Le cuideachadh bhon phìos draoidheil seo de sgriobt Cisco ACI, faodaidh tu lìonra a stèidheachadh gu sgiobalta.
Tha an fhactaraidh lìonraidh airson ionad dàta Cisco ACI air a bhith ann airson còig bliadhna, ach cha tuirt Habré dad mu dheidhinn, agus mar sin chuir mi romham beagan a chàradh. Innsidh mi dhut bhon eòlas agam fhìn dè a th’ ann, dè an cleachdadh a th’ ann agus càite a bheil ràcan ann.
Dè a th’ ann agus cò às a thàinig e?
Mun àm a chaidh ACI (Bun-structar Iarrtas Cunbhalach) ainmeachadh ann an 2013, bha farpaisich a’ toirt air adhart dòighean traidiseanta a thaobh lìonraidhean ionadan dàta bho thrì taobhan aig an aon àm.
Air an aon làimh, gheall fuasglaidhean SDN “ciad ghinealach” stèidhichte air OpenFlow lìonraidhean a dhèanamh nas sùbailte agus nas saoire aig an aon àm. B 'e am beachd a bhith a' gluasad a 'cho-dhùnaidh a chaidh a dhèanamh gu traidiseanta le bathar-bog suidse seilbh gu rianadair meadhanach.
Bhiodh aon lèirsinn aig an rianadair seo de gach nì a thachras agus, stèidhichte air an seo, bhiodh e a’ prògramadh bathar-cruaidh a h-uile suidse aig ìre nan riaghailtean airson a bhith a’ giullachd sruthan sònraichte.
Air an làimh eile, bha fuasglaidhean lìonra ath-chòmhdach ga dhèanamh comasach na poileasaidhean ceangail is tèarainteachd riatanach a chuir an gnìomh gun atharrachaidhean sam bith san lìonra fiosaigeach idir, a’ togail tunailean bathar-bog eadar luchd-aoigheachd brìgheil. B ’e an eisimpleir as ainmeil den dòigh-obrach seo Nicira, a bha ron àm sin air fhaighinn le VMWare airson $ 1,26 billean agus a dh’ adhbhraich an VMWare NSX gnàthach. Chaidh cuid den t-suidheachadh a chuir ris leis gur e co-stèidheadairean Nicira na h-aon daoine a sheas roimhe aig tùs OpenFlow, a tha a-nis ag ràdh sin gus factaraidh ionad dàta a thogail. .
Agus mu dheireadh, tha atharrachadh chips a tha rim faighinn air a’ mhargaidh fhosgailte (ris an canar merchant silicon) air ìre inbheachd a ruighinn far a bheil iad air a bhith nan cunnart dha-rìribh do luchd-saothrachaidh suidse traidiseanta. Ma leasaich gach reiceadair na bu thràithe chips airson na suidsichean aige, an uairsin thar ùine, thòisich sgoltagan bho luchd-saothrachaidh treas-phàrtaidh, gu sònraichte bho Broadcom, air an astar a lughdachadh le sgoltagan reiceadair a thaobh gnìomhan, agus chaidh iad thairis orra a thaobh prìs / co-mheas coileanaidh. Mar sin, bha mòran den bheachd gu robh na làithean suidse air chips den dealbhadh aca fhèin air an àireamhachadh.
Tha ACI air a thighinn gu bhith na “fhreagairt neo-chunbhalach” aig Cisco (nas mionaidiche, a chompanaidh Insieme, a stèidhich an luchd-obrach a bh ’ann roimhe) don a h-uile rud gu h-àrd.
Dè an diofar eadar OpenFlow?
A thaobh cuairteachadh ghnìomhan, tha ACI gu dearbh an aghaidh OpenFlow.
Ann an ailtireachd OpenFlow, tha uallach air an rianadair airson riaghailtean mionaideach (sruthan) a sgrìobhadh
ann am bathar-cruaidh a h-uile suidse, is e sin, ann an lìonra mòr, is dòcha gum bi e an urra ri cumail suas agus, nas cudromaiche, atharrachadh deichean de mhilleanan de chlàran aig ceudan de phuingean san lìonra, agus mar sin bidh an coileanadh agus an earbsachd na bhotal ann an a buileachadh mòr.
Bidh ACI a’ cleachdadh an dòigh-cùil: gu dearbh, tha rianadair ann cuideachd, ach gheibh na suidsichean poileasaidhean dearbhaidh àrd-ìre bhuaithe, agus bidh an suidse fhèin a’ coileanadh an toirt seachad gu mion-fhiosrachadh mu shuidheachaidhean sònraichte anns a’ bhathar-cruaidh. Faodar an rianadair ath-thòiseachadh no a chuir dheth gu tur, agus cha tachair dad dona don lìonra, ach a-mhàin, gu dearbh, an dìth smachd aig an àm seo. Gu inntinneach, tha suidheachaidhean ann an ACI far a bheil OpenFlow fhathast air a chleachdadh, ach gu h-ionadail taobh a-staigh an òstair airson prògramadh Open vSwitch.
Tha ACI air a thogail gu tur air còmhdhail ath-chòmhdach stèidhichte air VXLAN, ach a ’toirt a-steach a’ chòmhdhail IP bunaiteach mar phàirt de aon fhuasgladh. Thug Cisco an teirm “ath-chòmhdach aonaichte” air seo. Mar àite crìochnachaidh airson ath-chòmhdach ann an ACI, sa mhòr-chuid de chùisean, bidh suidsichean factaraidh air an cleachdadh (bidh iad a’ dèanamh seo aig astar ceangail). Chan fheum fios a bhith aig luchd-aoigheachd dad mun fhactaraidh, cuairteachadh, msaa, ge-tà, ann an cuid de chùisean (mar eisimpleir, gus luchd-aoigheachd OpenStack a cheangal), faodar trafaic VXLAN a thoirt thuca.
Bithear a’ cleachdadh ath-chòmhdach ann an ACI chan ann a-mhàin gus ceanglaichean sùbailte a thoirt seachad tron lìonra còmhdhail, ach cuideachd gus fiosrachadh tomhais a ghluasad (tha e air a chleachdadh, mar eisimpleir, gus poileasaidhean tèarainteachd a chuir an sàs).
Chaidh sgoltagan bho Broadcom a chleachdadh roimhe le Cisco anns na suidsichean sreath Nexus 3000. Anns an teaghlach Nexus 9000, a chaidh a leigeil ma sgaoil gu sònraichte gus taic a thoirt do ACI, chaidh modal tar-chinealach a chuir an gnìomh an toiseach, ris an canar Merchant +. Chleachd an tionndadh aig an aon àm an dà chuid a’ chip ùr Broadcom Trident 2 agus sliseag taiceil a chaidh a leasachadh le Cisco, a bhios a’ buileachadh draoidheachd ACI gu lèir. A rèir choltais, thug seo cothrom luaths a thoirt do sgaoileadh an toraidh agus lughdaich taga prìs an suidse gu ìre faisg air modailean dìreach stèidhichte air Trident 2. Bha an dòigh-obrach seo gu leòr airson a’ chiad dhà no trì bliadhna de lìbhrigeadh ACI. Rè na h-ùine seo, leasaich agus chuir Cisco an ath ghinealach Nexus 9000 air bhog air na sgoltagan aige fhèin le barrachd coileanaidh agus seata feart, ach aig an aon ìre prìsean. Tha mion-chomharrachaidhean taobh a-muigh a thaobh eadar-obrachadh san fhactaraidh air an gleidheadh gu tur. Aig an aon àm, tha an lìonadh a-staigh air atharrachadh gu tur: rudeigin mar refactoring, ach airson bathar-cruaidh.
Mar a tha Ailtireachd Cisco ACI ag obair
Anns a 'chùis as sìmplidh, tha ACI air a thogail air topology lìonra Klose, no, mar a chanas iad gu tric, Spine-Leaf. Faodaidh suidsichean ìre droma a bhith bho dhà (no aon, mura h-eil dragh againn mu fhulangas locht) gu sia. A rèir sin, mar as motha dhiubh, is ann as àirde am fulangas locht (mar as ìsle an leud-bann agus lughdachadh earbsachd ma thachras tubaist no cumail suas aon Spine) agus an coileanadh iomlan. Bidh a h-uile ceangal bhon taobh a-muigh a’ dol gu suidsichean ìre-duilleach: is iad sin frithealaichean, agus a’ ceangal ri lìonraidhean taobh a-muigh tro L2 no L3, agus a’ ceangal riaghladairean APIC. San fharsaingeachd, le ACI, chan e a-mhàin rèiteachadh, ach cuideachd cruinneachadh staitistig, sgrùdadh fàilligeadh, agus mar sin air adhart - tha a h-uile càil air a dhèanamh tro eadar-aghaidh luchd-riaghlaidh, agus tha trì dhiubh sin ann am buileachadh àbhaisteach.
Cha leig thu a-riamh ceangal ris na suidsichean leis a ’chonsól, eadhon gus an lìonra a thòiseachadh: bidh an rianadair fhèin a’ lorg na suidsichean agus a ’tional factaraidh bhuapa, a’ toirt a-steach suidheachadh a h-uile protocol seirbheis, mar sin, co-dhiù, tha e glè chudromach sgrìobh sìos àireamhan sreathach an uidheim a thathar a’ stàladh aig àm an stàlaidh, gus nach fheum thu nas fhaide air adhart tomhas dè an tionndadh anns a bheil an raca suidhichte. Airson fuasgladh cheistean, ma tha sin riatanach, faodaidh tu ceangal a dhèanamh ris na suidsichean tro SSH: bidh iad ag ath-riochdachadh na h-òrdughan taisbeanaidh Cisco àbhaisteach gu faiceallach.
Air an taobh a-staigh, bidh an fhactaraidh a’ cleachdadh còmhdhail IP, agus mar sin chan eil Spanning Tree ann agus uabhasan eile san àm a dh’ fhalbh: tha a h-uile ceangal an sàs, agus tha co-ghluasad ann an cùis fàilligeadh gu math luath. Tha an trafaic san aodach air a ghluasad tro thunailean stèidhichte air VXLAN. Nas mionaidiche, tha Cisco fhèin a’ gairm encapsulation iVXLAN, agus tha e eadar-dhealaichte bho VXLAN cunbhalach leis gu bheil na raointean glèidhte ann am bann-cinn an lìonraidh air an cleachdadh gus fiosrachadh seirbheis a chraoladh, gu sònraichte mun dàimh trafaic ris a’ bhuidheann EPG. Leigidh seo leat na riaghailtean eadar-obrachadh eadar buidhnean san uidheamachd a chuir an gnìomh, a’ cleachdadh na h-àireamhan aca san aon dòigh ris a bheil seòlaidhean gan cleachdadh ann an liostaichean ruigsinneachd àbhaisteach.
Tha tunailean a’ leigeil le gach cuid earrannan L2 agus earrannan L3 (ie VRF) a bhith air an sìneadh tron chòmhdhail IP a-staigh. Anns a 'chùis seo, tha an geata bunaiteach air a sgaoileadh. Tha seo a’ ciallachadh gu bheil uallach air gach suidse airson an trafaic a dhol a-steach don aodach. A thaobh loidsig sruthadh trafaic, tha ACI coltach ri aodach VXLAN / EVPN.
Ma tha, dè na h-eadar-dhealachaidhean a th’ ann? A h-uile càil eile!
Is e an aon eadar-dhealachadh a choinnicheas tu le ACI mar a tha frithealaichean ceangailte ris an lìonra. Ann an lìonraidhean traidiseanta, bidh toirt a-steach an dà chuid frithealaichean fiosaigeach agus innealan brìgheil a’ dol gu VLANn, agus bidh a h-uile càil eile a’ dannsa bhuapa: ceangal, tèarainteachd, msaa. chan eil àite faighinn air falbh. A bheil e comasach a cho-ionann ri VLAN? Tha, ach anns a 'chùis seo tha cothrom ann a' mhòr-chuid de na tha ACI a 'toirt seachad a chall.
A thaobh EPG, tha a h-uile riaghailt ruigsinneachd air a dhealbhadh, agus ann an ACI, tha am prionnsapal “liosta geal” air a chleachdadh gu bunaiteach, is e sin, chan eil ach trafaic ceadaichte, agus tha an gluasad air a cheadachadh gu sònraichte. Is e sin, is urrainn dhuinn na buidhnean EPG "Lìon" agus "MySQL" a chruthachadh agus riaghailt a mhìneachadh a leigeas le conaltradh eatorra a-mhàin air port 3306. Obraichidh seo gun a bhith ceangailte ri seòlaidhean lìonra agus eadhon taobh a-staigh an aon subnet!
Tha luchd-ceannach againn a thagh ACI dìreach air sgàth an fheart seo, leis gu bheil e a’ toirt cothrom dhut ruigsinneachd eadar frithealaichean a chuingealachadh (brìgheil no corporra - chan eil e gu diofar) gun a bhith gan slaodadh eadar subnets, a tha a ’ciallachadh gun a bhith a’ beantainn ris an t-seòladh. Tha, tha, tha fios againn nach eil duine ag òrdachadh seòlaidhean IP ann an rèiteachadh tagraidh le làimh, ceart?
Canar cùmhnantan ri riaghailtean trafaic ann an ACI. Ann an leithid de chùmhnant, bidh aon bhuidheann no barrachd ann an tagradh ioma-ìre gu bhith nan solaraiche seirbheis (can, seirbheis stòr-dàta), bidh cuid eile nan luchd-cleachdaidh. Faodaidh an cùmhnant dìreach trafaic a thoirt seachad, no faodaidh e rudeigin nas duilghe a dhèanamh, mar eisimpleir, a stiùireadh gu balla-teine no cothromadair, agus cuideachd luach QoS atharrachadh.
Ciamar a gheibh luchd-frithealaidh a-steach do na buidhnean sin? Mas e frithealaichean corporra a tha seo no rudeigin a tha air a ghabhail a-steach ann an lìonra a tha ann mar-thà anns an do chruthaich sinn stoc VLAN, an uairsin gus an cuir san EPG, feumaidh tu comharrachadh chun phort suidse agus an VLAN a chaidh a chleachdadh air. Mar a chì thu, nochdaidh VLANn far nach urrainn dhut a dhèanamh às an aonais.
Mas e innealan brìgheil a th ’anns na frithealaichean, tha e gu leòr iomradh a thoirt air an àrainneachd virtualization ceangailte, agus an uairsin tachraidh a h-uile càil leis fhèin: thèid buidheann puirt a chruthachadh (a thaobh VMWare) gus an VM a cheangal, bidh na VLANn no na VXLANn riatanach. a bhith air an sònrachadh, bidh iad clàraichte air na puirt suidse riatanach, msaa. Mar sin, ged a tha ACI air a thogail timcheall air lìonra corporra, tha ceanglaichean airson frithealaichean brìgheil a’ coimhead tòrr nas sìmplidh na an fheadhainn fiosaigeach. Tha ceangal stèidhichte aig ACI mu thràth le VMWare agus MS Hyper-V, a bharrachd air taic airson OpenStack agus RedHat Virtualization. Bho àm air choreigin, tha taic stèidhichte airson àrd-ùrlaran soithichean air nochdadh cuideachd: Kubernetes, OpenShift, Cloud Foundry, fhad ‘s a tha e a’ buntainn ris an dà chuid cleachdadh phoileasaidhean agus sgrùdadh, is e sin, chì rianadair an lìonraidh sa bhad dè na h-aoighean air am bi na pods ag obair agus dè na buidhnean anns a bheil iad.
A bharrachd air a bhith air an toirt a-steach do bhuidheann puirt sònraichte, tha feartan a bharrachd aig frithealaichean brìgheil: ainm, buadhan, msaa, a dh’ fhaodar a chleachdadh mar shlatan-tomhais airson an gluasad gu buidheann eile, can, nuair a thèid VM ath-ainmeachadh no nuair a nochdas taga a bharrachd ann an e. Canaidh Cisco na buidhnean meanbh-sgaradh seo, ged, gu ìre mhòr, tha an dealbhadh fhèin leis a’ chomas air mòran earrannan tèarainteachd a chruthachadh ann an cruth EPGn air an aon subnet cuideachd gu math meanbh-sgaradh. Uill, tha fios aig an neach-reic nas fheàrr.
Is e togail loidsigeach a-mhàin a th’ ann an EPGn fhèin, gun a bhith ceangailte ri suidsichean sònraichte, frithealaichean, msaa, gus an urrainn dhut rudan a dhèanamh leotha agus togalaichean stèidhichte orra (tagraidhean agus luchd-gabhail) a tha duilich a dhèanamh ann an lìonraidhean àbhaisteach, leithid clonadh. Mar thoradh air an sin, canaidh sinn gu bheil e gu math furasta àrainneachd cinneasachaidh a ghleusadh gus àrainneachd deuchainn fhaighinn a tha cinnteach a bhith co-ionann ris an àrainneachd cinneasachaidh. Faodaidh tu a dhèanamh le làimh, ach tha e nas fheàrr (agus nas fhasa) tron API.
San fharsaingeachd, chan eil an loidsig smachd ann an ACI idir coltach ris na choinnicheas tu mar as trice
ann an lìonraidhean traidiseanta bhon aon Cisco: tha an eadar-aghaidh bathar-bog bun-sgoile, agus tha an GUI no CLI àrd-sgoile, leis gu bheil iad ag obair tron aon API. Mar sin, bidh cha mhòr a h-uile duine a tha an sàs ann an ACI, às deidh ùine, a ’tòiseachadh a’ seòladh a ’mhodail nì a thathas a’ cleachdadh airson riaghladh agus fèin-ghluasad rudeigin a fhreagras air na feumalachdan aca. Tha an dòigh as fhasa seo a dhèanamh bho Python: tha innealan deiseil freagarrach air a shon.
Raca a ghealltainn
Is e am prìomh dhuilgheadas gu bheil mòran rudan ann an ACI air an dèanamh ann an dòigh eadar-dhealaichte. Gus tòiseachadh ag obair leis gu h-àbhaisteach, feumaidh tu ath-thrèanadh. Tha seo gu sònraichte fìor airson sgiobaidhean gnìomhachd lìonra ann an luchd-ceannach mòr, far a bheil innleadairean air a bhith “ag òrdachadh VLANn” airson bliadhnaichean ma thèid an iarraidh. Leis nach eil VLANn a-nis nan VLANn, agus nach fheum thu VLANn a chruthachadh le làimh gus lìonraidhean ùra a chuir ann an luchd-aoigheachd mas-fhìor, gu tur a’ sèideadh a’ mhullaich far lìonraidhean traidiseanta agus a’ toirt orra cumail ri dòighean-obrach eòlach. Bu chòir a thoirt fa-near gun do dh’ fheuch Cisco ris a’ phìob a dhèanamh milis beagan agus chuir e CLI “coltach ri NXOS” ris an rianadair, a leigeas leat rèiteachadh a dhèanamh bho eadar-aghaidh coltach ri suidsichean traidiseanta. Ach fhathast, gus tòiseachadh air ACI a chleachdadh gu h-àbhaisteach, feumaidh tu tuigsinn mar a tha e ag obair.
A thaobh prìs, air sgèilean mòra is meadhanach, chan eil lìonraidhean ACI gu dearbh eadar-dhealaichte bho lìonraidhean traidiseanta air uidheamachd Cisco, leis gu bheil na h-aon suidsichean gan cleachdadh airson an togail (faodaidh Nexus 9000 obrachadh ann an ACI agus ann am modh traidiseanta agus tha iad a-nis nam prìomh "workhorse" airson pròiseactan ionad dàta ùr). Ach airson ionadan dàta de dhà suidse, tha làthaireachd luchd-riaghlaidh agus ailtireachd Spine-Leaf, gu dearbh, gam faireachdainn fhèin. O chionn ghoirid, tha factaraidh Mini ACI air nochdadh, anns a bheil innealan brìgheil an àite dhà de na trì riaghladairean. Tha seo a 'lùghdachadh an eadar-dhealachaidh ann an cosgais, ach tha e fhathast. Mar sin airson an neach-ceannach, tha an roghainn air a dhearbhadh leis na tha ùidh aige ann am feartan tèarainteachd, amalachadh le virtualization, aon phuing smachd, agus mar sin air adhart.
Source: www.habr.com