Վերջին մի քանի տարիների ընթացքում Cisco-ն ակտիվորեն առաջ է քաշում նոր ճարտարապետություն տվյալների հաղորդման ցանցի կառուցման համար տվյալների կենտրոնում. Կիրառական կենտրոնացված ենթակառուցվածք (կամ ACI). Ոմանք արդեն ծանոթ են դրան։ Իսկ ոմանց նույնիսկ հաջողվեց դա իրականացնել իրենց ձեռնարկություններում, այդ թվում՝ Ռուսաստանում։ Այնուամենայնիվ, ՏՏ մասնագետների և ՏՏ մենեջերների մեծ մասի համար ACI-ն դեռ կամ անհասկանալի հապավում է, կամ պարզապես արտացոլում է ապագայի վերաբերյալ:
Այս հոդվածում մենք կփորձենք ավելի մոտեցնել այս ապագան: Դա անելու համար մենք կխոսենք ACI-ի հիմնական ճարտարապետական բաղադրիչների մասին, ինչպես նաև ցույց կտանք, թե ինչպես այն կարող է օգտագործվել գործնականում: Բացի այդ, մոտ ապագայում մենք կկազմակերպենք ACI-ի տեսողական ցուցադրություն, որին կարող է գրանցվել ցանկացած հետաքրքրված ՏՏ մասնագետ։
Դուք կարող եք ավելին իմանալ ցանցային նոր ճարտարապետության մասին Սանկտ Պետերբուրգում 2019 թվականի մայիսին: Բոլոր մանրամասները ներկայացված են . Գրանցվել!
նախապատմությանը
Ցանցի կառուցման ավանդական և ամենահայտնի մոդելը երեք մակարդակի հիերարխիկ մոդելն է՝ հիմնական -> բաշխում (ագրեգացիա) -> մուտք: Երկար տարիներ այս մոդելը ստանդարտ էր, արտադրողները արտադրում էին ցանցային տարբեր սարքեր՝ դրա համար համապատասխան ֆունկցիոնալությամբ:
Նախկինում, երբ տեղեկատվական տեխնոլոգիաները բիզնեսի մի տեսակ անհրաժեշտ (և, անկեղծ ասած, ոչ միշտ ցանկալի) հավելված էին, այս մոդելը հարմար էր, շատ ստատիկ և հուսալի: Այնուամենայնիվ, այժմ, երբ ՏՏ-ն բիզնեսի զարգացման շարժիչներից մեկն է, և շատ դեպքերում հենց բիզնեսը, այս մոդելի ստատիկ բնույթը սկսել է մեծ խնդիրներ առաջացնել:
Ժամանակակից բիզնեսը ստեղծում է ցանցային ենթակառուցվածքի համար մեծ թվով տարբեր բարդ պահանջներ: Բիզնեսի հաջողությունն ուղղակիորեն կախված է այդ պահանջների իրականացման ժամկետներից: Նման պայմաններում ուշացումն անընդունելի է, և ցանցի կառուցման դասական մոդելը հաճախ թույլ չի տալիս ժամանակին բավարարել բիզնեսի բոլոր կարիքները:
Օրինակ, նոր բարդ բիզնես հավելվածի ի հայտ գալը պահանջում է ցանցային ադմինիստրատորներից մեծ թվով նմանատիպ սովորական գործողություններ կատարել մեծ թվով տարբեր ցանցային սարքերի վրա տարբեր մակարդակներում: Բացի ժամանակատար լինելուց, այն նաև մեծացնում է սխալվելու վտանգը, ինչը կարող է հանգեցնել ՏՏ ծառայությունների լուրջ խափանումների և, որպես հետևանք, ֆինանսական կորստի:
Խնդրի արմատը նույնիսկ բուն ժամկետները կամ պահանջների բարդությունը չեն: Փաստն այն է, որ այս պահանջները պետք է «թարգմանվեն» բիզնես հավելվածների լեզվից ցանցային ենթակառուցվածքի լեզվին: Ինչպես գիտեք, ցանկացած թարգմանություն միշտ իմաստի մասնակի կորուստ է: Երբ հավելվածի սեփականատերը խոսում է իր հավելվածի տրամաբանության մասին, ցանցի ադմինիստրատորը հասկանում է մի շարք VLAN-ներ, Access ցուցակներ տասնյակ սարքերի վրա, որոնք պետք է աջակցվեն, թարմացվեն և փաստաթղթավորվեն:
Կուտակված փորձը և հաճախորդների հետ մշտական շփումը Cisco-ին թույլ տվեցին մշակել և ներդնել տվյալների կենտրոնի տվյալների փոխանցման ցանց կառուցելու նոր սկզբունքներ, որոնք համապատասխանում են ժամանակակից միտումներին և հիմնված են, առաջին հերթին, բիզնես հավելվածների տրամաբանության վրա: Այստեղից էլ առաջացել է անվանումը՝ Application Centric Infrastructure:
ACI ճարտարապետություն.
Առավել ճիշտ է ACI ճարտարապետությունը դիտարկել ոչ թե ֆիզիկական, այլ տրամաբանական կողմից։ Այն հիմնված է ավտոմատացված քաղաքականության մոդելի վրա, որի օբյեկտները վերին մակարդակում կարելի է բաժանել հետևյալ բաղադրիչների.
- Nexus անջատիչների վրա հիմնված ցանց:
- APIC կարգավորիչների կլաստեր;
- Դիմումների պրոֆիլներ;
Եկեք նայենք յուրաքանչյուր մակարդակին ավելի մանրամասն, և մենք պարզից կանցնենք բարդի:
Nexus անջատիչների վրա հիմնված ցանց
ACI գործարանում ցանցը նման է ավանդական հիերարխիկ մոդելին, բայց այն կառուցելը շատ ավելի պարզ է: Ցանցը կազմակերպելու համար օգտագործվում է Leaf-Spine մոդելը, որը դարձել է ընդհանուր ընդունված մոտեցում հաջորդ սերնդի ցանցերի ներդրման համար։ Այս մոդելը բաղկացած է երկու մակարդակից՝ համապատասխանաբար ողնաշար և տերեւ:
Ողնաշարի մակարդակը պատասխանատու է միայն կատարողականի համար: Spine անջատիչների ընդհանուր կատարումը հավասար է ամբողջ գործվածքի աշխատանքին, ուստի այս մակարդակում պետք է օգտագործվեն 40G կամ ավելի բարձր պորտերով անջատիչներ:
Ողնաշարի անջատիչները միանում են հաջորդ մակարդակի բոլոր անջատիչներին. տերևային անջատիչներ, որոնց միացված են վերջնամասերը: Leaf անջատիչների հիմնական դերը պորտի հզորությունն է:
Այսպիսով, մասշտաբի հետ կապված խնդիրները հեշտությամբ լուծվում են. եթե մենք պետք է մեծացնենք գործվածքների թողունակությունը, մենք ավելացնում ենք Spine անջատիչներ, իսկ եթե անհրաժեշտ է մեծացնել նավահանգիստների հզորությունը, մենք ավելացնում ենք Leaf:
Երկու մակարդակների համար օգտագործվում են Cisco Nexus 9000 սերիայի անջատիչներ, որոնք Cisco-ի համար տվյալների կենտրոնների ցանցեր կառուցելու հիմնական գործիքն են՝ անկախ դրանց ճարտարապետությունից: Spine շերտի համար օգտագործվում են Nexus 9300 կամ Nexus 9500 անջատիչներ, իսկ Leaf-ի համար միայն Nexus 9300:
Nexus անջատիչների մոդելային տեսականին, որոնք օգտագործվում են ACI-ի գործարանում, ներկայացված է ստորև նկարում:
APIC (Application Policy Infrastructure Controller) Controller Cluster
APIC կարգավորիչները մասնագիտացված ֆիզիկական սերվերներ են, մինչդեռ փոքր իրագործումների համար հնարավոր է օգտագործել մեկ ֆիզիկական APIC վերահսկիչի և երկու վիրտուալների կլաստեր:
APIC կարգավորիչներն ապահովում են վերահսկման և մոնիտորինգի գործառույթներ: Կարևորն այն է, որ վերահսկիչները երբեք չեն մասնակցում տվյալների փոխանցմանը, այսինքն, եթե նույնիսկ բոլոր կլաստերի կարգավորիչները ձախողվեն, դա ընդհանրապես չի ազդի ցանցի կայունության վրա։ Հարկ է նաև նշել, որ APIC-ների օգնությամբ ադմինիստրատորը կառավարում է գործարանի բացարձակապես բոլոր ֆիզիկական և տրամաբանական ռեսուրսները, և ցանկացած փոփոխություն կատարելու համար այլևս կարիք չկա միանալու կոնկրետ սարքին, քանի որ ACI-ն օգտագործում է հսկողության մեկ կետ.
Այժմ անցնենք ACI-ի հիմնական բաղադրիչներից մեկին՝ հավելվածի պրոֆիլներին:
Հավելվածի ցանցի պրոֆիլը ACI-ի տրամաբանական հիմքն է: Հենց կիրառական պրոֆիլներն են սահմանում ցանցի բոլոր սեգմենտների միջև փոխգործակցության քաղաքականությունը և նկարագրում ցանցի սեգմենտներն իրենք: ANP-ն թույլ է տալիս վերացականել ֆիզիկական շերտից և, փաստորեն, պատկերացնել, թե ինչպես պետք է կազմակերպել փոխազդեցությունը ցանցի տարբեր հատվածների միջև կիրառական տեսանկյունից:
Հավելվածի պրոֆիլը բաղկացած է կապի խմբերից (վերջնական կետերի խմբեր - EPG): Կապի խումբը հոսթերների տրամաբանական խումբ է (վիրտուալ մեքենաներ, ֆիզիկական սերվերներ, կոնտեյներներ և այլն), որոնք գտնվում են անվտանգության նույն հատվածում (ոչ թե ցանց, այլ անվտանգություն): Վերջնական սերվերները, որոնք պատկանում են որոշակի EPG-ին, կարող են որոշվել մեծ թվով չափանիշներով: Սովորաբար օգտագործվում են հետևյալները.
- Ֆիզիկական նավահանգիստ
- Տրամաբանական պորտ (պորտի խումբ վիրտուալ անջատիչի վրա)
- VLAN ID կամ VXLAN
- IP հասցե կամ IP ենթացանց
- Սերվերի ատրիբուտները (անունը, գտնվելու վայրը, OS տարբերակը և այլն)
Տարբեր EPG-ների փոխազդեցության համար տրամադրվում է պայմանագրեր կոչվող միավոր: Պայմանագիրը սահմանում է տարբեր EPG-ների միջև հարաբերությունները: Այսինքն, պայմանագրով սահմանվում է, թե ինչ ծառայություն է մատուցում մեկ EPG մյուս EPG-ին: Օրինակ, մենք պայմանագիր ենք ստեղծում, որը թույլ է տալիս տրաֆիկին հոսել HTTPS արձանագրության վրայով: Այնուհետև մենք կապում ենք այս պայմանագրի հետ, օրինակ՝ EPG Web (վեբ սերվերների խումբ) և EPG App (կիրառական սերվերների խումբ), որից հետո այս երկու տերմինալային խմբերը կարող են փոխանակել տրաֆիկը HTTPS արձանագրության միջոցով:
Ստորև բերված նկարը նկարագրում է միևնույն ANP-ի շրջանակներում պայմանագրերի միջոցով տարբեր EPG-ների միջև կապի հաստատման օրինակ:
ACI գործարանում կարող է լինել ցանկացած թվով կիրառական պրոֆիլներ: Բացի այդ, պայմանագրերը կապված չեն կոնկրետ հավելվածի պրոֆիլի հետ, դրանք կարող են (և պետք է) օգտագործվեն տարբեր ՀԷՑ-ներում EPG-ները միացնելու համար:
Փաստորեն, յուրաքանչյուր ծրագիր, որը պահանջում է ցանց այս կամ այն ձևով, նկարագրվում է իր սեփական պրոֆիլով: Օրինակ, վերը նշված դիագրամը ցույց է տալիս եռաստիճան հավելվածի ստանդարտ ճարտարապետությունը, որը բաղկացած է N թվով արտաքին մուտքի սերվերներից (Web), հավելվածի սերվերներից (App) և DBMS սերվերներից (DB), ինչպես նաև նկարագրում է փոխգործակցության կանոնները: նրանց. Ավանդական ցանցային ենթակառուցվածքում սա կլինի մի շարք կանոններ, որոնք գրված են ենթակառուցվածքի տարբեր սարքերում: ACI ճարտարապետության մեջ մենք նկարագրում ենք այս կանոնները մեկ հավելվածի պրոֆիլում: ACI-ն, օգտագործելով հավելվածի պրոֆիլը, շատ ավելի հեշտ է դարձնում տարբեր սարքերի վրա մեծ թվով կարգավորումներ ստեղծելը՝ դրանք բոլորը խմբավորելով մեկ պրոֆիլում:
Ստորև նկարը ցույց է տալիս ավելի իրատեսական օրինակ: Microsoft Exchange հավելվածի պրոֆիլը, որը կազմված է բազմաթիվ EPG-ներից և պայմանագրերից:
Կենտրոնական կառավարումը, ավտոմատացումը և մոնիտորինգը ACI-ի հիմնական առավելություններից են: ACI Factory-ն ադմինիստրատորներին ազատում է տարբեր անջատիչների, երթուղիչների և firewalls-ի վրա մեծ թվով կանոններ ստեղծելու հոգնեցուցիչ աշխատանքից (մինչդեռ դասական ձեռքով կազմաձևման մեթոդը թույլատրված է և կարող է օգտագործվել): Հավելվածի պրոֆիլների և այլ ACI օբյեկտների կարգավորումները ավտոմատ կերպով կիրառվում են ACI գործվածքի ողջ տարածքում: Նույնիսկ այն դեպքում, երբ սերվերները ֆիզիկապես փոխարկում են գործվածքային անջատիչների այլ նավահանգիստներ, կարիք չկա կրկնօրինակել կարգավորումները հին անջատիչներից նորերի և մաքրել ավելորդ կանոնները: Ելնելով հյուրընկալողի EPG անդամակցության չափանիշներից՝ գործարանը ավտոմատ կերպով կկատարի այս կարգավորումները և ինքնաբերաբար կմաքրի չօգտագործված կանոնները:
Ինտեգրված ACI անվտանգության քաղաքականությունն իրականացվում է որպես սպիտակ ցուցակներ, ինչը նշանակում է, որ այն, ինչ բացահայտորեն թույլատրված չէ, լռելյայն արգելված է: Ցանցային սարքավորումների կոնֆիգուրացիաների ավտոմատ թարմացման հետ մեկտեղ (հեռացնելով «մոռացված» չօգտագործված կանոններն ու թույլտվությունները), այս մոտեցումը զգալիորեն մեծացնում է ցանցի անվտանգության ընդհանուր մակարդակը և նեղացնում հնարավոր հարձակման մակերեսը։
ACI-ն թույլ է տալիս կազմակերպել ցանցային փոխազդեցությունը ոչ միայն վիրտուալ մեքենաների և կոնտեյներների, այլ նաև ֆիզիկական սերվերների, ապարատային firewalls-ի և երրորդ կողմի ցանցային սարքավորումների, ինչը ACI-ին դարձնում է եզակի լուծում այս պահին:
Cisco-ի նոր մոտեցումը՝ կիրառական տրամաբանության վրա հիմնված տվյալների ցանց կառուցելու համար, կապված չէ միայն ավտոմատացման, անվտանգության և կենտրոնացված կառավարման հետ: Այն նաև ժամանակակից հորիզոնական մասշտաբային ցանց է, որը համապատասխանում է ժամանակակից բիզնեսի բոլոր պահանջներին:
ACI-ի վրա հիմնված ցանցային ենթակառուցվածքի ներդրումը թույլ է տալիս ձեռնարկության բոլոր բաժիններին խոսել նույն լեզվով: Ադմինիստրատորն առաջնորդվում է միայն հավելվածի տրամաբանությամբ, որը նկարագրում է պահանջվող կանոններն ու կապերը։ Ինչպես նաև հավելվածի տրամաբանությունը, դրանով են առաջնորդվում հավելվածի սեփականատերերն ու մշակողները, տեղեկատվական անվտանգության ծառայությունը, տնտեսագետներն ու բիզնեսի սեփականատերերը։
Այսպիսով, Cisco-ն գործնականում իրականացնում է տվյալների կենտրոնների հաջորդ սերնդի ցանցի հայեցակարգը: Ցանկանու՞մ եք սա տեսնել ինքներդ: Եկեք ցույցի Կիրառական կենտրոնացված ենթակառուցվածք Սանկտ Պետերբուրգում և աշխատել ապագայի տվյալների կենտրոնների ցանցի հետ այժմ:
Միջոցառմանը կարող եք գրանցվել .
Source: www.habr.com