Lietojumprogrammu orientēta infrastruktūra. Nākotnes tīkla arhitektūra – no spekulācijām līdz darbībai

Dažu pēdējo gadu laikā Cisco ir aktīvi popularizējis jaunu arhitektūru datu pārraides tīkla izveidei datu centrā - Lietojumprogramma orientēta infrastruktūra (vai ACI). Daži ar to jau ir pazīstami. Un dažiem pat izdevās to ieviest savos uzņēmumos, tostarp Krievijā. Tomēr lielākajai daļai IT speciālistu un IT vadītāju ACI joprojām ir vai nu neskaidrs akronīms, vai tikai nākotnes pārdomas.
Šajā rakstā mēs centīsimies tuvināt šo nākotni. Lai to izdarītu, mēs runāsim par galvenajām ACI arhitektūras sastāvdaļām, kā arī ilustrēsim, kā to var izmantot praksē. Turklāt tuvākajā laikā organizēsim ACI vizuālo demonstrāciju, uz kuru var pieteikties ikviens interesents IT speciālists.

Vairāk par jauno tīkla arhitektūru varat uzzināt Sanktpēterburgā 2019. gada maijā. Visas detaļas ir iekšā saite. Pierakstīties!

Aizvēsture
Tradicionālais un populārākais tīkla veidošanas modelis ir trīs līmeņu hierarhiskais modelis: kodols -> izplatīšana (apkopošana) -> piekļuve. Daudzus gadus šis modelis bija standarts, ražotāji ražoja dažādas tīkla ierīces ar tam atbilstošu funkcionalitāti.
Iepriekš, kad informācijas tehnoloģijas bija sava veida nepieciešams (un, atklāti sakot, ne vienmēr vēlamais) biznesa papildinājums, šis modelis bija ērts, ļoti statisks un uzticams. Taču tagad, kad IT ir viens no biznesa attīstības virzītājiem un daudzos gadījumos arī pats bizness, šī modeļa statiskais raksturs ir sācis radīt lielas problēmas.

Mūsdienu bizness rada lielu skaitu dažādu sarežģītu prasību tīkla infrastruktūrai. Uzņēmējdarbības veiksme ir tieši atkarīga no šo prasību īstenošanas laika. Kavēšanās šādos apstākļos ir nepieņemama, un klasiskais tīklu izbūves modelis bieži vien neļauj laikus apmierināt visas biznesa vajadzības.

Piemēram, jaunas sarežģītas biznesa lietojumprogrammas parādīšanās prasa, lai tīkla administratori veiktu lielu skaitu līdzīgu ikdienas darbību daudzās dažādās tīkla ierīcēs dažādos līmeņos. Papildus tam, ka tas ir laikietilpīgs, tas arī palielina kļūdu iespējamību, kas var izraisīt nopietnu IT pakalpojumu dīkstāvi un līdz ar to arī finansiālus zaudējumus.

Problēmas pamatā nav pat paši termiņi vai prasību sarežģītība. Fakts ir tāds, ka šīs prasības ir “jāpārtulko” no biznesa lietojumprogrammu valodas uz tīkla infrastruktūras valodu. Kā zināms, jebkurš tulkojums vienmēr ir daļējs nozīmes zaudējums. Kad lietojumprogrammas īpašnieks runā par savas lietojumprogrammas loģiku, tīkla administrators saprot VLAN kopu, Access sarakstus desmitiem ierīču, kuras ir jāatbalsta, jāatjaunina un jādokumentē.

Uzkrātā pieredze un pastāvīgā komunikācija ar klientiem ļāva Cisco izstrādāt un ieviest jaunus mūsdienu tendencēm atbilstošus datu centra datu pārraides tīkla veidošanas principus, kuru pamatā, pirmkārt, ir biznesa aplikāciju loģika. Līdz ar to nosaukums - Application Centric Infrastructure.

ACI arhitektūra.
Vispareizāk ir aplūkot ACI arhitektūru nevis no fiziskās, bet gan loģiskās puses. Tas ir balstīts uz automatizētu politiku modeli, kura objektus augstākā līmenī var iedalīt šādos komponentos:

1. Tīkls, kura pamatā ir Nexus slēdži.
2. APIC kontrolleru klasteris;
3. Lietojumprogrammu profili;

Apskatīsim katru līmeni sīkāk - un mēs pāriesim no vienkārša uz sarežģītu.

Tīkls, kura pamatā ir Nexus slēdži
Tīkls ACI rūpnīcā ir līdzīgs tradicionālajam hierarhiskajam modelim, taču to ir daudz vienkāršāk izveidot. Tīkla organizēšanai tiek izmantots Leaf-Spine modelis, kas ir kļuvis par vispārpieņemtu pieeju nākamās paaudzes tīklu ieviešanai. Šis modelis sastāv no diviem līmeņiem: attiecīgi mugurkaula un lapas.

Mugurkaula līmenis ir atbildīgs tikai par veiktspēju. Kopējā Spine slēdžu veiktspēja ir vienāda ar visa auduma veiktspēju, tāpēc šajā līmenī ir jāizmanto slēdži ar 40G vai lielāku pieslēgvietu.
Mugurkaula slēdži savienojas ar visiem slēdžiem nākamajā līmenī: Lapu slēdži, kuriem ir pievienoti gala saimnieki. Leaf slēdžu galvenā loma ir portu ietilpība.

Tādējādi mērogošanas problēmas ir viegli atrisinātas: ja mums ir jāpalielina auduma caurlaidspēja, mēs pievienojam Spine slēdžus, un, ja mums ir nepieciešams palielināt porta jaudu, mēs pievienojam Leaf.
Abos līmeņos tiek izmantoti Cisco Nexus 9000 sērijas slēdži, kas Cisco ir galvenais rīks datu centru tīklu veidošanai neatkarīgi no to arhitektūras. Mugurkaula slānim tiek izmantoti Nexus 9300 vai Nexus 9500 slēdži, bet Leaf - tikai Nexus 9300.
ACI rūpnīcā izmantoto Nexus slēdžu modeļu klāsts ir parādīts zemāk esošajā attēlā.

APIC (Application Policy Infrastructure Controller) kontroliera klasteris
APIC kontrolleri ir specializēti fiziski serveri, savukārt nelielām implementācijām ir iespējams izmantot viena fiziskā APIC kontrollera un divu virtuālo klasteri.
APIC kontrolleri nodrošina vadības un uzraudzības funkcijas. Svarīgi ir tas, ka kontrolieri nekad nepiedalās datu pārsūtīšanā, tas ir, pat ja visi klasteru kontrolieri neizdodas, tas nekādi neietekmēs tīkla stabilitāti. Jāpiebilst arī, ka ar APIC palīdzību administrators pārvalda pilnīgi visus rūpnīcas fiziskos un loģiskos resursus un, lai veiktu kādas izmaiņas, vairs nav nepieciešams pieslēgties konkrētai ierīcei, jo ACI izmanto viens kontroles punkts.

Tagad pāriesim pie vienas no galvenajām ACI sastāvdaļām - lietojumprogrammu profiliem.
Lietojumprogrammas tīkla profils ir ACI loģiskais pamats. Lietojumprogrammu profili nosaka mijiedarbības politiku starp visiem tīkla segmentiem un apraksta pašus tīkla segmentus. ANP ļauj abstrahēties no fiziskā slāņa un faktiski iedomāties, kā jums ir jāorganizē mijiedarbība starp dažādiem tīkla segmentiem no lietojumprogrammas viedokļa.

Lietojumprogrammas profils sastāv no savienojumu grupām (Beigu punktu grupas — EPG). Savienojumu grupa ir loģiska resursdatoru grupa (virtuālās mašīnas, fiziskie serveri, konteineri utt.), kas atrodas vienā drošības segmentā (nevis tīkls, bet drošība). Gala saimniekdatorus, kas pieder konkrētai EPG, var noteikt pēc daudziem kritērijiem. Parasti tiek izmantoti šādi:

• Fiziskā osta
• Loģiskais ports (virtuālā slēdža portu grupa)
• VLAN ID vai VXLAN
• IP adrese vai IP apakštīkls
• Servera atribūti (nosaukums, atrašanās vieta, OS versija utt.)

Dažādu EPG mijiedarbībai tiek nodrošināta vienība, ko sauc par līgumiem. Līgums nosaka attiecības starp dažādām EPG. Citiem vārdiem sakot, līgums nosaka, kādu pakalpojumu viena EPG sniedz citai EPG. Piemēram, mēs izveidojam līgumu, kas ļauj datplūsmai plūst, izmantojot HTTPS protokolu. Tālāk mēs izveidojam savienojumu ar šo līgumu, piemēram, EPG Web (tīmekļa serveru grupa) un EPG App (lietojumprogrammu serveru grupa), pēc tam šīs divas termināļu grupas var apmainīties ar trafiku, izmantojot HTTPS protokolu.

Tālāk esošajā attēlā ir aprakstīts piemērs saziņas izveidei starp dažādām EPG, izmantojot līgumus viena ANP ietvaros.

ACI rūpnīcā var būt jebkurš lietojumprogrammu profilu skaits. Turklāt līgumi nav piesaistīti konkrētam lietojumprogrammas profilam; tos var (un vajadzētu) izmantot, lai savienotu EPG dažādos ANP.

Faktiski katra lietojumprogramma, kurai vienā vai otrā veidā ir nepieciešams tīkls, ir aprakstīta ar savu profilu. Piemēram, diagrammā ir parādīta trīs līmeņu lietojumprogrammas standarta arhitektūra, kas sastāv no N skaita ārējo piekļuves serveru (tīmeklis), lietojumprogrammu serveriem (lietotne) un DBVS serveriem (DB), kā arī apraksta mijiedarbības noteikumus starp viņiem. Tradicionālā tīkla infrastruktūrā tas būtu noteikumu kopums, kas rakstīts dažādās infrastruktūras ierīcēs. ACI arhitektūrā šie noteikumi tiek aprakstīti vienā lietojumprogrammas profilā. ACI, izmantojot lietojumprogrammu profilu, ļauj daudz vienkāršāk izveidot lielu skaitu iestatījumu dažādās ierīcēs, grupējot tos visus vienā profilā.
Zemāk redzamajā attēlā parādīts reālistiskāks piemērs. Microsoft Exchange lietojumprogrammas profils, kas izveidots no vairākiem EPG un līgumiem.

Centrālā pārvaldība, automatizācija un uzraudzība ir viena no galvenajām ACI priekšrocībām. ACI Factory atbrīvo administratorus no nogurdinošā darba, veidojot lielu skaitu noteikumu dažādiem slēdžiem, maršrutētājiem un ugunsmūriem (kamēr klasiskā manuālā konfigurēšanas metode ir atļauta un to var izmantot). Lietojumprogrammu profilu un citu ACI objektu iestatījumi tiek automātiski lietoti visā ACI struktūrā. Pat fiziski pārslēdzot serverus uz citiem auduma slēdžu portiem, nav nepieciešams dublēt iestatījumus no vecajiem slēdžiem uz jauniem un dzēst nevajadzīgos noteikumus. Pamatojoties uz saimniekdatora EPG dalības kritērijiem, rūpnīca automātiski veiks šos iestatījumus un automātiski notīrīs neizmantotos noteikumus.
Integrētās ACI drošības politikas tiek ieviestas kā baltie saraksti, kas nozīmē, ka tas, kas nav skaidri atļauts, pēc noklusējuma ir aizliegts. Kopā ar automātisku tīkla iekārtu konfigurāciju atjaunināšanu (noņemot “aizmirstos” neizmantotos noteikumus un atļaujas), šī pieeja ievērojami paaugstina kopējo tīkla drošības līmeni un sašaurina iespējamā uzbrukuma virsmu.

ACI ļauj organizēt ne tikai virtuālo mašīnu un konteineru, bet arī fizisko serveru, aparatūras ugunsmūru un trešo pušu tīkla iekārtu tīkla mijiedarbību, kas padara ACI par unikālu risinājumu šobrīd.
Cisco jaunā pieeja datu tīkla izveidei, pamatojoties uz lietojumprogrammu loģiku, nav saistīta tikai ar automatizāciju, drošību un centralizētu pārvaldību. Tas ir arī moderns horizontāli mērogojams tīkls, kas atbilst visām mūsdienu biznesa prasībām.
Uz ACI balstītas tīkla infrastruktūras ieviešana ļauj visiem uzņēmuma departamentiem runāt vienā valodā. Administrators vadās tikai pēc lietojumprogrammas loģikas, kurā aprakstīti nepieciešamie noteikumi un savienojumi. Kā arī pēc aplikācijas loģikas, pēc tās vadās aplikācijas īpašnieki un izstrādātāji, informācijas drošības dienests, ekonomisti un uzņēmumu īpašnieki.

Tādējādi Cisco īsteno nākamās paaudzes datu centru tīkla koncepciju. Vai vēlaties to redzēt pats? Nāc uz demonstrāciju Lietojumprogrammu orientēta infrastruktūra Sanktpēterburgā un strādāt ar nākotnes datu centru tīklu jau tagad.
Pasākumam var reģistrēties по ссылке.

Avots: www.habr.com