Durante os últimos anos, Cisco estivo promovendo activamente unha nova arquitectura para construír unha rede de transmisión de datos no centro de datos. Infraestrutura centrada en aplicacións (ou ACI). Algúns xa están familiarizados con el. E algúns incluso lograron implementalo nas súas empresas, incluso en Rusia. Non obstante, para a maioría dos profesionais e dos xestores de TI, ACI aínda é un acrónimo escuro ou só unha reflexión sobre o futuro.
Neste artigo trataremos de achegar este futuro. Para iso, falaremos dos principais compoñentes arquitectónicos de ACI, e tamén ilustraremos como se pode empregar na práctica. Ademais, nun futuro próximo organizaremos unha demostración visual de ACI, na que calquera especialista en informática interesado pode apuntarse.
Podes obter máis información sobre a nova arquitectura de rede en San Petersburgo en maio de 2019. Todos os detalles están en . Incribirse!
prehistoria
O modelo de construción de rede tradicional e máis popular é un modelo xerárquico de tres niveis: núcleo -> distribución (agregación) -> acceso. Durante moitos anos, este modelo foi o estándar; os fabricantes produciron varios dispositivos de rede coa funcionalidade adecuada para iso.
Anteriormente, cando a tecnoloxía da información era unha especie de apéndice necesario (e, francamente, non sempre desexado) para os negocios, este modelo era conveniente, moi estático e fiable. Non obstante, agora que a TI é un dos motores do desenvolvemento empresarial e, en moitos casos, o propio negocio, a natureza estática deste modelo comezou a causar grandes problemas.
Os negocios modernos xeran un gran número de requisitos complexos diferentes para a infraestrutura de rede. O éxito do negocio depende directamente do momento de implementación destes requisitos. O atraso en tales condicións é inaceptable e o modelo clásico de construción de rede moitas veces non permite satisfacer todas as necesidades empresariais de forma oportuna.
Por exemplo, a aparición dunha nova aplicación empresarial complexa require que os administradores de rede realicen un gran número de operacións rutineiras similares nun gran número de dispositivos de rede diferentes a distintos niveis. Ademais de consumir moito tempo, tamén aumenta o risco de cometer un erro, o que pode provocar un grave tempo de inactividade dos servizos informáticos e, como consecuencia, unha perda económica.
A raíz do problema nin sequera son os propios prazos nin a complexidade dos requisitos. O caso é que estes requisitos deben ser "traducidos" da linguaxe das aplicacións empresariais á linguaxe da infraestrutura de rede. Como sabedes, calquera tradución é sempre unha perda parcial de sentido. Cando o propietario da aplicación fala sobre a lóxica da súa aplicación, o administrador de rede entende un conxunto de VLAN, listas de acceso en decenas de dispositivos que precisan ser compatibles, actualizados e documentados.
A experiencia acumulada e a comunicación constante cos clientes permitiron a Cisco deseñar e implementar novos principios para a construción dunha rede de transmisión de datos de data center que cumpra as tendencias modernas e que se basee, en primeiro lugar, na lóxica das aplicacións empresariais. De aí o nome - Application Centric Infrastructure.
Arquitectura ACI.
O máis correcto é considerar a arquitectura ACI non desde o lado físico, senón desde o lado lóxico. Baséase nun modelo de políticas automatizadas, cuxos obxectos no nivel superior poden dividirse nos seguintes compoñentes:
- Rede baseada en conmutadores Nexus.
- clúster de controladores APIC;
- Perfís de aplicacións;
Vexamos cada nivel con máis detalle e pasaremos de simple a complexo.
Rede baseada en conmutadores Nexus
A rede nunha fábrica ACI é semellante ao modelo xerárquico tradicional, pero é moito máis sinxelo de construír. O modelo Leaf-Spine utilízase para organizar a rede, que se converteu nun enfoque xeralmente aceptado para implementar redes de próxima xeración. Este modelo consta de dous niveis: columna vertebral e folla, respectivamente.
O nivel da columna vertebral só é responsable do rendemento. O rendemento total dos interruptores Spine é igual ao rendemento de todo o tecido, polo que os interruptores con portos 40G ou superiores deberían utilizarse neste nivel.
Os interruptores de columna conéctanse a todos os interruptores do seguinte nivel: os interruptores de folla, aos que están conectados os hosts finais. O papel principal dos interruptores Leaf é a capacidade dos portos.
Así, os problemas de escalado resólvense facilmente: se necesitamos aumentar o rendemento do tecido, engadimos interruptores Spine e, se necesitamos aumentar a capacidade do porto, engadimos Leaf.
Para ambos os niveis, utilízanse conmutadores da serie Cisco Nexus 9000, que para Cisco son a principal ferramenta para construír redes de centros de datos, independentemente da súa arquitectura. Para a capa Spine, utilízanse interruptores Nexus 9300 ou Nexus 9500, e só para Leaf Nexus 9300.
A gama de modelos de conmutadores Nexus que se utilizan na fábrica ACI móstrase na seguinte figura.
Clúster de controladores APIC (Application Policy Infrastructure Controller).
Os controladores APIC son servidores físicos especializados, mentres que para pequenas implementacións é posible utilizar un clúster dun controlador APIC físico e dous virtuais.
Os controladores APIC proporcionan funcións de control e vixilancia. O importante é que os controladores nunca participen na transferencia de datos, é dicir, aínda que todos os controladores do clúster fallen, isto non afectará en absoluto á estabilidade da rede. Tamén hai que ter en conta que, coa axuda de APIC, o administrador xestiona absolutamente todos os recursos físicos e lóxicos da fábrica e, para facer calquera cambio, xa non é necesario conectarse a un dispositivo en particular, xa que ACI usa un punto único de control.
Agora imos pasar a un dos compoñentes principais de ACI: os perfís de aplicacións.
Perfil da rede da aplicación é a base lóxica do ACI. Son os perfís de aplicación os que definen políticas de interacción entre todos os segmentos de rede e describen os propios segmentos de rede. ANP permítelle abstraerse da capa física e, de feito, imaxinar como é necesario organizar a interacción entre distintos segmentos de rede dende o punto de vista da aplicación.
Un perfil de aplicación consta de grupos de conexión (Grupos de punto final - EPG). Un grupo de conexión é un grupo lóxico de hosts (máquinas virtuais, servidores físicos, contedores, etc.) que están situados no mesmo segmento de seguridade (non de rede, senón de seguridade). Os servidores finais que pertencen a un determinado EPG pódense determinar mediante un gran número de criterios. Os seguintes úsanse habitualmente:
- Porto físico
- Porto lóxico (grupo de portos nun conmutador virtual)
- ID de VLAN ou VXLAN
- Enderezo IP ou subrede IP
- Atributos do servidor (nome, localización, versión do SO, etc.)
Para a interacción de diferentes EPG, ofrécese unha entidade chamada contratos. O contrato define a relación entre as distintas EPG. Noutras palabras, o contrato define o servizo que ofrece unha EPG a outra EPG. Por exemplo, creamos un contrato que permite que o tráfico fluya a través do protocolo HTTPS. A continuación, conectamos con este contrato, por exemplo, EPG Web (un grupo de servidores web) e EPG App (un grupo de servidores de aplicacións), tras o cal estes dous grupos de terminais poden intercambiar tráfico a través do protocolo HTTPS.
A figura seguinte describe un exemplo de configuración da comunicación entre diferentes EPG mediante contratos dentro da mesma ANP.
Pode haber calquera número de perfís de aplicación dentro dunha fábrica ACI. Ademais, os contratos non están vinculados a un perfil de aplicación específico; poden (e deben) usarse para conectar EPG en diferentes ANP.
De feito, cada aplicación que require unha rede dunha ou outra forma descríbese polo seu propio perfil. Por exemplo, o diagrama anterior mostra a arquitectura estándar dunha aplicación de tres niveis, que consta dun número N de servidores de acceso externo (Web), servidores de aplicacións (App) e servidores DBMS (DB), e tamén describe as regras de interacción entre eles. Nunha infraestrutura de rede tradicional, este sería un conxunto de regras escritas nos distintos dispositivos da infraestrutura. Na arquitectura ACI, describimos estas regras dentro dun único perfil de aplicación. ACI, usando un perfil de aplicación, fai que sexa moito máis fácil crear un gran número de configuracións en diferentes dispositivos agrupándoas todas nun único perfil.
A imaxe de abaixo mostra un exemplo máis realista. Un perfil de aplicación de Microsoft Exchange feito a partir de varios EPG e contratos.
A xestión central, a automatización e o seguimento é un dos principais beneficios de ACI. ACI Factory alivia aos administradores do tedioso traballo de crear un gran número de regras en varios interruptores, enrutadores e cortalumes (mentres se permite e pódese utilizar o método clásico de configuración manual). A configuración dos perfís de aplicacións e outros obxectos ACI aplícase automaticamente en todo o tecido ACI. Mesmo cando cambias fisicamente os servidores a outros portos dos conmutadores de tecido, non hai necesidade de duplicar a configuración de conmutadores antigos a outros novos e eliminar regras innecesarias. En función dos criterios de subscrición á EPG do anfitrión, a fábrica realizará estas configuracións de forma automática e automática limpará as regras non utilizadas.
As políticas de seguridade ACI integradas impléntanse como listas brancas, o que significa que o que non está permitido explícitamente está prohibido por defecto. Xunto coa actualización automática das configuracións dos equipos de rede (eliminando as regras e os permisos non utilizados "esquecidos"), este enfoque aumenta significativamente o nivel xeral de seguridade da rede e reduce a superficie dun posible ataque.
ACI permítelle organizar a interacción de rede non só de máquinas virtuais e contedores, senón tamén de servidores físicos, firewalls de hardware e equipos de rede de terceiros, o que fai de ACI unha solución única neste momento.
O novo enfoque de Cisco para construír unha rede de datos baseada na lóxica de aplicacións non é só sobre a automatización, a seguridade e a xestión centralizada. Tamén é unha rede moderna escalable horizontalmente que cumpre todos os requisitos dos negocios modernos.
A implementación dunha infraestrutura de rede baseada en ACI permite que todos os departamentos da empresa falen o mesmo idioma. O administrador só se guía pola lóxica da aplicación, que describe as regras e conexións necesarias. Así como a lóxica da aplicación, os propietarios e desenvolvedores da aplicación, o servizo de seguridade da información, os economistas e os empresarios están guiados por ela.
Así, Cisco está a poñer en práctica o concepto dunha rede de centros de datos de nova xeración. Queres ver isto por ti mesmo? Ven á manifestación Infraestrutura centrada en aplicacións en San Petersburgo e traballar coa rede de centros de datos do futuro agora.
Podes rexistrarte para o evento .
Fonte: www.habr.com