🥇Anwendungszentrierte Infrastruktur. Architektur des Netzes der Zukunft – von der Argumentation zur Tat

In den letzten Jahren hat Cisco aktiv eine neue Architektur zum Aufbau eines Datenübertragungsnetzwerks im Rechenzentrum vorangetrieben – Anwendungszentrierte Infrastruktur (oder ACI). Einige kennen es bereits. Und einige haben es sogar geschafft, es in ihren Unternehmen umzusetzen, auch in Russland. Für die meisten IT-Experten und IT-Manager ist ACI jedoch immer noch entweder ein obskures Akronym oder nur eine Reflexion über die Zukunft.
In diesem Artikel werden wir versuchen, diese Zukunft näher zu bringen. Dazu werden wir über die wichtigsten Architekturkomponenten von ACI sprechen und auch veranschaulichen, wie es in der Praxis eingesetzt werden kann. Darüber hinaus werden wir in naher Zukunft eine visuelle Demonstration von ACI organisieren, für die sich jeder interessierte IT-Spezialist anmelden kann.

Mehr über die neue Netzwerkarchitektur erfahren Sie im Mai 2019 in St. Petersburg. Alle Details finden Sie hier Link. Melden Sie sich an!

Vorgeschichte
Das traditionelle und beliebteste Netzwerkkonstruktionsmodell ist ein hierarchisches Modell mit drei Ebenen: Kern -> Verteilung (Aggregation) -> Zugriff. Dieses Modell war viele Jahre lang der Standard, Hersteller produzierten verschiedene Netzwerkgeräte mit der entsprechenden Funktionalität dafür.
Früher, als Informationstechnologie eine Art notwendiges (und, ehrlich gesagt, nicht immer gewünschtes) Anhängsel des Geschäfts war, war dieses Modell praktisch, sehr statisch und zuverlässig. Da jedoch die IT nun einer der Treiber der Geschäftsentwicklung ist und in vielen Fällen das Unternehmen selbst, hat die statische Natur dieses Modells begonnen, große Probleme zu verursachen.

Moderne Unternehmen stellen eine Vielzahl unterschiedlicher und komplexer Anforderungen an die Netzwerkinfrastruktur. Der Erfolg des Unternehmens hängt direkt vom Zeitpunkt der Umsetzung dieser Anforderungen ab. Eine Verzögerung unter solchen Bedingungen ist inakzeptabel, und das klassische Modell des Netzwerkaufbaus ermöglicht es oft nicht, alle Geschäftsanforderungen zeitnah zu erfüllen.

Beispielsweise erfordert die Entstehung einer neuen komplexen Geschäftsanwendung, dass Netzwerkadministratoren eine große Anzahl ähnlicher Routinevorgänge auf einer großen Anzahl unterschiedlicher Netzwerkgeräte auf unterschiedlichen Ebenen durchführen müssen. Dies ist nicht nur zeitaufwändig, sondern erhöht auch das Risiko, Fehler zu machen, die zu schwerwiegenden Ausfällen von IT-Diensten und damit zu finanziellen Verlusten führen können.

Die Wurzel des Problems sind nicht einmal die Fristen selbst oder die Komplexität der Anforderungen. Tatsache ist, dass diese Anforderungen aus der Sprache der Geschäftsanwendungen in die Sprache der Netzwerkinfrastruktur „übersetzt“ werden müssen. Wie Sie wissen, bedeutet jede Übersetzung immer einen teilweisen Bedeutungsverlust. Wenn der Anwendungseigentümer über die Logik seiner Anwendung spricht, versteht der Netzwerkadministrator eine Reihe von VLANs und Zugriffslisten auf Dutzenden von Geräten, die unterstützt, aktualisiert und dokumentiert werden müssen.

Die gesammelten Erfahrungen und die ständige Kommunikation mit Kunden ermöglichten es Cisco, neue Prinzipien für den Aufbau eines Datenübertragungsnetzwerks für Rechenzentren zu entwerfen und umzusetzen, die modernen Trends entsprechen und in erster Linie auf der Logik von Geschäftsanwendungen basieren. Daher der Name – Application Centric Infrastructure.

ACI-Architektur.
Am richtigsten ist es, die ACI-Architektur nicht von der physischen Seite, sondern von der logischen Seite aus zu betrachten. Es basiert auf einem Modell automatisierter Richtlinien, deren Objekte auf der obersten Ebene in folgende Komponenten unterteilt werden können:

Netzwerk basierend auf Nexus-Switches.
APIC-Controller-Cluster;
Anwendungsprofile;

Schauen wir uns jede Ebene genauer an – und gehen wir vom Einfachen zum Komplexen über.

Netzwerk basierend auf Nexus-Switches
Das Netzwerk in einer ACI-Fabrik ähnelt dem traditionellen hierarchischen Modell, ist jedoch viel einfacher aufzubauen. Zur Organisation des Netzwerks wird das Leaf-Spine-Modell verwendet, das sich zu einem allgemein akzeptierten Ansatz für die Implementierung von Netzwerken der nächsten Generation entwickelt hat. Dieses Modell besteht aus zwei Ebenen: Spine und Leaf.

Die Wirbelsäulenebene ist nur für die Leistung verantwortlich. Die Gesamtleistung der Spine-Switches entspricht der Leistung der gesamten Fabric, daher sollten auf dieser Ebene Switches mit 40G- oder höheren Ports verwendet werden.
Spine-Switches verbinden sich mit allen Switches auf der nächsten Ebene: Leaf-Switches, mit denen End-Hosts verbunden sind. Die Hauptaufgabe von Leaf-Switches ist die Portkapazität.

Somit lassen sich Skalierungsprobleme leicht lösen: Wenn wir den Fabric-Durchsatz erhöhen müssen, fügen wir Spine-Switches hinzu, und wenn wir die Portkapazität erhöhen müssen, fügen wir Leaf hinzu.
Für beide Ebenen kommen Switches der Cisco Nexus 9000-Serie zum Einsatz, die für Cisco das Hauptwerkzeug zum Aufbau von Rechenzentrumsnetzwerken sind, unabhängig von ihrer Architektur. Für die Spine-Schicht werden Nexus 9300- oder Nexus 9500-Switches verwendet, für Leaf nur Nexus 9300.
Die Modellpalette der Nexus-Switches, die im ACI-Werk verwendet werden, ist in der folgenden Abbildung dargestellt.

APIC-Controller-Cluster (Application Policy Infrastructure Controller).
APIC-Controller sind spezialisierte physische Server, während es für kleine Implementierungen möglich ist, einen Cluster aus einem physischen APIC-Controller und zwei virtuellen zu verwenden.
APIC-Controller bieten Steuerungs- und Überwachungsfunktionen. Wichtig ist, dass Controller niemals an der Datenübertragung teilnehmen, d. h. selbst wenn alle Cluster-Controller ausfallen, hat dies keinerlei Auswirkungen auf die Stabilität des Netzwerks. Es ist auch zu beachten, dass der Administrator mit Hilfe von APICs absolut alle physischen und logischen Ressourcen der Fabrik verwaltet und um Änderungen vorzunehmen, keine Verbindung mehr zu einem bestimmten Gerät erforderlich ist, da ACI ein verwendet einziger Kontrollpunkt.

Kommen wir nun zu einer der Hauptkomponenten von ACI – Anwendungsprofilen.
Anwendungsnetzwerkprofil ist die logische Grundlage von ACI. Es sind Anwendungsprofile, die Interaktionsrichtlinien zwischen allen Netzwerksegmenten definieren und die Netzwerksegmente selbst beschreiben. Mit ANP können Sie von der physischen Ebene abstrahieren und sich tatsächlich vorstellen, wie Sie die Interaktion zwischen verschiedenen Netzwerksegmenten aus Anwendungssicht organisieren müssen.

Ein Anwendungsprofil besteht aus Verbindungsgruppen (Endpunktgruppen – EPG). Eine Verbindungsgruppe ist eine logische Gruppe von Hosts (virtuelle Maschinen, physische Server, Container usw.), die sich im selben Sicherheitssegment (nicht Netzwerk, sondern Sicherheit) befinden. Welche Endhosts zu einem bestimmten EPG gehören, kann anhand einer Vielzahl von Kriterien ermittelt werden. Folgendes wird häufig verwendet:

Physischer Port
Logischer Port (Portgruppe auf dem virtuellen Switch)
VLAN-ID oder VXLAN
IP-Adresse oder IP-Subnetz
Serverattribute (Name, Standort, Betriebssystemversion usw.)

Für das Zusammenspiel verschiedener EPGs steht eine Entität namens Contracts zur Verfügung. Der Vertrag definiert die Beziehung zwischen den verschiedenen EPGs. Mit anderen Worten: Der Vertrag legt fest, welchen Dienst ein EPG einem anderen EPG erbringt. Beispielsweise erstellen wir einen Vertrag, der den Datenverkehr über das HTTPS-Protokoll ermöglicht. Als nächstes verbinden wir mit diesem Vertrag beispielsweise EPG Web (eine Gruppe von Webservern) und EPG App (eine Gruppe von Anwendungsservern), woraufhin diese beiden Terminalgruppen Datenverkehr über das HTTPS-Protokoll austauschen können.

Die folgende Abbildung beschreibt ein Beispiel für die Einrichtung der Kommunikation zwischen verschiedenen EPGs über Verträge innerhalb desselben ANP.

Innerhalb einer ACI-Factory kann es beliebig viele Anwendungsprofile geben. Darüber hinaus sind Verträge nicht an ein bestimmtes Anwendungsprofil gebunden; sie können (und sollten) zur Anbindung von EPGs in verschiedenen ANPs verwendet werden.

Tatsächlich wird jede Anwendung, die ein Netzwerk in der einen oder anderen Form erfordert, durch ein eigenes Profil beschrieben. Das obige Diagramm zeigt beispielsweise die Standardarchitektur einer dreischichtigen Anwendung, die aus N externen Zugriffsservern (Web), Anwendungsservern (App) und DBMS-Servern (DB) besteht, und beschreibt auch die Regeln für die Interaktion zwischen ihnen ihnen. In einer herkömmlichen Netzwerkinfrastruktur wäre dies eine Reihe von Regeln, die für die verschiedenen Geräte in der Infrastruktur geschrieben würden. In der ACI-Architektur beschreiben wir diese Regeln in einem einzigen Anwendungsprofil. Durch die Verwendung eines Anwendungsprofils erleichtert ACI das Erstellen einer großen Anzahl von Einstellungen auf verschiedenen Geräten erheblich, indem sie alle in einem einzigen Profil zusammengefasst werden.
Das Bild unten zeigt ein realistischeres Beispiel. Ein Microsoft Exchange-Anwendungsprofil, das aus mehreren EPGs und Verträgen besteht.

Die zentrale Verwaltung, Automatisierung und Überwachung ist einer der Hauptvorteile von ACI. ACI Factory nimmt Administratoren die mühsame Arbeit ab, eine große Anzahl von Regeln auf verschiedenen Switches, Routern und Firewalls zu erstellen (wobei die klassische manuelle Konfigurationsmethode zulässig ist und verwendet werden kann). Einstellungen für Anwendungsprofile und andere ACI-Objekte werden automatisch auf die gesamte ACI-Struktur angewendet. Selbst wenn Server physisch auf andere Ports der Fabric-Switches umgestellt werden, besteht keine Notwendigkeit, Einstellungen von alten Switches auf neue zu duplizieren und unnötige Regeln zu löschen. Basierend auf den EPG-Mitgliedschaftskriterien des Hosts nimmt die Fabrik diese Einstellungen automatisch vor und bereinigt automatisch ungenutzte Regeln.
Integrierte ACI-Sicherheitsrichtlinien werden als Whitelists implementiert, was bedeutet, dass standardmäßig verboten ist, was nicht explizit erlaubt ist. Zusammen mit der automatischen Aktualisierung der Netzwerkgerätekonfigurationen (Entfernung „vergessener“ ungenutzter Regeln und Berechtigungen) erhöht dieser Ansatz das Gesamtniveau der Netzwerksicherheit erheblich und schränkt die Angriffsfläche für potenzielle Angriffe ein.

Mit ACI können Sie die Netzwerkinteraktion nicht nur von virtuellen Maschinen und Containern, sondern auch von physischen Servern, Hardware-Firewalls und Netzwerkgeräten von Drittanbietern organisieren, was ACI derzeit zu einer einzigartigen Lösung macht.
Bei Ciscos neuem Ansatz zum Aufbau eines Datennetzwerks auf Basis der Anwendungslogik geht es nicht nur um Automatisierung, Sicherheit und zentralisierte Verwaltung. Es handelt sich zudem um ein modernes, horizontal skalierbares Netzwerk, das alle Anforderungen moderner Unternehmen erfüllt.
Die Implementierung einer Netzwerkinfrastruktur auf Basis von ACI ermöglicht es allen Abteilungen des Unternehmens, die gleiche Sprache zu sprechen. Der Administrator orientiert sich lediglich an der Logik der Anwendung, die die erforderlichen Regeln und Zusammenhänge beschreibt. Neben der Logik der Anwendung orientieren sich auch die Eigentümer und Entwickler der Anwendung, der Informationssicherheitsdienst, Wirtschaftswissenschaftler und Geschäftsinhaber daran.

Damit setzt Cisco das Konzept eines Rechenzentrumsnetzwerks der nächsten Generation in die Praxis um. Möchten Sie das selbst sehen? Kommen Sie zur Demonstration Anwendungszentrierte Infrastruktur in St. Petersburg und arbeiten Sie jetzt mit dem Rechenzentrumsnetzwerk der Zukunft.
Sie können sich für die Veranstaltung anmelden Link.

Source: habr.com

Anwendungszentrierte Infrastruktur. Netzwerkarchitektur der Zukunft – von der Spekulation zur Aktion