An de leschte Joren huet Cisco aktiv eng nei Architektur gefördert fir en Datenübertragungsnetz am Rechenzentrum ze bauen - Application Centric Infrastructure (oder ACI). Verschiddener kennen et schonn. An e puer et fäerdeg bruecht et an hiren Entreprisen ëmzesetzen, och a Russland. Wéi och ëmmer, fir déi meescht IT Fachleit an IT Manager ass ACI ëmmer nach entweder en obskur Akronym oder just eng Reflexioun iwwer d'Zukunft.
An dësem Artikel wäerte mir probéieren dës Zukunft méi no ze bréngen. Fir dëst ze maachen, wäerte mir iwwer d'Haaptarchitektonesch Komponente vun ACI schwätzen, an och illustréieren wéi et an der Praxis benotzt ka ginn. Donieft organiséiere mir an nächster Zukunft eng visuell Demonstratioun vum ACI, op déi all interesséiert IT Spezialist sech kann umellen.
Dir kënnt méi iwwer déi nei Netzwierkarchitektur zu Sankt Petersburg am Mee 2019 léieren. All Detailer sinn an . Umellen!
Virgeschicht
Den traditionellen a populärste Netzwierkkonstruktiounsmodell ass en dräi-Niveau hierarchesche Modell: Kär -> Verdeelung (Aggregatioun) -> Zougang. Fir vill Jore war dëse Modell de Standard; Hiersteller produzéiert verschidde Netzwierkapparater mat der passender Funktionalitéit dofir.
Virdrun, wann d'Informatiounstechnologie eng Zort néideg (an, éierlech gesot, net ëmmer gewënschte) Anhang zum Geschäft war, war dëse Modell praktesch, ganz statesch an zouverlässeg. Wéi och ëmmer, elo datt IT ee vun de Chauffeuren vun der Geschäftsentwécklung ass, an a ville Fäll d'Geschäft selwer, huet d'statesch Natur vun dësem Modell ugefaang grouss Problemer ze verursaachen.
Modern Geschäft generéiert eng grouss Zuel vu verschiddene komplexen Ufuerderunge fir Netzwierkinfrastruktur. Den Erfolleg vum Geschäft hänkt direkt vum Timing vun der Ëmsetzung vun dësen Ufuerderungen of. Verzögerung an esou Konditiounen ass inakzeptabel, an de klassesche Modell vum Netzbau erlaabt et dacks net all Geschäftsbedürfnisser fristgerecht ze erfëllen.
Zum Beispill, d'Entstoe vun enger neier komplexer Geschäftsapplikatioun erfuerdert Netzwierkadministrateuren eng grouss Unzuel vun ähnlechen Routine-Operatiounen op enger grousser Zuel vu verschiddene Netzwierkapparater op verschiddene Niveauen auszeféieren. Zousätzlech zu Zäitopwänneg, erhéicht et och de Risiko fir e Feeler ze maachen, wat zu eeschten Ënnerbriechungen vun IT-Servicer an, als Resultat, finanzielle Verloscht féiere kann.
D'Wurzel vum Problem ass net emol d'Deadline selwer oder d'Komplexitéit vun den Ufuerderungen. D'Tatsaach ass datt dës Ufuerderunge vun der Sprooch vun de Geschäftsapplikatiounen an d'Sprooch vun der Netzwierkinfrastruktur musse "iwwersat" ginn. Wéi Dir wësst, ass all Iwwersetzung ëmmer e partielle Sënnsverloscht. Wann de Besëtzer vun der Applikatioun iwwer d'Logik vu senger Applikatioun schwätzt, versteet den Netzwierkadministrator eng Rei vu VLANs, Zougangslëschten op Dosende vun Apparater déi ënnerstëtzt, aktualiséiert an dokumentéiert musse ginn.
Déi cumuléiert Erfahrung a konstant Kommunikatioun mat Clienten erlaabt Cisco nei Prinzipien ze designen an ëmzesetzen fir e Bau vun engem Datenzenter Datenübertragungsnetz, deen modernen Trends entsprécht a baséieren, éischtens, op der Logik vu Geschäftsapplikatiounen. Dofir den Numm - Application Centric Infrastructure.
ACI Architektur.
Et ass am korrektsten d'ACI Architektur net vun der kierperlecher Säit ze berücksichtegen, mee vun der logescher Säit. Et baséiert op engem Modell vun automatiséierter Politik, d'Objete vun deenen um Top-Niveau an de folgende Komponenten ënnerdeelt kënne ginn:
- Netzwierk baséiert op Nexus Schalter.
- APIC Controller Cluster;
- Applikatioun Profiler;
Loosst eis all Niveau méi am Detail kucken - a mir wäerte vun einfach op komplex plënneren.
Netzwierk baséiert op Nexus Schalter
D'Netzwierk an enger ACI Fabréck ass ähnlech wéi den traditionellen hierarchesche Modell, awer et ass vill méi einfach ze bauen. De Leaf-Spine Modell gëtt benotzt fir d'Netz ze organiséieren, wat eng allgemeng akzeptéiert Approche fir d'Ëmsetzung vun nächste Generatioun Netzwierker ginn ass. Dëse Modell besteet aus zwee Niveauen: Spin a Leaf, respektiv.
De Spine Niveau ass nëmme verantwortlech fir d'Leeschtung. D'Gesamtleistung vu Spine Switches ass gläich wéi d'Performance vum ganze Stoff, sou datt Schalter mat 40G oder méi héich Ports op dësem Niveau benotzt ginn.
Wirbelschalter verbannen mat all Schalter op den nächsten Niveau: Blatschalter, mat deenen d'Endhost verbonne sinn. D'Haaptroll vu Leaf Schalter ass Portkapazitéit.
Also, Skaléierungsprobleemer ginn liicht geléist: wa mir de Stoffduerchgang musse erhéijen, addéiere mir Spine Switches, a wa mir d'Portkapazitéit erhéijen mussen, addéiere mir Leaf.
Fir béid Niveauen benotzt Cisco Nexus 9000 Serie Schalter, déi fir Cisco den Haaptinstrument sinn fir Datenzenternetzwierker ze bauen, onofhängeg vun hirer Architektur. Fir d'Wirbelschicht ginn Nexus 9300 oder Nexus 9500 Schalter benotzt, a fir Leaf nëmmen Nexus 9300.
D'Modellpalette vun Nexus Schalter, déi an der ACI Fabréck benotzt ginn, gëtt an der Figur hei ënnen gewisen.
APIC (Application Policy Infrastructure Controller) Controller Cluster
APIC Controller si spezialiséiert physesch Serveren, wärend fir kleng Implementatiounen et méiglech ass e Cluster vun engem kierperlechen APIC Controller an zwee virtuellen ze benotzen.
APIC Controller bidden Kontroll- an Iwwerwaachungsfunktiounen. Déi wichteg Saach ass datt d'Controller ni un den Datentransfer deelhuelen, dat heescht, och wann all Cluster Controller versoen, wäert dëst guer net d'Stabilitéit vum Netz beaflossen. Et sollt och bemierkt ginn datt mat der Hëllef vun APICs den Administrateur absolut all physesch a logesch Ressourcen vun der Fabréck geréiert, a fir all Ännerungen ze maachen, ass et net méi néideg fir mat engem bestëmmten Apparat ze verbannen, well ACI benotzt eng eenzege Kontrollpunkt.
Loosst eis elo op ee vun den Haaptkomponenten vun ACI plënneren - Applikatiounsprofile.
Applikatioun Network Profil ass déi logesch Basis vun ACI. Et sinn Applikatiounsprofile déi Interaktiounspolitik tëscht all Netzwierksegmenter definéieren an d'Netzsegmenter selwer beschreiwen. ANP erlaabt Iech aus der kierperlecher Schicht ze abstrakt an tatsächlech virzestellen wéi Dir Interaktioun tëscht verschiddenen Netzwierksegmenter aus enger Applikatiounssiicht muss organiséieren.
En Applikatiounsprofil besteet aus Verbindungsgruppen (Endpunktgruppen - EPG). Eng Verbindungsgrupp ass eng logesch Grupp vu Hosten (virtuell Maschinnen, physesch Serveren, Container, etc.) déi am selwechte Sécherheetssegment sinn (net Netzwierk, mee Sécherheet). D'Enn Hosten, déi zu engem bestëmmte EPG gehéieren, kënnen duerch eng grouss Zuel vu Critèren bestëmmt ginn. Déi folgend sinn allgemeng benotzt:
- Kierperlech Hafen
- Logesche Port (Portgrupp um virtuelle Schalter)
- VLAN ID oder VXLAN
- IP Adress oder IP Subnet
- Server Attributer (Numm, Standuert, OS Versioun, etc.)
Fir d'Interaktioun vu verschiddenen EPGs gëtt eng Entitéit genannt Kontrakter geliwwert. De Kontrakt definéiert d'Relatioun tëscht de verschiddene EPGs. An anere Wierder, de Kontrakt definéiert wat Service eng EPG gëtt zu engem aneren EPG. Zum Beispill kreéiere mir e Kontrakt deen den Traffic iwwer den HTTPS Protokoll fléisst. Als nächst konnektéiere mir mat dësem Kontrakt, zum Beispill EPG Web (eng Grupp vu Webserver) an EPG App (eng Grupp vun Applikatiounsserveren), duerno kënnen dës zwou Terminalgruppen Traffic iwwer den HTTPS-Protokoll austauschen.
D'Figur ënnendrënner beschreift e Beispill vun engem Ariichten Kommunikatioun tëscht verschiddene EPGs duerch Kontrakter bannent der selwechter ANP.
Et kann all Zuel vun Applikatioun Profiler bannent engem ACI Fabréck ginn. Zousätzlech sinn Kontrakter net un engem spezifesche Applikatiounsprofil gebonnen; Si kënnen (a solle) benotzt ginn fir EPGs a verschiddenen ANPs ze verbannen.
Tatsächlech gëtt all Applikatioun déi en Netzwierk an enger oder anerer Form erfuerdert, duerch säin eegene Profil beschriwwen. Zum Beispill weist d'Diagramm uewen d'Standardarchitektur vun enger dräistäckeg Applikatioun, besteet aus enger N Zuel vun externen Zougangsserver (Web), Applikatiounsserver (App) an DBMS Server (DB), a beschreift och d'Regele vun der Interaktioun tëscht hinnen. An enger traditioneller Netzwierkinfrastruktur wier dëst eng Rei vu Reegelen, déi iwwer déi verschidden Apparater an der Infrastruktur geschriwwe sinn. An der ACI Architektur beschreiwen mir dës Regelen bannent engem eenzege Applikatioun Profil. ACI, mat engem Applikatiounsprofil, mécht et vill méi einfach eng grouss Unzuel vun Astellungen op verschidden Apparater ze kreéieren andeems se all an engem eenzege Profil gruppéiere kënnen.
D'Bild hei ënnen weist e méi realistescht Beispill. E Microsoft Exchange Applikatiounsprofil aus multiple EPGs a Kontrakter gemaach.
Zentral Gestioun, Automatioun an Iwwerwaachung ass ee vun de Schlësselvirdeeler vun ACI. ACI Factory entléisst Administrateuren vun der langweileger Aarbecht fir eng grouss Zuel vu Regelen op verschidde Schalter, Router a Firewalls ze kreéieren (während déi klassesch manuell Konfiguratiounsmethod erlaabt ass a ka benotzt ginn). Astellunge fir Uwendungsprofiler an aner ACI Objete ginn automatesch am ganzen ACI Stoff applizéiert. Och wann kierperlech wiesselt Serveren op aner Häfen vun der Stoff Wiesselt, et ass net néideg Astellunge vun al Wiesselt op nei ze duplizéieren an onnéideg Regelen läschen. Baséierend op den EPG Memberschaftskriterien vum Host, wäert d'Fabréck dës Astellungen automatesch maachen an automatesch onbenotzt Regelen botzen.
Integréiert ACI Sécherheetspolitike ginn als Whitelists ëmgesat, dat heescht datt wat net explizit erlaabt ass par défaut verbueden ass. Zesumme mat der automatescher Aktualiséierung vun Netzwierkausrüstungskonfiguratiounen (Ewechhuele vun "vergiessene" onbenotzten Regelen a Permissiounen), erhéicht dës Approche wesentlech de Gesamtniveau vun der Netzwierksécherheet a schmuel d'Uewerfläch vun engem potenziellen Attack.
ACI erlaabt Iech Netzwierkinteraktioun net nëmme vu virtuelle Maschinnen a Behälter ze organiséieren, awer och vu kierperleche Serveren, Hardware Firewalls an Drëtt-Partei Netzwierkausrüstung, wat ACI am Moment eng eenzegaarteg Léisung mécht.
Dem Cisco seng nei Approche fir en Datennetz op Basis vun der Applikatiounslogik ze bauen ass net nëmmen iwwer Automatisatioun, Sécherheet an zentraliséiert Gestioun. Et ass och e modernt horizontal skalierbare Netzwierk dat all Ufuerderunge vum modernen Geschäft entsprécht.
D'Ëmsetzung vun enger Netzwierkinfrastruktur baséiert op ACI erlaabt all Departementer vun der Entreprise déi selwecht Sprooch ze schwätzen. Den Administrateur gëtt nëmmen duerch d'Logik vun der Applikatioun guidéiert, déi déi erfuerderlech Regelen a Verbindungen beschreift. Wéi och d'Logik vun der Applikatioun, ginn d'Besëtzer an d'Entwéckler vun der Applikatioun, den Informatiounssécherheetsservice, Economisten a Geschäftsbesëtzer dovun guidéiert.
Sou setzt Cisco d'Konzept vun engem Datenzenternetz vun der nächster Generatioun ëm. Wëllt Dir dëst selwer gesinn? Kommt op d'Demonstratioun Applikatioun Centric Infrastruktur zu Sankt Petersburg a schafft elo mam Datenzenternetz vun der Zukunft.
Dir kënnt Iech fir d'Evenement umellen .
Source: will.com