Izmantojot Å”o maÄ£isko Cisco ACI skripta daļu, varat Ätri iestatÄ«t tÄ«klu.
TÄ«kla rÅ«pnÄ«ca Cisco ACI datu centram pastÄv jau piecus gadus, bet HabrĆ© par to Ä«sti neko neteica, tÄpÄc nolÄmu to nedaudz labot. Es jums pastÄstÄ«Å”u no savas pieredzes, kas tas ir, kam tas ir noderÄ«gs un kur tam ir grÄbeklis.
Kas tas ir un no kurienes tas nÄca?
LÄ«dz brÄ«dim, kad 2013. gadÄ tika paziÅots par ACI (Application Centric Infrastructure), konkurenti attÄ«stÄ«ja tradicionÄlÄs pieejas datu centru tÄ«kliem no trim pusÄm vienlaikus.
No vienas puses, "pirmÄs paaudzes" SDN risinÄjumi, kuru pamatÄ ir OpenFlow, solÄ«ja tÄ«klus padarÄ«t elastÄ«gÄkus un vienlaikus lÄtÄkus. Ideja bija lÄmumu pieÅemÅ”anu, ko tradicionÄli veic ar patentÄtu slÄdžu programmatÅ«ru, pÄrvietot uz centrÄlo kontrolieri.
Å im kontrolierim bÅ«tu vienots redzÄjums par visu, kas notiek, un, pamatojoties uz to, tas programmÄtu visu slÄdžu aparatÅ«ru konkrÄtu plÅ«smu apstrÄdes noteikumu lÄ«menÄ«.
No otras puses, pÄrklÄjuma tÄ«kla risinÄjumi ļÄva ieviest nepiecieÅ”amÄs savienojamÄ«bas un droŔības politikas bez izmaiÅÄm fiziskajÄ tÄ«klÄ, veidojot programmatÅ«ras tuneļus starp virtualizÄtajiem resursdatoriem. VispazÄ«stamÄkais Ŕīs pieejas piemÄrs bija Nicira, kuru tobrÄ«d VMWare jau bija iegÄdÄjies par 1,26 miljardiem USD un kas radÄ«ja paÅ”reizÄjo VMWare NSX. Dažu pikantu situÄcijai pieŔķīra fakts, ka Nicira lÄ«dzdibinÄtÄji bija tie paÅ”i cilvÄki, kas iepriekÅ” stÄvÄja pie OpenFlow pirmsÄkumiem, tagad sakot, ka, lai uzbÅ«vÄtu datu centra rÅ«pnÄ«cu.
Un visbeidzot, atvÄrtajÄ tirgÅ« pieejamÄs komutÄcijas mikroshÄmas (ko sauc par tirdzniecÄ«bas silÄ«ciju) ir sasnieguÅ”as tÄdu brieduma pakÄpi, kad tÄs ir kļuvuÅ”as par reÄlu draudu tradicionÄlajiem slÄdžu ražotÄjiem. Ja agrÄk katrs pÄrdevÄjs patstÄvÄ«gi izstrÄdÄja mikroshÄmas saviem slÄdžiem, tad laika gaitÄ treÅ”o puÅ”u ražotÄju mikroshÄmas, galvenokÄrt no Broadcom, sÄka samazinÄt attÄlumu no pÄrdevÄja mikroshÄmÄm funkciju ziÅÄ un pÄrspÄja tos cenas / veiktspÄjas attiecÄ«bas ziÅÄ. TÄpÄc daudzi uzskatÄ«ja, ka viÅu paÅ”u izstrÄdÄto mikroshÄmu ieslÄgÅ”anas dienas ir skaitÄ«tas.
ACI ir kļuvusi par Cisco "asimetrisko atbildi" (precÄ«zÄk, tÄ Insieme uzÅÄmumu, kuru dibinÄja tÄ bijuÅ”ie darbinieki) uz visu iepriekÅ” minÄto.
KÄda ir atŔķirÄ«ba no OpenFlow?
Funkciju sadalÄ«juma ziÅÄ ACI faktiski ir pretÄjs OpenFlow.
OpenFlow arhitektÅ«rÄ kontrolieris ir atbildÄ«gs par detalizÄtu noteikumu (plÅ«smu) rakstÄ«Å”anu.
visu slÄdžu aparatÅ«rÄ, tas ir, lielÄ tÄ«klÄ, tas var bÅ«t atbildÄ«gs par desmitiem miljonu ierakstu uzturÄÅ”anu un, pats galvenais, mainÄ«Å”anu simtiem tÄ«kla punktu, tÄpÄc tÄ veiktspÄja un uzticamÄ«ba kļūst par vÄjo vietu liela Ä«stenoÅ”ana.
ACI izmanto apgriezto pieeju: protams, ir arÄ« kontrolieris, taÄu slÄdži no tÄ saÅem augsta lÄ«meÅa deklaratÄ«vÄs politikas, un pats slÄdzis veic to atveidoÅ”anu konkrÄtu aparatÅ«ras iestatÄ«jumu detaļÄs. Kontrolieri var pÄrstartÄt vai vispÄr izslÄgt, un tÄ«klam nekas slikts nenotiks, izÅemot, protams, kontroles trÅ«kumu Å”ajÄ brÄ«dÄ«. Interesanti, ka ACI ir situÄcijas, kurÄs OpenFlow joprojÄm tiek izmantots, bet lokÄli resursdatorÄ Open vSwitch programmÄÅ”anai.
ACI ir pilnÄ«bÄ veidota uz VXLAN balstÄ«ta pÄrklÄjuma transporta, bet ietver pamatÄ esoÅ”o IP transportÄÅ”anu kÄ daļu no viena risinÄjuma. Cisco to sauca par "integrÄtÄ pÄrklÄjuma" terminu. KÄ ACI pÄrklÄjumu beigu punkts vairumÄ gadÄ«jumu tiek izmantoti rÅ«pnÄ«cas slÄdži (tie to dara ar saites Ätrumu). Hostiem nekas nav jÄzina par rÅ«pnÄ«cu, iekapsulÄÅ”anu utt., tomÄr atseviŔķos gadÄ«jumos (piemÄram, lai savienotu OpenStack resursdatorus) uz tiem var atvest VXLAN trafiku.
PÄrklÄjumus ACI izmanto ne tikai elastÄ«gas savienojamÄ«bas nodroÅ”inÄÅ”anai caur transporta tÄ«klu, bet arÄ« metainformÄcijas pÄrsÅ«tÄ«Å”anai (to izmanto, piemÄram, droŔības politiku piemÄroÅ”anai).
Cisco mikroshÄmas no Broadcom iepriekÅ” izmantoja Nexus 3000. sÄrijas slÄdžos. Nexus 9000 saimÄ, kas Ä«paÅ”i izlaista ACI atbalstam, sÄkotnÄji tika ieviests hibrÄ«da modelis, ko sauca par Merchant+. SlÄdzis vienlaikus izmantoja gan jauno Broadcom Trident 2 mikroshÄmu, gan Cisco izstrÄdÄto papildu mikroshÄmu, kas Ä«steno visu ACI burvÄ«bu. AcÄ«mredzot tas ļÄva paÄtrinÄt produkta izlaiÅ”anu un samazinÄt slÄdža cenu lÄ«dz lÄ«menim, kas tuvu modeļiem, kas vienkÄrÅ”i balstÄ«ti uz Trident 2. Ar Å”o pieeju pietika pirmajiem diviem vai trim ACI piegÄdes gadiem. Å ajÄ laikÄ Cisco izstrÄdÄja un laida klajÄ nÄkamÄs paaudzes Nexus 9000 ar savÄm mikroshÄmÄm ar lielÄku veiktspÄju un funkciju komplektu, taÄu tajÄ paÅ”Ä cenu lÄ«menÄ«. ÄrÄjÄs specifikÄcijas attiecÄ«bÄ uz mijiedarbÄ«bu rÅ«pnÄ«cÄ ir pilnÄ«bÄ saglabÄtas. TajÄ paÅ”Ä laikÄ ir pilnÄ«bÄ mainÄ«jies iekÅ”Äjais pildÄ«jums: kaut kas lÄ«dzÄ«gs pÄrstrukturÄÅ”anai, bet aparatÅ«rai.
KÄ darbojas Cisco ACI arhitektÅ«ra
VienkÄrÅ”ÄkajÄ gadÄ«jumÄ ACI ir veidota uz Klose tÄ«kla topoloÄ£ijas jeb, kÄ mÄdz teikt, Spine-Leaf. Mugurkaula lÄ«meÅa slÄdži var bÅ«t no diviem (vai viens, ja mums nerÅ«p kļūdu tolerance) lÄ«dz seÅ”iem. AttiecÄ«gi, jo vairÄk to, jo augstÄka ir kļūdu tolerance (jo mazÄks ir joslas platums un uzticamÄ«bas samazinÄÅ”anÄs avÄrijas vai viena mugurkaula apkopes gadÄ«jumÄ) un kopÄjÄ veiktspÄja. Visi ÄrÄjie savienojumi tiek novirzÄ«ti uz lapu lÄ«meÅa slÄdžiem: tie ir serveri un dokstacijas ar ÄrÄjiem tÄ«kliem, izmantojot L2 vai L3, un savienojoÅ”ie APIC kontrolleri. KopumÄ ar ACI tiek veikta ne tikai konfigurÄcija, bet arÄ« statistikas apkopoÅ”ana, kļūmju uzraudzÄ«ba un tÄ tÄlÄk - viss tiek darÄ«ts caur kontrolieru saskarni, kuru standarta izmÄra implementÄcijÄs ir trÄ«s.
Jums nekad nav jÄpieslÄdzas pie slÄdžiem ar konsoli, pat lai palaistu tÄ«klu: kontrolieris pats nosaka slÄdžus un saliek no tiem rÅ«pnÄ«cu, ieskaitot visu servisa protokolu iestatÄ«jumus, tÄpÄc, starp citu, ir ļoti svarÄ«gi uzstÄdÄ«Å”anas laikÄ pierakstiet uzstÄdÄmÄs iekÄrtas sÄrijas numurus, lai vÄlÄk nebÅ«tu jÄmin, kurÅ” slÄdzis kurÄ statÄ«vÄ atrodas. ProblÄmu novÄrÅ”anai, ja nepiecieÅ”ams, varat izveidot savienojumu ar slÄdžiem, izmantojot SSH: tie diezgan rÅ«pÄ«gi atveido parastÄs Cisco show komandas.
RÅ«pnÄ«cÄ iekÅ”Äji tiek izmantots IP transports, tÄpÄc tajÄ nav Spanning Tree un citu pagÄtnes Å”ausmu: ir iesaistÄ«tas visas saites, un konverÄ£ence kļūmju gadÄ«jumÄ notiek ļoti Ätri. Satiksme audumÄ tiek pÄrraidÄ«ta caur tuneļiem, kuru pamatÄ ir VXLAN. PrecÄ«zÄk, pats Cisco sauc par iVXLAN iekapsulÄciju, un tas atŔķiras no parastÄ VXLAN ar to, ka tÄ«kla galvenÄ rezervÄtie lauki tiek izmantoti pakalpojumu informÄcijas pÄrsÅ«tÄ«Å”anai, galvenokÄrt par trafika saistÄ«bu ar EPG grupu. Tas ļauj iekÄrtÄ ieviest noteikumus par mijiedarbÄ«bu starp grupÄm, izmantojot to numurus tÄpat kÄ adreses tiek izmantotas parastajos piekļuves sarakstos.
Tuneļi ļauj izstiept gan L2 segmentus, gan L3 segmentus (t.i., VRF), izmantojot iekÅ”Äjo IP transportu. Å ajÄ gadÄ«jumÄ tiek izplatÄ«ta noklusÄjuma vÄrteja. Tas nozÄ«mÄ, ka katrs slÄdzis ir atbildÄ«gs par audumÄ ienÄkoÅ”Äs satiksmes novirzÄ«Å”anu. Satiksmes plÅ«smas loÄ£ikas ziÅÄ ACI ir lÄ«dzÄ«gs VXLAN/EVPN audumam.
Ja jÄ, kÄdas ir atŔķirÄ«bas? Viss pÄrÄjais!
GalvenÄ atŔķirÄ«ba, ar kuru jÅ«s saskaraties ar ACI, ir tas, kÄ serveri tiek savienoti ar tÄ«klu. TradicionÄlajos tÄ«klos gan fizisko serveru, gan virtuÄlo maŔīnu iekļauÅ”ana iet uz VLAN, un viss pÄrÄjais dejo no tiem: savienojamÄ«ba, droŔība utt. ACI tiek izmantots dizains, ko Cisco sauc par EPG (End-point Group), no kura nav kur aizmukt. Vai ir iespÄjams to pielÄ«dzinÄt VLAN? JÄ, bet Å”ajÄ gadÄ«jumÄ pastÄv iespÄja zaudÄt lielÄko daļu no tÄ, ko ACI dod.
AttiecÄ«bÄ uz EPG ir formulÄti visi piekļuves noteikumi, un ACI pÄc noklusÄjuma tiek izmantots ābaltÄ sarakstaā princips, tas ir, ir atļauta tikai trafika, kuras caurlaide ir skaidri atļauta. Tas nozÄ«mÄ, ka mÄs varam izveidot EPG grupas "Web" un "MySQL" un definÄt noteikumu, kas ļauj sazinÄties starp tÄm tikai 3306. portÄ. Tas darbosies bez piesaistes tÄ«kla adresÄm un pat tajÄ paÅ”Ä apakÅ”tÄ«klÄ!
Mums ir klienti, kuri ir izvÄlÄjuÅ”ies ACI tieÅ”i Ŕīs funkcijas dÄļ, jo tas ļauj ierobežot piekļuvi starp serveriem (virtuÄlo vai fizisko - tas nav svarÄ«gi), nevelkot tos starp apakÅ”tÄ«kliem, tas nozÄ«mÄ, nepieskaroties adresÄcijai. JÄ, jÄ, mÄs zinÄm, ka neviens ar roku nenosaka IP adreses lietojumprogrammu konfigurÄcijÄs, vai ne?
Satiksmes noteikumus ACI sauc par lÄ«gumiem. Å ÄdÄ lÄ«gumÄ viena vai vairÄkas grupas vai lÄ«meÅi daudzlÄ«meÅu lietojumprogrammÄ kļūst par pakalpojumu sniedzÄju (teiksim, datu bÄzes pakalpojumu), citi kļūst par patÄrÄtÄju. LÄ«gums var vienkÄrÅ”i nodot trafiku vai veikt kaut ko sarežģītÄku, piemÄram, novirzÄ«t to uz ugunsmÅ«ri vai balansÄtÄju, kÄ arÄ« mainÄ«t QoS vÄrtÄ«bu.
KÄ serveri nokļūst Å”ajÄs grupÄs? Ja tie ir fiziski serveri vai kaut kas iekļauts esoÅ”ajÄ tÄ«klÄ, kurÄ mÄs izveidojÄm VLAN maÄ£istrÄli, tad, lai tos ievietotu EPG, jums bÅ«s jÄnorÄda uz slÄdža portu un tajÄ izmantoto VLAN. KÄ redzat, VLAN parÄdÄs tur, kur bez tiem nevar iztikt.
Ja serveri ir virtuÄlÄs maŔīnas, tad pietiek atsaukties uz pieslÄgto virtualizÄcijas vidi, un tad viss notiks pats no sevis: tiks izveidota portu grupa (VMWare ziÅÄ), lai savienotu VM, tiks izveidoti nepiecieÅ”amie VLAN jeb VXLAN. Ja tie tiks pieŔķirti, tie tiks reÄ£istrÄti nepiecieÅ”amajos slÄdžu portos utt. TÄtad, lai gan ACI ir veidots ap fizisku tÄ«klu, savienojumi virtuÄlajiem serveriem izskatÄs daudz vienkÄrÅ”Äki nekÄ fiziskajiem. ACI jau ir iebÅ«vÄta savienojamÄ«ba ar VMWare un MS Hyper-V, kÄ arÄ« OpenStack un RedHat virtualizÄcijas atbalsts. No kÄda brīža ir parÄdÄ«jies arÄ« iebÅ«vÄts atbalsts konteineru platformÄm: Kubernetes, OpenShift, Cloud Foundry, savukÄrt tas attiecas gan uz politiku piemÄroÅ”anu, gan uzraudzÄ«bu, tas ir, tÄ«kla administrators var uzreiz redzÄt, uz kuriem resursdatoriem kuri podi darbojas un kÄdÄs grupÄs tÄs ietilpst.
Papildus tam, ka virtuÄlie serveri tiek iekļauti noteiktÄ portu grupÄ, tiem ir papildu rekvizÄ«ti: nosaukums, atribÅ«ti utt., kurus var izmantot kÄ kritÄrijus to pÄrsÅ«tÄ«Å”anai uz citu grupu, piemÄram, ja tiek pÄrdÄvÄta VM vai tajÄ parÄdÄs papildu tags. to. Cisco to sauc par mikrosegmentÄcijas grupÄm, lai gan kopumÄ pats dizains ar iespÄju tajÄ paÅ”Ä apakÅ”tÄ«klÄ izveidot daudzus droŔības segmentus EPG formÄtÄ arÄ« ir diezgan mikrosegmentÄcija. Nu, pÄrdevÄjs zina labÄk.
PaÅ”as EPG ir tÄ«ri loÄ£iskas konstrukcijas, kas nav piesaistÄ«tas konkrÄtiem slÄdžiem, serveriem utt., tÄpÄc ar tiem un uz tiem balstÄ«tÄm konstrukcijÄm (lietojumprogrammÄm un nomniekiem) var veikt lietas, kuras ir grÅ«ti izdarÄ«t parastos tÄ«klos, piemÄram, klonÄÅ”anu. RezultÄtÄ pieÅemsim, ka ir ļoti vienkÄrÅ”i klonÄt ražoÅ”anas vidi, lai iegÅ«tu testa vidi, kas garantÄti ir identiska ražoÅ”anas videi. To var izdarÄ«t manuÄli, taÄu tas ir labÄk (un vienkÄrÅ”Äk), izmantojot API.
KopumÄ ACI vadÄ«bas loÄ£ika nepavisam nav lÄ«dzÄ«ga tai, ko jÅ«s parasti izmantojat
tradicionÄlajos tÄ«klos no tÄ paÅ”a Cisco: programmatÅ«ras interfeiss ir primÄrais, un GUI vai CLI ir sekundÄri, jo tie darbojas, izmantojot to paÅ”u API. TÄpÄc gandrÄ«z visi, kas iesaistÄ«ti ACI, pÄc kÄda laika sÄk orientÄties pÄrvaldÄ«Å”anai izmantotajÄ objekta modelÄ« un automatizÄt kaut ko, lai tas atbilstu savÄm vajadzÄ«bÄm. VienkÄrÅ”Äkais veids, kÄ to izdarÄ«t, ir no Python: tam ir Ärti gatavi rÄ«ki.
SolÄ«ts grÄbeklis
GalvenÄ problÄma ir tÄ, ka daudzas lietas ACI tiek veiktas atŔķirÄ«gi. Lai sÄktu ar to normÄli strÄdÄt, ir jÄpÄrkvalificÄjas. Tas jo Ä«paÅ”i attiecas uz tÄ«kla operÄciju komandÄm lielos klientus, kur inženieri gadiem ilgi pÄc pieprasÄ«juma ir izrakstÄ«juÅ”i VLAN. Fakts, ka tagad VLAN vairs nav VLAN un jums nav manuÄli jÄizveido VLAN, lai izveidotu jaunus tÄ«klus virtualizÄtos saimniekdatoros, pilnÄ«bÄ nojauc tradicionÄlos tÄ«klu veidotÄjus un liek tiem pieÄ·erties pazÄ«stamÄm pieejÄm. JÄpiebilst, ka Cisco mÄÄ£inÄja nedaudz saldinÄt tableti un pievienoja kontrolierim āNXOS lÄ«dzÄ«guā CLI, kas ļauj veikt konfigurÄciju no tradicionÄlajiem slÄdžiem lÄ«dzÄ«ga interfeisa. Bet tomÄr, lai sÄktu normÄli lietot ACI, jums ir jÄsaprot, kÄ tas darbojas.
Cenas ziÅÄ lielos un vidÄjos mÄrogos ACI tÄ«kli faktiski neatŔķiras no tradicionÄlajiem tÄ«kliem Cisco iekÄrtÄs, jo to veidoÅ”anai tiek izmantoti tie paÅ”i slÄdži (Nexus 9000 var darboties ACI un tradicionÄlajÄ režīmÄ un tagad ir kļuvuÅ”i par galvenajiem "darba zirgs" jauniem datu centru projektiem). Bet divu slÄdžu datu centriem kontrolieru klÄtbÅ«tne un Spine-Leaf arhitektÅ«ra, protams, liek par sevi manÄ«t. Nesen parÄdÄ«jÄs Mini ACI rÅ«pnÄ«ca, kurÄ divi no trim kontrolieriem ir aizstÄti ar virtuÄlajÄm maŔīnÄm. Tas samazina izmaksu starpÄ«bu, taÄu tÄ joprojÄm saglabÄjas. TÄtad klientam izvÄli nosaka tas, cik ļoti viÅu interesÄ droŔības lÄ«dzekļi, integrÄcija ar virtualizÄciju, viens kontroles punkts utt.
Avots: www.habr.com