Miaraka amin'ny fanampian'ity ampahany mahagaga amin'ny script Cisco ACI ity dia afaka manangana tambajotra haingana ianao.
Efa nisy nandritra ny dimy taona ny orinasa tambajotra ho an'ny ivom-pandrafetana Cisco ACI, saingy tsy tena nilaza na inona na inona momba izany i Habré, ka nanapa-kevitra ny hanamboatra azy kely aho. Holazaiko aminao avy amin'ny traikefako manokana hoe inona izany, inona ny fampiasana azy ary aiza no misy azy.
Inona izany ary avy aiza?
Tamin'ny fotoana nanambarana ny ACI (Application Centric Infrastructure) tamin'ny taona 2013, ireo mpifaninana dia nandroso tamin'ny fomba nentim-paharazana amin'ny tambajotra foibe data avy amin'ny lafiny telo indray mandeha.
Amin'ny lafiny iray, ny vahaolana SDN "taranaka voalohany" mifototra amin'ny OpenFlow dia nampanantena fa hanao tambajotra mora kokoa sy mora kokoa amin'ny fotoana iray ihany. Ny hevitra dia ny hamindra ny fandraisana fanapahan-kevitra mahazatra ataon'ny rindrambaiko switch proprietary ho any amin'ny fanaraha-maso foibe.
Ity mpanara-maso ity dia hanana vina tokana amin'ny zava-mitranga rehetra ary, mifototra amin'izany, dia manomana ny fitaovan'ny switch rehetra amin'ny ambaratongan'ny fitsipika amin'ny fanodinana ireo zotra manokana.
Amin'ny lafiny iray, ny vahaolana amin'ny tambajotra overlay dia nahafahana nampihatra ny politikam-pifandraisana ilaina sy ny fiarovana tsy misy fiovana amin'ny tambajotra ara-batana mihitsy, fananganana tonelina rindrambaiko eo amin'ireo mpampiantrano virtoaly. Ny ohatra malaza indrindra amin'ity fomba ity dia i Nicira, izay efa azon'ny VMWare tamin'ny $ 1,26 lavitrisa ary niteraka ny VMWare NSX ankehitriny. Ny fahasahiranana sasany amin'ny toe-javatra dia nampiana tamin'ny hoe ireo mpiara-manorina an'i Nicira dia olona mitovy amin'izay nijoro teo aloha teo amin'ny niandohan'ny OpenFlow, ankehitriny milaza fa mba hananganana orinasa foibe data. .
Ary farany, tonga amin'ny dingana fahamatorana ny fanodinkodinana chips azo alaina eny an-tsena (izay antsoina hoe silisiôma mpivarotra) izay nanjary tena loza mitatao ho an'ny mpanamboatra switch nentim-paharazana. Raha teo aloha ny mpivarotra tsirairay dia nanamboatra chips ho an'ny switch, dia rehefa nandeha ny fotoana, ny chips avy amin'ny mpanamboatra antoko fahatelo, indrindra avy amin'ny Broadcom, dia nanomboka nampihena ny halaviran'ny mpivarotra chips amin'ny lafiny fiasa, ary nihoatra azy ireo amin'ny vidiny / fampisehoana. Noho izany, maro no nino fa ny andron'ny switch amin'ny chips amin'ny endriny manokana dia voaisa.
Lasa « réponse asymmétrique » an’ny Cisco (ny tena marimarina kokoa, orinasa Insieme, naorin’ny mpiasany taloha) ho an’ireo rehetra voalaza etsy ambony ireo ny ACI.
Inona no maha samy hafa ny OpenFlow?
Amin'ny resaka fitsinjarana ny asa, ny ACI dia mifanohitra amin'ny OpenFlow.
Ao amin'ny rafitra OpenFlow, ny mpanara-maso dia tompon'andraikitra amin'ny fanoratana fitsipika amin'ny antsipiriany (mikoriana)
ao amin'ny fitaovan'ny switch rehetra, izany hoe, ao anaty tambajotra lehibe, dia mety ho tompon'andraikitra amin'ny fikojakojana ary, indrindra indrindra, ny fanovana rakitra an-tapitrisany amin'ny teboka an-jatony ao amin'ny tambajotra, ka ny fahombiazany sy ny fahatokisana azy dia lasa sakana amin'ny a fampiharana lehibe.
Ny ACI dia mampiasa ny fomba mivadika: mazava ho azy, misy ihany koa ny mpanara-maso, fa ny switch dia mahazo politikam-panambarana avo lenta avy aminy, ary ny switch mihitsy no manao ny famadihana azy ireo amin'ny antsipiriany momba ny toe-javatra manokana ao amin'ny hardware. Ny controller dia azo averina na vonoina tanteraka, ary tsy hisy ratsy hitranga amin'ny tambajotra, afa-tsy, mazava ho azy, ny tsy fisian'ny fanaraha-maso amin'izao fotoana izao. Mahaliana fa misy toe-javatra ao amin'ny ACI izay mbola ampiasaina ny OpenFlow, fa eo an-toerana ao anatin'ny mpampiantrano ny fandaharana Open vSwitch.
Ny ACI dia naorina tanteraka amin'ny fitaterana overlay mifototra amin'ny VXLAN, saingy ahitana ny fitaterana IP fototra ho ampahany amin'ny vahaolana tokana. Nantsoin'ny Cisco hoe "fanampiana mitambatra" izany. Amin'ny maha-teboka famaranana amin'ny overlay ao amin'ny ACI, amin'ny ankamaroan'ny toe-javatra, dia ampiasaina ny switch orinasa (manao izany amin'ny hafainganam-pandehan'ny rohy). Ny mpampiantrano dia tsy mila mahafantatra na inona na inona momba ny orinasa, encapsulation, sns., Na izany aza, amin'ny tranga sasany (ohatra, hampifandray ny mpampiantrano OpenStack), dia azo entina any aminy ny fifamoivoizana VXLAN.
Ny overlays dia ampiasaina amin'ny ACI tsy mba hanomezana fifandraisana mora foana amin'ny alàlan'ny tambajotra fitaterana, fa koa mba hamindrana metainformation (ampiasaina, ohatra, hampihatra ny politikam-piarovana).
Ny chips avy amin'ny Broadcom dia nampiasain'ny Cisco teo aloha tao amin'ny andian-dahatsoratra Nexus 3000. Ao amin'ny fianakaviana Nexus 9000, navoaka manokana hanohanana ny ACI, dia nisy modely hybrid nampiharina tany am-boalohany, izay antsoina hoe Merchant +. Ny switch dia nampiasa ny chip Broadcom Trident 2 vaovao sy ny chip famenon'ny Cisco, izay mampihatra ny majika rehetra an'ny ACI. Toa izany no nahafahana nanafaingana ny famotsorana ny vokatra sy ny fampihenana ny vidin'ny vidin'ny fifandimbiasana amin'ny haavo manakaiky ny modely mifototra fotsiny amin'ny Trident 2. Io fomba fiasa io dia ampy ho an'ny roa na telo taona voalohany amin'ny fanaterana ACI. Nandritra izany fotoana izany, Cisco dia namolavola sy namoaka ny Nexus 9000 taranaka manaraka amin'ny potiny manokana miaraka amin'ny fampisehoana sy endri-javatra maromaro kokoa, saingy amin'ny vidiny mitovy. Voatahiry tanteraka ny famaritana ivelany amin'ny resaka fifaneraserana ao amin'ny orinasa. Nandritra izany fotoana izany, niova tanteraka ny famenoana anatiny: zavatra toy ny refactoring, fa ho an'ny fitaovana.
Ahoana ny fiasan'ny Architecture Cisco ACI
Amin'ny tranga tsotra indrindra, ny ACI dia naorina amin'ny topolojian'ny tambajotra Klose, na, araka ny filazan'izy ireo matetika, Spine-Leaf. Ny fifandimbiasana amin'ny hazondamosina dia mety avy amin'ny roa (na iray, raha tsy miraharaha ny fandeferana diso) ka hatramin'ny enina. Araka izany, ny betsaka amin'izy ireo, ny avo kokoa ny fandeferana diso (ny ambany ny bandwidth sy ny fihenan'ny fahatokisana raha sendra loza na fikojakojana ny Spine iray) sy ny fampisehoana ankapobeny. Ny fifandraisana ivelany rehetra dia mandeha amin'ny switch-level leaf: ireo dia mpizara, ary mifandray amin'ny tambajotra ivelany amin'ny alàlan'ny L2 na L3, ary mampifandray ireo mpifehy APIC. Amin'ny ankapobeny, miaraka amin'ny ACI, tsy ny fanamafisam-peo ihany, fa koa ny fanangonana antontan'isa, ny fanaraha-maso tsy fahombiazana, sy ny sisa - ny zava-drehetra dia atao amin'ny alàlan'ny interface interfaces, izay misy telo amin'ny fampiharana mahazatra.
Tsy mila mifandray amin'ny switch miaraka amin'ny console mihitsy ianao, na dia manomboka ny tambajotra aza: ny mpanara-maso mihitsy no mahita ny switch ary manangona orinasa iray avy amin'izy ireo, anisan'izany ny firafitry ny protocols serivisy rehetra, noho izany, raha ny marina, tena zava-dehibe ny Soraty ny laharan'ny fitaovana apetraka mandritra ny fametrahana, mba tsy ho voatery haminavina hoe iza amin'ireo switch no misy ny rack. Ho an'ny famahana olana, raha ilaina, azonao atao ny mifandray amin'ny switch amin'ny SSH: mamerina tsara ny baikon'ny fampisehoana Cisco mahazatra izy ireo.
Ao anatiny, ny orinasa dia mampiasa fitaterana IP, noho izany dia tsy misy Spanning Tree sy ireo zava-mahatsiravina hafa taloha ao anatiny: ny rohy rehetra dia tafiditra, ary ny convergence raha misy ny tsy fahombiazana dia tena haingana. Ny fifamoivoizana amin'ny lamba dia mifindra amin'ny alàlan'ny tonelina mifototra amin'ny VXLAN. Ny marimarina kokoa, ny Cisco mihitsy no miantso ny encapsulation iVXLAN, ary tsy mitovy amin'ny VXLAN mahazatra izy io satria ireo saha voatokana ao amin'ny lohatenin'ny tambajotra dia ampiasaina handefasana fampahalalana momba ny serivisy, indrindra momba ny fifandraisan'ny fifamoivoizana amin'ny vondrona EPG. Izany dia ahafahanao mampihatra ny fitsipiky ny fifandraisana eo amin'ny vondrona ao amin'ny fitaovana, amin'ny fampiasana ny isany amin'ny fomba mitovy amin'ny fampiasana ny adiresy amin'ny lisitry ny fidirana mahazatra.
Ny tonelina dia mamela ny fizarana L2 sy ny fizarana L3 (izany hoe VRF) mba hivelatra amin'ny alàlan'ny fitaterana IP anatiny. Amin'ity tranga ity, ny vavahady default dia zaraina. Midika izany fa ny switch tsirairay dia tompon'andraikitra amin'ny fampandehanana ny fifamoivoizana miditra amin'ny lamba. Raha ny lojikan'ny fifamoivoizana, ny ACI dia mitovy amin'ny lamba VXLAN/EVPN.
Raha eny, inona ny fahasamihafana? Zavatra hafa rehetra!
Ny fahasamihafana voalohany atrehinao amin'ny ACI dia ny fifandraisan'ny mpizara amin'ny tambajotra. Ao amin'ny tambajotra nentim-paharazana, ny fampidirana ireo mpizara ara-batana sy milina virtoaly dia mankany amin'ny VLAN, ary ny zavatra hafa rehetra dia mandihy avy amin'izy ireo: fifandraisana, fiarovana, sns. Ao amin'ny ACI, dia ampiasaina ny endrika iray izay antsoin'ny Cisco hoe EPG (End-point Group), izay tsy misy miala. Azo atao ve ny mampitovy azy amin'ny VLAN? Eny, saingy amin'ity tranga ity dia misy ny mety hamoy ny ankamaroan'ny zavatra omen'ny ACI.
Mikasika ny EPG, ny fitsipika fidirana rehetra dia voavolavola, ary ao amin'ny ACI, ny fitsipiky ny "lisitra fotsy" dia ampiasaina amin'ny alàlan'ny default, izany hoe, ny fifamoivoizana ihany no avela, ny andalanana izay avela mazava. Izany hoe, afaka mamorona vondrona "Web" sy "MySQL" EPG isika ary mamaritra fitsipika izay mamela ny fifandraisana eo amin'izy ireo amin'ny port 3306 ihany. Izany dia hiasa tsy misy ifandraisany amin'ny adiresin'ny tambajotra ary na dia ao anatin'ny subnet iray ihany aza!
Manana mpanjifa izay nisafidy ny ACI izahay noho io endri-javatra io, satria mamela anao hamerana ny fidirana eo amin'ny mpizara (virtoaly na ara-batana - tsy maninona) raha tsy misintona azy ireo eo anelanelan'ny subnets, izay midika fa tsy mikitika ny adiresy. Eny, eny, fantatsika fa tsy misy manendry adiresy IP amin'ny fanamafisana ny fampiharana amin'ny tanana, sa tsy izany?
Fitsipika momba ny fifamoivoizana ao amin'ny ACI dia antsoina hoe fifanarahana. Amin'ny fifanarahana toy izany, vondrona iray na maromaro na ambaratonga ao amin'ny rindranasa maromaro dia lasa mpanome tolotra (milaza hoe serivisy angon-drakitra), ny hafa dia lasa mpanjifa. Ny fifanarahana dia afaka mandalo fotsiny ny fifamoivoizana, na afaka manao zavatra sarotra kokoa, ohatra, mivantana izany amin'ny firewall na balancer, ary koa manova ny sanda QoS.
Ahoana no hidiran'ny mpizara amin'ireo vondrona ireo? Raha mpizara ara-batana ireo na zavatra tafiditra ao amin'ny tambajotra efa misy izay namoronanay vatan-kazo VLAN, dia mila manondro ny seranan-tsambo sy ny VLAN ampiasaina ao amin'ny EPG ianao mba hametrahana azy ireo. Araka ny hitanao dia miseho ny VLAN izay tsy azonao atao raha tsy misy azy ireo.
Raha milina virtoaly ny mpizara, dia ampy ny miresaka momba ny tontolo virtoaly mifandray, ary avy eo dia hitranga ho azy ny zava-drehetra: hisy vondrona seranan-tsambo (amin'ny lafiny VMWare) hampifandray ny VM, ny VLAN na VXLAN ilaina. voatendry, dia hosoratana amin'ny seranan-tsambo ilaina izy ireo, sns. Noho izany, na dia miorina amin'ny tambajotra ara-batana aza ny ACI, ny fifandraisana amin'ny mpizara virtoaly dia toa tsotra kokoa noho ny an'ny ara-batana. Ny ACI dia efa manana fifandraisana naorina amin'ny VMWare sy MS Hyper-V, ary koa ny fanohanana ny OpenStack sy RedHat Virtualization. Nanomboka tamin'izay fotoana izay dia nisy ihany koa ny fanohanana naorina ho an'ny sehatra fitahirizana: Kubernetes, OpenShift, Cloud Foundry, raha mikasika ny fampiharana ny politika sy ny fanaraha-maso, izany hoe, ny mpitantana ny tambajotra dia afaka mahita avy hatrany izay mpampiantrano izay miasa amin'ny pods ary izay vondrona misy azy ireo.
Ho fanampin'ny fampidirana ao amin'ny vondrona seranan-tsambo manokana, manana fananana fanampiny ny server virtoaly: anarana, toetra, sns., izay azo ampiasaina ho fepetra hamindrana azy ireo amin'ny vondrona hafa, ohatra, rehefa nomena anarana ny VM na misy marika fanampiny miseho azy. Ny Cisco dia miantso an'io vondrona micro-segmentation io, na dia amin'ny ankapobeny aza, ny famolavolana ny tenany miaraka amin'ny fahafahana mamorona sehatra fiarovana maro amin'ny endrika EPG amin'ny subnet iray ihany koa dia tena fizarana micro. Eny, ny mpivarotra no mahalala kokoa.
Ny EPG ny tenany dia fananganana lojika, tsy mifamatotra amin'ny switch manokana, server, sns., mba hahafahanao manao zavatra miaraka amin'izy ireo sy manamboatra mifototra amin'izy ireo (fampiharana sy mpanofa) izay sarotra atao amin'ny tambajotra mahazatra, toy ny kloning. Vokatr'izany, andao atao hoe tena mora ny manao clone tontolo famokarana mba hahazoana tontolo fitsapana izay azo antoka fa mitovy amin'ny tontolo famokarana. Azonao atao amin'ny tanana izany, saingy tsara kokoa (ary mora kokoa) amin'ny alàlan'ny API.
Amin'ny ankapobeny, ny lojika fanaraha-maso ao amin'ny ACI dia tsy mitovy amin'ny zavatra hitanao matetika
amin'ny tambajotra nentim-paharazana avy amin'ny Cisco iray ihany: ny interface software dia voalohany, ary ny GUI na CLI dia faharoa, satria miasa amin'ny API iray ihany izy ireo. Noho izany, saika ny olona rehetra tafiditra ao amin'ny ACI, rehefa afaka kelikely, dia manomboka mivezivezy amin'ny modely zavatra ampiasaina amin'ny fitantanana ary manamboatra zavatra mifanaraka amin'ny filany. Ny fomba tsotra indrindra hanaovana izany dia avy amin'ny Python: misy fitaovana efa vonona ho azy.
Nampanantena rake
Ny olana lehibe dia ny zavatra maro ao amin'ny ACI dia atao amin'ny fomba hafa. Mba hanombohana miasa amin'ny mahazatra dia mila miofana indray ianao. Marina indrindra izany ho an'ny ekipa miasa amin'ny tambajotra amin'ny mpanjifa lehibe, izay "nametraka VLAN" nandritra ny taona maro ny injeniera rehefa nangataka. Ny zava-misy fa tsy VLAN intsony ny VLAN, ary tsy mila mamorona VLAN amin'ny tanana ianao mba hametrahana tambajotra vaovao amin'ny mpampiantrano virtoaly, dia mitsoka tanteraka ny tafo amin'ny tambajotra nentim-paharazana ary mahatonga azy ireo hifikitra amin'ny fomba mahazatra. Marihina fa nanandrana nanamaivana kely ny pilina ny Cisco ary nampiditra CLI "tahaka NXOS" ho an'ny mpanara-maso, izay ahafahanao manao fanitsiana avy amin'ny interface mitovy amin'ny switch nentim-paharazana. Na izany aza, raha te hampiasa ny ACI amin'ny fomba mahazatra ianao dia mila mahatakatra ny fomba fiasany.
Raha ny vidiny, amin'ny mizana lehibe sy salantsalany, ny tambajotra ACI dia tsy mitovy amin'ny tambajotra nentim-paharazana amin'ny fitaovana Cisco, satria ireo switch mitovy ihany no ampiasaina hanamboarana azy ireo (Nexus 9000 dia afaka miasa amin'ny ACI sy amin'ny fomba nentim-paharazana ary lasa ny lehibe indrindra ankehitriny. "workhorse" ho an'ny tetikasa foibe data vaovao). Fa ho an'ny foibe angon-drakitra misy switch roa, ny fisian'ny mpanara-maso sy ny maritrano Spine-Leaf, mazava ho azy, dia mahatsapa ny tenany. Vao haingana no niseho ny orinasa Mini ACI, izay nosoloina milina virtoaly ny roa amin'ireo telo ireo. Mampihena ny fahasamihafan'ny vidiny izany, saingy mbola mitoetra izany. Noho izany ho an'ny mpanjifa, ny safidy dia fehezin'ny halehiben'ny fahalianany amin'ny endri-piarovana, fampidirana amin'ny virtoaly, teboka tokana mifehy, sy ny sisa.
Source: www.habr.com