Με τη βοήθεια αυτού του μαγικού κομματιού σεναρίου Cisco ACI, μπορείτε να δημιουργήσετε γρήγορα ένα δίκτυο.
Το εργοστάσιο δικτύου για το κέντρο δεδομένων Cisco ACI υπάρχει εδώ και πέντε χρόνια, αλλά ο Habré δεν είπε πραγματικά τίποτα γι 'αυτό, οπότε αποφάσισα να το φτιάξω λίγο. Θα σας πω από τη δική μου εμπειρία τι είναι, ποια είναι η χρήση του και πού έχει τσουγκράνα.
Τι είναι και από πού προήλθε;
Όταν ανακοινώθηκε το ACI (Application Centric Infrastructure) το 2013, οι ανταγωνιστές προχωρούσαν σε παραδοσιακές προσεγγίσεις στα δίκτυα κέντρων δεδομένων από τρεις πλευρές ταυτόχρονα.
Από τη μία πλευρά, οι λύσεις SDN «πρώτης γενιάς» που βασίζονται στο OpenFlow υποσχέθηκαν να κάνουν τα δίκτυα πιο ευέλικτα και ταυτόχρονα φθηνότερα. Η ιδέα ήταν να μεταφερθεί η λήψη αποφάσεων που παραδοσιακά γινόταν από ιδιόκτητο λογισμικό μεταγωγής σε έναν κεντρικό ελεγκτή.
Αυτός ο ελεγκτής θα είχε ένα ενιαίο όραμα για όλα όσα συμβαίνουν και, με βάση αυτό, θα προγραμμάτιζε το υλικό όλων των διακοπτών στο επίπεδο κανόνων για την επεξεργασία συγκεκριμένων ροών.
Από την άλλη πλευρά, οι λύσεις δικτύου επικάλυψης κατέστησαν δυνατή την εφαρμογή των απαραίτητων πολιτικών συνδεσιμότητας και ασφάλειας χωρίς καμία απολύτως αλλαγή στο φυσικό δίκτυο, δημιουργώντας σήραγγες λογισμικού μεταξύ εικονικών κεντρικών υπολογιστών. Το πιο γνωστό παράδειγμα αυτής της προσέγγισης ήταν η Nicira, η οποία μέχρι τότε είχε ήδη εξαγοραστεί από τη VMWare για 1,26 δισεκατομμύρια δολάρια και δημιούργησε το τρέχον VMWare NSX. Κάποια πικρία της κατάστασης προστέθηκε από το γεγονός ότι οι συνιδρυτές της Nicira ήταν οι ίδιοι άνθρωποι που προηγουμένως στέκονταν στην αρχή του OpenFlow, λέγοντας τώρα ότι για να χτιστεί ένα εργοστάσιο data center .
Και τέλος, τα τσιπ μεταγωγής που διατίθενται στην ανοιχτή αγορά (αυτό που ονομάζεται εμπορικό πυρίτιο) έχουν φτάσει σε ένα στάδιο ωριμότητας όπου έχουν γίνει πραγματική απειλή για τους παραδοσιακούς κατασκευαστές μεταγωγέων. Αν νωρίτερα κάθε προμηθευτής ανέπτυξε ανεξάρτητα τσιπ για τους διακόπτες του, τότε με την πάροδο του χρόνου, τα τσιπ από τρίτους κατασκευαστές, κυρίως από την Broadcom, άρχισαν να μειώνουν την απόσταση με τα τσιπ πωλητών όσον αφορά τις λειτουργίες και τα ξεπέρασαν ως προς την αναλογία τιμής / απόδοσης. Ως εκ τούτου, πολλοί πίστευαν ότι οι μέρες των διακοπτών σε μάρκες του δικού τους σχεδιασμού ήταν μετρημένες.
Η ACI έχει γίνει η «ασύμμετρη απάντηση» της Cisco (ακριβέστερα, η εταιρεία Insieme, που ιδρύθηκε από πρώην υπαλλήλους της) σε όλα τα παραπάνω.
Ποια είναι η διαφορά με το OpenFlow;
Όσον αφορά την κατανομή των συναρτήσεων, το ACI είναι στην πραγματικότητα το αντίθετο του OpenFlow.
Στην αρχιτεκτονική OpenFlow, ο ελεγκτής είναι υπεύθυνος για τη σύνταξη λεπτομερών κανόνων (ροές)
στο υλικό όλων των μεταγωγέων, δηλαδή σε ένα μεγάλο δίκτυο, μπορεί να είναι υπεύθυνο για τη διατήρηση και, το πιο σημαντικό, την αλλαγή δεκάδων εκατομμυρίων εγγραφών σε εκατοντάδες σημεία του δικτύου, έτσι η απόδοση και η αξιοπιστία του γίνονται εμπόδιο σε ένα μεγάλη υλοποίηση.
Το ACI χρησιμοποιεί την αντίστροφη προσέγγιση: φυσικά, υπάρχει επίσης ένας ελεγκτής, αλλά οι διακόπτες λαμβάνουν υψηλού επιπέδου δηλωτικές πολιτικές από αυτό και ο ίδιος ο διακόπτης εκτελεί την απόδοσή τους σε λεπτομέρειες συγκεκριμένων ρυθμίσεων στο υλικό. Ο ελεγκτής μπορεί να επανεκκινηθεί ή να απενεργοποιηθεί εντελώς και τίποτα κακό δεν θα συμβεί στο δίκτυο, εκτός φυσικά από την έλλειψη ελέγχου αυτή τη στιγμή. Είναι ενδιαφέρον ότι υπάρχουν καταστάσεις στο ACI στις οποίες το OpenFlow εξακολουθεί να χρησιμοποιείται, αλλά τοπικά εντός του κεντρικού υπολογιστή για προγραμματισμό Open vSwitch.
Το ACI είναι χτισμένο εξ ολοκλήρου σε μεταφορά επικάλυψης που βασίζεται σε VXLAN, αλλά περιλαμβάνει την υποκείμενη μεταφορά IP ως μέρος μιας ενιαίας λύσης. Η Cisco ονόμασε αυτόν τον όρο "ενσωματωμένη επικάλυψη". Ως σημείο τερματισμού για επικαλύψεις στο ACI, στις περισσότερες περιπτώσεις χρησιμοποιούνται εργοστασιακά διακόπτες (αυτό το κάνουν με ταχύτητα σύνδεσης). Οι κεντρικοί υπολογιστές δεν απαιτείται να γνωρίζουν τίποτα για το εργοστάσιο, την ενθυλάκωση κ.λπ., ωστόσο, σε ορισμένες περιπτώσεις (για παράδειγμα, για τη σύνδεση κεντρικών υπολογιστών OpenStack), η κίνηση VXLAN μπορεί να μεταφερθεί σε αυτούς.
Οι επικαλύψεις χρησιμοποιούνται στο ACI όχι μόνο για την παροχή ευέλικτης συνδεσιμότητας μέσω του δικτύου μεταφορών, αλλά και για τη μεταφορά μεταπληροφοριών (χρησιμοποιείται, για παράδειγμα, για την εφαρμογή πολιτικών ασφαλείας).
Chips από την Broadcom χρησιμοποιούνταν προηγουμένως από τη Cisco στους διακόπτες της σειράς Nexus 3000. Στην οικογένεια Nexus 9000, που κυκλοφόρησε ειδικά για την υποστήριξη του ACI, αρχικά εφαρμόστηκε ένα υβριδικό μοντέλο, το οποίο ονομαζόταν Merchant +. Ο διακόπτης χρησιμοποίησε ταυτόχρονα τόσο το νέο τσιπ Broadcom Trident 2 όσο και ένα συμπληρωματικό τσιπ που αναπτύχθηκε από τη Cisco, το οποίο υλοποιεί όλη τη μαγεία του ACI. Προφανώς, αυτό κατέστησε δυνατή την επιτάχυνση της κυκλοφορίας του προϊόντος και τη μείωση της τιμής του διακόπτη σε επίπεδο κοντά σε μοντέλα που βασίζονται απλώς στο Trident 2. Αυτή η προσέγγιση ήταν αρκετή για τα δύο ή τρία πρώτα χρόνια των παραδόσεων ACI. Κατά τη διάρκεια αυτής της περιόδου, η Cisco έχει αναπτύξει και λανσάρει την επόμενη γενιά Nexus 9000 στα δικά της τσιπ με περισσότερες επιδόσεις και σύνολο χαρακτηριστικών, αλλά στο ίδιο επίπεδο τιμών. Οι εξωτερικές προδιαγραφές όσον αφορά την αλληλεπίδραση στο εργοστάσιο διατηρούνται πλήρως. Ταυτόχρονα, το εσωτερικό γέμισμα έχει αλλάξει εντελώς: κάτι σαν ανακατασκευή, αλλά για σίδηρο.
Πώς λειτουργεί το Cisco ACI Architecture
Στην απλούστερη περίπτωση, το ACI βασίζεται στην τοπολογία του δικτύου Klose, ή, όπως λένε συχνά, Spine-Leaf. Οι διακόπτες επιπέδου σπονδυλικής στήλης μπορεί να είναι από δύο (ή έναν, αν δεν μας ενδιαφέρει η ανοχή σφαλμάτων) έως έξι. Αντίστοιχα, όσο περισσότερα από αυτά, τόσο υψηλότερη είναι η ανοχή σφαλμάτων (τόσο χαμηλότερη είναι η μείωση του εύρους ζώνης και της αξιοπιστίας σε περίπτωση ατυχήματος ή συντήρησης ενός Spine) και η συνολική απόδοση. Όλες οι εξωτερικές συνδέσεις πηγαίνουν σε διακόπτες επιπέδου φύλλου: αυτοί είναι διακομιστές και σύνδεση με εξωτερικά δίκτυα μέσω L2 ή L3 και σύνδεση ελεγκτών APIC. Γενικά, με το ACI, όχι μόνο η διαμόρφωση, αλλά και η συλλογή στατιστικών στοιχείων, η παρακολούθηση αστοχιών κ.λπ. - όλα γίνονται μέσω της διεπαφής ελεγκτών, από τους οποίους υπάρχουν τρεις σε κανονικού μεγέθους υλοποιήσεις.
Δεν χρειάζεται ποτέ να συνδεθείτε με τους διακόπτες με την κονσόλα, ακόμη και για να ξεκινήσετε το δίκτυο: ο ίδιος ο ελεγκτής εντοπίζει τους διακόπτες και συναρμολογεί ένα εργοστάσιο από αυτούς, συμπεριλαμβανομένων των ρυθμίσεων όλων των πρωτοκόλλων υπηρεσίας, επομένως, παρεμπιπτόντως, είναι πολύ σημαντικό να Σημειώστε τους σειριακούς αριθμούς του εξοπλισμού που εγκαθίσταται κατά την εγκατάσταση, έτσι ώστε αργότερα να μην χρειάζεται να μαντέψετε ποιος διακόπτης βρίσκεται σε ποιο rack βρίσκεται. Για την αντιμετώπιση προβλημάτων, εάν είναι απαραίτητο, μπορείτε να συνδεθείτε με τους διακόπτες μέσω SSH: αναπαράγουν τις συνήθεις εντολές εμφάνισης της Cisco πολύ προσεκτικά.
Εσωτερικά, το εργοστάσιο χρησιμοποιεί μεταφορά IP, επομένως δεν υπάρχει Spanning Tree και άλλες φρικαλεότητες του παρελθόντος: εμπλέκονται όλοι οι σύνδεσμοι και η σύγκλιση σε περίπτωση αποτυχίας είναι πολύ γρήγορη. Η κίνηση στο ύφασμα μεταδίδεται μέσω τούνελ που βασίζονται σε VXLAN. Πιο συγκεκριμένα, η ίδια η Cisco αποκαλεί ενθυλάκωση iVXLAN και διαφέρει από το κανονικό VXLAN στο ότι τα δεσμευμένα πεδία στην κεφαλίδα δικτύου χρησιμοποιούνται για τη μετάδοση πληροφοριών υπηρεσίας, κυρίως σχετικά με τη σχέση της κίνησης με την ομάδα EPG. Αυτό σας επιτρέπει να εφαρμόζετε τους κανόνες αλληλεπίδρασης μεταξύ ομάδων στον εξοπλισμό, χρησιμοποιώντας τους αριθμούς τους με τον ίδιο τρόπο που χρησιμοποιούνται οι διευθύνσεις σε συνηθισμένες λίστες πρόσβασης.
Οι σήραγγες επιτρέπουν τόσο στα τμήματα L2 όσο και στα τμήματα L3 (δηλαδή το VRF) να τεντωθούν μέσω της εσωτερικής μεταφοράς IP. Σε αυτήν την περίπτωση, η προεπιλεγμένη πύλη κατανέμεται. Αυτό σημαίνει ότι κάθε διακόπτης είναι υπεύθυνος για τη δρομολόγηση της κυκλοφορίας που εισέρχεται στο ύφασμα. Όσον αφορά τη λογική ροής κυκλοφορίας, το ACI είναι παρόμοιο με ένα ύφασμα VXLAN/EVPN.
Αν ναι, ποιες είναι οι διαφορές; Οτιδήποτε άλλο!
Η νούμερο ένα διαφορά που συναντάτε με το ACI είναι ο τρόπος με τον οποίο συνδέονται οι διακομιστές στο δίκτυο. Στα παραδοσιακά δίκτυα, η συμπερίληψη τόσο των φυσικών διακομιστών όσο και των εικονικών μηχανών πηγαίνει στα VLAN και όλα τα άλλα προέρχονται από αυτά: συνδεσιμότητα, ασφάλεια κ.λπ. Στο ACI, χρησιμοποιείται ένα σχέδιο που η Cisco ονομάζει EPG (End-point Group), από το οποίο δεν υπάρχει πουθενά φυγή. Αν είναι δυνατόν να το εξισώσει με VLAN; Ναι, αλλά σε αυτή την περίπτωση υπάρχει πιθανότητα να χάσετε τα περισσότερα από αυτά που δίνει το ACI.
Όσον αφορά το EPG, διατυπώνονται όλοι οι κανόνες πρόσβασης και στο ACI χρησιμοποιείται από προεπιλογή η αρχή της «λευκής λίστας», δηλαδή επιτρέπεται μόνο η κίνηση, η διέλευση της οποίας επιτρέπεται ρητά. Δηλαδή, μπορούμε να δημιουργήσουμε τις ομάδες EPG "Web" και "MySQL" και να ορίσουμε έναν κανόνα που επιτρέπει την επικοινωνία μεταξύ τους μόνο στη θύρα 3306. Αυτό θα λειτουργήσει χωρίς να συνδέεται με διευθύνσεις δικτύου και ακόμη και μέσα στο ίδιο υποδίκτυο!
Έχουμε πελάτες που επέλεξαν το ACI ακριβώς λόγω αυτής της δυνατότητας, καθώς σας επιτρέπει να περιορίσετε την πρόσβαση μεταξύ διακομιστών (εικονικών ή φυσικών - δεν έχει σημασία) χωρίς να τους σύρετε μεταξύ υποδικτύων, που σημαίνει χωρίς να αγγίζετε τη διεύθυνση. Ναι, ναι, γνωρίζουμε ότι κανείς δεν συνταγογραφεί τις διευθύνσεις IP στις διαμορφώσεις εφαρμογών με το χέρι, σωστά;
Οι κανόνες κυκλοφορίας στο ACI ονομάζονται συμβόλαια. Σε μια τέτοια σύμβαση, μία ή περισσότερες ομάδες ή επίπεδα σε μια εφαρμογή πολλαπλών επιπέδων γίνονται πάροχος υπηρεσιών (ας πούμε, μια υπηρεσία βάσης δεδομένων), ενώ άλλες γίνονται καταναλωτές. Το συμβόλαιο μπορεί απλώς να περάσει την κίνηση ή μπορεί να κάνει κάτι πιο δύσκολο, για παράδειγμα, να το κατευθύνει σε ένα τείχος προστασίας ή ένα εξισορροπητή και επίσης να αλλάξει την τιμή QoS.
Πώς μπαίνουν οι διακομιστές σε αυτές τις ομάδες; Εάν πρόκειται για φυσικούς διακομιστές ή κάτι που περιλαμβάνεται σε ένα υπάρχον δίκτυο στο οποίο δημιουργήσαμε έναν κορμό VLAN, τότε για να τους τοποθετήσετε στο EPG, θα πρέπει να δείξετε τη θύρα μεταγωγής και το VLAN που χρησιμοποιείται σε αυτήν. Όπως μπορείτε να δείτε, τα VLAN εμφανίζονται όπου δεν μπορείτε να κάνετε χωρίς αυτά.
Εάν οι διακομιστές είναι εικονικές μηχανές, τότε αρκεί να ανατρέξετε στο συνδεδεμένο περιβάλλον εικονικοποίησης και τότε όλα θα συμβούν από μόνα τους: θα δημιουργηθεί μια ομάδα θυρών (όσον αφορά το VMWare) για τη σύνδεση του VM, τα απαραίτητα VLAN ή VXLAN Θα καταχωρηθούν στις απαραίτητες θύρες μεταγωγής, κ.λπ. Έτσι, παρόλο που το ACI είναι χτισμένο γύρω από ένα φυσικό δίκτυο, οι συνδέσεις για εικονικούς διακομιστές φαίνονται πολύ πιο απλές από ό,τι για φυσικούς. Η ACI διαθέτει ήδη ενσωματωμένη συνδεσιμότητα με VMWare και MS Hyper-V, καθώς και υποστήριξη για OpenStack και RedHat Virtualization. Από κάποιο σημείο και μετά, εμφανίστηκε και ενσωματωμένη υποστήριξη για πλατφόρμες κοντέινερ: Kubernetes, OpenShift, Cloud Foundry, ενώ αφορά τόσο την εφαρμογή πολιτικών όσο και την παρακολούθηση, δηλαδή ο διαχειριστής του δικτύου μπορεί να δει αμέσως σε ποιους κεντρικούς υπολογιστές λειτουργούν τα pod και σε ποιες ομάδες ανήκουν.
Εκτός από το ότι περιλαμβάνονται σε μια συγκεκριμένη ομάδα θυρών, οι εικονικοί διακομιστές έχουν πρόσθετες ιδιότητες: όνομα, χαρακτηριστικά κ.λπ., τα οποία μπορούν να χρησιμοποιηθούν ως κριτήρια για τη μεταφορά τους σε μια άλλη ομάδα, για παράδειγμα, όταν ένα VM μετονομάζεται ή εμφανίζεται μια πρόσθετη ετικέτα στο το. Η Cisco το αποκαλεί ομάδες μικρο-τμηματοποίησης, αν και, σε γενικές γραμμές, η ίδια η σχεδίαση με τη δυνατότητα δημιουργίας πολλών τμημάτων ασφαλείας με τη μορφή EPG στο ίδιο υποδίκτυο είναι επίσης αρκετά μικρο-τμηματοποίηση. Λοιπόν, ο πωλητής ξέρει καλύτερα.
Τα ίδια τα EPG είναι καθαρά λογικές κατασκευές, δεν συνδέονται με συγκεκριμένους διακόπτες, διακομιστές κ.λπ., ώστε να μπορείτε να κάνετε πράγματα με αυτά και κατασκευές που βασίζονται σε αυτές (εφαρμογές και μισθωτές) που είναι δύσκολο να γίνουν σε συνηθισμένα δίκτυα, όπως η κλωνοποίηση. Ως αποτέλεσμα, ας πούμε ότι είναι πολύ εύκολο να κλωνοποιηθεί ένα περιβάλλον παραγωγής, προκειμένου να επιτευχθεί ένα δοκιμαστικό περιβάλλον που είναι εγγυημένο ότι είναι πανομοιότυπο με το περιβάλλον παραγωγής. Μπορείτε να το κάνετε χειροκίνητα, αλλά είναι καλύτερο (και πιο εύκολο) μέσω του API.
Γενικά, η λογική ελέγχου στο ACI δεν είναι καθόλου παρόμοια με αυτή που συναντάτε συνήθως
σε παραδοσιακά δίκτυα από την ίδια Cisco: η διεπαφή λογισμικού είναι κύρια και το GUI ή το CLI είναι δευτερεύοντα, καθώς λειτουργούν μέσω του ίδιου API. Επομένως, σχεδόν όλοι οι εμπλεκόμενοι στο ACI, μετά από λίγο, αρχίζουν να περιηγούνται στο μοντέλο αντικειμένων που χρησιμοποιείται για τη διαχείριση και να αυτοματοποιούν κάτι που να ταιριάζει στις ανάγκες τους. Ο ευκολότερος τρόπος για να το κάνετε αυτό είναι από την Python: υπάρχουν κατάλληλα έτοιμα εργαλεία για αυτό.
Υποσχεμένη γκανιότα
Το κύριο πρόβλημα είναι ότι πολλά πράγματα στο ACI γίνονται διαφορετικά. Για να ξεκινήσετε να εργάζεστε με αυτό κανονικά, πρέπει να επανεκπαιδευτείτε. Αυτό ισχύει ιδιαίτερα για ομάδες λειτουργιών δικτύου σε μεγάλους πελάτες, όπου οι μηχανικοί «συνταγογραφούν VLAN» για χρόνια κατόπιν αιτήματος. Το γεγονός ότι τώρα τα VLAN δεν είναι πια VLAN και δεν χρειάζεται να δημιουργείτε VLAN με το χέρι για να τοποθετήσετε νέα δίκτυα σε εικονικοποιημένους κεντρικούς υπολογιστές, ανατινάζει εντελώς την οροφή από τους παραδοσιακούς δικτυωτές και τους κάνει να προσκολλώνται σε γνωστές προσεγγίσεις. Θα πρέπει να σημειωθεί ότι η Cisco προσπάθησε να γλυκάνει λίγο το χάπι και πρόσθεσε ένα CLI «όπως NXOS» στον ελεγκτή, το οποίο σας επιτρέπει να κάνετε διαμόρφωση από μια διεπαφή παρόμοια με τους παραδοσιακούς διακόπτες. Ωστόσο, για να αρχίσετε να χρησιμοποιείτε το ACI κανονικά, πρέπει να καταλάβετε πώς λειτουργεί.
Όσον αφορά την τιμή, σε μεγάλες και μεσαίες κλίμακες, τα δίκτυα ACI δεν διαφέρουν στην πραγματικότητα από τα παραδοσιακά δίκτυα στον εξοπλισμό Cisco, καθώς χρησιμοποιούνται οι ίδιοι διακόπτες για την κατασκευή τους (το Nexus 9000 μπορεί να λειτουργήσει σε ACI και σε παραδοσιακή λειτουργία και έχει γίνει πλέον το κύριο «εργασία» για νέα έργα data center). Αλλά για τα κέντρα δεδομένων δύο μεταγωγέων, η παρουσία ελεγκτών και η αρχιτεκτονική Spine-Leaf, φυσικά, γίνονται αισθητές. Πρόσφατα, εμφανίστηκε ένα εργοστάσιο Mini ACI, στο οποίο δύο από τους τρεις ελεγκτές αντικαθίστανται από εικονικές μηχανές. Αυτό μειώνει τη διαφορά στο κόστος, αλλά εξακολουθεί να παραμένει. Έτσι για τον πελάτη, η επιλογή υπαγορεύεται από το πόσο ενδιαφέρεται για τα χαρακτηριστικά ασφαλείας, την ενοποίηση με το virtualization, ένα ενιαίο σημείο ελέγχου κ.λπ.
Πηγή: www.habr.com