In den letzten Jahren hat Cisco aktiv eine neue Architektur zur Erstellung von Netzwerken in Rechenzentren vorangetrieben â Application Centric Infrastructure (oder ACI). Einige sind bereits damit vertraut. Andere haben sie sogar in ihren Unternehmen implementiert, auch in Russland. FĂŒr die Mehrheit der IT-Professionals und IT-Leiter bleibt ACI jedoch entweder eine unverstĂ€ndliche AbkĂŒrzung oder einfach eine Diskussion ĂŒber die Zukunft.
In diesem Artikel werden wir versuchen, diese Zukunft nĂ€herzubringen. Dazu erlĂ€utern wir die grundlegenden architektonischen Komponenten von ACI und veranschaulichen deren praktische Anwendung. AuĂerdem werden wir in naher Zukunft eine anschauliche Demonstration von ACI organisieren, an der sich jeder interessierte IT-Fachmann teilnehmen kann.
Mehr ĂŒber die neue Netzwerkarchitektur erfahren Sie in St. Petersburg im Mai 2019. Alle Details finden Sie unter . Melden Sie sich an!
Hintergrund
Das traditionelle und am weitesten verbreitete Netzwerkmodell ist das dreistufige hierarchische Modell: Kern -> Verteilung (Aggregation) -> Zugriff. Viele Jahre lang stellte dieses Modell den Standard dar, und Hersteller entwickelten verschiedene NetzwerkgerÀte, die diesen Anforderungen gerecht wurden.
FrĂŒher, als Informationstechnologie eine Art notwendiges (und, ehrlich gesagt, nicht immer gewĂŒnschtes) AnhĂ€ngsel an das GeschĂ€ft war, war dieses Modell praktisch, ziemlich statisch und zuverlĂ€ssig. Doch heute, wo IT einer der AntriebskrĂ€fte fĂŒr das Wachstum von Unternehmen ist und in vielen FĂ€llen selbst das GeschĂ€ft darstellt, hat die Statischer dieses Modells zu erheblichen Problemen gefĂŒhrt.
Moderne Unternehmen generieren eine Vielzahl komplexer Anforderungen an die Netzwerk Infrastruktur. Die rechtzeitige Umsetzung dieser Anforderungen ist entscheidend fĂŒr den GeschĂ€ftserfolg. In solchen Situationen ist jede Verzögerung inakzeptabel, und das klassische Netzwerkmodell ermöglicht es oft nicht, den geschĂ€ftlichen BedĂŒrfnissen zeitgerecht gerecht zu werden.
Ein neues, komplexes GeschĂ€ftsanwendungsprogramm bedeutet, dass Netzwerkadministratoren viele Ă€hnliche Routineoperationen an einer Vielzahl von unterschiedlichen NetzwerkgerĂ€ten auf verschiedenen Ebenen durchfĂŒhren mĂŒssen. Das kostet nicht nur viel Zeit, sondern erhöht auch das Risiko von Fehlern, die zu ernsthaften Ausfallzeiten der IT-Dienste und damit zu finanziellen SchĂ€den fĂŒhren können.
Das eigentliche Problem sind nicht einmal die Fristen oder die KomplexitĂ€t der Anforderungen. Vielmehr mĂŒssen diese Anforderungen von der Sprache der GeschĂ€ftsanwendungen in die Sprache der Netzwerk-Infrastruktur âĂŒbersetztâ werden. Wie bekannt ist, geht bei jeder Ăbersetzung ein Teil des Sinns verloren. Wenn der Anwendungsinhaber ĂŒber die Logik seiner Anwendung spricht, versteht der Netzwerkadministrator eine Reihe von VLANs und Access-Listen auf Dutzenden von GerĂ€ten, die unterstĂŒtzt, aktualisiert und dokumentiert werden mĂŒssen.
Die gesammelte Erfahrung und der stĂ€ndige Austausch mit unseren Kunden haben es Cisco ermöglicht, neue Prinzipien fĂŒr den Aufbau von Netzwerken in Rechenzentren zu entwerfen und umzusetzen, die den modernen Trends entsprechen und in erster Linie auf der Logik von GeschĂ€ftsapplikationen basieren. Daher der Name â Application Centric Infrastructure.
ACI-Architektur.
Die ACI-Architektur sollte am besten nicht von der physischen, sondern von der logischen Seite betrachtet werden. Sie basiert auf einem Modell automatisierter Richtlinien, deren Objekte auf der obersten Ebene in folgende Komponenten unterteilt werden können:
- Netzwerk auf Basis von Nexus-Switches.
- Cluster von APIC-Controllern;
- Anwendungsprofile;

Lassen Sie uns jede Ebene im Detail betrachten â dabei werden wir vom Einfachen zum Komplexen ĂŒbergehen.
Netzwerk auf Basis von Nexus-Switches
Das Netzwerk in einer ACI-Fabrik Ă€hnelt dem traditionellen hierarchischen Modell, wird jedoch erheblich einfacher aufgebaut. FĂŒr die Organisation des Netzwerks wird das Leaf-Spine-Modell verwendet, das sich als allgemeiner Ansatz fĂŒr die Implementierung von Netzwerken der nĂ€chsten Generation etabliert hat. Dieses Modell besteht aus zwei Ebenen: Spine und Leaf.

Die Spine-Ebene ist ausschlieĂlich fĂŒr die Leistung verantwortlich. Die Gesamtleistung der Spine-Switches entspricht der Leistung der gesamten Fabrik, weshalb auf dieser Ebene Switches mit 40G-Ports oder höher verwendet werden sollten.
Spine-Switches verbinden sich mit allen Switches der nÀchsten Ebene: Leaf-Switches, an die die EndgerÀte angeschlossen sind. Die Hauptfunktion der Leaf-Switches besteht in der PortkapazitÀt.
Damit werden Skalierungsfragen einfach gelöst: Wenn wir die Bandbreite der Fabrik erhöhen möchten, fĂŒgen wir Spine-Switches hinzu, und wenn wir die PortkapazitĂ€t erhöhen möchten, Leaf.
FĂŒr beide Ebenen kommen die Switches der Cisco Nexus 9000-Serie zum Einsatz, die fĂŒr Cisco das Hauptwerkzeug zum Aufbau von Rechenzentrumsnetzwerken unabhĂ€ngig von deren Architektur darstellen. FĂŒr die Spine-Ebene werden die Switches Nexus 9300 oder Nexus 9500 verwendet, und fĂŒr Leaf nur Nexus 9300.
Die Modellreihe der Nexus-Switches, die in der ACI-Fabrik verwendet werden, ist in der Abbildung unten dargestellt.

Cluster von APIC-Controllern (Application Policy Infrastructure Controller)
APIC-Controller sind spezialisierte physische Server. FĂŒr kleinere Implementierungen kann ein Cluster aus einem physischen APIC-Controller und zwei virtuellen Controllern verwendet werden.
Die APIC-Controller ĂŒbernehmen Funktionen fĂŒr die Verwaltung und Ăberwachung. Es ist wichtig zu beachten, dass die Controller niemals an der DatenĂŒbertragung beteiligt sind. Selbst wenn alle Controller eines Clusters ausfallen, hat das keine Auswirkungen auf die StabilitĂ€t des Netzwerks. AuĂerdem verwaltet der Administrator mit Hilfe von APICs alle physischen und logischen Ressourcen des Systems. Um Ănderungen vorzunehmen, ist es nicht erforderlich, sich mit einem bestimmten GerĂ€t zu verbinden, da ACI eine zentrale Verwaltungsstelle nutzt.

Kommen wir nun zu einem der Hauptbestandteile von ACI â den Anwendungsprofilen.
Anwendungsprofil (Application Network Profile) â ist die logische Grundlage von ACI. Anhand von Anwendungsprofilen werden die Interaktionsrichtlinien zwischen allen Netzsegmenten definiert und die Netzsegmente selbst beschrieben. ANP ermöglicht es, sich von der physikalischen Ebene zu abstrahieren und im Grunde darzustellen, wie die Interaktion zwischen verschiedenen Netzsegmenten aus der Sicht der Anwendung organisiert werden sollte.
Ein Anwendungsprofil besteht aus Gruppen von Verbindungen (End-Point Groups â EPG). Eine Verbindungsgruppe ist eine logische Gruppe von Hosts (virtuellen Maschinen, physischen Servern, Containern usw.), die sich in einem Sicherheitssegment befinden (nicht im Netzwerk, sondern speziell in der Sicherheit). Die End-Hosts, die zu einer bestimmten EPG gehören, können anhand einer Vielzahl von Kriterien definiert werden. Ăblicherweise werden folgende verwendet:
- Physischer Port
- Logischer Port (Port-Gruppe auf dem virtuellen Switch)
- VLAN-ID oder VXLAN
- IP-Adresse oder IP-Subnetz
- Serverattribute (Name, Standort, OS-Version usw.)
FĂŒr die Interaktion verschiedener EPG gibt es eine EntitĂ€t, die als VertrĂ€ge bezeichnet wird. Der Vertrag definiert die Beziehungen zwischen unterschiedlichen EPG. Anders ausgedrĂŒckt legt der Vertrag fest, welche Dienstleistung ein EPG einem anderen EPG bereitstellt. Zum Beispiel erstellen wir einen Vertrag, der den Datenverkehr ĂŒber das HTTPS-Protokoll ermöglicht. AnschlieĂend verbinden wir mit diesem Vertrag beispielsweise die EPG Web (Gruppe von Web-Servern) und EPG App (Gruppe von Anwendungsservern), wodurch diese beiden Endpunktgruppen Datenverkehr ĂŒber das HTTPS-Protokoll austauschen können.
Im folgenden Bild wird ein Beispiel fĂŒr die Konfiguration der Verbindung verschiedener EPG ĂŒber VertrĂ€ge innerhalb eines ANP beschrieben.

Es kann eine beliebige Anzahl von Anwendungsprofilen innerhalb der ACI-Fabrik geben. DarĂŒber hinaus sind VertrĂ€ge nicht an ein bestimmtes Anwendungsprofil gebunden; sie können (und sollten) verwendet werden, um EPG in verschiedenen ANPs zu verbinden.
Im Grunde genommen wird jede Anwendung, die in irgendeiner Form ein Netzwerk benötigt, durch ein eigenes Profil beschrieben. Zum Beispiel zeigt das obige Diagramm die standardmĂ€Ăige Architektur einer dreischichtigen Anwendung, die aus einer beliebigen Anzahl von externen Zugriffservern (Web), Anwendungsservern (App) und Datenbankservern (DB) besteht, sowie die Regeln fĂŒr die Interaktion zwischen ihnen. In einer traditionellen Netzwerkarchitektur wĂ€ren dies eine Reihe von Regeln, die auf verschiedenen GerĂ€ten in der Infrastruktur festgelegt sind. In der ACI-Architektur beschreiben wir diese Regeln innerhalb eines einzigen Anwendungsprofils. ACI ermöglicht es, durch das Anwendungsprofil die Erstellung einer Vielzahl von Einstellungen auf verschiedenen GerĂ€ten erheblich zu vereinfachen, indem alle in einem einzigen Profil zusammengefasst werden.
Das folgende Bild zeigt ein konkreteres Beispiel. Das Anwendungsprofil von Microsoft Exchange, das aus mehreren EPGs und VertrÀgen besteht.

Zentralisierte Verwaltung, Automatisierung und Ăberwachung sind einige der Hauptvorteile von ACI. Die ACI-Fabrik entlastet Administratoren von der routinemĂ€Ăigen Aufgabe, eine Vielzahl von Regeln auf verschiedenen Switches, Routern und Firewalls zu erstellen (der klassische manuelle Konfigurationsansatz bleibt erlaubt und kann genutzt werden). Die Einstellungen von Anwendungsprofilen und anderen ACI-Objekten werden automatisch in der gesamten ACI-Fabrik angewendet. Selbst beim physischen Umschalten von Servern auf andere Ports der Fabrik-Switches ist es nicht erforderlich, die Einstellungen von alten Switches auf neue zu duplizieren oder unnötige Regeln zu bereinigen. Basierend auf den Zugehörigkeitskriterien des Hosts zu EPG wird die Fabrik diese Einstellungen automatisch vornehmen und nicht verwendete Regeln automatisch entfernen.
Die integrierten Sicherheitsrichtlinien von ACI basieren auf dem Prinzip der Whitelists, was bedeutet, dass alles, was nicht ausdrĂŒcklich erlaubt ist, standardmĂ€Ăig verboten ist. In Kombination mit der automatischen Aktualisierung der Konfigurationen von NetzwerkgerĂ€ten (Entfernung von "vergessenen" ungenutzten Regeln und Berechtigungen) erhöht dieser Ansatz das allgemeine Sicherheitsniveau des Netzwerks erheblich und verringert die AngriffsflĂ€che.
ACI ermöglicht die Netzwerkinteraktion nicht nur von virtuellen Maschinen und Containern, sondern auch von physischen Servern, hardwarebasierten Sicherheitslösungen und NetzwerkgerÀten von Drittanbietern, was ACI zu einer einzigartigen Lösung in der aktuellen Zeit macht.
Der neue Ansatz von Cisco zur Erstellung eines Datennetzwerks auf der Grundlage von Anwendungslogik ist nicht nur Automatisierung, Sicherheit und zentralisierte Verwaltung. Es ist auch ein modernes, horizontal skalierbares Netzwerk, das allen Anforderungen der modernen GeschÀftswelt entspricht.
Die Implementierung einer Netzwerk-Infrastruktur auf Basis von ACI ermöglicht es allen Unternehmensabteilungen, in einer gemeinsamen Sprache zu kommunizieren. Der Administrator orientiert sich dabei lediglich an der Logik der Anwendung, in der die erforderlichen Regeln und Verbindungen beschrieben sind. Ebenso orientieren sich die EigentĂŒmer und Entwickler der Anwendung sowie die IT-Sicherheitsdienste, die Wirtschaftsfachleute und die Unternehmensinhaber an der Logik der Anwendung.
So setzt Cisco in der Praxis das Konzept des neuen Rechenzentrum-Netzwerks um. Möchten Sie sich selbst davon ĂŒberzeugen? Kommen Sie zur Demo. Application Centric Infrastructure in St. Petersburg und arbeiten Sie bereits jetzt mit dem Netzwerk des Rechenzentrums der Zukunft.
Zur Teilnahme an der Veranstaltung können Sie sich anmelden .
Quelle: habr.com
