Соңғы бірнеше жылда Cisco деректер орталығында деректерді беру желісін құрудың жаңа архитектурасын белсенді түрде алға жылжытуда - Қолданбаға бағытталған инфрақұрылым (немесе ACI). Кейбіреулер онымен бұрыннан таныс. Кейбіреулер оны өз кәсіпорындарында, соның ішінде Ресейде де енгізе алды. Дегенмен, көптеген АТ мамандары мен АТ менеджерлері үшін ACI әлі де түсініксіз аббревиатура немесе болашақ туралы ой ғана болып табылады.
Бұл мақалада біз осы болашақты жақындатуға тырысамыз. Ол үшін біз ACI негізгі архитектуралық құрамдастары туралы сөйлесеміз, сонымен қатар оны іс жүзінде қалай қолдануға болатынын көрсетеміз. Сонымен қатар, жақын арада біз кез келген қызығушылық танытқан АТ маманы жазыла алатын ACI көрнекі көрсетілімін ұйымдастырамыз.
2019 жылдың мамыр айында Санкт-Петербургтегі жаңа желі архитектурасы туралы көбірек біле аласыз. Барлық мәліметтер көрсетілген . Тіркелу!
тарихын
Желіні құрудың дәстүрлі және ең танымал моделі үш деңгейлі иерархиялық модель болып табылады: негізгі -> тарату (агрегация) -> қол жеткізу. Көптеген жылдар бойы бұл модель стандарт болды, өндірушілер оған сәйкес функционалдығы бар әртүрлі желілік құрылғыларды шығарды.
Бұрын ақпараттық технологиялар бизнеске қажетті (және, шынын айтқанда, әрқашан қажет емес) қосымша болған кезде, бұл модель ыңғайлы, өте статикалық және сенімді болды. Дегенмен, қазір IT бизнесті дамытудың драйверлерінің бірі болып табылады және көп жағдайда бизнестің өзі бұл модельдің статикалық сипаты үлкен проблемаларды тудырды.
Заманауи бизнес желілік инфрақұрылымға әртүрлі күрделі талаптардың үлкен санын тудырады. Кәсіпорынның табысты болуы осы талаптардың орындалу мерзіміне тікелей байланысты. Мұндай жағдайларда кешіктіруге жол берілмейді және желі құрылысының классикалық моделі көбінесе бизнестің барлық қажеттіліктерін уақтылы қанағаттандыруға мүмкіндік бермейді.
Мысалы, жаңа күрделі іскерлік қосымшаның пайда болуы желі әкімшілерінен әртүрлі деңгейлердегі әртүрлі желілік құрылғылардың үлкен санында ұқсас әдеттегі операциялардың үлкен санын орындауды талап етеді. Бұл уақытты қажет етумен қатар, қате жіберу қаупін арттырады, бұл АТ-қызметтерінің елеулі тоқтап қалуына және нәтижесінде қаржылық шығынға әкелуі мүмкін.
Мәселенің түбірі тіпті мерзімдердің өзінде де, талаптардың күрделілігінде де емес. Бұл талаптарды бизнес-қосымшалар тілінен желілік инфрақұрылым тіліне «аудару» қажет. Өздеріңіз білетіндей, кез келген аударма әрқашан мағынаның ішінара жоғалуы болып табылады. Қолданба иесі өз қолданбасының логикасы туралы айтқанда, желі әкімшісі қолдау көрсету, жаңарту және құжаттандыру қажет ондаған құрылғылардағы VLAN, Access тізімдерінің жиынтығын түсінеді.
Жиналған тәжірибе және тұтынушылармен тұрақты байланыс Cisco-ға заманауи трендтерге жауап беретін және ең алдымен бизнес-қосымшалардың логикасына негізделген деректер орталығының деректерін беру желісін құрудың жаңа принциптерін әзірлеуге және енгізуге мүмкіндік берді. Сондықтан бұл атау – Қолданбалы орталық инфрақұрылым.
ACI архитектурасы.
ACI архитектурасын физикалық жағынан емес, логикалық жағынан қарастырған дұрыс. Ол автоматтандырылған саясат үлгісіне негізделген, оның объектілерін жоғарғы деңгейде келесі құрамдас бөліктерге бөлуге болады:
- Nexus қосқыштарына негізделген желі.
- APIC контроллер кластері;
- Қолданба профильдері;
Әр деңгейді толығырақ қарастырайық - және біз қарапайымнан күрделіге көшеміз.
Nexus қосқыштарына негізделген желі
ACI зауытындағы желі дәстүрлі иерархиялық үлгіге ұқсас, бірақ оны құру әлдеқайда оңай. Leaf-Spine моделі желіні ұйымдастыру үшін пайдаланылады, ол келесі буын желілерін енгізудің жалпы қабылданған тәсілі болды. Бұл модель екі деңгейден тұрады: сәйкесінше омыртқа және жапырақ.
Омыртқа деңгейі тек өнімділікке жауап береді. Spine қосқыштарының жалпы өнімділігі бүкіл матаның өнімділігіне тең, сондықтан осы деңгейде 40G немесе одан жоғары порттары бар қосқыштарды пайдалану керек.
Омыртқа қосқыштары келесі деңгейдегі барлық қосқыштарға қосылады: соңғы хосттар қосылған жапырақты қосқыштар. Leaf коммутаторларының негізгі рөлі порт сыйымдылығы болып табылады.
Осылайша, масштабтау мәселелері оңай шешіледі: матаның өткізу қабілетін арттыру қажет болса, біз Spine қосқыштарын қосамыз, ал порт сыйымдылығын арттыру қажет болса, біз Leaf қосамыз.
Екі деңгей үшін де Cisco Nexus 9000 сериялы қосқыштар пайдаланылады, олар Cisco үшін архитектурасына қарамастан деректер орталығының желілерін құрудың негізгі құралы болып табылады. Омыртқа қабаты үшін Nexus 9300 немесе Nexus 9500 қосқыштары, ал Leaf үшін тек Nexus 9300 пайдаланылады.
ACI зауытында қолданылатын Nexus қосқыштарының үлгі ауқымы төмендегі суретте көрсетілген.
APIC (Application Policy Infrastructure Controller) контроллер кластері
APIC контроллерлері мамандандырылған физикалық серверлер болып табылады, ал кішігірім енгізулер үшін бір физикалық APIC контроллерінің және екі виртуалды кластерді пайдалануға болады.
APIC контроллерлері басқару және бақылау функцияларын қамтамасыз етеді. Ең бастысы, контроллерлер ешқашан деректерді тасымалдауға қатыспайды, яғни барлық кластерлік контроллерлер сәтсіз болса да, бұл желінің тұрақтылығына мүлдем әсер етпейді. Сондай-ақ, APIC көмегімен әкімші зауыттың барлық физикалық және логикалық ресурстарын басқаратынын және қандай да бір өзгертулер енгізу үшін енді белгілі бір құрылғыға қосылудың қажеті жоқ екенін атап өткен жөн, өйткені ACI пайдаланады бір бақылау нүктесі.
Енді ACI негізгі құрамдастарының бірі – қолданбалы профильдерге көшейік.
Қолданба желісі профилі ACI логикалық негізі болып табылады. Бұл барлық желі сегменттері арасындағы өзара әрекеттесу саясатын анықтайтын және желі сегменттерінің өзін сипаттайтын қолданба профильдері. ANP физикалық деңгейден абстракциялауға мүмкіндік береді және шын мәнінде қолданбалы көзқарас тұрғысынан әртүрлі желі сегменттері арасындағы өзара әрекеттесуді қалай ұйымдастыру керек екенін елестетуге мүмкіндік береді.
Қолданба профилі қосылым топтарынан тұрады (Соңғы нүкте топтары - EPG). Қосылу тобы – бір қауіпсіздік сегментінде (желі емес, қауіпсіздік) орналасқан хосттардың (виртуалды машиналар, физикалық серверлер, контейнерлер және т.б.) логикалық тобы. Белгілі бір EPG-ге жататын соңғы хосттарды көптеген критерийлер арқылы анықтауға болады. Төмендегілер жиі қолданылады:
- Физикалық порт
- Логикалық порт (виртуалды қосқыштағы порт тобы)
- VLAN ID немесе VXLAN
- IP мекенжайы немесе IP ішкі желі
- Сервер атрибуттары (аты, орны, ОЖ нұсқасы және т.б.)
Әртүрлі EPG өзара әрекеттесуі үшін келісімшарттар деп аталатын нысан қарастырылған. Келісімшарт әртүрлі EPG арасындағы қатынасты анықтайды. Басқаша айтқанда, келісім-шарт бір EPG басқа EPG-ге қандай қызмет көрсететінін анықтайды. Мысалы, трафиктің HTTPS протоколы арқылы өтуіне мүмкіндік беретін келісім-шарт жасаймыз. Әрі қарай, біз осы келісімшартқа қосыламыз, мысалы, EPG Web (веб-серверлер тобы) және EPG App (қолданбалы серверлер тобы), содан кейін осы екі терминал тобы HTTPS протоколы арқылы трафикті алмаса алады.
Төмендегі суретте бір ANP ішіндегі келісімшарттар арқылы әртүрлі EPG арасындағы байланысты орнату мысалы сипатталған.
ACI зауытында қолданба профильдерінің кез келген саны болуы мүмкін. Сонымен қатар, келісім-шарттар белгілі бір қолданба профиліне байланысты емес; олар әртүрлі ANP-де EPG қосу үшін пайдаланылуы мүмкін (және қажет).
Шындығында, желіні бір немесе басқа пішінде қажет ететін әрбір қолданба өз профилімен сипатталады. Мысалы, жоғарыдағы диаграмма N сыртқы қол жеткізу серверлерінің (Веб), қолданба серверлерінің (App) және ДҚБЖ серверлерінің (DB) санынан тұратын үш деңгейлі қосымшаның стандартты архитектурасын көрсетеді, сонымен қатар өзара әрекеттесу ережелерін сипаттайды. олар. Дәстүрлі желілік инфрақұрылымда бұл инфрақұрылымдағы әртүрлі құрылғыларда жазылған ережелер жиынтығы болады. ACI архитектурасында біз бұл ережелерді бір қолданба профилінде сипаттаймыз. ACI қолданба профилін пайдалана отырып, олардың барлығын бір профильге топтастыру арқылы әртүрлі құрылғыларда параметрлердің көп санын жасауды әлдеқайда жеңілдетеді.
Төмендегі суретте нақтырақ мысал көрсетілген. Бірнеше EPG және келісімшарттардан жасалған Microsoft Exchange қолданбасының профилі.
Орталық басқару, автоматтандыру және бақылау ACI негізгі артықшылықтарының бірі болып табылады. ACI Factory әкімшілерді әртүрлі қосқыштарда, маршрутизаторларда және брандмауэрлерде ережелердің үлкен санын жасаудың жалықтырмайтын жұмыстарынан босатады (бұл ретте қолмен конфигурациялаудың классикалық әдісі рұқсат етілген және пайдалануға болады). Қолданба профильдері мен басқа ACI нысандарының параметрлері автоматты түрде ACI матасында қолданылады. Тіпті серверлерді мата қосқыштарының басқа порттарына физикалық түрде ауыстырған кезде де, ескі қосқыштардан жаңасына параметрлерді көшіру және қажет емес ережелерді жою қажет емес. Хосттың EPG мүшелік критерийлеріне сүйене отырып, зауыт бұл параметрлерді автоматты түрде жасайды және пайдаланылмаған ережелерді автоматты түрде тазартады.
Біріктірілген ACI қауіпсіздік саясаттары ақ тізімдер ретінде жүзеге асырылады, яғни әдепкі бойынша анық рұқсат етілмеген нәрсеге тыйым салынады. Желілік жабдық конфигурацияларын автоматты түрде жаңартумен («ұмытылған» пайдаланылмаған ережелер мен рұқсаттарды жою) бірге бұл тәсіл желі қауіпсіздігінің жалпы деңгейін айтарлықтай арттырады және ықтимал шабуылдың бетін тарылтады.
ACI виртуалды машиналар мен контейнерлердің ғана емес, сонымен қатар физикалық серверлердің, аппараттық брандмауэрлердің және үшінші тарап желілік жабдықтарының желілік өзара әрекеттесуін ұйымдастыруға мүмкіндік береді, бұл қазіргі уақытта ACI бірегей шешімге айналдырады.
Cisco-ның қолданбалы логикаға негізделген деректер желісін құрудағы жаңа тәсілі тек автоматтандыруға, қауіпсіздікке және орталықтандырылған басқаруға қатысты емес. Бұл сонымен қатар заманауи бизнестің барлық талаптарына жауап беретін заманауи көлденең масштабталатын желі.
ACI негізіндегі желілік инфрақұрылымды енгізу кәсіпорынның барлық бөлімшелеріне бір тілде сөйлеуге мүмкіндік береді. Әкімші тек қажетті ережелер мен қосылымдарды сипаттайтын қосымшаның логикасын басшылыққа алады. Қосымшаның логикасы сияқты, қосымшаның иелері мен әзірлеушілері, ақпараттық қауіпсіздік қызметі, экономистер мен бизнес иелері оны басшылыққа алады.
Осылайша, Cisco келесі ұрпақ деректер орталығы желісінің тұжырымдамасын тәжірибеге енгізуде. Мұны өзіңіз көргіңіз келе ме? Демонстрацияға келіңіз Қолданбаға бағытталған инфрақұрылым Санкт-Петербургте және қазір болашақтың деректер орталығының желісімен жұмыс жасаңыз.
Іс-шараға тіркелуге болады .
Ақпарат көзі: www.habr.com