Pandan kèk ane ki sot pase yo, Cisco te aktivman ankouraje yon nouvo achitekti pou bati yon rezo transmisyon done nan sant done a - Aplikasyon Santral Enfrastrikti (oswa ACI). Gen kèk ki deja abitye ak li. Ak kèk menm jere aplike li nan antrepriz yo, ki gen ladan nan Larisi. Sepandan, pou pifò pwofesyonèl IT ak administratè IT, ACI se toujou swa yon akwonim fènwa oswa jis yon refleksyon sou lavni an.
Nan atik sa a nou pral eseye pote avni sa a pi pre. Pou fè sa, nou pral pale sou eleman prensipal achitekti ACI, epi tou montre kouman li ka itilize nan pratik. Anplis de sa, nan fiti prè nou pral òganize yon demonstrasyon vizyèl nan ACI, ki nenpòt espesyalis IT ki enterese ka enskri pou.
Ou ka aprann plis sou nouvo achitekti rezo a nan Saint Petersburg nan mwa me 2019. Tout detay yo nan . Enskri!
pre-istwa
Modèl konstriksyon rezo tradisyonèl ak pi popilè a se yon modèl yerarchize twa nivo: nwayo -> distribisyon (agrégation) -> aksè. Pandan plizyè ane, modèl sa a te estanda a; manifaktirè yo te pwodwi divès aparèy rezo ak fonksyonalite ki apwopriye pou li.
Précédemment, lè teknoloji enfòmasyon te yon kalite nesesè (e, franchman, pa toujou vle) apendis nan biznis, modèl sa a te pratik, trè estatik ak serye. Sepandan, kounye a ke IT se youn nan chofè yo nan devlopman biznis, ak nan anpil ka biznis nan tèt li, nati a estatik nan modèl sa a te kòmanse lakòz gwo pwoblèm.
Biznis modèn jenere yon gwo kantite diferan kondisyon konplèks pou enfrastrikti rezo. Siksè biznis la dirèkteman depann sou tan aplikasyon egzijans sa yo. Reta nan kondisyon sa yo se akseptab, ak modèl klasik nan konstriksyon rezo souvan pa pèmèt satisfè tout bezwen biznis nan yon fason apwopriye.
Pou egzanp, Aparisyon nan yon nouvo aplikasyon biznis konplèks mande pou administratè rezo yo fè yon gwo kantite operasyon woutin menm jan an sou yon gwo kantite aparèy rezo diferan nan diferan nivo. Anplis de sa ke yo te pran tan, li ogmante tou risk pou yo fè yon erè, sa ki ka mennen nan interruption grav nan sèvis IT ak, kòm yon rezilta, pèt finansye.
Rasin lan nan pwoblèm nan se pa menm dat limit yo tèt yo oswa konpleksite nan kondisyon yo. Reyalite a se ke kondisyon sa yo bezwen yo dwe "tradwi" soti nan lang aplikasyon pou biznis nan lang nan enfrastrikti rezo. Kòm ou konnen, nenpòt tradiksyon se toujou yon pèt pasyèl nan siyifikasyon. Lè pwopriyetè aplikasyon an pale sou lojik aplikasyon li a, administratè rezo a konprann yon seri VLAN, lis Aksè sou plizyè douzèn aparèy ki bezwen sipòte, mete ajou ak dokimante.
Eksperyans akimile ak kominikasyon konstan ak kliyan yo pèmèt Cisco konsepsyon ak aplike nouvo prensip pou bati yon rezo transmisyon done sant done ki satisfè tandans modèn yo epi ki baze, premye nan tout, sou lojik aplikasyon pou biznis yo. Pakonsekan non an - Aplikasyon Santral Enfrastrikti.
ACI achitekti.
Li pi kòrèk pou konsidere achitekti ACI a pa soti nan bò fizik, men nan bò ki lojik. Li baze sou yon modèl politik otomatik, objè yo nan nivo siperyè yo ka divize an eleman sa yo:
- Rezo ki baze sou switch Nexus.
- gwoup kontwolè APIC;
- Des aplikasyon;
Ann gade nan chak nivo nan plis detay - epi nou pral deplase soti nan senp nan konplèks.
Rezo ki baze sou switch Nexus
Rezo a nan yon faktori ACI se menm jan ak modèl la yerarchize tradisyonèl, men li se pi senp yo bati. Yo itilize modèl Leaf-Spine pou òganize rezo a, ki vin yon apwòch jeneralman aksepte pou mete ann aplikasyon rezo jenerasyon kap vini yo. Modèl sa a konsiste de de nivo: kolòn vètebral ak fèy, respektivman.
Nivo kolòn vètebral la se sèlman responsab pou pèfòmans. Pèfòmans total de switch kolòn vètebral egal a pèfòmans twal la tout antye, kidonk switch ki gen 40G oswa pi wo pò yo ta dwe itilize nan nivo sa a.
Bouton kolòn vètebral konekte ak tout switch nan nivo siperyè-a: switch fèy, ak ki gen tout pouvwa a ki konekte. Wòl prensipal switch Leaf se kapasite pò.
Kidonk, pwoblèm dekale yo fasil rezoud: si nou bezwen ogmante debi twal la, nou ajoute switch Spine, epi si nou bezwen ogmante kapasite pò, nou ajoute Leaf.
Pou tou de nivo yo, yo itilize switch seri Cisco Nexus 9000, ki pou Cisco se zouti prensipal pou bati rezo sant done, kèlkeswa achitekti yo. Pou kouch kolòn vètebral la, yo itilize switch Nexus 9300 oswa Nexus 9500, epi pou Leaf sèlman Nexus 9300.
Ranje modèl switch Nexus ki itilize nan faktori ACI yo montre nan figi ki anba a.
APIC (Application Policy Infrastructure Controller) Cluster Controller
Kontwolè APIC yo se sèvè fizik espesyalize, alòske pou ti aplikasyon li posib pou itilize yon gwoup yon sèl kontwolè APIC fizik ak de lòt vityèl.
Kontwolè APIC bay fonksyon kontwòl ak siveyans. Bagay ki enpòtan an se ke kontwolè pa janm patisipe nan transfè done, se sa ki, menm si tout kontwolè gwoup yo echwe, sa a pa pral afekte estabilite nan rezo a ditou. Li ta dwe remake tou ke avèk èd nan APICs, administratè a jere absoliman tout resous fizik ak lojik nan faktori a, epi yo nan lòd yo fè nenpòt chanjman, pa gen okenn nesesite ankò pou konekte ak yon aparèy patikilye, depi ACI itilize yon sèl pwen kontwòl.
Koulye a, kite a deplase sou youn nan eleman prensipal yo nan ACI - Des aplikasyon.
Aplikasyon Rezo Profile se baz lojik ACI. Li se pwofil aplikasyon ki defini règleman entèraksyon ant tout segman rezo epi dekri segman rezo yo tèt yo. ANP pèmèt ou abstrè nan kouch fizik la epi, an reyalite, imajine ki jan ou bezwen òganize entèraksyon ant diferan segman rezo soti nan yon pwen de vi aplikasyon.
Yon pwofil aplikasyon konsiste de gwoup koneksyon (End-point groups - EPG). Yon gwoup koneksyon se yon gwoup lojik lame (machin vityèl, sèvè fizik, resipyan, elatriye) ki sitiye nan menm segman sekirite (pa rezo, men sekirite). Gen tout pouvwa a fen ki fè pati yon EPG patikilye ka detèmine pa yon gwo kantite kritè. Sa ki annapre yo souvan itilize:
- Pò fizik
- Pò lojik (gwoup pò sou yon switch vityèl)
- VLAN ID oswa VXLAN
- Adrès IP oswa IP subnet
- Atribi sèvè (non, kote, vèsyon OS, elatriye)
Pou entèraksyon diferan EPG yo, yo bay yon antite ki rele kontra. Kontra a defini relasyon ki genyen ant diferan EPG yo. Nan lòt mo, kontra a defini ki sèvis yon EPG bay yon lòt EPG. Pa egzanp, nou kreye yon kontra ki pèmèt trafik koule sou pwotokòl HTTPS la. Apre sa, nou konekte ak kontra sa a, pou egzanp, EPG Web (yon gwoup sèvè entènèt) ak EPG App (yon gwoup sèvè aplikasyon), apre sa de gwoup tèminal sa yo ka echanj trafik atravè pwotokòl HTTPS la.
Figi ki anba la a dekri yon egzanp pou etabli kominikasyon ant diferan EPG atravè kontra nan menm ANP.
Ka gen nenpòt kantite Des aplikasyon nan yon faktori ACI. Anplis de sa, kontra yo pa mare nan yon pwofil aplikasyon espesifik; yo ka (e yo ta dwe) itilize yo konekte EPG nan diferan ANP.
An reyalite, chak aplikasyon ki mande pou yon rezo nan yon fòm oswa yon lòt dekri pa pwòp pwofil li. Pa egzanp, dyagram ki pi wo a montre achitekti estanda yon aplikasyon twa-niveau, ki gen yon kantite N sèvè aksè ekstèn (Web), sèvè aplikasyon (App) ak sèvè DBMS (DB), epi tou li dekri règ entèraksyon ant. yo. Nan yon enfrastrikti rezo tradisyonèl, sa a ta dwe yon seri règ ekri atravè divès aparèy yo nan enfrastrikti a. Nan achitekti ACI, nou dekri règ sa yo nan yon sèl pwofil aplikasyon. ACI, lè l sèvi avèk yon pwofil aplikasyon, fè li pi fasil pou kreye yon gwo kantite paramèt sou diferan aparèy lè yo gwoupe yo tout nan yon sèl pwofil.
Foto ki anba a montre yon egzanp ki pi reyalis. Yon pwofil aplikasyon Microsoft Exchange ki fèt ak plizyè EPG ak kontra.
Jesyon santral, automatisation ak siveyans se youn nan avantaj kle ACI. ACI Factory soulaje administratè yo nan travay fatigan pou kreye yon gwo kantite règ sou switch divès kalite, routeurs ak firewall (pandan ke metòd klasik manyèl konfigirasyon an pèmèt epi yo ka itilize). Anviwònman pou pwofil aplikasyon yo ak lòt objè ACI yo otomatikman aplike nan tout twal ACI la. Menm lè fizikman chanje sèvè nan lòt pò nan switch twal yo, pa gen okenn nesesite pou kopi anviwònman soti nan switch fin vye granmoun nan nouvo ak klè soti règ ki pa nesesè. Dapre kritè manm EPG lame a, faktori a pral fè paramèt sa yo otomatikman epi otomatikman netwaye règ ki pa itilize yo.
Règleman sekirite ACI entegre yo aplike kòm lis blan, sa vle di sa ki pa klèman entèdi pa default. Ansanm ak aktyalizasyon otomatik nan konfigirasyon ekipman rezo yo (retire "bliye" règ ak otorizasyon ki pa itilize), apwòch sa a siyifikativman ogmante nivo jeneral sekirite rezo a ak diminye sifas yon atak potansyèl.
ACI pèmèt ou òganize rezo entèraksyon pa sèlman nan machin vityèl ak resipyan, men tou nan serveurs fizik, firewall pyès ki nan konpitè ak ekipman rezo twazyèm pati, ki fè ACI yon solisyon inik nan moman sa a.
Nouvo apwòch Cisco pou konstwi yon rezo done ki baze sou lojik aplikasyon an se pa sèlman sou automatisation, sekirite ak jesyon santralize. Li se tou yon rezo modèn orizontal évolutive ki satisfè tout kondisyon yo nan biznis modèn.
Aplikasyon an nan yon enfrastrikti rezo ki baze sou ACI pèmèt tout depatman nan antrepriz la pale menm lang. Se administratè a gide sèlman pa lojik aplikasyon an, ki dekri règ yo mande yo ak koneksyon. Kòm byen ke lojik aplikasyon an, pwopriyetè yo ak devlopè aplikasyon an, sèvis sekirite enfòmasyon an, ekonomis ak pwopriyetè biznis yo gide pa li.
Kidonk, Cisco ap mete an pratik konsèp yon rezo sant done pwochen jenerasyon an. Vle wè sa pou tèt ou? Vini nan demonstrasyon an Aplikasyon Santral Enfrastrikti nan Saint Petersburg ak travay ak rezo sant done nan tan kap vini an kounye a.
Ou ka enskri pou evènman an .
Sous: www.habr.com