Yn 'e ôfrûne jierren hat Cisco aktyf in nije arsjitektuer befoardere foar it bouwen fan in datatransmissionnetwurk yn it datasintrum - Applikaasje sintraal ynfrastruktuer (as ACI). Guon binne der al bekend mei. En guon sels slagge om te fieren it yn harren bedriuwen, ynklusyf yn Ruslân. Foar de measte IT-professionals en IT-managers is ACI lykwols noch in obskure akronym of gewoan in refleksje oer de takomst.
Yn dit artikel sille wy besykje dizze takomst tichterby te bringen. Om dit te dwaan, sille wy prate oer de wichtichste arsjitektoanyske komponinten fan ACI, en ek yllustrearje hoe't it yn 'e praktyk brûkt wurde kin. Derneist sille wy yn 'e heine takomst in fisuele demonstraasje fan ACI organisearje, wêr't elke ynteressearre IT-spesjalist him foar kin oanmelde.
Jo kinne yn maaie 2019 mear leare oer de nije netwurkarsjitektuer yn Sint Petersburch. Alle details binne yn . Ynskriuwe!
prehistoarje
De tradisjonele en meast populêre netwurk konstruksje model is in trije-nivo hierarchysk model: kearn -> distribúsje (aggregaasje) -> tagong. Foar in protte jierren, dit model wie de standert; fabrikanten produsearre ferskate netwurk apparaten mei de passende funksjonaliteit foar it.
Eartiids, doe't ynformaasjetechnology in soarte fan needsaaklike (en, earlik sein, net altyd winske) taheaksel oan bedriuw wie, wie dit model handich, tige statysk en betrouber. No't IT lykwols ien fan 'e driuwers is fan bedriuwsûntwikkeling, en yn in protte gefallen it bedriuw sels, is it statyske karakter fan dit model begon grutte problemen te feroarsaakjen.
Moderne bedriuw genereart in grut oantal ferskillende komplekse easken foar netwurkynfrastruktuer. It sukses fan it bedriuw hinget direkt ôf fan 'e timing fan' e ymplemintaasje fan dizze easken. Fertraging yn sokke betingsten is net akseptabel, en it klassike model fan netwurkbou lit faaks net op 'e tiid foldwaan oan alle saaklike behoeften.
Bygelyks, it ûntstean fan in nije komplekse saaklike applikaasje fereasket netwurkbehearders om in grut oantal ferlykbere routine operaasjes út te fieren op in grut oantal ferskillende netwurkapparaten op ferskate nivo's. Neist dat it tiidslinend is, fergruttet it ek it risiko op it meitsjen fan in flater, wat liede kin ta serieuze downtime fan IT-tsjinsten en, as gefolch, finansjeel ferlies.
De woartel fan it probleem is net iens de deadlines sels of de kompleksiteit fan 'e easken. It feit is dat dizze easken "oerset" moatte wurde fan 'e taal fan saaklike applikaasjes nei de taal fan netwurkynfrastruktuer. Lykas jo witte, is elke oersetting altyd in foar in part ferlies fan betsjutting. As de app-eigner praat oer de logika fan syn applikaasje, begrypt de netwurkbehearder in set VLAN's, Tagongslisten op tsientallen apparaten dy't moatte wurde stipe, bywurke en dokuminteare.
De opboude ûnderfining en konstante kommunikaasje mei klanten tastien Cisco te ûntwerpen en útfiere nije prinsipes foar it bouwen fan in data sintrum gegevens oerdracht netwurk dat moetsje moderne trends en binne basearre, earst fan alle, op 'e logika fan saaklike applikaasjes. Dêrfandinne de namme - Application Centric Infrastructure.
ACI arsjitektuer.
It is it meast korrekt om de ACI-arsjitektuer net fan 'e fysike kant te beskôgjen, mar fan' e logyske kant. It is basearre op in model fan automatisearre belied, wêrfan de objekten op it boppeste nivo kinne wurde ferdield yn de folgjende komponinten:
- Netwurk basearre op Nexus-skeakels.
- APIC controller kluster;
- Oanfraachprofilen;
Litte wy nei elk nivo yn mear detail sjen - en wy sille ferhúzje fan ienfâldich nei kompleks.
Netwurk basearre op Nexus-skeakels
It netwurk yn in ACI-fabryk is fergelykber mei it tradisjonele hiërargyske model, mar it is folle ienfâldiger om te bouwen. It Leaf-Spine-model wurdt brûkt om it netwurk te organisearjen, dat in algemien akseptearre oanpak wurden is foar it ymplementearjen fan netwurken fan folgjende generaasje. Dit model bestiet út twa nivo's: Spine en Leaf, respektivelik.
It Spine-nivo is allinich ferantwurdlik foar prestaasjes. De totale prestaasjes fan Spine-skeakels is lyk oan de prestaasjes fan 'e hiele stof, sadat skeakels mei 40G of hegere havens moatte wurde brûkt op dit nivo.
Spine switches ferbine mei alle skakelaars op it folgjende nivo: Leaf switches, dêr't ein hosts binne ferbûn. De wichtichste rol fan Leaf switches is haven kapasiteit.
Sa wurde skaalfergrutting problemen maklik oplost: as wy moatte fergrutsje de stof trochstreaming, wy tafoegje Spine switches, en as wy moatte fergrutsje haven kapasiteit, wy tafoegje Leaf.
Foar beide nivo's brûkt Cisco Nexus 9000 rige switches, dy't foar Cisco binne de wichtichste helpmiddel foar it bouwen fan data sintrum netwurken, nettsjinsteande harren arsjitektuer. Foar de Spine-laach wurde Nexus 9300 of Nexus 9500-skeakels brûkt, en foar Leaf allinich Nexus 9300.
It modelberik fan Nexus-skeakels dy't brûkt wurde yn it ACI-fabryk wurdt werjûn yn 'e ôfbylding hjirûnder.
APIC (Application Policy Infrastructure Controller) Controller Cluster
APIC-controllers binne spesjalisearre fysike tsjinners, wylst it foar lytse ymplemintaasjes mooglik is om in kluster te brûken fan ien fysike APIC-controller en twa firtuele.
APIC-controllers jouwe kontrôle- en tafersjochfunksjes. It wichtige ding is dat controllers nea meidwaan oan gegevens oerdracht, dat is, sels as alle cluster controllers mislearje, dit sil gjin ynfloed op de stabiliteit fan it netwurk hielendal. It moat ek opmurken wurde dat mei help fan APIC's de behearder absolút alle fysike en logyske boarnen fan it fabryk beheart, en om feroaringen te meitsjen, is d'r net mear nedich om te ferbinen mei in bepaald apparaat, om't ACI in ien punt fan kontrôle.
Litte wy no trochgean nei ien fan 'e haadkomponinten fan ACI - applikaasjeprofilen.
Applikaasje netwurk profyl is de logyske basis fan ACI. It binne applikaasjeprofilen dy't ynteraksjebelied definiearje tusken alle netwurksegminten en de netwurksegminten sels beskriuwe. ANP kinne jo abstrahere út de fysike laach en, yn feite, yntinke hoe't jo moatte organisearje ynteraksje tusken ferskillende netwurk segminten út in tapassing eachpunt.
In applikaasjeprofyl bestiet út ferbiningsgroepen (Eindpuntgroepen - EPG). In ferbiningsgroep is in logyske groep hosts (firtuele masines, fysike tsjinners, konteners, ensfh.) De ein hosts dy't hearre ta in bepaalde EPG kin wurde bepaald troch in grut oantal kritearia. De folgjende wurde faak brûkt:
- Fysike haven
- Logyske poarte (poartegroep op 'e firtuele switch)
- VLAN ID of VXLAN
- IP-adres of IP-subnet
- Serverattributen (namme, lokaasje, OS-ferzje, ensfh.)
Foar de ynteraksje fan ferskate EPG's wurdt in entiteit neamd kontrakten levere. It kontrakt definiearret de relaasje tusken de ferskate EPG's. Mei oare wurden, it kontrakt definiearret hokker tsjinst ien EPG jout oan in oare EPG. Bygelyks meitsje wy in kontrakt wêrmei ferkear oer it HTTPS-protokol streamt. Dêrnei ferbine wy mei dit kontrakt, bygelyks EPG Web (in groep webservers) en EPG App (in groep applikaasjeservers), wêrnei't dizze twa terminalgroepen ferkear kinne útwikselje fia it HTTPS-protokol.
De figuer hjirûnder beskriuwt in foarbyld fan it opsetten fan kommunikaasje tusken ferskate EPGs fia kontrakten binnen deselde ANP.
D'r kinne in oantal applikaasjeprofilen wêze binnen in ACI-fabryk. Derneist binne kontrakten net bûn oan in spesifyk applikaasjeprofyl; se kinne (en moatte) wurde brûkt om EPG's te ferbinen yn ferskate ANP's.
Yn feite wurdt elke applikaasje dy't in netwurk yn ien of oare foarm fereasket, beskreaun troch in eigen profyl. Bygelyks, it diagram hjirboppe toant de standert arsjitektuer fan in trije-tier applikaasje, besteande út in N oantal eksterne tagong tsjinners (Web), applikaasje tsjinners (App) en DBMS tsjinners (DB), en beskriuwt ek de regels fan ynteraksje tusken harren. Yn in tradisjonele netwurkynfrastruktuer soe dit in set regels wêze skreaun oer de ferskate apparaten yn 'e ynfrastruktuer. Yn 'e ACI-arsjitektuer beskriuwe wy dizze regels binnen ien applikaasjeprofyl. ACI, mei in applikaasjeprofyl, makket it folle makliker om in grut oantal ynstellings op ferskate apparaten te meitsjen troch se allegear te groepearjen yn ien profyl.
De ôfbylding hjirûnder lit in mear realistysk foarbyld sjen. In Microsoft Exchange-applikaasjeprofyl makke fan meardere EPG's en kontrakten.
Sintraal behear, automatisearring en tafersjoch is ien fan 'e wichtichste foardielen fan ACI. ACI Factory ûntlêst behearders fan it saai wurk fan it meitsjen fan in grut oantal regels op ferskate switches, routers en firewalls (wylst de klassike hânmjittich konfiguraasje metoade is tastien en kin brûkt wurde). Ynstellings foar applikaasjeprofilen en oare ACI-objekten wurde automatysk tapast yn 'e hiele ACI-stof. Sels as jo fysyk wikselje fan tsjinners nei oare havens fan 'e stofwikselers, is d'r gjin needsaak om ynstellings te duplikearjen fan âlde skeakels nei nije en ûnnedige regels út te wiskjen. Op grûn fan 'e EPG-lidmaatskipskritearia fan' e host sil it fabryk dizze ynstellingen automatysk meitsje en automatysk net brûkte regels skjinmeitsje.
Yntegreare ACI-befeiligingsbelied wurde ymplementearre as whitelists, wat betsjut dat wat net eksplisyt tastien is standert ferbean is. Tegearre mei it automatysk bywurkjen fan konfiguraasjes fan netwurkapparatuer (ferwiderje "fergetten" net brûkte regels en tagongsrjochten), fergruttet dizze oanpak it totale nivo fan netwurkfeiligens signifikant en fersmellet it oerflak fan in potinsjele oanfal.
ACI kinne jo organisearje netwurk ynteraksje net allinnich fan firtuele masines en konteners, mar ek fan fysike tsjinners, hardware firewalls en tredden netwurk apparatuer, dat makket ACI in unike oplossing op it stuit.
Cisco's nije oanpak foar it bouwen fan in gegevensnetwurk basearre op applikaasjelogika giet net allinich oer automatisearring, feiligens en sintralisearre behear. It is ek in modern horizontaal skalberber netwurk dat foldocht oan alle easken fan moderne bedriuw.
De ymplemintaasje fan in netwurkynfrastruktuer basearre op ACI lit alle ôfdielingen fan 'e ûndernimming deselde taal prate. De behearder wurdt allinich liede troch de logika fan 'e applikaasje, dy't de fereaske regels en ferbiningen beskriuwt. Njonken de logika fan 'e applikaasje wurde de eigners en ûntwikkelders fan' e applikaasje, de tsjinst foar ynformaasjefeiligens, ekonomen en bedriuwseigners der troch liede.
Sa bringt Cisco it konsept fan in folgjende generaasje datacenternetwurk yn 'e praktyk. Wolle jo dit sels sjen? Kom nei de demonstraasje Applikaasje sintraal ynfrastruktuer yn Sint-Petersburch en wurkje no mei it datacenternetwurk fan 'e takomst.
Jo kinne registrearje foar it evenemint .
Boarne: www.habr.com