Au cours des dernières années, Cisco a activement promu une nouvelle architecture pour construire un réseau de transmission de données dans le centre de données - Infrastructure centrée sur les applications (ou ACI). Certains le connaissent déjà. Et certains ont même réussi à le mettre en œuvre dans leurs entreprises, y compris en Russie. Cependant, pour la plupart des professionnels et responsables informatiques, ACI reste soit un acronyme obscur, soit simplement une réflexion sur l’avenir.
Dans cet article, nous essaierons de rapprocher cet avenir. Pour ce faire, nous parlerons des principaux composants architecturaux de l'ACI, et illustrerons également comment il peut être utilisé dans la pratique. De plus, nous organiserons prochainement une démonstration visuelle d'ACI, à laquelle tout informaticien intéressé pourra s'inscrire.
Vous pourrez en apprendre davantage sur la nouvelle architecture de réseau à Saint-Pétersbourg en mai 2019. Tous les détails sont dans . S'inscrire!
Préhistoire
Le modèle de construction de réseau traditionnel et le plus populaire est un modèle hiérarchique à trois niveaux : noyau -> distribution (agrégation) -> accès. Pendant de nombreuses années, ce modèle a été la norme ; les fabricants ont produit divers périphériques réseau dotés des fonctionnalités appropriées.
Auparavant, lorsque la technologie de l'information était une sorte d'appendice nécessaire (et, franchement, pas toujours souhaité) aux entreprises, ce modèle était pratique, très statique et fiable. Cependant, à présent que l’informatique est l’un des moteurs du développement des entreprises, et dans de nombreux cas l’entreprise elle-même, la nature statique de ce modèle commence à poser de gros problèmes.
Les entreprises modernes génèrent un grand nombre d’exigences complexes différentes en matière d’infrastructure réseau. Le succès de l'entreprise dépend directement du calendrier de mise en œuvre de ces exigences. Les retards dans de telles conditions sont inacceptables et le modèle classique de construction de réseau ne permet souvent pas de répondre en temps opportun à tous les besoins de l'entreprise.
Par exemple, l’émergence d’une nouvelle application métier complexe oblige les administrateurs réseau à effectuer un grand nombre d’opérations de routine similaires sur un grand nombre de périphériques réseau différents à différents niveaux. En plus de prendre du temps, cela augmente également le risque de commettre une erreur, ce qui peut entraîner de graves interruptions des services informatiques et, par conséquent, des pertes financières.
La racine du problème ne réside même pas dans les délais eux-mêmes ni dans la complexité des exigences. Le fait est que ces exigences doivent être « traduites » du langage des applications métier au langage de l’infrastructure réseau. Comme vous le savez, toute traduction est toujours une perte partielle de sens. Lorsque le propriétaire de l'application parle de la logique de son application, l'administrateur réseau comprend un ensemble de VLAN, des listes d'accès sur des dizaines d'appareils qui doivent être pris en charge, mis à jour et documentés.
L'expérience accumulée et la communication constante avec les clients ont permis à Cisco de concevoir et de mettre en œuvre de nouveaux principes pour construire un réseau de transmission de données de centre de données qui répondent aux tendances modernes et reposent avant tout sur la logique des applications métier. D'où le nom - Application Centric Infrastructure.
Architecture ACI.
Il est tout à fait correct de considérer l'architecture ACI non pas du côté physique, mais du côté logique. Il repose sur un modèle de politiques automatisées dont les objets au niveau supérieur peuvent être divisés en les composants suivants :
- Réseau basé sur les commutateurs Nexus.
- Cluster de contrôleurs APIC ;
- Profils de candidature ;
Examinons chaque niveau plus en détail - et passons du simple au complexe.
Réseau basé sur les commutateurs Nexus
Le réseau dans une usine ACI est similaire au modèle hiérarchique traditionnel, mais il est beaucoup plus simple à construire. Le modèle Leaf-Spine est utilisé pour organiser le réseau, qui est devenu une approche généralement acceptée pour la mise en œuvre des réseaux de nouvelle génération. Ce modèle se compose de deux niveaux : Spine et Leaf, respectivement.
Le niveau Spine est uniquement responsable de la performance. Les performances totales des commutateurs Spine sont égales aux performances de l’ensemble de la structure, c’est pourquoi des commutateurs dotés de ports 40G ou plus doivent être utilisés à ce niveau.
Les commutateurs Spine se connectent à tous les commutateurs du niveau suivant : les commutateurs Leaf, auxquels les hôtes finaux sont connectés. Le rôle principal des commutateurs Leaf est la capacité des ports.
Ainsi, les problèmes de mise à l'échelle sont facilement résolus : si nous devons augmenter le débit de la structure, nous ajoutons des commutateurs Spine, et si nous devons augmenter la capacité des ports, nous ajoutons Leaf.
Pour les deux niveaux, des commutateurs Cisco Nexus 9000 sont utilisés, qui constituent pour Cisco le principal outil de création de réseaux de centres de données, quelle que soit leur architecture. Pour la couche Spine, des commutateurs Nexus 9300 ou Nexus 9500 sont utilisés, et pour Leaf uniquement, Nexus 9300.
La gamme de modèles de commutateurs Nexus utilisés dans l'usine ACI est présentée dans la figure ci-dessous.
Cluster de contrôleurs APIC (Application Policy Infrastructure Controller)
Les contrôleurs APIC sont des serveurs physiques spécialisés, tandis que pour les petites implémentations, il est possible d'utiliser un cluster composé d'un contrôleur APIC physique et de deux contrôleurs virtuels.
Les contrôleurs APIC assurent des fonctions de contrôle et de surveillance. L'important est que les contrôleurs ne participent jamais au transfert de données, c'est-à-dire que même si tous les contrôleurs du cluster tombent en panne, cela n'affectera en rien la stabilité du réseau. A noter également qu'à l'aide des APIC, l'administrateur gère absolument toutes les ressources physiques et logiques de l'usine, et pour apporter des modifications, il n'est plus nécessaire de se connecter à un appareil particulier, puisque ACI utilise un point de contrôle unique.
Passons maintenant à l'un des principaux composants de l'ACI : les profils d'application.
Profil de réseau d'applications est la base logique de l’ACI. Ce sont les profils d'application qui définissent les politiques d'interaction entre tous les segments du réseau et décrivent les segments du réseau eux-mêmes. ANP vous permet de faire abstraction de la couche physique et, en fait, d'imaginer comment vous devez organiser l'interaction entre différents segments de réseau d'un point de vue applicatif.
Un profil d'application est constitué de groupes de connexions (End-point groups - EPG). Un groupe de connexion est un groupe logique d'hôtes (machines virtuelles, serveurs physiques, conteneurs, etc.) situés dans le même segment de sécurité (non pas réseau, mais sécurité). Les hôtes finaux appartenant à un EPG particulier peuvent être déterminés par un grand nombre de critères. Les éléments suivants sont couramment utilisés :
- Port physique
- Port logique (groupe de ports sur un commutateur virtuel)
- ID VLAN ou VXLAN
- Adresse IP ou sous-réseau IP
- Attributs du serveur (nom, emplacement, version du système d'exploitation, etc.)
Pour l'interaction de différents EPG, une entité appelée contrats est fournie. Le contrat définit les relations entre les différents EPG. En d’autres termes, le contrat définit le service qu’un EPG fournit à un autre EPG. Par exemple, nous créons un contrat qui permet au trafic de circuler via le protocole HTTPS. Ensuite, nous nous connectons avec ce contrat, par exemple, EPG Web (un groupe de serveurs Web) et EPG App (un groupe de serveurs d'applications), après quoi ces deux groupes de terminaux peuvent échanger du trafic via le protocole HTTPS.
La figure ci-dessous décrit un exemple de mise en place d'une communication entre différents EPG via des contrats au sein d'un même ANP.
Il peut y avoir n’importe quel nombre de profils d’application au sein d’une usine ACI. De plus, les contrats ne sont pas liés à un profil d’application spécifique ; ils peuvent (et doivent) être utilisés pour connecter des EPG dans différents ANP.
En fait, chaque application nécessitant un réseau sous une forme ou une autre est décrite par son propre profil. Par exemple, le schéma ci-dessus montre l'architecture standard d'une application à trois niveaux, composée d'un nombre N de serveurs d'accès externes (Web), de serveurs d'applications (App) et de serveurs SGBD (DB), et décrit également les règles d'interaction entre eux. Dans une infrastructure réseau traditionnelle, il s’agirait d’un ensemble de règles écrites sur les différents appareils de l’infrastructure. Dans l'architecture ACI, nous décrivons ces règles au sein d'un seul profil d'application. ACI, grâce à un profil d'application, facilite grandement la création d'un grand nombre de paramètres sur différents appareils en les regroupant tous dans un seul profil.
L'image ci-dessous montre un exemple plus réaliste. Un profil d'application Microsoft Exchange créé à partir de plusieurs EPG et contrats.
La gestion centralisée, l'automatisation et la surveillance sont l'un des principaux avantages d'ACI. ACI Factory soulage les administrateurs du travail fastidieux de création d'un grand nombre de règles sur divers commutateurs, routeurs et pare-feu (alors que la méthode de configuration manuelle classique est autorisée et peut être utilisée). Les paramètres des profils d’application et d’autres objets ACI sont automatiquement appliqués dans l’ensemble de la structure ACI. Même lors de la commutation physique des serveurs vers d'autres ports des commutateurs Fabric, il n'est pas nécessaire de dupliquer les paramètres des anciens commutateurs vers les nouveaux et de supprimer les règles inutiles. Sur la base des critères d'adhésion à l'EPG de l'hôte, l'usine effectuera ces paramètres automatiquement et nettoiera automatiquement les règles inutilisées.
Les politiques de sécurité ACI intégrées sont implémentées sous forme de listes blanches, ce qui signifie que ce qui n'est pas explicitement autorisé est interdit par défaut. Associée à la mise à jour automatique des configurations des équipements réseau (suppression des règles et autorisations « oubliées » inutilisées), cette approche augmente considérablement le niveau global de sécurité du réseau et réduit la surface d'une attaque potentielle.
ACI vous permet d'organiser l'interaction réseau non seulement des machines virtuelles et des conteneurs, mais également des serveurs physiques, des pare-feu matériels et des équipements réseau tiers, ce qui fait d'ACI une solution unique pour le moment.
La nouvelle approche de Cisco pour créer un réseau de données basé sur une logique d'application ne concerne pas seulement l'automatisation, la sécurité et la gestion centralisée. Il s’agit également d’un réseau moderne, évolutif horizontalement, qui répond à toutes les exigences des entreprises modernes.
La mise en place d'une infrastructure réseau basée sur ACI permet à tous les départements de l'entreprise de parler le même langage. L'administrateur est guidé uniquement par la logique de l'application, qui décrit les règles et connexions requises. Outre la logique de l'application, elle guide les propriétaires et développeurs de l'application, le service de sécurité de l'information, les économistes et les propriétaires d'entreprise.
Ainsi, Cisco met en pratique le concept de réseau de centre de données de nouvelle génération. Vous voulez voir cela par vous-même ? Venez à la manifestation Infrastructure centrée sur les applications à Saint-Pétersbourg et travaillez dès maintenant avec le réseau de centres de données du futur.
Vous pouvez vous inscrire à l'événement .
Source: habr.com