Az elmúlt néhány évben a Cisco aktívan népszerűsítette az adatközpontban az adatátviteli hálózat kiépítésének új architektúráját - Alkalmazásközpontú infrastruktúra (vagy ACI). Vannak, akik már ismerik. És néhányuknak sikerült megvalósítaniuk vállalkozásaikban, beleértve Oroszországot is. A legtöbb IT-szakember és IT-menedzser számára azonban az ACI még mindig vagy homályos mozaikszó, vagy csak a jövő reflexiója.
Ebben a cikkben megpróbáljuk közelebb hozni ezt a jövőt. Ennek érdekében az ACI fő építészeti komponenseiről fogunk beszélni, és bemutatjuk, hogyan használható a gyakorlatban. Emellett a közeljövőben szervezzük az ACI vizuális bemutatóját is, amelyre minden érdeklődő informatikus jelentkezhet.
Az új hálózati architektúráról 2019 májusában tudhat meg többet Szentpéterváron. Minden részlet benne van . Regisztrálj!
őstörténet
A hagyományos és legnépszerűbb hálózatépítési modell egy háromszintű hierarchikus modell: mag -> elosztás (aggregáció) -> hozzáférés. Sok éven át ez a modell volt a szabvány, a gyártók különféle hálózati eszközöket gyártottak a megfelelő funkcionalitással.
Korábban, amikor az információs technológia egyfajta szükséges (és őszintén szólva, nem mindig kívánt) függeléke volt az üzletnek, ez a modell kényelmes, nagyon statikus és megbízható volt. Most azonban, hogy az IT az üzletfejlesztés egyik mozgatórugója, és sok esetben maga az üzlet is, ennek a modellnek a statikus jellege nagy problémákat kezdett okozni.
A modern üzleti élet számos különféle összetett követelményt támaszt a hálózati infrastruktúrával szemben. A vállalkozás sikere közvetlenül függ ezen követelmények végrehajtásának időzítésétől. A késés ilyen körülmények között elfogadhatatlan, és a hálózatépítés klasszikus modellje gyakran nem teszi lehetővé az összes üzleti igény időben történő kielégítését.
Például egy új összetett üzleti alkalmazás megjelenése megköveteli a hálózati rendszergazdáktól, hogy nagyszámú hasonló rutinműveletet hajtsanak végre számos különböző hálózati eszközön, különböző szinteken. Amellett, hogy időigényes, növeli a tévedés kockázatát is, amely az IT-szolgáltatások komoly leállásához és ennek következtében anyagi veszteséghez vezethet.
A probléma gyökere nem is a határidőkben vagy a követelmények összetettségében rejlik. A helyzet az, hogy ezeket a követelményeket az üzleti alkalmazások nyelvéről a hálózati infrastruktúra nyelvére kell „lefordítani”. Mint tudják, minden fordítás mindig részleges jelentésvesztéssel jár. Amikor az alkalmazás tulajdonosa az alkalmazás logikájáról beszél, a hálózati rendszergazda megérti a VLAN-ok halmazát, az Access listákat több tucat eszközön, amelyeket támogatni, frissíteni és dokumentálni kell.
A felhalmozott tapasztalat és az ügyfelekkel való folyamatos kommunikáció lehetővé tette a Cisco számára, hogy új alapelveket tervezzen és valósítson meg egy olyan adatközponti adatátviteli hálózat kiépítéséhez, amelyek megfelelnek a modern trendeknek, és elsősorban az üzleti alkalmazások logikáján alapulnak. Innen a név - Application Centric Infrastructure.
ACI architektúra.
A leghelyesebb az ACI architektúrát nem fizikai, hanem logikai oldalról vizsgálni. Az automatizált házirendek modelljén alapul, amelynek legfelső szintű objektumai a következő komponensekre oszthatók:
- Nexus kapcsolókon alapuló hálózat.
- APIC vezérlő klaszter;
- Alkalmazási profilok;
Nézzük meg részletesebben az egyes szinteket - és az egyszerűtől az összetett felé haladunk.
Nexus kapcsolókon alapuló hálózat
Az ACI gyár hálózata hasonló a hagyományos hierarchikus modellhez, de sokkal egyszerűbb felépíteni. A hálózat szervezésére a Leaf-Spine modellt használják, amely általánosan elfogadott megközelítéssé vált a következő generációs hálózatok megvalósításában. Ez a modell két szintből áll: gerincből és levélből.
A gerinc szintje csak a teljesítményért felelős. A Spine switchek teljes teljesítménye megegyezik a teljes szövet teljesítményével, ezért ezen a szinten 40G vagy nagyobb portokkal rendelkező switcheket kell használni.
A gerinckapcsolók a következő szinten lévő összes kapcsolóhoz csatlakoznak: Leaf kapcsolók, amelyekhez a végállomások csatlakoznak. A Leaf switchek fő szerepe a port kapacitása.
Így a méretezési problémák könnyen megoldhatók: ha növelnünk kell a szövet áteresztőképességét, akkor Spine switcheket adunk hozzá, ha pedig a portkapacitást, akkor a Leaf-et.
Mindkét szinten Cisco Nexus 9000 sorozatú switcheket használnak, amelyek a Cisco számára az adatközponti hálózatok építésének fő eszközei, architektúrától függetlenül. A gerincréteghez a Nexus 9300 vagy a Nexus 9500 kapcsolóit használjuk, a Leafhez pedig csak a Nexus 9300-at.
Az ACI gyárában használt Nexus kapcsolók modellválasztéka az alábbi ábrán látható.
APIC (Application Policy Infrastructure Controller) vezérlőfürt
Az APIC vezérlők speciális fizikai szerverek, míg kis implementációkhoz egy fizikai APIC vezérlőből és két virtuális fürt használatára van lehetőség.
Az APIC vezérlők vezérlési és felügyeleti funkciókat biztosítanak. Az a fontos, hogy a vezérlők soha ne vegyenek részt az adatátvitelben, vagyis ha az összes cluster vezérlő meghibásodik, ez egyáltalán nem befolyásolja a hálózat stabilitását. Azt is meg kell jegyezni, hogy az APIC-k segítségével a rendszergazda kezeli a gyár abszolút összes fizikai és logikai erőforrását, és a változtatások elvégzéséhez már nem kell egy adott eszközhöz csatlakozni, mivel az ACI egy egyetlen ellenőrzési pont.
Most térjünk át az ACI egyik fő összetevőjére - az alkalmazásprofilokra.
Alkalmazás hálózati profilja az ACI logikai alapja. Az alkalmazásprofilok határozzák meg az összes hálózati szegmens közötti interakciós szabályzatot, és magukat a hálózati szegmenseket írják le. Az ANP lehetővé teszi, hogy elvonatkoztassunk a fizikai rétegtől, és valójában elképzeljük, hogyan kell megszervezni a különböző hálózati szegmensek közötti interakciót alkalmazási szempontból.
Egy alkalmazásprofil kapcsolódási csoportokból (végponti csoportok – EPG) áll. A kapcsolatcsoport olyan gazdagépek (virtuális gépek, fizikai szerverek, konténerek stb.) logikai csoportja, amelyek ugyanabban a biztonsági szegmensben (nem hálózat, hanem biztonság) találhatók. Az adott EPG-hez tartozó végállomásokat számos kritérium alapján lehet meghatározni. Általában a következőket használják:
- Fizikai port
- Logikai port (portcsoport egy virtuális kapcsolón)
- VLAN ID vagy VXLAN
- IP-cím vagy IP-alhálózat
- Szerverattribútumok (név, hely, operációs rendszer verziója stb.)
A különböző EPG-k interakciójához egy szerződések nevű entitást biztosítanak. A szerződés meghatározza a különböző EPG-k közötti kapcsolatot. Más szóval, a szerződés meghatározza, hogy az egyik EPG milyen szolgáltatást nyújt egy másik EPG számára. Például létrehozunk egy szerződést, amely lehetővé teszi a forgalom HTTPS-protokollon keresztül történő áramlását. Ezután csatlakozunk ehhez a szerződéshez, például az EPG Web-hez (webszerverek egy csoportja) és az EPG App-hez (alkalmazásszerverek egy csoportja), amely után ez a két terminálcsoport a HTTPS protokollon keresztül forgalmat cserélhet.
Az alábbi ábra egy példát mutat be különböző EPG-k közötti kommunikáció létrehozására ugyanazon az ANP-n belüli szerződéseken keresztül.
Egy ACI gyáron belül tetszőleges számú alkalmazásprofil lehet. Ezenkívül a szerződések nincsenek egy adott alkalmazásprofilhoz kötve, hanem felhasználhatók (és kell is) az EPG-k összekapcsolására különböző ANP-kben.
Valójában minden olyan alkalmazást, amely valamilyen formában hálózatot igényel, saját profilja ír le. Például a fenti diagram egy háromszintű alkalmazás szabványos architektúráját mutatja, amely N számú külső hozzáférési szerverből (Web), alkalmazáskiszolgálóból (App) és DBMS szerverből (DB) áll, és leírja az interakció szabályait is. őket. Egy hagyományos hálózati infrastruktúrában ez az infrastruktúra különböző eszközeire írt szabályok halmaza. Az ACI architektúrában ezeket a szabályokat egyetlen alkalmazásprofilban írjuk le. Az alkalmazásprofilt használó ACI sokkal könnyebbé teszi nagyszámú beállítás létrehozását a különböző eszközökön azáltal, hogy azokat egyetlen profilba csoportosítja.
Az alábbi kép egy reálisabb példát mutat. Több EPG-ből és szerződésből álló Microsoft Exchange alkalmazásprofil.
A központi felügyelet, automatizálás és felügyelet az ACI egyik legfontosabb előnye. Az ACI Factory megszabadítja az adminisztrátorokat attól a fáradságos munkától, hogy számos szabályt kell létrehozni a különféle switcheken, útválasztókon és tűzfalakon (miközben a klasszikus kézi konfigurációs módszer megengedett és használható). Az alkalmazásprofilok és más ACI-objektumok beállításai automatikusan alkalmazásra kerülnek az egész ACI-szövetben. Még ha fizikailag is átállítja a kiszolgálókat a szövetkapcsolók más portjaira, nincs szükség a régi kapcsolók beállításait az újakra duplikálni, és törölni kell a szükségtelen szabályokat. A gazdagép EPG-tagsági feltételei alapján a gyár automatikusan elvégzi ezeket a beállításokat, és automatikusan törli a nem használt szabályokat.
Az integrált ACI biztonsági házirendek engedélyezési listaként kerülnek megvalósításra, ami azt jelenti, hogy ami nincs kifejezetten engedélyezett, az alapértelmezés szerint tiltott. A hálózati berendezések konfigurációinak automatikus frissítésével (az „elfelejtett” fel nem használt szabályok és engedélyek eltávolításával) együtt ez a megközelítés jelentősen növeli a hálózati biztonság általános szintjét és szűkíti a potenciális támadások felületét.
Az ACI lehetővé teszi nemcsak a virtuális gépek és konténerek hálózati interakciójának megszervezését, hanem a fizikai szerverek, hardveres tűzfalak és harmadik féltől származó hálózati berendezések között is, ami az ACI-t pillanatnyilag egyedülálló megoldássá teszi.
A Cisco új, alkalmazáslogikán alapuló adathálózat-építési megközelítése nem csak az automatizálásról, a biztonságról és a központosított felügyeletről szól. Ez egy modern, horizontálisan skálázható hálózat is, amely megfelel a modern üzleti élet minden követelményének.
Az ACI-n alapuló hálózati infrastruktúra megvalósítása lehetővé teszi, hogy a vállalat minden részlege ugyanazt a nyelvet beszélje. Az adminisztrátort csak az alkalmazás logikája vezérli, amely leírja a szükséges szabályokat és kapcsolatokat. Az alkalmazás logikája mellett az alkalmazás tulajdonosait és fejlesztőit, az információbiztonsági szolgálatot, a közgazdászokat és a cégtulajdonosokat is ez vezérli.
Így a Cisco gyakorlatba ülteti a következő generációs adatközpont-hálózat koncepcióját. Szeretné ezt saját szemével látni? Gyere el a demonstrációra Alkalmazásközpontú infrastruktúra Szentpéterváron, és már most dolgozzon a jövő adatközpont-hálózatával.
Regisztrálni lehet az eseményre .
Forrás: will.com