Τα τελευταία χρόνια, η Cisco προωθεί ενεργά μια νέα αρχιτεκτονική για την κατασκευή ενός δικτύου μετάδοσης δεδομένων στο κέντρο δεδομένων - Application Centric Infrastructure (ή ACI). Κάποιοι είναι ήδη εξοικειωμένοι με αυτό. Και μερικοί κατάφεραν ακόμη και να το εφαρμόσουν στις επιχειρήσεις τους, συμπεριλαμβανομένης της Ρωσίας. Ωστόσο, για τους περισσότερους επαγγελματίες πληροφορικής και διευθυντές πληροφορικής, το ACI εξακολουθεί να είναι είτε ένα ασαφές αρκτικόλεξο είτε απλώς ένας προβληματισμός για το μέλλον.
Σε αυτό το άρθρο θα προσπαθήσουμε να φέρουμε αυτό το μέλλον πιο κοντά. Για να γίνει αυτό, θα μιλήσουμε για τα κύρια αρχιτεκτονικά στοιχεία του ACI και θα δείξουμε επίσης πώς μπορεί να χρησιμοποιηθεί στην πράξη. Επιπλέον, στο άμεσο μέλλον θα διοργανώσουμε μια οπτική επίδειξη του ACI, στην οποία μπορεί να εγγραφεί κάθε ενδιαφερόμενος ειδικός πληροφορικής.
Μπορείτε να μάθετε περισσότερα για τη νέα αρχιτεκτονική δικτύου στην Αγία Πετρούπολη τον Μάιο του 2019. Όλες οι λεπτομέρειες είναι μέσα . Εγγραφείτε!
Ιστορικό
Το παραδοσιακό και πιο δημοφιλές μοντέλο κατασκευής δικτύου είναι ένα ιεραρχικό μοντέλο τριών επιπέδων: πυρήνας -> διανομή (συσσώρευση) -> πρόσβαση. Για πολλά χρόνια, αυτό το μοντέλο ήταν το πρότυπο· οι κατασκευαστές παρήγαγαν διάφορες συσκευές δικτύου με την κατάλληλη λειτουργικότητα για αυτό.
Προηγουμένως, όταν η τεχνολογία των πληροφοριών ήταν ένα είδος απαραίτητου (και, ειλικρινά, όχι πάντα επιθυμητού) παραρτήματος στις επιχειρήσεις, αυτό το μοντέλο ήταν βολικό, πολύ στατικό και αξιόπιστο. Ωστόσο, τώρα που η πληροφορική είναι ένας από τους μοχλούς της επιχειρηματικής ανάπτυξης, και σε πολλές περιπτώσεις η ίδια η επιχείρηση, η στατική φύση αυτού του μοντέλου έχει αρχίσει να προκαλεί μεγάλα προβλήματα.
Η σύγχρονη επιχείρηση δημιουργεί έναν μεγάλο αριθμό διαφορετικών πολύπλοκων απαιτήσεων για την υποδομή δικτύου. Η επιτυχία της επιχείρησης εξαρτάται άμεσα από το χρονοδιάγραμμα εφαρμογής αυτών των απαιτήσεων. Η καθυστέρηση σε τέτοιες συνθήκες είναι απαράδεκτη και το κλασικό μοντέλο κατασκευής δικτύου συχνά δεν επιτρέπει την έγκαιρη κάλυψη όλων των επιχειρηματικών αναγκών.
Για παράδειγμα, η εμφάνιση μιας νέας πολύπλοκης επιχειρηματικής εφαρμογής απαιτεί από τους διαχειριστές δικτύου να εκτελούν μεγάλο αριθμό παρόμοιων λειτουργιών ρουτίνας σε μεγάλο αριθμό διαφορετικών συσκευών δικτύου σε διαφορετικά επίπεδα. Εκτός του ότι είναι χρονοβόρο, αυξάνει επίσης τον κίνδυνο λάθους, το οποίο μπορεί να οδηγήσει σε σοβαρό χρόνο διακοπής λειτουργίας των υπηρεσιών πληροφορικής και, κατά συνέπεια, σε οικονομική απώλεια.
Η ρίζα του προβλήματος δεν είναι καν οι ίδιες οι προθεσμίες ή η πολυπλοκότητα των απαιτήσεων. Το γεγονός είναι ότι αυτές οι απαιτήσεις πρέπει να «μεταφραστούν» από τη γλώσσα των επιχειρηματικών εφαρμογών στη γλώσσα της υποδομής δικτύου. Όπως γνωρίζετε, οποιαδήποτε μετάφραση είναι πάντα μια μερική απώλεια νοήματος. Όταν ο κάτοχος της εφαρμογής μιλά για τη λογική της εφαρμογής του, ο διαχειριστής του δικτύου κατανοεί ένα σύνολο VLAN, λίστες Access σε δεκάδες συσκευές που πρέπει να υποστηρίζονται, να ενημερώνονται και να τεκμηριώνονται.
Η συσσωρευμένη εμπειρία και η συνεχής επικοινωνία με τους πελάτες επέτρεψαν στη Cisco να σχεδιάσει και να εφαρμόσει νέες αρχές για την κατασκευή ενός δικτύου μετάδοσης δεδομένων κέντρου δεδομένων που ανταποκρίνονται στις σύγχρονες τάσεις και βασίζονται, πρώτα απ 'όλα, στη λογική των επιχειρηματικών εφαρμογών. Εξ ου και το όνομα - Application Centric Infrastructure.
Αρχιτεκτονική ACI.
Είναι πιο σωστό να εξετάσουμε την αρχιτεκτονική ACI όχι από τη φυσική πλευρά, αλλά από τη λογική πλευρά. Βασίζεται σε ένα μοντέλο αυτοματοποιημένων πολιτικών, τα αντικείμενα των οποίων στο ανώτατο επίπεδο μπορούν να χωριστούν στα ακόλουθα στοιχεία:
- Δίκτυο που βασίζεται σε διακόπτες Nexus.
- σύμπλεγμα ελεγκτών APIC.
- Προφίλ εφαρμογών.
Ας δούμε κάθε επίπεδο με περισσότερες λεπτομέρειες - και θα προχωρήσουμε από το απλό στο σύνθετο.
Δίκτυο που βασίζεται σε διακόπτες Nexus
Το δίκτυο σε ένα εργοστάσιο ACI είναι παρόμοιο με το παραδοσιακό ιεραρχικό μοντέλο, αλλά είναι πολύ πιο απλό στην κατασκευή του. Το μοντέλο Leaf-Spine χρησιμοποιείται για την οργάνωση του δικτύου, το οποίο έχει γίνει μια γενικά αποδεκτή προσέγγιση για την υλοποίηση δικτύων επόμενης γενιάς. Αυτό το μοντέλο αποτελείται από δύο επίπεδα: Spine και Leaf, αντίστοιχα.
Το επίπεδο της σπονδυλικής στήλης είναι υπεύθυνο μόνο για την απόδοση. Η συνολική απόδοση των διακοπτών Spine είναι ίση με την απόδοση ολόκληρου του υφάσματος, επομένως διακόπτες με θύρες 40G ή υψηλότερες θα πρέπει να χρησιμοποιούνται σε αυτό το επίπεδο.
Οι διακόπτες σπονδυλικής στήλης συνδέονται με όλους τους διακόπτες στο επόμενο επίπεδο: Διακόπτες φύλλων, στους οποίους συνδέονται οι τερματικοί σταθμοί. Ο κύριος ρόλος των διακοπτών Leaf είναι η χωρητικότητα της θύρας.
Έτσι, τα προβλήματα κλιμάκωσης επιλύονται εύκολα: αν χρειάζεται να αυξήσουμε την απόδοση του υφάσματος, προσθέτουμε διακόπτες Spine και αν χρειαστεί να αυξήσουμε τη χωρητικότητα της θύρας, προσθέτουμε Leaf.
Και για τα δύο επίπεδα, χρησιμοποιούνται διακόπτες Cisco Nexus 9000 series, οι οποίοι για τη Cisco αποτελούν το κύριο εργαλείο για τη δημιουργία δικτύων κέντρων δεδομένων, ανεξάρτητα από την αρχιτεκτονική τους. Για το στρώμα Spine, χρησιμοποιούνται διακόπτες Nexus 9300 ή Nexus 9500 και για Leaf μόνο Nexus 9300.
Η σειρά μοντέλων των διακοπτών Nexus που χρησιμοποιούνται στο εργοστάσιο της ACI φαίνεται στην παρακάτω εικόνα.
Σύμπλεγμα ελεγκτών APIC (Application Policy Infrastructure Controller).
Οι ελεγκτές APIC είναι εξειδικευμένοι φυσικοί διακομιστές, ενώ για μικρές υλοποιήσεις είναι δυνατή η χρήση ενός συμπλέγματος ενός φυσικού ελεγκτή APIC και δύο εικονικών.
Οι ελεγκτές APIC παρέχουν λειτουργίες ελέγχου και παρακολούθησης. Το σημαντικό είναι ότι οι ελεγκτές δεν συμμετέχουν ποτέ στη μεταφορά δεδομένων, δηλαδή, ακόμα κι αν αποτύχουν όλοι οι ελεγκτές συμπλέγματος, αυτό δεν θα επηρεάσει καθόλου τη σταθερότητα του δικτύου. Θα πρέπει επίσης να σημειωθεί ότι με τη βοήθεια των APIC, ο διαχειριστής διαχειρίζεται απολύτως όλους τους φυσικούς και λογικούς πόρους του εργοστασίου και για να γίνουν οποιεσδήποτε αλλαγές, δεν υπάρχει πλέον ανάγκη σύνδεσης σε μια συγκεκριμένη συσκευή, καθώς το ACI χρησιμοποιεί ενιαίο σημείο ελέγχου.
Τώρα ας προχωρήσουμε σε ένα από τα κύρια στοιχεία του ACI - προφίλ εφαρμογών.
Προφίλ δικτύου εφαρμογής είναι η λογική βάση του ACI. Είναι τα προφίλ εφαρμογών που καθορίζουν τις πολιτικές αλληλεπίδρασης μεταξύ όλων των τμημάτων δικτύου και περιγράφουν τα ίδια τα τμήματα δικτύου. Το ANP σάς επιτρέπει να κάνετε αφαίρεση από το φυσικό επίπεδο και, στην πραγματικότητα, να φανταστείτε πώς πρέπει να οργανώσετε την αλληλεπίδραση μεταξύ διαφορετικών τμημάτων δικτύου από την άποψη της εφαρμογής.
Ένα προφίλ εφαρμογής αποτελείται από ομάδες σύνδεσης (Ομάδες τελικού σημείου - EPG). Μια ομάδα σύνδεσης είναι μια λογική ομάδα κεντρικών υπολογιστών (εικονικές μηχανές, φυσικοί διακομιστές, κοντέινερ κ.λπ.) που βρίσκονται στο ίδιο τμήμα ασφαλείας (όχι δίκτυο, αλλά ασφάλεια). Οι τελικοί κεντρικοί υπολογιστές που ανήκουν σε ένα συγκεκριμένο EPG μπορούν να προσδιοριστούν με μεγάλο αριθμό κριτηρίων. Τα ακόλουθα χρησιμοποιούνται συνήθως:
- Φυσική θύρα
- Λογική θύρα (ομάδα θυρών στον εικονικό διακόπτη)
- VLAN ID ή VXLAN
- Διεύθυνση IP ή υποδίκτυο IP
- Χαρακτηριστικά διακομιστή (όνομα, τοποθεσία, έκδοση λειτουργικού συστήματος κ.λπ.)
Για την αλληλεπίδραση διαφορετικών EPG, παρέχεται μια οντότητα που ονομάζεται συμβόλαια. Η σύμβαση ορίζει τη σχέση μεταξύ των διαφορετικών EPG. Με άλλα λόγια, η σύμβαση ορίζει ποια υπηρεσία παρέχει ένα EPG σε ένα άλλο EPG. Για παράδειγμα, δημιουργούμε ένα συμβόλαιο που επιτρέπει στην κυκλοφορία να ρέει μέσω του πρωτοκόλλου HTTPS. Στη συνέχεια, συνδέουμε με αυτό το συμβόλαιο, για παράδειγμα, το EPG Web (μια ομάδα διακομιστών ιστού) και το EPG App (μια ομάδα διακομιστών εφαρμογών), μετά την οποία αυτές οι δύο ομάδες τερματικών μπορούν να ανταλλάσσουν κίνηση μέσω του πρωτοκόλλου HTTPS.
Το παρακάτω σχήμα περιγράφει ένα παράδειγμα ρύθμισης επικοινωνίας μεταξύ διαφορετικών EPG μέσω συμβάσεων εντός του ίδιου ANP.
Μπορεί να υπάρχει οποιοσδήποτε αριθμός προφίλ εφαρμογών σε ένα εργοστάσιο ACI. Επιπλέον, τα συμβόλαια δεν συνδέονται με ένα συγκεκριμένο προφίλ εφαρμογής· μπορούν (και πρέπει) να χρησιμοποιηθούν για τη σύνδεση EPG σε διαφορετικά ANP.
Στην πραγματικότητα, κάθε εφαρμογή που απαιτεί δίκτυο με τη μία ή την άλλη μορφή περιγράφεται από το δικό της προφίλ. Για παράδειγμα, το παραπάνω διάγραμμα δείχνει την τυπική αρχιτεκτονική μιας εφαρμογής τριών επιπέδων, που αποτελείται από έναν αριθμό N εξωτερικών διακομιστών πρόσβασης (Web), διακομιστών εφαρμογών (App) και διακομιστών DBMS (DB) και επίσης περιγράφει τους κανόνες αλληλεπίδρασης μεταξύ τους. Σε μια παραδοσιακή υποδομή δικτύου, αυτό θα ήταν ένα σύνολο κανόνων γραμμένων στις διάφορες συσκευές της υποδομής. Στην αρχιτεκτονική ACI, περιγράφουμε αυτούς τους κανόνες μέσα σε ένα προφίλ εφαρμογής. Το ACI, χρησιμοποιώντας ένα προφίλ εφαρμογής, διευκολύνει πολύ τη δημιουργία μεγάλου αριθμού ρυθμίσεων σε διαφορετικές συσκευές ομαδοποιώντας τις όλες σε ένα ενιαίο προφίλ.
Η παρακάτω εικόνα δείχνει ένα πιο ρεαλιστικό παράδειγμα. Ένα προφίλ εφαρμογής Microsoft Exchange που αποτελείται από πολλά EPG και συμβόλαια.
Η κεντρική διαχείριση, η αυτοματοποίηση και η παρακολούθηση είναι ένα από τα βασικά οφέλη του ACI. Το ACI Factory απαλλάσσει τους διαχειριστές από την κουραστική δουλειά της δημιουργίας μεγάλου αριθμού κανόνων σε διάφορους διακόπτες, δρομολογητές και τείχη προστασίας (ενώ η κλασική μέθοδος χειροκίνητης ρύθμισης επιτρέπεται και μπορεί να χρησιμοποιηθεί). Οι ρυθμίσεις για τα προφίλ εφαρμογών και άλλα αντικείμενα ACI εφαρμόζονται αυτόματα σε όλο το ύφασμα ACI. Ακόμη και κατά τη φυσική εναλλαγή διακομιστών σε άλλες θύρες των υφασμάτινων διακοπτών, δεν χρειάζεται να αντιγράψετε τις ρυθμίσεις από τους παλιούς διακόπτες σε νέους και να διαγράψετε τους περιττούς κανόνες. Με βάση τα κριτήρια συμμετοχής στο EPG του κεντρικού υπολογιστή, το εργοστάσιο θα κάνει αυτές τις ρυθμίσεις αυτόματα και θα καθαρίσει αυτόματα τους αχρησιμοποίητους κανόνες.
Οι ενσωματωμένες πολιτικές ασφαλείας ACI εφαρμόζονται ως λευκές λίστες, πράγμα που σημαίνει ότι ό,τι δεν επιτρέπεται ρητά απαγορεύεται από προεπιλογή. Μαζί με την αυτόματη ενημέρωση των διαμορφώσεων του εξοπλισμού δικτύου (κατάργηση «ξεχασμένων» αχρησιμοποίητων κανόνων και δικαιωμάτων), αυτή η προσέγγιση αυξάνει σημαντικά το συνολικό επίπεδο ασφάλειας του δικτύου και περιορίζει την επιφάνεια μιας πιθανής επίθεσης.
Το ACI σάς επιτρέπει να οργανώσετε την αλληλεπίδραση δικτύου όχι μόνο εικονικών μηχανών και κοντέινερ, αλλά και φυσικών διακομιστών, τείχη προστασίας υλικού και εξοπλισμού δικτύου τρίτων, γεγονός που καθιστά το ACI μια μοναδική λύση αυτή τη στιγμή.
Η νέα προσέγγιση της Cisco για τη δημιουργία ενός δικτύου δεδομένων που βασίζεται στη λογική των εφαρμογών δεν αφορά μόνο την αυτοματοποίηση, την ασφάλεια και την κεντρική διαχείριση. Είναι επίσης ένα σύγχρονο οριζόντια κλιμακούμενο δίκτυο που ικανοποιεί όλες τις απαιτήσεις της σύγχρονης επιχείρησης.
Η υλοποίηση μιας δικτυακής υποδομής που βασίζεται σε ACI επιτρέπει σε όλα τα τμήματα της επιχείρησης να μιλούν την ίδια γλώσσα. Ο διαχειριστής καθοδηγείται μόνο από τη λογική της εφαρμογής, η οποία περιγράφει τους απαιτούμενους κανόνες και συνδέσεις. Εκτός από τη λογική της εφαρμογής, οι κάτοχοι και οι προγραμματιστές της εφαρμογής, η υπηρεσία ασφάλειας πληροφοριών, οι οικονομολόγοι και οι ιδιοκτήτες επιχειρήσεων καθοδηγούνται από αυτήν.
Έτσι, η Cisco κάνει πράξη την ιδέα ενός δικτύου κέντρων δεδομένων επόμενης γενιάς. Θέλετε να το δείτε μόνοι σας; Ελάτε στη διαδήλωση Application Centric Infrastructure στην Αγία Πετρούπολη και συνεργαστείτε με το δίκτυο data center του μέλλοντος τώρα.
Μπορείτε να εγγραφείτε για την εκδήλωση .
Πηγή: www.habr.com