Tijekom proteklih nekoliko godina Cisco je aktivno promovirao novu arhitekturu za izgradnju mreže za prijenos podataka u podatkovnom centru - Infrastruktura usmjerena na aplikacije (ili ACI). Nekima je to već poznato. A neki su ga čak uspjeli implementirati u svojim poduzećima, uključujući i Rusiju. Međutim, za većinu IT stručnjaka i IT menadžera, ACI je još uvijek ili opskuran akronim ili samo razmišljanje o budućnosti.
U ovom ćemo članku pokušati približiti tu budućnost. Da bismo to učinili, govorit ćemo o glavnim arhitektonskim komponentama ACI-ja, a također ćemo ilustrirati kako se može koristiti u praksi. Osim toga, u skoroj budućnosti organizirat ćemo vizualnu demonstraciju ACI-ja na koju se mogu prijaviti svi zainteresirani informatičari.
Više o novoj mrežnoj arhitekturi možete saznati u St. Petersburgu u svibnju 2019. Svi detalji su tu . Prijavite se!
prapovijest
Tradicionalni i najpopularniji model izgradnje mreže je trorazinski hijerarhijski model: jezgra -> distribucija (agregacija) -> pristup. Dugi niz godina ovaj je model bio standard, proizvođači su proizvodili različite mrežne uređaje s odgovarajućom funkcionalnošću za njega.
Prije, kada je informacijska tehnologija bila neka vrsta potrebnog (i, iskreno, ne uvijek željenog) dodatka poslovanju, ovaj je model bio zgodan, vrlo statičan i pouzdan. Međutim, sada kada je IT jedan od pokretača razvoja poslovanja, au mnogim slučajevima i samog poslovanja, statičnost ovog modela počela je stvarati velike probleme.
Suvremeno poslovanje generira velik broj različitih složenih zahtjeva za mrežnu infrastrukturu. Uspjeh poslovanja izravno ovisi o vremenu provedbe ovih zahtjeva. Kašnjenje u takvim uvjetima je nedopustivo, a klasični model izgradnje mreže često ne omogućuje pravovremeno zadovoljenje svih poslovnih potreba.
Na primjer, pojava nove složene poslovne aplikacije zahtijeva od mrežnih administratora izvođenje velikog broja sličnih rutinskih operacija na velikom broju različitih mrežnih uređaja na različitim razinama. Osim što oduzima vrijeme, povećava se i rizik od pogreške, što može dovesti do ozbiljnih zastoja u radu IT usluga i kao rezultat toga do financijskog gubitka.
Korijen problema čak nisu ni sami rokovi niti složenost zahtjeva. Činjenica je da te zahtjeve treba “prevesti” s jezika poslovnih aplikacija na jezik mrežne infrastrukture. Kao što znate, svaki prijevod uvijek je djelomičan gubitak značenja. Kada vlasnik aplikacije govori o logici svoje aplikacije, mrežni administrator razumije skup VLAN-ova, Access liste na desecima uređaja koje je potrebno podržati, ažurirati i dokumentirati.
Stečeno iskustvo i stalna komunikacija s korisnicima omogućili su Ciscu da dizajnira i implementira nove principe izgradnje mreže prijenosa podataka podatkovnog centra koji odgovaraju suvremenim trendovima i temelje se, prije svega, na logici poslovnih aplikacija. Otuda i naziv - Application Centric Infrastructure.
ACI arhitektura.
Najispravnije je razmotriti ACI arhitekturu ne s fizičke, već s logičke strane. Temelji se na modelu automatiziranih politika, čiji se objekti na najvišoj razini mogu podijeliti u sljedeće komponente:
- Mreža temeljena na Nexus preklopnicima.
- APIC klaster kontrolera;
- Aplikacijski profili;
Pogledajmo svaku razinu detaljnije - i prijeći ćemo od jednostavnog do složenog.
Mreža temeljena na Nexus preklopnicima
Mreža u ACI tvornici slična je tradicionalnom hijerarhijskom modelu, ali ju je mnogo jednostavnije izgraditi. Za organizaciju mreže koristi se Leaf-Spine model koji je postao općeprihvaćen pristup za implementaciju mreža sljedeće generacije. Ovaj model sastoji se od dvije razine: hrpta i lista.
Razina kralježnice odgovorna je samo za performanse. Ukupna izvedba Spine preklopnika jednaka je izvedbi cijele strukture, tako da se preklopnici s 40G ili višim priključcima trebaju koristiti na ovoj razini.
Spine switchevi povezuju se sa svim switchevima na sljedećoj razini: Leaf switchevi, na koje su povezani krajnji hostovi. Glavna uloga Leaf preklopnika je kapacitet porta.
Stoga se problemi skaliranja lako rješavaju: ako trebamo povećati propusnost tkanine, dodamo Spine preklopnike, a ako trebamo povećati kapacitet porta, dodamo Leaf.
Za obje razine koriste se preklopnici serije Cisco Nexus 9000 koji su za Cisco glavni alat za izgradnju mreža podatkovnih centara, bez obzira na njihovu arhitekturu. Za Spine sloj koriste se prekidači Nexus 9300 ili Nexus 9500, a za Leaf samo Nexus 9300.
Raspon modela Nexus prekidača koji se koriste u ACI tvornici prikazan je na donjoj slici.
APIC (Application Policy Infrastructure Controller) klaster kontrolera
APIC kontroleri su specijalizirani fizički poslužitelji, dok je za male implementacije moguće koristiti klaster od jednog fizičkog APIC kontrolera i dva virtualna.
APIC kontroleri pružaju funkcije upravljanja i nadzora. Bitno je da kontroleri nikada ne sudjeluju u prijenosu podataka, odnosno čak i ako svi kontroleri klastera zakažu, to uopće neće utjecati na stabilnost mreže. Također treba napomenuti da uz pomoć APIC-a administrator upravlja apsolutno svim fizičkim i logičkim resursima tvornice, a da bi se izvršile bilo kakve promjene više nema potrebe za spajanjem na određeni uređaj, budući da ACI koristi jedinstvena točka kontrole.
Sada prijeđimo na jednu od glavnih komponenti ACI-ja – profile aplikacija.
Mrežni profil aplikacije je logična osnova ACI-ja. Aplikacijski profili su ti koji definiraju politike interakcije između svih mrežnih segmenata i opisuju same mrežne segmente. ANP vam omogućuje apstrahiranje od fizičkog sloja i, zapravo, zamislite kako trebate organizirati interakciju između različitih mrežnih segmenata sa stajališta aplikacije.
Aplikacijski profil sastoji se od grupa povezivanja (End-point grupe - EPG). Grupa povezivanja je logična grupa hostova (virtualnih strojeva, fizičkih poslužitelja, spremnika itd.) koji se nalaze u istom sigurnosnom segmentu (ne mreži, nego sigurnosti). Krajnji hostovi koji pripadaju pojedinom EPG-u mogu se odrediti prema velikom broju kriterija. Sljedeće se obično koristi:
- Fizička luka
- Logički port (grupa portova na virtualnom prekidaču)
- VLAN ID ili VXLAN
- IP adresa ili IP podmreža
- Atributi poslužitelja (naziv, lokacija, verzija OS-a itd.)
Za interakciju različitih EPG-ova postoji entitet koji se zove ugovori. Ugovor definira odnos između različitih EPG-ova. Drugim riječima, ugovor definira koju uslugu jedan EPG pruža drugom EPG-u. Na primjer, stvaramo ugovor koji omogućuje protok prometa preko HTTPS protokola. Zatim ovim ugovorom povezujemo npr. EPG Web (skupina web poslužitelja) i EPG App (skupina aplikacijskih poslužitelja), nakon čega ove dvije terminalne grupe mogu razmjenjivati promet putem HTTPS protokola.
Donja slika opisuje primjer postavljanja komunikacije između različitih EPG-ova putem ugovora unutar istog ANP-a.
Može postojati bilo koji broj aplikacijskih profila unutar ACI tvornice. Osim toga, ugovori nisu vezani za određeni profil aplikacije; oni se mogu (i trebaju) koristiti za povezivanje EPG-ova u različitim ANP-ovima.
Zapravo, svaka aplikacija koja zahtijeva mrežu u ovom ili onom obliku opisana je vlastitim profilom. Na primjer, gornji dijagram prikazuje standardnu arhitekturu troslojne aplikacije, koja se sastoji od N broja vanjskih pristupnih poslužitelja (Web), aplikacijskih poslužitelja (App) i DBMS poslužitelja (DB), a također opisuje pravila interakcije između ih. U tradicionalnoj mrežnoj infrastrukturi to bi bio skup pravila napisanih za različite uređaje u infrastrukturi. U ACI arhitekturi ova pravila opisujemo unutar jednog profila aplikacije. ACI, koristeći profil aplikacije, znatno olakšava stvaranje velikog broja postavki na različitim uređajima tako što ih sve grupira u jedan profil.
Slika ispod prikazuje realističniji primjer. Profil aplikacije Microsoft Exchange napravljen od više EPG-ova i ugovora.
Centralno upravljanje, automatizacija i nadzor jedna je od ključnih prednosti ACI-ja. ACI Factory oslobađa administratore dosadnog posla kreiranja velikog broja pravila na raznim preklopnicima, usmjerivačima i vatrozidima (dok je klasična ručna metoda konfiguracije dopuštena i može se koristiti). Postavke za profile aplikacija i druge ACI objekte automatski se primjenjuju u cijeloj ACI strukturi. Čak i kada fizički prebacujete poslužitelje na druge priključke preklopnika tkanine, nema potrebe za dupliciranjem postavki sa starih preklopnika na nove i brisanjem nepotrebnih pravila. Na temelju EPG kriterija članstva domaćina, tvornica će automatski napraviti ove postavke i automatski očistiti nekorištena pravila.
Integrirane ACI sigurnosne politike implementirane su kao popisi dopuštenih, što znači da je ono što nije izričito dopušteno zabranjeno prema zadanim postavkama. Zajedno s automatskim ažuriranjem konfiguracije mrežne opreme (uklanjanje "zaboravljenih" nekorištenih pravila i dopuštenja), ovaj pristup značajno povećava ukupnu razinu sigurnosti mreže i sužava površinu potencijalnog napada.
ACI vam omogućuje organiziranje mrežne interakcije ne samo virtualnih strojeva i spremnika, već i fizičkih poslužitelja, hardverskih vatrozida i mrežne opreme trećih strana, što ACI čini jedinstvenim rješenjem u ovom trenutku.
Ciscov novi pristup izgradnji podatkovne mreže koja se temelji na logici aplikacija ne odnosi se samo na automatizaciju, sigurnost i centralizirano upravljanje. Također je riječ o modernoj horizontalno skalabilnoj mreži koja zadovoljava sve zahtjeve modernog poslovanja.
Implementacija mrežne infrastrukture temeljene na ACI-ju omogućuje svim odjelima poduzeća da govore istim jezikom. Administrator se vodi samo logikom aplikacije koja opisuje potrebna pravila i veze. Kao i sama logika aplikacije, njome se rukovode vlasnici i programeri aplikacije, služba za informacijsku sigurnost, ekonomisti i poduzetnici.
Tako Cisco u praksu provodi koncept mreže podatkovnog centra sljedeće generacije. Želite li vidjeti ovo sami? Dođite na demonstracije Infrastruktura usmjerena na aplikacije u St. Petersburgu i sada rade s mrežom podatkovnih centara budućnosti.
Možete se prijaviti za događaj .
Izvor: www.habr.com