyr APIC yn darparu swyddogaethau rheoli a monitro. Y peth pwysig yw nad yw rheolwyr byth yn cymryd rhan mewn trosglwyddo data, hynny yw, hyd yn oed os bydd yr holl reolwyr clwstwr yn methu, ni fydd hyn yn effeithio ar sefydlogrwydd y rhwydwaith o gwbl. Dylid nodi hefyd, gyda chymorth APICs, bod y gweinyddwr yn rheoli holl adnoddau ffisegol a rhesymegol y ffatri yn llwyr, ac er mwyn gwneud unrhyw newidiadau, nid oes angen cysylltu â dyfais benodol mwyach, gan fod ACI yn defnyddio a un pwynt rheoli.
Nawr, gadewch i ni symud ymlaen i un o brif gydrannau ACI - proffiliau cais.
Proffil Rhwydwaith Cymhwysiad yw sail resymegol ACI. Proffiliau cymhwysiad sy'n diffinio polisïau rhyngweithio rhwng pob segment rhwydwaith ac yn disgrifio'r segmentau rhwydwaith eu hunain. Mae ANP yn caniatáu ichi dynnu o'r haen ffisegol ac, mewn gwirionedd, dychmygu sut mae angen i chi drefnu rhyngweithio rhwng gwahanol segmentau rhwydwaith o safbwynt cymhwysiad.
Mae proffil cais yn cynnwys grwpiau cysylltiad (grwpiau pwynt diwedd - EPG). Mae grŵp cysylltiad yn grŵp rhesymegol o westeion (peiriannau rhithwir, gweinyddwyr ffisegol, cynwysyddion, ac ati) sydd wedi'u lleoli yn yr un segment diogelwch (nid rhwydwaith, ond diogelwch). Gall y gwesteiwyr terfynol sy'n perthyn i EPG penodol gael eu pennu gan nifer fawr o feini prawf. Defnyddir y canlynol yn gyffredin:
- Porthladd corfforol
- Porth rhesymegol (grŵp porthladd ar y switsh rhithwir)
- ID VLAN neu VXLAN
- Cyfeiriad IP neu is-rwydwaith IP
- Priodoleddau gweinydd (enw, lleoliad, fersiwn OS, ac ati)
Ar gyfer rhyngweithio gwahanol EPGs, darperir endid a elwir yn gontractau. Mae'r contract yn diffinio'r berthynas rhwng y gwahanol EPGs. Mewn geiriau eraill, mae'r contract yn diffinio pa wasanaeth y mae un EPG yn ei ddarparu i EPG arall. Er enghraifft, rydym yn creu contract sy'n caniatáu traffig i lifo dros y protocol HTTPS. Nesaf, rydym yn cysylltu â'r contract hwn, er enghraifft, EPG Web (grŵp o weinyddion gwe) ac EPG App (grŵp o weinyddion cais), ac ar ôl hynny gall y ddau grŵp terfynell hyn gyfnewid traffig trwy'r protocol HTTPS.
Mae'r ffigur isod yn disgrifio enghraifft o sefydlu cyfathrebu rhwng gwahanol EPGs trwy gontractau o fewn yr un ANP.
Gall fod unrhyw nifer o broffiliau cais o fewn ffatri ACI. Yn ogystal, nid yw contractau yn gysylltiedig â phroffil cais penodol; gellir (a dylid) eu defnyddio i gysylltu EPGs mewn gwahanol ANPs.
Mewn gwirionedd, mae pob cais sy'n gofyn am rwydwaith ar ryw ffurf neu'i gilydd yn cael ei ddisgrifio gan ei broffil ei hun. Er enghraifft, mae'r diagram uchod yn dangos pensaernïaeth safonol cymhwysiad tair haen, sy'n cynnwys nifer N o weinyddion mynediad allanol (Gwe), gweinyddwyr cymhwysiad (App) a gweinyddwyr DBMS (DB), ac mae hefyd yn disgrifio'r rheolau rhyngweithio rhwng nhw. Mewn seilwaith rhwydwaith traddodiadol, byddai hwn yn set o reolau wedi'u hysgrifennu ar draws y dyfeisiau amrywiol yn y seilwaith. Yn y bensaernïaeth ACI, rydym yn disgrifio'r rheolau hyn o fewn un proffil cais. Mae ACI, gan ddefnyddio proffil cymhwysiad, yn ei gwneud hi'n llawer haws creu nifer fawr o leoliadau ar wahanol ddyfeisiau trwy eu grwpio i gyd yn un proffil.
Mae'r llun isod yn dangos enghraifft fwy realistig. Proffil cymhwysiad Microsoft Exchange wedi'i wneud o EPGs a chontractau lluosog.
Rheolaeth ganolog, awtomeiddio a monitro yw un o fanteision allweddol ACI. Mae ACI Factory yn rhyddhau gweinyddwyr o'r gwaith diflas o greu nifer fawr o reolau ar amrywiol switshis, llwybryddion a waliau tân (tra bod y dull ffurfweddu â llaw clasurol yn cael ei ganiatáu a'i ddefnyddio). Mae gosodiadau ar gyfer proffiliau cais a gwrthrychau ACI eraill yn cael eu cymhwyso'n awtomatig ledled y ffabrig ACI. Hyd yn oed wrth newid gweinyddwyr yn gorfforol i borthladdoedd eraill y switshis ffabrig, nid oes angen dyblygu gosodiadau o hen switshis i rai newydd a chlirio rheolau diangen. Yn seiliedig ar feini prawf aelodaeth EPG y gwesteiwr, bydd y ffatri'n gwneud y gosodiadau hyn yn awtomatig ac yn glanhau rheolau nas defnyddiwyd yn awtomatig.
Mae polisïau diogelwch ACI integredig yn cael eu gweithredu fel rhestrau gwyn, sy'n golygu bod yr hyn na chaniateir yn benodol wedi'i wahardd yn ddiofyn. Ynghyd â diweddaru cyfluniadau offer rhwydwaith yn awtomatig (dileu rheolau a chaniatâd “anghofiedig” nas defnyddiwyd), mae'r dull hwn yn cynyddu lefel gyffredinol diogelwch rhwydwaith yn sylweddol ac yn culhau wyneb ymosodiad posibl.
Mae ACI yn caniatáu ichi drefnu rhyngweithio rhwydwaith nid yn unig rhwng peiriannau a chynwysyddion rhithwir, ond hefyd gweinyddwyr ffisegol, waliau tân caledwedd ac offer rhwydwaith trydydd parti, sy'n gwneud ACI yn ddatrysiad unigryw ar hyn o bryd.
Nid yw dull newydd Cisco o adeiladu rhwydwaith data yn seiliedig ar resymeg cymhwysiad yn ymwneud ag awtomeiddio, diogelwch a rheolaeth ganolog yn unig. Mae hefyd yn rhwydwaith modern y gellir ei raddio'n llorweddol sy'n bodloni holl ofynion busnes modern.
Mae gweithredu seilwaith rhwydwaith sy'n seiliedig ar ACI yn caniatáu i bob adran o'r fenter siarad yr un iaith. Mae'r gweinyddwr yn cael ei arwain gan resymeg y cais yn unig, sy'n disgrifio'r rheolau a'r cysylltiadau gofynnol. Yn ogystal â rhesymeg y cais, mae perchnogion a datblygwyr y cais, y gwasanaeth diogelwch gwybodaeth, economegwyr a pherchnogion busnes yn cael eu harwain ganddo.
Felly, mae Cisco yn rhoi'r cysyniad o rwydwaith canolfan ddata cenhedlaeth nesaf ar waith. Eisiau gweld hwn drosoch eich hun? Dewch i'r arddangosiad Seilwaith Cais Ganolog yn St Petersburg a gweithio gyda rhwydwaith canolfan ddata'r dyfodol nawr.
Gallwch gofrestru ar gyfer y digwyddiad .
Ffynhonnell: hab.com