Avèk èd sa a moso majik nan script Cisco ACI, ou ka byen vit mete kanpe yon rezo.
Faktori rezo a pou sant done Cisco ACI la te egziste pou senk ane, men Habré pa t reyèlman di anyen sou li, se konsa mwen deside ranje li yon ti kras. Mwen pral di ou nan pwòp eksperyans mwen ki sa li ye, ki sa ki sèvi ak li ak ki kote li gen yon rato.
Ki sa li ye ak ki kote li soti?
Lè yo te anonse ACI (Application Centric Infrastructure) an 2013, konpetitè yo t ap avanse sou apwòch tradisyonèl nan rezo sant done ki soti nan twa kote an menm tan.
Sou yon bò, solisyon SDN "premye jenerasyon" ki baze sou OpenFlow te pwomèt pou fè rezo yo pi fleksib ak pi bon mache an menm tan an. Lide a se te deplase pran desizyon an tradisyonèlman fè pa lojisyèl propriétaires switch nan yon kontwolè santral.
Kontwolè sa a ta gen yon vizyon sèl nan tout sa k ap pase epi, ki baze sou sa a, ta pwogram pyès ki nan konpitè nan tout switch nan nivo règ pou trete koule espesifik.
Nan lòt men an, solisyon rezo kouvri te fè li posib aplike koneksyon ki nesesè yo ak règleman sekirite san okenn chanjman nan rezo fizik la ditou, bati tinèl lojisyèl ant lame virtualize. Egzanp ki pi koni nan apwòch sa a se Nicira, ki nan lè sa a te deja akeri pa VMWare pou $ 1,26 milya dola e li te bay monte aktyèl VMWare NSX la. Gen kèk piki nan sitiyasyon an te ajoute pa lefèt ke ko-fondatè yo nan Nicira yo te menm moun ki te deja kanpe nan orijin yo nan OpenFlow, kounye a li di ke yo nan lòd yo bati yon faktori sant done. .
Epi finalman, chanje chips ki disponib sou mache a louvri (sa yo rele komèsan Silisyòm) te rive nan yon etap nan matirite kote yo te vin tounen yon menas reyèl pou manifaktirè switch tradisyonèl yo. Si pi bonè chak machann poukont devlope chips pou switch li yo, Lè sa a, sou tan, chips soti nan manifaktirè twazyèm pati, prensipalman soti nan Broadcom, yo te kòmanse diminye distans la ak bato machann an tèm de fonksyon, ak depase yo an tèm de rapò pri / pèfòmans. Se poutèt sa, anpil moun kwè ke jou yo nan switch sou chips nan pwòp konsepsyon yo te konte.
ACI te vin tounen "repons asimetri" Cisco a (plis jisteman, konpayi Insieme li yo, ki te fonde pa ansyen anplwaye li yo) nan tout sa ki anwo yo.
Ki diferans ki genyen ak OpenFlow?
An tèm de distribisyon fonksyon, ACI se aktyèlman opoze a nan OpenFlow.
Nan achitekti OpenFlow, kontwolè a responsab pou ekri règ detaye (koule)
nan pyès ki nan konpitè tout switch, se sa ki, nan yon rezo gwo, li ka responsab pou kenbe ak, sa ki pi enpòtan, chanje dè dizèn de milyon dosye nan dè santèn de pwen nan rezo a, kidonk pèfòmans li yo ak disponiblite vin tounen yon bouchon nan yon. gwo aplikasyon.
ACI sèvi ak apwòch la ranvèse: nan kou, gen tou yon kontwolè, men switch yo resevwa politik deklaratif wo nivo nan men li, ak switch la tèt li fè rann yo nan detay sou anviwònman espesifik nan pyès ki nan konpitè. Kontwolè a ka rdemare oswa etenn tout ansanm, epi pa gen anyen move ki pral rive nan rezo a, eksepte, nan kou, mank de kontwòl nan moman sa a. Enteresan, gen sitiyasyon nan ACI kote OpenFlow toujou itilize, men lokalman nan lame a pou pwogram Open vSwitch.
ACI bati antyèman sou transpò ki baze sou VXLAN, men li gen ladan transpò IP ki kache kòm yon pati nan yon solisyon sèl. Cisco te rele sa a "entegre kouvri" tèm. Kòm yon pwen revokasyon pou kouvri nan ACI, nan pifò ka yo, yo itilize switch faktori (yo fè sa a vitès lyen). Lame yo pa oblije konnen anyen sou faktori a, ankapsulasyon, elatriye, sepandan, nan kèk ka (pa egzanp, konekte lame OpenStack), yo ka mennen trafik VXLAN ba yo.
Kouvèti yo itilize nan ACI pa sèlman pou bay koneksyon fleksib atravè rezo transpò a, men tou pou transfere metaenfòmasyon (li itilize, pou egzanp, pou aplike règleman sekirite).
Chips soti nan Broadcom te deja itilize pa Cisco nan switch yo seri Nexus 3000. Nan fanmi an Nexus 9000, espesyalman lage pou sipòte ACI, yo te orijinal yon modèl ibrid aplike, ki te rele Merchant +. Chanjman an ansanm itilize tou de nouvo chip Broadcom Trident 2 ak yon chip konplemantè devlope pa Cisco, ki aplike tout majik ACI. Aparamman, sa te fè li posib pou pi vit liberasyon an nan pwodwi a epi redwi pri a nan switch la nan yon nivo tou pre modèl tou senpleman ki baze sou Trident 2. Apwòch sa a te ase pou premye de oswa twa ane livrezon ACI. Pandan tan sa a, Cisco te devlope ak lanse pwochen jenerasyon Nexus 9000 sou pwòp chips li yo ak plis pèfòmans ak seri karakteristik, men nan menm nivo pri. Espesifikasyon ekstèn an tèm de entèraksyon nan faktori a yo konplètman konsève. An menm tan an, ranpli entèn la konplètman chanje: yon bagay tankou refactoring, men pou fè.
Ki jan Cisco ACI Achitekti travay
Nan ka ki pi senp la, ACI bati sou topoloji rezo Klose, oswa, jan yo di souvan, Spine-Leaf. Switch nivo kolòn vètebral yo ka soti nan de (oswa youn, si nou pa pran swen sou tolerans fòt) a sis. An konsekans, plis nan yo, pi wo a tolerans fay (pi ba a Pleasant ak fyab rediksyon nan ka ta gen yon aksidan oswa antretyen nan yon kolòn vètebral) ak pèfòmans an jeneral. Tout koneksyon ekstèn ale nan switch nivo fèy: sa yo se sèvè, ak debakadè ak rezo ekstèn atravè L2 oswa L3, ak konekte kontwolè APIC. An jeneral, ak ACI, pa sèlman konfigirasyon, men tou, koleksyon estatistik, siveyans echèk, ak sou sa - tout bagay se fè nan koòdone nan contrôleur, ki gen twa nan aplikasyon ki menm gwosè ak estanda.
Ou pa janm oblije konekte nan switch yo ak konsole a, menm yo kòmanse rezo a: kontwolè a tèt li detekte switch yo ak rasanble yon faktori nan men yo, ki gen ladan anviwònman yo nan tout pwotokòl sèvis, Se poutèt sa, nan chemen an, li trè enpòtan. ekri nimewo seri ekipman yo te enstale pandan enstalasyon an, pou pita ou pa bezwen devine ki switch nan ki etajè a. Pou depanaj, si sa nesesè, ou ka konekte nan switch yo atravè SSH: yo repwodui abityèl Cisco montre kòmandman yo byen ak anpil atansyon.
Entèn, faktori a sèvi ak transpò IP, kidonk pa gen okenn Spanning Tree ak lòt laterè nan tan lontan an nan li: tout lyen yo enplike, ak dirèksyon nan ka ta gen echèk trè vit. Trafik la nan twal la transmèt nan tinèl ki baze sou VXLAN. Plis jisteman, Cisco tèt li rele iVXLAN enkapsulasyon, epi li diferan de VXLAN regilye nan ke jaden yo rezève nan header rezo a yo itilize transmèt enfòmasyon sèvis, prensipalman sou relasyon ki genyen nan trafik ak gwoup la EPG. Sa a pèmèt ou aplike règ yo nan entèraksyon ant gwoup nan ekipman an, lè l sèvi avèk nimewo yo menm jan ak adrès yo itilize nan lis aksè òdinè.
Tinèl pèmèt tou de segman L2 ak segman L3 (sa vle di VRF) yo dwe lonje atravè transpò IP entèn la. Nan ka sa a, pòtay default la distribye. Sa vle di ke chak switch responsab pou wout trafik la k ap antre nan twal la. An tèm de lojik koule trafik, ACI sanble ak yon twal VXLAN / EVPN.
Si se konsa, ki diferans ki genyen? Tout lòt bagay!
Nimewo en diferans ou rankontre ak ACI se fason serveurs yo konekte ak rezo a. Nan rezo tradisyonèl yo, enklizyon tou de sèvè fizik ak machin vityèl ale nan VLAN, ak tout lòt bagay danse nan men yo: koneksyon, sekirite, elatriye. Nan ACI, yo itilize yon konsepsyon ke Cisco rele EPG (End-point Group), ki soti nan ki. pa gen okenn kote ale. Si li posib pou egalize li ak VLAN? Wi, men nan ka sa a gen yon chans pou pèdi pi fò nan sa ACI bay.
Konsènan EPG, tout règ aksè yo fòmile, ak nan ACI, prensip "lis blan" yo itilize pa default, se sa ki, se sèlman trafik pèmèt, pasaj la nan ki klèman pèmèt. Sa vle di, nou ka kreye gwoup EPG "Web" ak "MySQL" epi defini yon règ ki pèmèt kominikasyon ant yo sèlman sou pò 3306. Sa a pral travay san yo pa mare nan adrès rezo e menm nan menm subnet la!
Nou gen kliyan ki te chwazi ACI jisteman akòz karakteristik sa a, paske li pèmèt ou mete restriksyon sou aksè ant sèvè (vityèl oswa fizik - li pa enpòtan) san yo pa trennen yo ant subnets, ki vle di san yo pa manyen adrès la. Wi, wi, nou konnen ke pèsonn pa preskri adrès IP nan konfigirasyon aplikasyon an men, dwa?
Règ trafik nan ACI yo rele kontra. Nan yon kontra konsa, youn oswa plizyè gwoup oswa nivo nan yon aplikasyon milti-niveau vin yon founisè sèvis (di, yon sèvis baz done), lòt moun vin yon konsomatè. Kontra a ka tou senpleman pase trafik, oswa li ka fè yon bagay ki pi difisil, pou egzanp, dirije li nan yon pare-feu oswa balanse, epi tou li chanje valè QoS la.
Ki jan sèvè antre nan gwoup sa yo? Si sa yo se serveurs fizik oswa yon bagay ki enkli nan yon rezo ki deja egziste nan kote nou te kreye yon kòf VLAN, Lè sa a, yo nan lòd yo mete yo nan EPG a, w ap bezwen lonje dwèt sou pò a switch ak VLAN yo itilize sou li. Kòm ou ka wè, VLAN parèt kote ou pa ka fè san yo.
Si sèvè yo se machin vityèl, Lè sa a, li ase pou fè referans a anviwònman Virtualization konekte, ak Lè sa a, tout bagay pral rive pou kont li: yo pral kreye yon gwoup pò (an tèm de VMWare) pou konekte VM a, VLAN ki nesesè yo oswa VXLAN yo pral. yo dwe asiyen, yo pral anrejistre sou pò switch ki nesesè yo, elatriye Se konsa, byenke ACI bati alantou yon rezo fizik, koneksyon pou sèvè vityèl sanble pi senp pase pou sa yo fizik. ACI deja gen koneksyon entegre ak VMWare ak MS Hyper-V, osi byen ke sipò pou OpenStack ak RedHat Virtualization. Soti nan kèk pwen sou, bati-an sipò pou platfòm veso te parèt tou: Kubernetes, OpenShift, Cloud Foundry, pandan ke li konsène tou de aplikasyon an nan règleman ak siveyans, se sa ki, administratè rezo a ka imedyatman wè ki gen tout pouvwa a ki gous travay sou ak. nan ki gwoup yo tonbe.
Anplis de sa yo enkli nan yon gwoup pò patikilye, sèvè vityèl yo gen pwopriyete adisyonèl: non, atribi, elatriye, ki ka itilize kòm kritè pou transfere yo nan yon lòt gwoup, di, lè yo chanje non yon VM oswa yon tag adisyonèl parèt nan li. Cisco rele sa a mikwo-segmentasyon gwoup, byenke, an jeneral, konsepsyon an tèt li ak kapasite nan kreye anpil segman sekirite nan fòm lan nan EPGs sou menm sous-rezo a tou se byen yon mikwo-segmentasyon. Oke, vandè a konnen pi byen.
EPG tèt yo se konstriksyon piman lojik, ki pa mare nan switch espesifik, sèvè, elatriye, kidonk, ou ka fè bagay ak yo ak konstwi ki baze sou yo (aplikasyon ak lokatè) ki difisil pou fè nan rezo òdinè, tankou klonaj. Kòm yon rezilta, an n di li trè fasil pou klonaj yon anviwònman pwodiksyon pou jwenn yon anviwònman tès ki garanti yo dwe idantik ak anviwònman pwodiksyon an. Ou ka fè li manyèlman, men li pi bon (ak pi fasil) atravè API a.
An jeneral, lojik kontwòl nan ACI pa ditou menm jan ak sa ou rankontre anjeneral
nan rezo tradisyonèl ki soti nan menm Cisco a: koòdone nan lojisyèl se prensipal, ak entèfas a oswa CLI yo segondè, depi yo travay nan API a menm. Se poutèt sa, prèske tout moun ki enplike nan ACI, apre yon ti tan, kòmanse navige modèl objè yo itilize pou jesyon ak otomatize yon bagay ki anfòm bezwen yo. Fason ki pi fasil pou fè sa se soti nan Python: gen zouti pratik ki pare pou li.
Te pwomèt rato
Pwoblèm prensipal la se ke anpil bagay nan ACI yo fè yon fason diferan. Pou kòmanse travay ak li nòmalman, ou bezwen re-antre. Sa a se laverite espesyalman pou ekip operasyon rezo nan gwo kliyan, kote enjenyè yo te "preskri VLAN" pou ane sou demann. Lefèt ke kounye a VLAN yo pa VLAN ankò, epi ou pa bezwen kreye VLAN alamen pou mete nouvo rezo nan lame virtualize, konplètman soufle do kay la sou rezo tradisyonèl yo epi fè yo rete kole ak apwòch yo konnen yo. Li ta dwe remake ke Cisco te eseye sikre grenn nan yon ti kras epi li te ajoute yon "NXOS-tankou" CLI nan kontwolè a, ki pèmèt ou fè konfigirasyon soti nan yon koòdone ki sanble ak switch tradisyonèl yo. Men, toujou, yo nan lòd yo kòmanse itilize ACI nòmalman, ou dwe konprann ki jan li fonksyone.
An tèm de pri, sou echèl gwo ak mwayen, rezo ACI pa aktyèlman diferan de rezo tradisyonèl sou ekipman Cisco, depi switch yo menm yo te itilize yo bati yo (Nexus 9000 ka travay nan ACI ak nan mòd tradisyonèl epi yo te vin kounye a prensipal la. "workhorse" pou nouvo pwojè sant done). Men, pou sant done nan de switch, prezans nan contrôleur ak achitekti Spine-Leaf, nan kou, fè tèt yo santi. Dènyèman, yon faktori Mini ACI te parèt, kote de nan twa kontwolè yo ranplase pa machin vityèl. Sa a diminye diferans lan nan pri, men li toujou rete. Se konsa, pou kliyan an, chwa a dikte pa konbyen li enterese nan karakteristik sekirite, entegrasyon ak Virtualization, yon sèl pwen nan kontwòl, ak sou sa.
Sous: www.habr.com