Negli ultimi anni, Cisco ha promosso attivamente una nuova architettura per costruire una rete di trasmissione dati nel data center: Infrastruttura centrata sull'applicazione (o ACI). Alcuni lo conoscono già. E alcuni sono riusciti addirittura a implementarlo nelle loro imprese, anche in Russia. Tuttavia, per la maggior parte dei professionisti e dei manager IT, ACI è ancora un acronimo oscuro o semplicemente una riflessione sul futuro.
In questo articolo cercheremo di avvicinare questo futuro. Per fare ciò, parleremo dei principali componenti architetturali di ACI e illustreremo anche come può essere utilizzato nella pratica. Inoltre, nel prossimo futuro organizzeremo una dimostrazione visiva di ACI, alla quale potrà iscriversi qualsiasi specialista IT interessato.
Potrete saperne di più sulla nuova architettura di rete a San Pietroburgo nel maggio 2019. Ci sono tutti i dettagli . Iscrizione!
Sfondo
Il modello tradizionale e più diffuso di costruzione della rete è un modello gerarchico a tre livelli: nucleo -> distribuzione (aggregazione) -> accesso. Per molti anni questo modello è stato lo standard; i produttori hanno prodotto diversi dispositivi di rete con la funzionalità adeguata.
In precedenza, quando la tecnologia dell'informazione era una sorta di appendice necessaria (e, francamente, non sempre desiderata) del business, questo modello era conveniente, molto statico e affidabile. Tuttavia, ora che l’IT è uno dei motori dello sviluppo aziendale, e in molti casi dell’azienda stessa, la staticità di questo modello ha iniziato a causare grossi problemi.
Il business moderno genera un gran numero di requisiti diversi e complessi per l'infrastruttura di rete. Il successo dell'azienda dipende direttamente dai tempi di attuazione di questi requisiti. Il ritardo in tali condizioni è inaccettabile e il modello classico di costruzione della rete spesso non consente di soddisfare tempestivamente tutte le esigenze aziendali.
Ad esempio, l'emergere di una nuova e complessa applicazione aziendale richiede che gli amministratori di rete eseguano un gran numero di operazioni di routine simili su un gran numero di dispositivi di rete diversi a diversi livelli. Oltre a richiedere molto tempo, aumenta anche il rischio di commettere errori, che possono portare a gravi tempi di inattività dei servizi IT e, di conseguenza, a perdite finanziarie.
La radice del problema non sono nemmeno le scadenze stesse o la complessità dei requisiti. Il fatto è che questi requisiti devono essere “tradotti” dal linguaggio delle applicazioni aziendali al linguaggio dell'infrastruttura di rete. Come sai, qualsiasi traduzione è sempre una parziale perdita di significato. Quando il proprietario dell'applicazione parla della logica della sua applicazione, l'amministratore di rete comprende un insieme di VLAN, elenchi di accesso su decine di dispositivi che necessitano di essere supportati, aggiornati e documentati.
L'esperienza accumulata e la comunicazione costante con i clienti hanno consentito a Cisco di progettare e implementare nuovi principi per la costruzione di una rete di trasmissione dati di data center che soddisfino le tendenze moderne e si basino, innanzitutto, sulla logica delle applicazioni aziendali. Da qui il nome: Infrastruttura incentrata sulle applicazioni.
Architettura dell'ACI.
È più corretto considerare l'architettura ACI non dal lato fisico, ma dal lato logico. Si basa su un modello di policy automatizzate, i cui oggetti al livello superiore possono essere suddivisi nelle seguenti componenti:
- Rete basata su switch Nexus.
- Cluster di controller APIC;
- Profili applicativi;
Diamo un'occhiata a ciascun livello in modo più dettagliato e passeremo dal semplice al complesso.
Rete basata su switch Nexus
La rete in una fabbrica ACI è simile al modello gerarchico tradizionale, ma è molto più semplice da costruire. Per organizzare la rete viene utilizzato il modello Leaf-Spine, che è diventato un approccio generalmente accettato per l’implementazione delle reti di prossima generazione. Questo modello è composto da due livelli: Spine e Leaf, rispettivamente.
Il livello Spine è responsabile solo delle prestazioni. Le prestazioni totali degli switch Spine sono pari alle prestazioni dell'intera struttura, quindi a questo livello dovrebbero essere utilizzati switch con porte 40G o superiori.
Gli interruttori spine si collegano a tutti gli interruttori al livello successivo: interruttori foglia, a cui sono collegati gli host finali. Il ruolo principale degli switch Leaf è la capacità delle porte.
Pertanto, i problemi di ridimensionamento vengono risolti facilmente: se dobbiamo aumentare il throughput del fabric, aggiungiamo switch Spine e se dobbiamo aumentare la capacità della porta, aggiungiamo Leaf.
Per entrambi i livelli vengono utilizzati gli switch Cisco Nexus serie 9000, che per Cisco rappresentano lo strumento principale per realizzare reti di data center, indipendentemente dalla loro architettura. Per il livello Spine vengono utilizzati gli switch Nexus 9300 o Nexus 9500 e per Leaf solo i Nexus 9300.
La gamma di modelli di switch Nexus utilizzati nello stabilimento ACI è mostrata nella figura seguente.
Cluster di controller APIC (Application Policy Infrastructure Controller).
I controller APIC sono server fisici specializzati, mentre per piccole implementazioni è possibile utilizzare un cluster di un controller APIC fisico e due virtuali.
I controller APIC forniscono funzioni di controllo e monitoraggio. L'importante è che i controller non partecipino mai al trasferimento dei dati, ovvero, anche se tutti i controller del cluster falliscono, ciò non influirà affatto sulla stabilità della rete. Va inoltre notato che con l'aiuto degli APIC, l'amministratore gestisce assolutamente tutte le risorse fisiche e logiche della fabbrica e per apportare eventuali modifiche non è più necessario connettersi a un particolare dispositivo, poiché ACI utilizza un unico punto di controllo.
Passiamo ora a uno dei componenti principali di ACI: i profili applicativi.
Profilo della rete dell'applicazione è la base logica dell'ACI. Sono i profili applicativi che definiscono le politiche di interazione tra tutti i segmenti di rete e descrivono i segmenti di rete stessi. ANP consente di astrarre dal livello fisico e, di fatto, immaginare come è necessario organizzare l'interazione tra diversi segmenti di rete dal punto di vista applicativo.
Un profilo applicativo è costituito da gruppi di connessione (gruppi End-point - EPG). Un gruppo di connessione è un gruppo logico di host (macchine virtuali, server fisici, contenitori, ecc.) che si trovano nello stesso segmento di sicurezza (non rete, ma sicurezza). Gli host finali che appartengono a un particolare EPG possono essere determinati in base a un gran numero di criteri. Quelli comunemente usati sono i seguenti:
- Porto fisico
- Porta logica (gruppo di porte sullo switch virtuale)
- ID VLAN o VXLAN
- Indirizzo IP o sottorete IP
- Attributi del server (nome, posizione, versione del sistema operativo, ecc.)
Per l'interazione di diversi EPG viene fornita un'entità chiamata contratti. Il contratto definisce il rapporto tra le diverse EPG. In altre parole, il contratto definisce quale servizio fornisce un EPG a un altro EPG. Ad esempio, creiamo un contratto che consente al traffico di fluire sul protocollo HTTPS. Successivamente, colleghiamo con questo contratto, ad esempio, EPG Web (un gruppo di server web) ed EPG App (un gruppo di server applicativi), dopodiché questi due gruppi di terminali possono scambiare traffico tramite il protocollo HTTPS.
La figura seguente descrive un esempio di impostazione della comunicazione tra diversi EPG tramite contratti all'interno della stessa ANP.
Può essere presente un numero qualsiasi di profili applicativi all'interno di una fabbrica ACI. Inoltre, i contratti non sono legati a un profilo applicativo specifico; possono (e dovrebbero) essere utilizzati per collegare EPG in diverse ANP.
Infatti, ogni applicazione che richiede una rete in una forma o nell'altra è descritta dal proprio profilo. Ad esempio, il diagramma sopra mostra l'architettura standard di un'applicazione a tre livelli, composta da un numero N di server di accesso esterno (Web), server applicativi (App) e server DBMS (DB), e descrive anche le regole di interazione tra loro. In un'infrastruttura di rete tradizionale, si tratterebbe di un insieme di regole scritte sui vari dispositivi dell'infrastruttura. Nell'architettura ACI, descriviamo queste regole all'interno di un singolo profilo applicativo. ACI, utilizzando un profilo applicazione, rende molto più semplice la creazione di un gran numero di impostazioni su diversi dispositivi raggruppandole tutte in un unico profilo.
L'immagine seguente mostra un esempio più realistico. Un profilo dell'applicazione Microsoft Exchange composto da più EPG e contratti.
La gestione centralizzata, l'automazione e il monitoraggio sono uno dei principali vantaggi di ACI. ACI Factory solleva gli amministratori dal noioso lavoro di creazione di un gran numero di regole su vari switch, router e firewall (mentre è consentito e può essere utilizzato il classico metodo di configurazione manuale). Le impostazioni per i profili dell'applicazione e altri oggetti ACI vengono applicate automaticamente in tutta la struttura ACI. Anche quando si spostano fisicamente i server su altre porte degli switch della struttura, non è necessario duplicare le impostazioni dai vecchi switch a quelli nuovi ed eliminare le regole non necessarie. In base ai criteri di appartenenza all'EPG dell'host, la fabbrica effettuerà automaticamente queste impostazioni ed eliminerà automaticamente le regole non utilizzate.
Le policy di sicurezza ACI integrate vengono implementate come whitelist, il che significa che ciò che non è esplicitamente consentito è proibito per impostazione predefinita. Insieme all’aggiornamento automatico delle configurazioni delle apparecchiature di rete (rimuovendo regole e autorizzazioni “dimenticate” e inutilizzate), questo approccio aumenta significativamente il livello generale di sicurezza della rete e restringe la superficie di un potenziale attacco.
ACI consente di organizzare l'interazione di rete non solo di macchine virtuali e contenitori, ma anche di server fisici, firewall hardware e apparecchiature di rete di terze parti, il che rende ACI una soluzione unica al momento.
Il nuovo approccio di Cisco alla costruzione di una rete dati basata sulla logica applicativa non riguarda solo l'automazione, la sicurezza e la gestione centralizzata. È anche una moderna rete scalabile orizzontalmente che soddisfa tutti i requisiti del business moderno.
L'implementazione di un'infrastruttura di rete basata su ACI consente a tutti i reparti dell'azienda di parlare la stessa lingua. L'amministratore è guidato solo dalla logica dell'applicazione, che descrive le regole e le connessioni richieste. Oltre alla logica dell'applicazione, essa guida anche i proprietari e gli sviluppatori dell'applicazione, il servizio di sicurezza informatica, gli economisti e gli imprenditori.
Cisco mette così in pratica il concetto di una rete di data center di prossima generazione. Vuoi vederlo di persona? Vieni alla manifestazione Infrastruttura incentrata sulle applicazioni a San Pietroburgo e lavora subito con la rete di data center del futuro.
È possibile registrarsi all'evento .
Fonte: habr.com