En los últimos años, Cisco ha estado promoviendo activamente una nueva arquitectura para construir una red de transmisión de datos en el centro de datos: Infraestructura centrada en aplicaciones (o ACI). Algunos ya lo conocen. Y algunos incluso lograron implementarlo en sus empresas, incluso en Rusia. Sin embargo, para la mayoría de los profesionales y administradores de TI, ACI sigue siendo un acrónimo oscuro o simplemente un reflejo del futuro.
En este artículo intentaremos acercar este futuro. Para hacer esto, hablaremos sobre los principales componentes arquitectónicos de ACI y también ilustraremos cómo se puede utilizar en la práctica. Además, en un futuro próximo organizaremos una demostración visual de ACI, a la que podrá inscribirse cualquier especialista en TI interesado.
Puede obtener más información sobre la nueva arquitectura de red en San Petersburgo en mayo de 2019. Todos los detalles están en . ¡Inscribirse!
Prehistoria
El modelo de construcción de red tradicional y más popular es un modelo jerárquico de tres niveles: núcleo -> distribución (agregación) -> acceso. Durante muchos años, este modelo fue el estándar, los fabricantes produjeron varios dispositivos de red con la funcionalidad adecuada para él.
Anteriormente, cuando la tecnología de la información era una especie de apéndice necesario (y, francamente, no siempre deseado) de los negocios, este modelo era conveniente, muy estático y confiable. Sin embargo, ahora que la TI es uno de los motores del desarrollo empresarial, y en muchos casos el propio negocio, la naturaleza estática de este modelo ha comenzado a causar grandes problemas.
Los negocios modernos generan una gran cantidad de requisitos complejos y diferentes para la infraestructura de red. El éxito del negocio depende directamente del momento de implementación de estos requisitos. Un retraso en tales condiciones es inaceptable y el modelo clásico de construcción de redes a menudo no permite satisfacer todas las necesidades comerciales de manera oportuna.
Por ejemplo, la aparición de una nueva aplicación empresarial compleja requiere que los administradores de red realicen una gran cantidad de operaciones rutinarias similares en una gran cantidad de dispositivos de red diferentes en diferentes niveles. Además de llevar mucho tiempo, también aumenta el riesgo de cometer un error, lo que puede provocar graves tiempos de inactividad de los servicios de TI y, como resultado, pérdidas financieras.
La raíz del problema ni siquiera son los propios plazos ni la complejidad de los requisitos. El hecho es que estos requisitos deben “traducirse” del lenguaje de las aplicaciones empresariales al lenguaje de la infraestructura de red. Como sabes, cualquier traducción supone siempre una pérdida parcial de significado. Cuando el propietario de la aplicación habla de la lógica de su aplicación, el administrador de la red comprende un conjunto de VLAN y listas de acceso en docenas de dispositivos que deben ser compatibles, actualizados y documentados.
La experiencia acumulada y la comunicación constante con los clientes permitieron a Cisco diseñar e implementar nuevos principios para construir una red de transmisión de datos de centros de datos que cumplan con las tendencias modernas y se basen, en primer lugar, en la lógica de las aplicaciones comerciales. De ahí el nombre: infraestructura centrada en aplicaciones.
Arquitectura ACI.
Lo más correcto es considerar la arquitectura ACI no desde el lado físico, sino desde el lado lógico. Se basa en un modelo de políticas automatizadas, cuyos objetos en el nivel superior se pueden dividir en los siguientes componentes:
- Red basada en conmutadores Nexus.
- Clúster de controladores APIC;
- Perfiles de aplicación;
Consideremos cada nivel con más detalle y pasaremos de lo simple a lo complejo.
Red basada en conmutadores Nexus
La red en una fábrica de ACI es similar al modelo jerárquico tradicional, pero es mucho más sencilla de construir. Para organizar la red se utiliza el modelo Leaf-Spine, que se ha convertido en un enfoque generalmente aceptado para implementar redes de próxima generación. Este modelo consta de dos niveles: Lomo y Hoja, respectivamente.
El nivel de la columna vertebral sólo es responsable del rendimiento. El rendimiento total de los conmutadores Spine es igual al rendimiento de toda la estructura, por lo que se deben utilizar conmutadores con puertos 40G o superiores en este nivel.
Los conmutadores espinales se conectan a todos los conmutadores del siguiente nivel: conmutadores hoja, a los que se conectan los hosts finales. La función principal de los conmutadores Leaf es la capacidad del puerto.
Por lo tanto, los problemas de escala se resuelven fácilmente: si necesitamos aumentar el rendimiento de la estructura, agregamos conmutadores Spine y si necesitamos aumentar la capacidad del puerto, agregamos Leaf.
Para ambos niveles se utilizan los conmutadores Cisco Nexus de la serie 9000, que para Cisco son la principal herramienta para construir redes de centros de datos, independientemente de su arquitectura. Para la capa Spine, se utilizan conmutadores Nexus 9300 o Nexus 9500, y para Leaf solo Nexus 9300.
La gama de modelos de conmutadores Nexus que se utilizan en la fábrica de ACI se muestra en la siguiente figura.
Clúster de controladores APIC (controlador de infraestructura de políticas de aplicaciones)
Los controladores APIC son servidores físicos especializados, mientras que para implementaciones pequeñas es posible utilizar un clúster de un controlador APIC físico y dos virtuales.
Los controladores APIC proporcionan funciones de control y monitoreo. Lo importante es que los controladores nunca participan en la transferencia de datos, es decir, incluso si todos los controladores del clúster fallan, esto no afectará en absoluto la estabilidad de la red. También cabe señalar que con la ayuda de APIC, el administrador gestiona absolutamente todos los recursos físicos y lógicos de la fábrica, y para realizar cambios ya no es necesario conectarse a un dispositivo en particular, ya que ACI utiliza un único punto de control.
Pasemos ahora a uno de los componentes principales de ACI: los perfiles de aplicación.
Perfil de red de aplicaciones es la base lógica de ACI. Son los perfiles de aplicación los que definen las políticas de interacción entre todos los segmentos de la red y describen los propios segmentos de la red. ANP le permite abstraerse de la capa física y, de hecho, imaginar cómo necesita organizar la interacción entre diferentes segmentos de la red desde el punto de vista de la aplicación.
Un perfil de aplicación consta de grupos de conexión (grupos de puntos finales - EPG). Un grupo de conexión es un grupo lógico de hosts (máquinas virtuales, servidores físicos, contenedores, etc.) que están ubicados en el mismo segmento de seguridad (no de red, sino de seguridad). Los hosts finales que pertenecen a una EPG particular pueden determinarse mediante una gran cantidad de criterios. Los siguientes se utilizan comúnmente:
- Puerto físico
- Puerto lógico (grupo de puertos en un conmutador virtual)
- ID de VLAN o VXLAN
- Dirección IP o subred IP
- Atributos del servidor (nombre, ubicación, versión del sistema operativo, etc.)
Para la interacción de diferentes EPG se proporciona una entidad denominada contratos. El contrato define la relación entre las diferentes EPG. En otras palabras, el contrato define qué servicio proporciona una EPG a otra EPG. Por ejemplo, creamos un contrato que permite que el tráfico fluya a través del protocolo HTTPS. A continuación, nos conectamos con este contrato, por ejemplo, EPG Web (un grupo de servidores web) y EPG App (un grupo de servidores de aplicaciones), después de lo cual estos dos grupos de terminales pueden intercambiar tráfico a través del protocolo HTTPS.
La siguiente figura describe un ejemplo de cómo configurar la comunicación entre diferentes EPG a través de contratos dentro de la misma ANP.
Puede haber cualquier número de perfiles de aplicación dentro de una fábrica de ACI. Además, los contratos no están vinculados a un perfil de aplicación específico; pueden (y deben) usarse para conectar EPG en diferentes ANP.
De hecho, cada aplicación que requiere una red de una forma u otra se describe mediante su propio perfil. Por ejemplo, el diagrama anterior muestra la arquitectura estándar de una aplicación de tres niveles, que consta de un número N de servidores de acceso externo (Web), servidores de aplicaciones (App) y servidores DBMS (DB), y también describe las reglas de interacción entre a ellos. En una infraestructura de red tradicional, esto sería un conjunto de reglas escritas en los distintos dispositivos de la infraestructura. En la arquitectura ACI, describimos estas reglas dentro de un único perfil de aplicación. ACI, al utilizar un perfil de aplicación, hace que sea mucho más fácil crear una gran cantidad de configuraciones en diferentes dispositivos al agruparlos todos en un solo perfil.
La siguiente imagen muestra un ejemplo más realista. Un perfil de aplicación de Microsoft Exchange creado a partir de múltiples EPG y contratos.
La gestión centralizada, la automatización y el monitoreo es uno de los beneficios clave de ACI. ACI Factory libera a los administradores del tedioso trabajo de crear una gran cantidad de reglas en varios conmutadores, enrutadores y firewalls (aunque se permite y se puede utilizar el método clásico de configuración manual). Las configuraciones para los perfiles de aplicación y otros objetos ACI se aplican automáticamente en todo el tejido ACI. Incluso cuando se cambian físicamente los servidores a otros puertos de los conmutadores de estructura, no es necesario duplicar la configuración de los conmutadores antiguos a los nuevos ni eliminar reglas innecesarias. Según los criterios de membresía de EPG del anfitrión, la fábrica realizará estas configuraciones automáticamente y limpiará automáticamente las reglas no utilizadas.
Las políticas de seguridad integradas de ACI se implementan como listas blancas, lo que significa que lo que no está permitido explícitamente está prohibido de forma predeterminada. Junto con la actualización automática de las configuraciones de los equipos de red (eliminando reglas y permisos no utilizados "olvidados"), este enfoque aumenta significativamente el nivel general de seguridad de la red y reduce la superficie de un ataque potencial.
ACI le permite organizar la interacción de red no solo de máquinas virtuales y contenedores, sino también de servidores físicos, firewalls de hardware y equipos de red de terceros, lo que hace de ACI una solución única en este momento.
El nuevo enfoque de Cisco para construir una red de datos basada en la lógica de aplicaciones no se trata sólo de automatización, seguridad y gestión centralizada. También es una red moderna escalable horizontalmente que cumple con todos los requisitos de las empresas modernas.
La implementación de una infraestructura de red basada en ACI permite que todos los departamentos de la empresa hablen el mismo idioma. El administrador se guía únicamente por la lógica de la aplicación, que describe las reglas y conexiones requeridas. Además de la lógica de la aplicación, ella se guía por los propietarios y desarrolladores de la aplicación, el servicio de seguridad de la información, los economistas y los empresarios.
Así, Cisco está poniendo en práctica el concepto de red de centros de datos de próxima generación. ¿Quieres ver esto por ti mismo? Ven a la manifestación Infraestructura centrada en aplicaciones en San Petersburgo y trabaje ahora con la red de centros de datos del futuro.
Puedes registrarte para el evento. .
Fuente: habr.com