Kanthi bantuan saka Piece gaib iki script Cisco ACI, sampeyan bisa cepet nyiyapake jaringan.
Pabrik jaringan kanggo pusat data Cisco ACI wis ana limang taun, nanging Habré ora tenan marang apa-apa bab iku, aku mutusaké kanggo ndandani iku sethitik. Aku bakal pitutur marang kowe saka pengalaman dhewe apa iku, apa gunane lan ngendi wis rake.
Apa iku lan saka ngendi asale?
Nalika ACI (Application Centric Infrastructure) diumumake ing 2013, para pesaing maju ing pendekatan tradisional kanggo jaringan pusat data saka telung sisih bebarengan.
Ing sisih siji, solusi SDN "generasi pertama" adhedhasar OpenFlow janji bakal nggawe jaringan luwih fleksibel lan luwih murah ing wektu sing padha. Ide iki kanggo mindhah pengambilan keputusan sing biasane ditindakake dening piranti lunak switch proprietary menyang pengontrol pusat.
Controller iki bakal duwe sesanti siji saka kabeh sing kelakon lan, adhedhasar iki, bakal program hardware kabeh ngalih ing tingkat aturan kanggo ngolah aliran tartamtu.
Ing sisih liya, solusi jaringan overlay bisa ngetrapake kabijakan konektivitas lan keamanan sing dibutuhake tanpa owah-owahan ing jaringan fisik, nggawe terowongan piranti lunak ing antarane host virtual. Conto sing paling misuwur saka pendekatan iki yaiku Nicira, sing saiki wis dituku dening VMWare kanthi rega $ 1,26 milyar lan nyebabake VMWare NSX saiki. Sawetara piquancy saka kahanan ditambahake dening kasunyatan sing co-pendiri Nicira padha wong sing sadurunge ngadeg ing asal saka OpenFlow, saiki ngandika sing kanggo mbangun pabrik pusat data. .
Lan pungkasanipun, ngoper Kripik kasedhiya ing pasar mbukak (apa disebut silikon sudagar) wis tekan tataran kadewasan ngendi padha wis dadi ancaman nyata kanggo manufaktur saklar tradisional. Yen sadurungé saben vendor independen dikembangaké Kripik kanggo ngalih sawijining, banjur liwat wektu, Kripik saka manufaktur pihak katelu, utamané saka Broadcom, wiwit ngurangi jarak karo Kripik vendor ing syarat-syarat fungsi, lan ngluwihi wong ing syarat-syarat rega / rasio kinerja. Mulane, akeh sing pracaya dina ngalih ing Kripik desain dhewe padha nomer.
ACI wis dadi "respon asimetris" Cisco (luwih tepat, perusahaan Insieme, didegaké dening mantan karyawan) kanggo kabeh ing ndhuwur.
Apa bedane karo OpenFlow?
Ing babagan distribusi fungsi, ACI bener-bener ngelawan saka OpenFlow.
Ing arsitektur OpenFlow, controller tanggung jawab kanggo nulis aturan rinci (aliran)
ing hardware kabeh switch, yaiku, ing jaringan gedhe, bisa uga tanggung jawab kanggo njaga lan, sing paling penting, ngganti puluhan yuta cathetan ing atusan titik ing jaringan, saengga kinerja lan linuwih dadi kendala ing a implementasine gedhe.
ACI nggunakake pendekatan mbalikke: mesthi, ana uga controller, nanging ngalih nampa kawicaksanan deklaratif tingkat dhuwur saka iku, lan ngalih dhewe nindakake Rendering menyang rincian setelan tartamtu ing hardware. Controller bisa reboot utawa dipateni kabeh, lan ora ana sing ala bakal kelakon ing jaringan, kajaba, mesthi, lack saka kontrol ing wayahe. Apike, ana kahanan ing ACI sing OpenFlow isih digunakake, nanging sacara lokal ing host kanggo pemrograman Open vSwitch.
ACI dibangun kabeh ing transportasi overlay basis VXLAN, nanging kalebu transportasi IP ndasari minangka bagéan saka solusi siji. Cisco diarani istilah "overlay terintegrasi". Minangka titik mandap kanggo overlays ing ACI, ing paling kasus, ngalih pabrik digunakake (padha nindakake iki ing kacepetan link). Hosts ora kudu ngerti apa-apa bab pabrik, enkapsulasi, etc., Nanging, ing sawetara kasus (contone, kanggo nyambungake OpenStack host), lalu lintas VXLAN bisa digawa menyang wong.
Overlay digunakake ing ACI ora mung kanggo nyedhiyani panyambungan fleksibel liwat jaringan transportasi, nanging uga kanggo transfer metainformation (iku digunakake, contone, kanggo aplikasi kabijakan keamanan).
Kripik saka Broadcom sadurunge digunakake dening Cisco ing saklar seri Nexus 3000. Ing kulawarga Nexus 9000, khusus dirilis kanggo ndhukung ACI, model hibrida Originally dipun ginakaken, kang disebut Merchant +. Saklar kasebut bebarengan nggunakake chip Broadcom Trident 2 anyar lan chip pelengkap sing dikembangake dening Cisco, sing ngetrapake kabeh sihir ACI. Ketoke, iki ndadekake iku bisa kanggo nyepetake release saka produk lan ngurangi tag rega saklar menyang tingkat cedhak model mung adhedhasar Trident 2. Pendekatan iki cukup kanggo loro utawa telung taun pisanan pangiriman ACI. Sak iki wektu, Cisco dikembangaké lan dibukak Nexus generasi sabanjuré 9000 ing Kripik dhewe karo liyane kinerja lan fitur pesawat, nanging ing tingkat rega padha. Spesifikasi eksternal babagan interaksi ing pabrik wis disimpen kanthi lengkap. Ing wektu sing padha, ngisi internal wis rampung diganti: kaya refactoring, nanging kanggo hardware.
Carane Arsitektur Cisco ACI Works
Ing kasus sing paling gampang, ACI dibangun ing topologi jaringan Klose, utawa, kaya sing asring diarani, Spine-Leaf. Ngalih tingkat spine bisa saka loro (utawa siji, yen kita ora Care babagan toleransi fault) kanggo enem. Patut, liyane saka wong-wong mau, sing luwih dhuwur toleransi fault (ing ngisor bandwidth lan nyuda linuwih ing cilik saka Laka utawa pangopènan siji Spine) lan kinerja sakabèhé. Kabeh sambungan eksternal menyang switch tingkat godhong: iki minangka server, lan docking karo jaringan eksternal liwat L2 utawa L3, lan nyambungake pengontrol APIC. Umumé, kanthi ACI, ora mung konfigurasi, nanging uga koleksi statistik, ngawasi kegagalan, lan liya-liyane - kabeh wis rampung liwat antarmuka pengontrol, sing ana telu ing implementasine ukuran standar.
Sampeyan ora kudu nyambung menyang ngalih karo console, malah kanggo miwiti jaringan: controller dhewe ndeteksi ngalih lan ngrakit pabrik saka wong-wong mau, kalebu setelan kabeh protokol layanan, mulane, ing cara, iku penting banget kanggo nulis mudhun nomer serial saka peralatan diinstal sak instalasi, supaya mengko sampeyan ora kudu guess ngalih kang dumunung ing rak. Kanggo ngatasi masalah, yen perlu, sampeyan bisa nyambung menyang ngalih liwat SSH: padha ngasilaken Cisco biasanipun printah show cukup kasebut kanthi teliti,.
Sacara internal, pabrik kasebut nggunakake transportasi IP, saengga ora ana Spanning Tree lan horor liyane ing jaman kepungkur: kabeh pranala melu, lan konvergensi yen gagal cepet banget. Lalu lintas ing kain ditularake liwat terowongan adhedhasar VXLAN. Luwih tepat, Cisco dhewe nelpon encapsulation iVXLAN, lan iku bedo saka VXLAN biasa ing kothak reserved ing header jaringan digunakake kanggo ngirim informasi layanan, utamané bab hubungan lalu lintas kanggo grup EPG. Iki ngidini sampeyan ngleksanakake aturan interaksi antarane klompok ing peralatan, nggunakake nomer ing cara sing padha alamat digunakake ing dhaptar akses biasa.
Tunnel ngidini loro segmen L2 lan segmen L3 (yaiku VRF) bisa digawe dowo liwat transportasi IP internal. Ing kasus iki, gateway standar disebarake. Iki tegese saben ngalih tanggung jawab kanggo nuntun lalu lintas menyang kain. Ing babagan logika arus lalu lintas, ACI mirip karo kain VXLAN/EVPN.
Yen mangkono, apa bedane? Kabeh liyane!
Bentenane nomer siji sing sampeyan temoni karo ACI yaiku kepiye server disambungake menyang jaringan. Ing jaringan tradisional, kalebu loro server fisik lan mesin virtual menyang VLANs, lan kabeh liyane njoget saka wong-wong mau: panyambungan, keamanan, etc.. Ing ACI, desain digunakake sing Cisco nelpon EPG (End-titik Group), saka kang. ora ana sing lunga. Apa iku bisa kanggo equate menyang VLAN? Ya, nanging ing kasus iki ana kasempatan kanggo ilang paling saka apa ACI menehi.
Babagan EPG, kabeh aturan akses dirumuske, lan ing ACI, prinsip "dhaftar putih" digunakake kanthi standar, yaiku, mung lalu lintas sing diidini, sing diidini kanthi jelas. Sing, kita bisa nggawe grup "Web" lan "MySQL" EPG lan netepake aturan sing ngidini komunikasi antarane wong-wong mau mung ing port 3306. Iki bakal bisa tanpa disambungake menyang alamat jaringan lan malah ing subnet padha!
Kita duwe pelanggan sing milih ACI kanthi tepat amarga fitur iki, amarga ngidini sampeyan mbatesi akses ing antarane server (virtual utawa fisik - ora masalah) tanpa nyeret ing antarane subnet, tegese tanpa ndemek alamat kasebut. Ya, ya, kita ngerti manawa ora ana sing menehi resep alamat IP ing konfigurasi aplikasi kanthi tangan, ta?
Aturan lalu lintas ing ACI diarani kontrak. Ing kontrak kasebut, siji utawa luwih klompok utawa level ing aplikasi multi-tier dadi panyedhiya layanan (umpamane, layanan database), liyane dadi konsumen. Kontrak mung bisa ngliwati lalu lintas, utawa bisa nindakake sing luwih angel, contone, ngarahake menyang firewall utawa balancer, lan uga ngganti nilai QoS.
Kepiye server mlebu menyang grup kasebut? Yen iki minangka server fisik utawa sing kalebu ing jaringan sing wis ana, sing nggawe batang VLAN, mula supaya bisa dilebokake ing EPG, sampeyan kudu nuding port switch lan VLAN sing digunakake. Nalika sampeyan bisa ndeleng, VLAN katon ing ngendi sampeyan ora bisa nindakake tanpa wong.
Yen server minangka mesin virtual, mula cukup kanggo ngrujuk menyang lingkungan virtualisasi sing disambungake, banjur kabeh bakal kelakon dhewe: grup port bakal digawe (ing syarat-syarat VMWare) kanggo nyambungake VM, VLAN utawa VXLAN sing perlu. diutus, padha bakal kedhaftar ing bandar ngalih perlu, etc.. Dadi, sanajan ACI dibangun watara jaringan fisik, sambungan kanggo server virtual katon luwih prasaja saka kanggo fisik. ACI wis duwe konektivitas sing dibangun karo VMWare lan MS Hyper-V, uga dhukungan kanggo OpenStack lan RedHat Virtualization. Saka sawetara titik, dhukungan sing dibangun kanggo platform wadhah uga katon: Kubernetes, OpenShift, Cloud Foundry, nanging uga ana gandhengane karo aplikasi kabijakan lan pemantauan, yaiku, administrator jaringan bisa langsung ndeleng host sing digunakake lan kang kelompok padha tiba menyang.
Saliyane kalebu ing grup port tartamtu, server virtual duwe properti tambahan: jeneng, atribut, lan liya-liyane, sing bisa digunakake minangka kritéria kanggo nransfer menyang grup liya, umpamane, nalika VM diganti jeneng utawa tag tambahan katon ing iku. Cisco nyebat kelompok mikro-segmentasi iki, sanajan, kanthi gedhe, desain kasebut kanthi kemampuan nggawe akeh segmen keamanan ing wangun EPG ing subnet sing padha uga minangka segmen mikro. Inggih, vendor luwih ngerti.
EPGs dhewe iku sejatine sifate logis mbangun, ora disambungake menyang ngalih tartamtu, server, etc., supaya sampeyan bisa nindakake iku karo wong-wong mau lan mbangun adhedhasar wong-wong mau (aplikasi lan tenant) sing angel kanggo nindakake ing jaringan biasa, kayata kloning. Akibaté, ayo ngomong gampang banget kanggo kloning lingkungan produksi supaya entuk lingkungan tes sing dijamin padha karo lingkungan produksi. Sampeyan bisa nindakake kanthi manual, nanging luwih apik (lan luwih gampang) liwat API.
Umumé, logika kontrol ing ACI ora padha karo sing biasane sampeyan temoni
ing jaringan tradisional saka Cisco padha: antarmuka lunak utami, lan GUI utawa CLI secondary, wiwit padha bisa liwat API padha. Mulane, meh kabeh wong sing melu ACI, sawise sawetara wektu, wiwit navigasi model obyek sing digunakake kanggo manajemen lan ngotomatisasi sing cocog karo kabutuhan. Cara paling gampang kanggo nindakake iki yaiku saka Python: ana alat siap digawe sing trep.
Janji rake
Masalah utama yaiku akeh perkara ing ACI sing ditindakake kanthi beda. Kanggo miwiti nggarap kanthi normal, sampeyan kudu nglatih maneh. Iki utamané bener kanggo tim operasi jaringan ing pelanggan gedhe, ngendi engineers wis "resep VLANs" kanggo taun ing request. Kasunyatan sing saiki VLAN ora VLAN maneh, lan sampeyan ora perlu kanggo nggawe VLANs dening tangan kanggo lay jaringan anyar ing sarwa dumadi virtualized, rampung jotosan gendheng mati networkers tradisional lan ndadekake wong cling cedhak menowo. Sampeyan kudu nyatet sing Cisco nyoba kanggo sweeten pil sethitik lan nambah "NXOS-kaya" CLI kanggo controller, sing ngijini sampeyan kanggo nindakake konfigurasi saka antarmuka padha ngalih tradisional. Nanging, kanggo miwiti nggunakake ACI biasane, sampeyan kudu ngerti cara kerjane.
Ing babagan rega, ing skala gedhe lan medium, jaringan ACI ora beda karo jaringan tradisional ing peralatan Cisco, amarga saklar sing padha digunakake kanggo mbangun (Nexus 9000 bisa digunakake ing ACI lan ing mode tradisional lan saiki dadi sing utama. "workhorse" kanggo proyek pusat data anyar). Nanging kanggo pusat data saka rong switch, anané pengontrol lan arsitektur Spine-Leaf, mesthine bisa dirasakake. Bubar, pabrik Mini ACI wis muncul, ing ngendi loro saka telung pengontrol diganti dening mesin virtual. Iki nyuda prabédan ing biaya, nanging isih tetep. Dadi kanggo pelanggan, pilihan kasebut ditemtokake dening carane dheweke kasengsem ing fitur keamanan, integrasi karo virtualisasi, titik kontrol siji, lan liya-liyane.
Source: www.habr.com